安全接入×××之GRE協議

   ×××的簡介 

虛擬專用網絡（Virtual Private Network ，簡稱×××)指的是在公用網絡上創建專用網絡的技術。其之因此稱爲虛擬網，主要是由於整個×××網絡的任意兩個節點之間的鏈接並無傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證連接的專用網絡的擴展

1. ×××的特色

×××與傳統網絡不一樣，它並不實際存在，而是利用現有公共網絡，經過資源

配置而成的虛擬網絡，是一種邏輯上的網絡。×××只爲特定的企業或用戶羣體所專用。從×××用戶角度看來，使用×××與傳統專網沒有區別。×××做爲私有專網，一方面與底層承載網絡之間保持資源獨立性，即在通常狀況下，×××資源不會被承載網絡中的其它×××或非該×××用戶的網絡成員所使用；另外一方面，×××提供足夠安全性，確保 ×××內部信息不受外部的侵擾。×××不是一種簡單的高層業務。該業務創建專網用戶之間的網絡互聯，包括創建×××內部的網絡拓撲、路由計算、成員的加入與退出等，所以×××技術就比各類普通的點對點的應用機制要複雜得多。

2. ×××的優點

在遠端用戶、子分支機構、合做夥伴、供應商與公司總部之間創建可靠的安全連

接，保證數據傳輸的安全性。這一優點對於實現電子商務或金融網絡與通信網絡的融合將有特別重要的意義。利用公共網絡進行信息通信，一方面使企業以明顯更低的成本鏈接遠地辦事機構、出差人員和業務夥伴，另外一方面極大的提升了網絡的資源利用率，有助於增長ISP （Internet Service Provider ，Internet 服務提供商）的收益。只須要經過軟件配置就能夠增長、刪除×××用戶，無需改動硬件設施。這使得×××的應用具備很大靈活性。

3.×××的分類

1. 按照實現方式劃分
　　×××按照實現的方式能夠分爲基於用戶端CPE設備的×××和基於運營商網絡的×××。當一個企業用戶要創建一個虛擬專用網絡時，既能夠由用戶端來實現，也能夠由網絡運營商來實現，甚至能夠由網絡運營商和用戶共同來實現，這就是所謂的×××實現的分類。
　　① 基於用戶端CPE設備的×××
　　基於用戶端CPE的×××是指用戶本身設置並維護×××網關設備，在各個分支機構和公司總部之間創建×××鏈接，而且能夠採用加密技術以保障數據傳輸的安全性。鏈接的創建與用戶的管理徹底由用戶本身負責，網絡運營商沒必要調整或改變網絡的結構與性能就能夠提供對這種×××功能的基本支持。這種實現方式的特色是，×××的實現對網絡運營商透明，網絡運營商不須要任何設備投資。同時，網絡運營商因爲沒有提供增值服務，除了能夠得到更多的專線接入或撥號接入用戶之外，沒法獲得額外的收入。
　　② 基於運營商網絡的×××
　　基於網絡運營商網絡的×××方式是指網絡運營商的公共數據網絡上設置×××網關設備，用於接入企業的專線用戶或遠程撥號接入用戶。利用該網關設備，能夠在全網範圍內，根據具體的×××網絡需求，經過隧道封裝或虛擬路由以及MPLS等技術，創建徹底的或不徹底的×××網絡結構，而且也能夠採用加密技術以保障數據傳輸的安全性。×××鏈接的創建徹底由網絡運營商負責，對用戶透明。用戶的管理能夠靈活地由用戶和網絡運營商共同管理。運營商要根據具體的須要調整或改變網絡結構與設備性能來支持這種×××的實現。網絡運營商提供×××增值服務，能夠獲得額外的收入，例如用戶管理和增長的專線或撥號接入租費等。另外，因爲網關設備由網絡運營商提供並管理，能夠同時爲多個企業用戶提供×××服務。
　　③ 網絡運營商同用戶共同實現的×××
　　對於網絡運營商同用戶共同實現×××的方式是指在網絡運營商的公共網絡上以及用戶端能夠根據須要靈活地設置×××網關設備。×××鏈接的創建能夠是分別從用戶端或網絡運營商的×××網關設備開始，而且能夠分別終結到用戶端或網絡運營商的×××網關設備。用戶的管理也能夠靈活地由用戶和網絡運營商聯合管理。用戶和網絡運營商要根據具體的須要調整或改變網絡結構與設備性能。這種實現方式的特色是，×××的實現根據具體狀況而定，靈活方便。因爲網絡運營商提供×××服務須要較大的設備與管理投資，能夠首先在×××業務需求較多的地市配置×××網關設備，對於個別的×××用戶，能夠採用用戶端實現的方式或採用配置較低的網關設備。目前還有一種經濟可行的方法就是利用寬帶接入服務器。寬帶接入服務器是典型的運營商網絡和用戶端設備綜合的×××模式。它因爲採用標準的隧道技術，因此既能夠從網絡端發起隧道，也能夠終結由用戶端設備發起的隧道，從而實現這種網絡和用戶端設備綜合的×××模式。
2. 按隧道所屬的層次劃分

