【正文】 拓?fù)?，開(kāi)始本課題的設(shè)計(jì)與仿真。 隨著合肥百大集團(tuán)不斷的壯大發(fā)展，不但在合肥擁有眾多百貨大樓，同時(shí)在安徽蚌埠、蕪湖、淮南、黃山等多個(gè)縣市擁有業(yè)務(wù)分支。根據(jù)業(yè)務(wù)的需要，為了更好更穩(wěn)定的保證總部與分支的數(shù)據(jù)通訊，分支和中心之間采用 OSPF動(dòng)態(tài)路由協(xié)議。 由于網(wǎng)絡(luò)接入形式的多樣化，在考慮使用 VPN對(duì)專(zhuān)線備份，來(lái)滿足業(yè)務(wù)延展性的需要，對(duì)網(wǎng)絡(luò)的實(shí)現(xiàn)形式也增加了限制條件。如何在開(kāi)放的 Inter網(wǎng)絡(luò)上建立私有數(shù)據(jù)傳輸通道 ， 將遠(yuǎn)程的分支連接起來(lái)，同時(shí)又要保證數(shù)據(jù)傳輸?shù)陌踩?？以下將根?jù)實(shí)際需求和相關(guān)技術(shù)的優(yōu)勝劣 汰進(jìn)行闡述，以最終選擇出適合本課題的最佳技術(shù)方案。 系統(tǒng) VPN 需求分析 由于合肥百大集團(tuán)已經(jīng)發(fā)展到全省的各個(gè)市縣區(qū)均有業(yè)務(wù)分支機(jī)構(gòu)，分支機(jī)構(gòu)與合肥總部中心之間的數(shù)據(jù)交互密不可分，這樣就需要專(zhuān)門(mén)的鏈路來(lái)使得總部與各分支機(jī)構(gòu)之間互聯(lián)。然而，在實(shí)際應(yīng)用當(dāng)中，就如同前文所述（見(jiàn) ），穿越整個(gè)互聯(lián)網(wǎng)，是不可能鋪設(shè)專(zhuān)門(mén)的物理鏈路來(lái)滿足業(yè)務(wù)的需求，因?yàn)榧茉O(shè)專(zhuān)用鏈路所需的代價(jià)太高，顯然這樣的設(shè)計(jì)是不切實(shí)際的。因此需要一種 VPN技術(shù)來(lái)滿足集團(tuán)的業(yè)務(wù)需求。 但是，前文中已經(jīng)描述過(guò)， VPN技術(shù)由很多種（見(jiàn) ），如何在諸多種 VPN技術(shù)中選擇出適合本集團(tuán)所需的 VPN技術(shù)呢，這要根據(jù)集團(tuán)網(wǎng)絡(luò)實(shí)際設(shè)計(jì)和需求來(lái)決定。 由于合肥百大集團(tuán)在分支與中心之間采用三層路由協(xié)議，顯然就應(yīng)該使用三層 VPN技術(shù)，從而淘汰前文所述的二層 VPN技術(shù)，如 PPTP VPN、 L2F VPN和 L2TP VPN等，同時(shí)也可以淘汰掉 SSL VPN技術(shù)，因?yàn)?SSL是高于 IP 層的第四層協(xié)議。另外， MPLS VPN在此也不大適合集團(tuán)的 VPN設(shè)計(jì)，因?yàn)?MPLS是獨(dú)立于二層和三層的協(xié)議，其適合更大的機(jī)構(gòu)網(wǎng)絡(luò)運(yùn)用，因?yàn)榇笮途W(wǎng)絡(luò)要結(jié)合 IGP和 BGP，而 MPLS就是 由于此種需求應(yīng)運(yùn)而生的，因此在本案例設(shè)計(jì)中，也不應(yīng)該用此技術(shù)。同時(shí)，綜合上述淘汰的諸多 VPN技術(shù)，而產(chǎn)生的相互嵌套結(jié)合的 VPN技術(shù)也隨之被棄選。 因此，鑒于以上分析，適合三層 VPN技術(shù)的有 GRE VPN技術(shù)和 IPSec VPN技術(shù)。但是如何在這兩種技術(shù)之間進(jìn)行優(yōu)選的決策呢？從 前 面章節(jié)（第 二 章）我們可以知道， IPSec VPN具有完好的加密認(rèn)證技術(shù)，但是其 IP 路由只支持靜態(tài)路由，顯然對(duì)于像百大集團(tuán)這樣一個(gè)大型公司來(lái)說(shuō)，靜態(tài)路由指派顯然是一件效率極其低下的事情。