。Easyvpn能夠實現用戶端的遠程訪問，也是一種現實中常用的一種技術。1.2課題目的與意義（1）目的：本課題意在設計一個基于虛擬專用網絡技術的企業網絡，根據企業的需求，選擇適合的虛擬專用網絡技術來進行網絡架構的設計。虛擬專用網可以幫助分支機構、遠程用戶等與公司的內部網建立可信的安全連接，同時企業能為好地維護、管理這些主要業務和應用，提升網絡的服務質量，也能夠方便人員隨時隨地訪問公司內部網絡，提高工作效率。而且企業能夠省下網絡維護的費用。由于本次設計主要是來說明虛擬專用技術的應用，所以不會涉及太過復雜的企業網絡結構，會以中小型企業為背景來進行說明。將使用GERoverIPsecVPN解決各分散子公司與總公司的連接問題,使用EASYVPN解決公司員工外出使用公司資源的問題。這樣不僅能夠提高企業信息通信安全，也能減少網絡信息維護費用，減少開支，且有良好的擴展性，不影響現有網絡。通過本次課題能夠對企業的虛擬專用網絡有一個大致的了解，能夠設計部署簡單的企業網絡的虛擬專用網絡。（2）意義：不斷發展前進的互聯網技術不僅僅改變著我們的生活，也改變著著企業的生存方式。信息技術可以說是直接牽動著一個企業的創新和生產力，用好信息技術的力量，能夠走的更加長遠，信息技術也早已成為提高企業競爭力的一個重要力量。但是，在信息化的環境下，確保企業內部的網絡信息安全已成為一個重要問題，員工們在企業內部進行信息通信可以只在內部網絡中進行，隔離了外部網絡存在的威脅。但是，企業要發展，要壯大，就需要在不同的地區建立分部，這些分部也需要與總部進行通信訪問，但是，但涉及重要的文件信息時，在公共網絡中傳輸就會存在非常不安全的情況。虛擬專用網技術是現在各個企業都在使用的技術，可以在公網上建立私有的虛擬專用網絡，所有的通信都會專有的隧道，信息也會被加密，可以確保企業的安全通信。基于虛擬專用網絡的企業網絡可以滿足企業安全通信的需求，可以實現遠程訪問的需求。越來越多的政府機構、企業通過虛擬專用網來加快機構、企業信息建設的步伐，實現虛擬現場辦公，提高生產率，同時推動各機構、企業快速發展。本課題對虛擬專用網絡在企業中的研究具有重要意義。1.3國內研究現狀VPN的功能能夠有效的滿足人們對于網絡安全、網絡速度等日常需求，在如今這樣互聯網遍布的時代，人們對私有網絡的需求逐漸增大，人們對于VPN的使用率也逐步的提升。根據2019年的VPN報告統計數據顯示，2018年的VPN移動應用在全球的下載量達到了4.802億次，同比增長達54%。同時國家也格外重視網絡強國建設的重要性，2018年發布文件推動網信事業與資本市場的協同發展。2019年9月，工業和信息化部發布文件規范VPN違規開展業務等情況，但同時支持外貿企業用專線的方式開展跨境聯網。國家的支持也給vpn技術的發展提供了良好的環境。嚴峻的新冠肺炎疫情也導致了線上辦公、在線教育、智能醫療等需求的提高，作為網絡支持的VPN板塊也屬于熱門板塊，在未來會具有非常大的發展潛力。雖然當前，用戶需要手動操作才能在其設備上啟用VPN。但是VPN在未來也將實現架構和連接設備的自動化和智能化。越來越復雜的網絡環境也刺激了vpn的改進，許多vpn已是多個虛擬專用網絡技術的結合體，不再是單一的部署在網絡當中了，因為單一的vpn技術已經無法滿足機構企業復雜的網絡需求了，在今后vpn會以各種形式應用在網絡中。為了與互聯網上提供的云服務保持一致，出現了“云VPN”，諸如Google、Facebook和McAfee之類的技術巨頭也推出了基于云的VPN服務，以取代傳統的VPN。在未來的幾年中，隨著向云計算的遷移，云VPN將被更多采用。第二章VPN理論分析2.1VPN的概念及特點虛擬專用網絡（Virtual?Private?Network?，簡稱VPN）是指在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需要的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺上的一種邏輯上的網絡（如Internet、ATM(異步傳輸模式〉、FrameRelay（幀中繼）等)用戶數據是在邏輯鏈路中傳輸的。