(1) 第二層隧道協議 pptp l2F L2TP

(2) 第三層隧道協議

GRE（Generic Routing Encapsulation）協議：這是通用路由封裝協議，用於實現任意一種網絡層協議在另外一種網絡層協議上的封裝。

IPSec （IP Security ）協議：IPSec 協議不是一個單獨的協議，它給出了 IP 網絡上數據安全的一整套體系結構。包括AH（Authentication Header）、ESP（Encapsulating Security Payload ）、IKE （Internet Key Exchange ）等協議。GRE和IPSec 主要用於實現專線 ×××業務。

第三層隧道與第二層隧道相比，優點在於它的安全性、可擴展性與可靠性。

從安全性的角度看，因爲第二層隧道通常終止在用戶側設備上，對用戶網的安全及防火牆技術提出十分嚴峻的挑戰；而第三層隧道通常終止在ISP 網關上，所以不會對用戶

網的安全構成威脅。

從擴展性的角度看，第二層IP 隧道內封裝了整個 PPP幀，這可能產生傳輸效率問題。其次，PPP會話貫穿整個隧道並終止在用戶側設備上，致使用戶側網關必需要保存大量PPP 會話狀態與信息，這將對系統負荷產生較大的影響，也會影響到系統的擴展性。此外，因爲PPP的LCP 及NCP協商都對時間很是敏感，這樣IP 隧道的效率會形成PPP 對話超時等等一系列問題。相反，第三層隧道終止在ISP 的網關內，PPP會話終止在 NAS處，用戶側網關無需管理和維護每一個 PPP 對話的狀態，從而減輕了系統負荷。

通常地，第二層隧道協議和第三層隧道協議都是獨立使用的，若是合理地將這兩層

協議結合起來使用，將可能爲用戶提供更好的安全性（如將L2TP 和IPSec 協議配合使用）和更佳的性能。

3. 按業務用途劃分

(1) Intranet ×××（用於組建跨地區的企業內部互聯網絡）

(2) Access ××× （遠程接入虛擬專網）

(3) Extranet ××× （用於企業與客戶、合做夥伴之間創建互聯網絡）

4. 按組網模型劃分

(1) 虛擬租用線（VLL ）

2) 虛擬專用撥號網絡（VPDN ）

(3) 虛擬專用LAN 網段（VPLS）業務

(4) 虛擬專用路由網（VPRN ）業務

四、×××的應用模式
      ×××技術用於組建企業網絡，大體能夠劃分爲遠程接入、網絡互聯和內部安全等3種應用模式。
　　一、遠程訪問
　　目前×××比較普遍的應用是提供廉價可靠的遠程用戶接入，這是一種替代傳統遠程訪問的解決方案。這種方案充分利用了公共基礎設施和ISP，遠程用戶經過ISP接入Internet，再穿過Internet鏈接與Internet相連(一般經過ISP來鏈接)的企業×××服務器，來訪問位於×××服務器後面的內部網絡。一旦接入×××服務器，就在遠程用戶與×××服務器之間創建一條穿越Internet 的專用隧道鏈接。這樣，遠程客戶到當地ISP的鏈接和×××服務器到當地ISP的鏈接都是本地網內通訊，雖然Internet不夠安全，可是因爲採用加密技術，遠程客戶到V這種模式具備如下優勢：
　　（1）簡化網絡配置，在配置遠程訪問服務器時省去調制解調器和電話線路，遠程訪問客戶端可靈活選擇通訊線路，如模擬撥號、ISDN、ADSL和移動IP等ISP支持的任何接入方式。
　　（2）經過本地接入來代替長途接入，節省通訊費用。
　　（3）便於擴展，同時接入的用戶不受線路限制。
　　這種模式可以安全地鏈接移動用戶、遠程工做者或分支機構。若是企業的內部人員移動辦公或有遠程辦公的須要，或者商家要提供B2C的安全訪問服務，就能夠考慮使用遠程接入×××。特別是近年來迅速發展的寬帶網接入業務，爲基於×××的遠程訪問提供了廉價、高速的解決方案。×××客戶和×××服務器均可經過本地寬帶網接入Internet。