在 IPSec協(xié)議的實(shí)現(xiàn)過(guò)程中，研究機(jī)構(gòu)為了彌補(bǔ) IPSec的這種缺陷，也相繼研究出實(shí)現(xiàn) IPSec協(xié)議支持動(dòng)態(tài)路由協(xié)議的特性，即 IPSec Profile。但是這種技術(shù)即使實(shí)現(xiàn)了 IPSec支持動(dòng)態(tài)路由協(xié)議的功能，也無(wú)法滿足百大集團(tuán)的現(xiàn)實(shí)需求，因?yàn)樵诂F(xiàn)有的網(wǎng)絡(luò)設(shè)備的軟件版本來(lái)說(shuō)，很多版本并不支持這種技術(shù)。所以需要選擇另外的、比較傳統(tǒng)的隧道技術(shù)來(lái)結(jié)合傳統(tǒng)的 IPSec協(xié)議，這種比較傳統(tǒng)且較為常用的技術(shù)就是 GRE隧道技術(shù)。 由上一章關(guān)于 GRE與 IPSec的介紹，我們不難總結(jié)出關(guān)于這兩種協(xié)議的優(yōu)缺點(diǎn)： 18 GRE 優(yōu)點(diǎn)：支持單播、組播、廣播和非 IP 數(shù)據(jù)流。 缺點(diǎn)：不提 供安全加密功能。 適用場(chǎng)合：適用于復(fù)雜的網(wǎng)絡(luò)拓?fù)洹?IP 或非 IP 網(wǎng)絡(luò)及高安全性 能的網(wǎng)絡(luò)環(huán)境。 IPSec 優(yōu)點(diǎn)：為數(shù)據(jù)提供加密、完整性、源認(rèn)證和防重放功能。 缺點(diǎn)：只支持單播和 IP 數(shù)據(jù)流。 適用場(chǎng)合：適用于高安全性能、簡(jiǎn)單拓?fù)渑渲玫?IP 網(wǎng)絡(luò)環(huán)境。 因此，結(jié)合 1和 2關(guān)于 GRE與 IPSec優(yōu)缺點(diǎn)的描述來(lái)看，為了滿足本案例的業(yè)務(wù)需求，可將 GRE與 IPSec相結(jié)合 而互補(bǔ)優(yōu)缺點(diǎn)。 經(jīng)過(guò)以上分析可知， GRE協(xié)議和 IPSec協(xié)議具有互補(bǔ)性，結(jié)合二者這種互補(bǔ)性，可以滿足百大集團(tuán)的關(guān)于同時(shí)支持動(dòng)態(tài)路由協(xié)議 和安全加密認(rèn)證的需求。而關(guān)于這兩種 VPN技術(shù)的結(jié)合，有兩者結(jié)合方式，亦即 GRE over IPSec VPN和 IPSec over GRE VPN。關(guān)于這兩種技術(shù)（即 GRE over IPSec VPN技術(shù)和 IPSec over GRE VPN技術(shù)）的細(xì)則問(wèn)題，則后文第 四 章的相關(guān)章節(jié)有詳細(xì)的介紹，此處不多做解釋?zhuān)罱K的選擇則是 GRE over IPSec VPN技術(shù)，下面將針對(duì)此技術(shù)進(jìn)行本系統(tǒng)的規(guī)劃和設(shè)計(jì)。 系統(tǒng) VPN 規(guī)劃與概要設(shè)計(jì) 網(wǎng)絡(luò)設(shè)備的互聯(lián) 如下圖 ，則表示的是合肥百大集團(tuán) GRE over IPSec VPN的公網(wǎng)接入拓?fù)鋱D，其中路由器 Center 代表百大集團(tuán)在合肥的總部中心路由器，而 VPN1~VPN5的五個(gè)路由器則分別代表分布在全省各個(gè)市縣區(qū)的分支機(jī)構(gòu) 的 接入網(wǎng) 路由器（此處只選擇其中的五個(gè)，因?yàn)槊總€(gè)分支機(jī)構(gòu)的配置都大同小異），亦即經(jīng) OSPF劃分區(qū)域后，這些路由器則為普通區(qū)域與骨干區(qū)域的邊界路由器。