虛擬專用網絡的主要特點有：（1）安全保障：虛擬專用網是通過建立一個隧道，利用加密技術對數據進行加密，以保證數據的私有性、安全性。（2）服務質量保證：虛擬專用網可以為不同要求的用戶提供不同等級的服務質量保證。（3）可擴充性、靈活性：虛擬專用網支持通過INTERNET和EXTRANET的任何類型的數據流。（4）可管理性：虛擬專用網可以從用戶和運營商角度方面進行管理2.2VPN的分類（1）按協議分類：隧道協議有三種，PPTP、L2TP和IPsec。其中工作在OSI模型的第二層的為PPTP和L2TP兩種協議，又稱第二層隧道協議；IPSec位于OSI模型的第三層，稱為第三層隧道協議。（2）按應用分類：AccessVPN：又稱遠程接入VPN，客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN數據流量。包括模擬、撥號、ISDN、數字用戶線路(XDSL)、移動IP和電纜技術，可安全連接移動用戶、遠程工作者或分支機構。適用于有遠程辦公或內部人員移動需求企業。IntranetVPN：又稱內聯網VPN，網關到網關，通過公司的網絡架構鏈接來自同公司的資源。即通過使用專用連接的共享基礎設施，連接企業總部、遠程辦事處和分支機構。企業擁有與專用網絡的相同政策，包括安全、服務質量(QoS)、可管理性和可靠性。ExtranetVPN：又稱外聯網VPN，與合作伙伴企業網構成Extranet，將一個公司與另一個公司的資源進行連接。由于用戶的多樣性，公司的網絡管理員應該設置特定的訪問控制表ACL（AccessControlList），根據訪問者的身份、網絡地址等參數來確定他所相應的訪問權限，開放部分資源而非全部資源給外聯網的用戶。（3）按設備分類：路由式：只要在路由器上添加VPN服務即可。交換機式：主要應用于連接用戶較少時的VPN網絡中。防火墻式：是最常見的一種虛擬專用網的實現方式，而且有很多廠商都提供此配置類型。2.3VPN的相關技術及協議（1）隧道技術：在公網上建立一條數據通道（隧道），讓數據包通過這條隧道傳輸。可以實現多協議封裝，提供點對點邏輯通道，可以進一步保護數據私有性，使數據在傳送過程中不被非法窺視與篡改。目前由一般路由封裝（GRE）L2TP（Layer?2?Tunneling?Protocol，第二層隧道協議）和PPTP（Point?to?Point?Tunneling?Protocol，點對點隧道協議）實現隧道技術。（2）加密技術：通過交換信息的表示形式來偽裝需要保護的敏感信息，使非授權者不能知道被保護的信息。常用的加密算法有：win95上的RC4算法、IPSec上的DES和三次DESo?,。RC4的數據保密強度不夠強，適用一般人。DES和三次DES保密強度較高，適用于對安全需求較高的企業，可用于企業敏感信息通道的數據傳輸。由于VPN的加密方案的安全顆粒度到達了個人終端的標準，所以此加密方案使得企業的內部網絡傳輸具備了技術層次上的保障和協議上的保障。（3）認證技術：通過HASH函數作為媒介，來實現報文的格式轉變和長度增減功能。主要用來完成用戶認證以及一些數據地完整性測驗。（4）隧道協議：包括L2TP協議和IPsec協議。其中L2TP協議是PPTP與L2F（第二層轉發）的一種綜合，是由思科公司所推出的一種技術。IPSec協議（一個標準的第三層安全協議），是在隧道外面再封裝，保證數據了在傳輸過程中的安全。IPSec的主要特征在于：其可以對所有IP級的通信進行加密。（5）Qos技術：Qos通過流量預測與流量控制策略，可以按照優先級分配帶寬資源，實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。第三章GERoverIPsecVPN與EASYVPN簡介3.1GER簡介GeneralRoutingEncapsulation，簡稱GRE，是一種三層VPN封裝技術。GRE可以對某些網絡層協議（如：IPX、AppleTalk、IP等）的報文進行封裝，可以使封裝后的報文能夠在另一種網絡中傳輸，如：ipv4。