二、遠程網絡互聯
　　網絡互聯是最主要的×××應用模式。基於×××的網絡互聯已成爲一種熱門的新型WAN技術，它利用專用隧道取代長途線路來下降成本，提升效率。兩端的內部網絡經過×××服務器接入本地網內的ISP，經過Internet創建虛擬的專用鏈接，如圖2所示。特別是寬帶網業務的發展，爲基於×××的遠程網絡提供了廉價、高速的解決方案。這種互聯網絡擁有與本地互聯局域網相同的管理性和可靠性。
　　這種模式具備如下優勢：節省WAN帶寬的費用；經過本地鏈接來代替長途鏈接，節省通訊費用；便於擴展，同時接入的用戶不受線路限制。
三、網絡內部安全

GRE協議簡介和工做原理

1．GRE協議簡介
 GRE（Generic Routing Encapsulation，通用路由封裝）協議是對某些網絡層協議（如IP 和IPX）的數據報進行封裝，使這些被封裝的數據報可以在另外一個網絡層協議（如IP）中傳輸。GRE 是×××（Virtual Private Network）的第三層隧道協議，在協議層之間採用了一種被稱之爲Tunnel（隧道）的技術。Tunnel是一個虛擬的點對點的鏈接，在實際中能夠當作僅支持點對點鏈接的虛擬接口，這個接口提供了一條通路使封裝的數據報可以在這個通路上傳輸，而且在一個Tunnel的兩端分別對數據報進行封裝及解封裝。

GRE 規定了如何用一種網絡協議去封裝另外一種網絡協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，容許用戶使用IP包封裝IP、IPX、 AppleTalk包，並支持所有的路由協議（如RIP二、OSPF等）。經過GRE，用戶能夠利用公共IP網絡鏈接IPX網絡、AppleTalk網 絡，還可使用保留地址進行網絡互連，或者對公網隱藏企業網的IP地址。GRE只提供了數據包的封裝，它並無加密功能來防止網絡偵聽和***。因此在實際環境中它常和IPsec在一塊兒使用，由IPsec提供用戶數據的加密，從而給用戶提供更好的安全性。

GRE協議的主要用途有兩個：企業內部協議封裝和私有地址封裝。在國內，因爲企業網幾乎所有采用的是TCP/IP協議，所以在中國創建隧道時沒有對企業 內部協議封裝的市場需求。企業使用GRE的惟一理由應該是對內部地址的封裝。當運營商向多個用戶提供這種方式的×××業務時會存在地址衝突的可能性。

一個報文要想在Tunnel中傳輸，必需要通過加封裝與解封裝兩個過程

(1) 加封裝過程
 鏈接Novell Group1的接口收到IPX數據報後首先交由IPX 協議處理，IPX 協議檢查IPX 報頭中的目的地址域來肯定如何路由此包。若報文的目的地址被發現要路由通過網號爲1f 的網絡（Tunnel 的虛擬網號），則將此報文發給網號爲1f 的Tunnel端口。Tunnel 口收到此包後進行GRE 封裝，封裝完成後交給IP 模塊處理，在封裝IP 報文頭後，根據此包的目的地址及路由表交由相應的網絡接口處理。
(2) 解封裝的過程
 解封裝過程和加封裝的過程相反。從Tunnel 接口收到的IP 報文，經過檢查目的地址，當發現目的地就是此路由器時，系統剝掉此報文的IP 報頭，交給GRE 協議模塊處理（進行檢驗密鑰、檢查校驗和及報文的序列號等）；GRE 協議模塊完成相應的處理後，剝掉GRE 報頭，再交由IPX 協議模塊處理，IPX 協議模塊象對待通常數據報同樣對此數據報進行處理。
系統收到一個須要封裝和路由的數據報，稱之爲淨荷（payload），這個淨荷首先被加上GRE 封裝，成爲GRE 報文；再被封裝在IP 報文中，這樣就可徹底由IP 層負責此報文的向前傳輸（forwarded）。人們常把這個負責向前傳輸IP 協議稱爲傳輸協議（delivery protocol 或者transport protocol）。

經過上面的介紹，下面經過一個華爲設備的案例來對×××的GRE協議作進一步的理解

配置信息:

 

 

ISP