路由器 ISP則代表互聯(lián)網(wǎng)，其接口 serial0/0~s1/1 則代表運(yùn)營(yíng)商提供給總部和每個(gè)分支機(jī)構(gòu)的出口，這些出口的 IP 地址正如下圖 ，分別為、 、 、 、 。與路由器 ISP的接口 serial0/0~s1/1 直連的總部以及分支機(jī)構(gòu)的接入網(wǎng)路由器的接口，除總部路由器 Center 接口為 serial0/0外，其余分支機(jī)構(gòu)的分別為每個(gè)分支機(jī)構(gòu)路由器的接口 serial0/0，每個(gè)接口對(duì)應(yīng)的 IP 地址非別為 、 、 、 。 整個(gè)網(wǎng)絡(luò)進(jìn)行 OSPF區(qū)域劃分 合肥總部網(wǎng)絡(luò)中心的區(qū)域?yàn)?Area 6，下圖 群區(qū)域，其中服務(wù)器分別為 WWW服務(wù)器、 Email 服務(wù)器、 FTP服務(wù)器以及 Database 服務(wù)器，且此區(qū)域的 IP 地址網(wǎng)段為 ；其他分支機(jī)構(gòu)的區(qū)域則如上圖 ，依次分別為 Area Area Area Area Area 5， IP 地址網(wǎng)段分別為 、 、 ；穿越互聯(lián)網(wǎng)的區(qū)域?yàn)?Area 0。同時(shí)， Area 1~ Area 6 與 Area 0的所有邊界路由器的 RouterID分別為 、 、 、 。 19 GRE隧道設(shè)計(jì) 合肥總部路由器 Center 的接口 serial0/0與各個(gè)分支機(jī)構(gòu)的 OSPF區(qū)域邊界路由器的接口 serial0/0，通過(guò)互相指派為源和目的來(lái)建立 GRE隧道，然后在每個(gè)隧道運(yùn)行 0SPF協(xié)議，使得能夠動(dòng)態(tài)學(xué)習(xí)到相關(guān)的網(wǎng)段。 IPSec隧道設(shè)計(jì) 由于本系統(tǒng)相關(guān)技術(shù)是基于 GRE over IPSec VPN技術(shù)，故而在各個(gè)分支機(jī)構(gòu)內(nèi)部以及總部的內(nèi)部網(wǎng)絡(luò)中的主機(jī)傳輸?shù)臄?shù)據(jù)，到達(dá)邊界路由器時(shí)便通過(guò) GRE隧道接口進(jìn)行 GRE封裝，然后將經(jīng)過(guò)封裝后的 GRE數(shù)據(jù)包再通過(guò) IPSec隧道接口進(jìn)行加密封裝。由此可見(jiàn)，針對(duì)于 GRE數(shù)據(jù)包，各分支機(jī)構(gòu)的邊界路由器與總部的邊界路由器之間相互通信的加密點(diǎn)和通信點(diǎn)均落在所有的邊界路由器上，故而可以選擇 的 IPSec的數(shù)據(jù)包封裝模式為傳輸模式，而不是選擇隧道模式，主要是因?yàn)樗淼滥Ｊ揭葌鬏斈Ｊ蕉嗔艘粋€(gè) 20B的、和傳輸模式一樣的報(bào)頭，這樣就使得每個(gè)隧道模式的數(shù)據(jù)包比傳輸模式的數(shù)據(jù)包少傳輸 20B的數(shù)據(jù)，影響到數(shù)據(jù)的傳輸速率。同時(shí)，隧道模式因?yàn)槎嘣黾恿藬?shù)據(jù)報(bào)頭，就會(huì)增加網(wǎng)絡(luò)設(shè)備的內(nèi)存和 CPU資源，影響網(wǎng)絡(luò)設(shè)備的整體性能，增大網(wǎng)絡(luò)傳輸?shù)难舆t，等等。鑒于上述原因，最終選擇了 GRE over IPSec VPN技術(shù)中的 IPSec傳輸模式。 對(duì)于 IPSec通信對(duì)等點(diǎn)，總部路由器的接口 serial0/0與各個(gè)分支機(jī)構(gòu)路由器 的接口serial0/0之間相互認(rèn)證為 IPSec對(duì)等體，而且最終將對(duì)應(yīng)的 IPSec的相關(guān)策略均相應(yīng)地在這些物理接口實(shí)施調(diào)用。 由于各個(gè)分支機(jī)構(gòu)與總部的連接方式大同小異，因此每個(gè)分支機(jī)構(gòu)在與總部互連時(shí)也是大同小異，因此根據(jù)下圖 ，可以將上圖縮略為下圖 “ 系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)拓?fù)鋱D ” ，如下圖 ： 圖 系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D 20 圖 系統(tǒng)網(wǎng)絡(luò) 設(shè)計(jì)與實(shí)現(xiàn) 拓?fù)鋱D 系統(tǒng)設(shè)計(jì)與仿真的實(shí)現(xiàn)環(huán)境 思科模擬器軟件 GNS3 針對(duì)于本課題的設(shè)計(jì)與實(shí)現(xiàn)，則是在思科模擬器 GNS3上得以 實(shí)現(xiàn)的。 GNS3 是一個(gè)可以模擬復(fù)雜網(wǎng)絡(luò)的圖形化網(wǎng)絡(luò)模擬器，它可以運(yùn)行在 Windows、 Linux、 MAC OS 上，允許你在虛擬環(huán)境中運(yùn)行 Cisco IOS。 GNS3 是 dynagen 的圖形化前端，用于搭建網(wǎng)絡(luò) 拓?fù)洌?并生成 dynagen 所可以加載的 文件，用來(lái)加載 Cisco IOS的核心程序是 dynamips。 GNS3 可以模擬 Cisco Router、 Cisco ASA、 Cisco PIX、 Cisco IDS/IPS、 Juniper Router 以及通過(guò)路由器加載交換模塊實(shí)現(xiàn)部 分交換功能； 通過(guò)其所帶的 qemu 還可以運(yùn)行虛擬主機(jī)；程序還可通過(guò) Wireshark軟件 來(lái)抓取虛擬網(wǎng)絡(luò) 拓?fù)?中 相應(yīng)信息點(diǎn) 的數(shù)據(jù)包。 Wireshark軟件 為了驗(yàn)證所設(shè)計(jì)的 VPN隧道的功能是否與預(yù)期的相一致，在本課題最終實(shí)現(xiàn)的過(guò)程中，通過(guò)在模擬的互聯(lián)網(wǎng)和終端進(jìn)行數(shù)據(jù)流捕獲操作，然后對(duì)捕獲得到的數(shù)據(jù)條目信息進(jìn)行直觀地分析，并在一定程度上對(duì)部分?jǐn)?shù)據(jù)包進(jìn)行深入分析，這樣則可以驗(yàn)證數(shù)據(jù)通信在整個(gè) VPN隧道和終端的傳輸過(guò)程，進(jìn)而檢驗(yàn)本課題設(shè)計(jì)與仿真的成功與否。 VMware Workstation軟件 VMware Workstation軟件是一款可以建設(shè)虛擬計(jì)算的的平臺(tái)，利用此軟件進(jìn)行虛擬計(jì)算機(jī)系統(tǒng)的架設(shè)，尤其方便在各種網(wǎng)絡(luò)實(shí)驗(yàn)中虛擬服務(wù)器的架設(shè)。在本課題的設(shè)計(jì)與仿真當(dāng)中， 在 VMware Workstation軟件上安裝兩個(gè) windows server 2021系統(tǒng)來(lái)構(gòu)建兩臺(tái)虛擬機(jī)，其中一臺(tái)用作系統(tǒng)中位于總部的服務(wù)器，另一臺(tái)用作位于 VPN1路由器端得終端 PC。這兩 21 臺(tái)虛擬機(jī)的虛擬網(wǎng)卡和本地主機(jī)的網(wǎng)卡，均是通過(guò)橋接的方式而融入到 GNS3中的網(wǎng)絡(luò)拓?fù)渲小? 在已經(jīng)搭建好的網(wǎng)絡(luò)拓?fù)渲?，所有路由器均是模擬型號(hào)為 3640的思科路由器，其中運(yùn)行的思科路由器 IOS版本為 。 整體在 GNS3軟件中搭建的網(wǎng)絡(luò)拓?fù)?實(shí)驗(yàn)環(huán)境 如下圖 。 圖 網(wǎng)絡(luò)拓?fù)鋵?shí)驗(yàn)環(huán)境 22 第四章 GRE與 IPSec相關(guān)技術(shù)分析 在第 二章和第 三章中 針對(duì) 相關(guān)技術(shù) ， 如 GRE技術(shù)、 IPSec技術(shù)等 進(jìn)行了 詳細(xì)介紹，本章將對(duì)這些技術(shù)的相關(guān)配置進(jìn)行詳細(xì)講述，同時(shí)最后針對(duì) GRE over IPSec VPN與 IPSec over GRE VPN二者的配置 ，以及二者的區(qū)別進(jìn)行詳細(xì)講述，以便最終選擇出 本課題 案例的最佳方案。 GRE基本配置與分析 在遠(yuǎn)程路由器之間配置 GRE，總共分為三步 : 1．創(chuàng)建虛擬鏈路（隧道）接口，號(hào)碼任意，兩端可不相同； 2．配置虛擬鏈路（隧道）接口地址，該地址是在 GRE包頭中被封裝的地址； 3．定義虛擬鏈路（隧道）的源和目的，因?yàn)閿?shù)據(jù)包最終要在公網(wǎng)中傳遞，所以該地址就是在公網(wǎng)中指導(dǎo)路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的可路由公網(wǎng) IP，也是建立隧道兩端路由器的真實(shí)公網(wǎng) IP。 下面將結(jié)合實(shí)例進(jìn)行詳細(xì)配置介紹。 以下圖 ，配置 GRE： 說(shuō)明：圖中 Inter使用路由器 R5 來(lái)模擬。 圖 GRE實(shí)驗(yàn)拓?fù)? 配置網(wǎng)絡(luò)環(huán)境 配置 R1： r1(config) interface fastEther0/0 r1(configif)ip address r1(configif)no shutdown r1(config) interface fastEther0/1 r1(configif)ip address r1(configif)no shutdown r1(config)ip route 23 說(shuō)明：配置 R1 的接口地址，并寫(xiě)默認(rèn)路由指向 Inter（路由器 R5），地址 。 配置 R2： r2(config) interface fastEther 0/0 r2(configif)ip address r2(configif)no shutdown r2(config)ip route 說(shuō)明：配置 R2 的接口地址，并寫(xiě)默認(rèn)路由指向 R1。 配置 R3： r3(config) interface fastEther 0/0 r3(configif)ip address r3(configif)no shutdown r3(config) interface fastEther 0/1 r3(configif)ip address r3(configif)no shutdown r3(config)ip route 說(shuō)明：配置 R3 的接口地址，并寫(xiě)默認(rèn)路由指向 Inter（路由器 R5），地址 。 配置 R4： r4(config) interface fastEther 0/1 r4(configif)ip address r4(configif)no shutdown r4(config)ip route 說(shuō)明：配置 R4 的接口地址，并寫(xiě)默認(rèn)路由指向 R3。 配置 R5： r5(config) interface fastEther 0/1 r5(configif)ip address r5(configif)no shutdown