因此，它可以解決跨越異種網絡的報文傳輸問題。Tunnel（隧道）：即異種報文傳輸的通道。GRE報文封裝如圖：圖3.1.1其中：（GRE能夠承載的乘客協議包括IPv4、IPv6和MPLS協議，GRE所使用的運輸協議是IPv4協議。）凈荷（Payload）系統收到的需要封裝和路由的數據報稱為凈荷。乘客協議（PassengerProtocol）封裝前的報文協議稱為乘客協議。封裝協議（EncapsulationProtocol）上述的GRE協議稱為封裝協議，也稱為運載協議（CarrierProtocol）傳輸協議（TransportProtocol或者DeliveryProtocol）負責對封裝后的報文進行轉發的協議稱為傳輸協議。表3.1GER通過是隧道接口實現，隧道接口是為了實現報文的封裝而提供的一種點對點的類型的虛擬接口，它與我們知道的lookback接口相類似，都是一種虛擬接口。在配置隧道接口時要注意：封裝類型、隧道接口地址、源地址、目的地址這四項是必須配置的。GER常常應用在GERoverIPsec、IPv6overIPv4、GERVPN、以及要擴大條數受限的網絡工作范圍，這幾個場景中。GER優缺點：優點缺點支持多種上層協議不支持加密支持組播，QoS較弱的身份認證機制支持組播，就意味著可以運行組播類協議，如動態路由。較弱的數據完整性校驗表3.23.2IPsec簡介IPsec全稱是InternetProtocolSecurity，是由（InternetEngineeringTaskForce）制定的一組開放的網絡安全協議。它并不是一個單獨的協議，而是一系列為IP網絡提供安全性的協議和服務的集合，主要包括：.IKE(InternetKeyExchange因特網密鑰交換協議、)ESP(encapsulatingsecuritypayload封裝安全載荷)、AH(AuthenticationHeader認證頭協議，無法經過NAT，基本不使用)。可以為企業用戶提供數據加密功能，數據的完整性與身份認證。加密算法包括：數據加密標準算法和三重加密算法。對稱加密方式：加密算法需要使用同一個密鑰來加密和解密，兩臺設備必須知道同一個密鑰才能解密信息。圖3.2.1非對稱加密方式：非對稱加密在加密和解密時使用不同的密鑰。非對稱加密包含兩種形式:一種是公鑰加密，私鑰解密這是常規非對稱加密。一種是私鑰加密，公鑰進行解密，這個代表這數據是A的，在IPSEC中有防抵賴功能，這個功能需要個標識，這個標識就是私鑰。IPsec優缺點：優點缺點支持加密只支持IP協議的封裝，不支持多層上層協議支持身份驗證機制不支持組播支持數據完整性校驗表3.33.3GERoverIPsec簡介經典的IPsecVPN技術雖然是一種在如今十分主流的分支機構的互聯協議，它強大的加密與驗證功能私有網絡數據在互聯網傳遞時有有效的安全保障，但是在當前多元化的訪問需求環境下，IpsecVPN技術已不能滿足客戶對私有網絡的網段之間復雜的互訪需求；在實際環境中，由于在異地的機構要求通過隧道建立私有網絡之間的路由鄰居關系，但是IpsecVPN并不能傳輸路由，所以有了GREoverIPSEC技術。GREoverIPSec是一種利用了GRE和IPSec兩者的優勢，通過GRE將組播、廣播和非IP報文封裝成普通的IP報文，通過IPSec給封裝后的IP報文提供安全地通信給封裝后的IP報文，進而提供信息在總部和分支之間安全地傳送廣播、組播的業務的技術。比如：視頻會議、動態路由協議消息等。GREoverIPSec可以使用兩種封裝模式∶隧道模式和傳輸模式。（1）GREoverIPSec傳輸模式：傳輸模式是不改變GRE封裝后的報文頭的，IPSec隧道的源地址和目的地址就是GRE封裝后的源地址和目的地址。封裝示意圖如下：圖3.3.1（2）GREoverIPSec隧道模式：隧道模式使用了新的IPSec報文頭來封裝經過GRE封裝后的消息，封裝后的消息一共有三個報文頭，即：原始報文頭、GRE報文頭和IPSec報文頭，Internet上的設備則是根據最外層的IPSec報文頭來轉發該消息的。封裝示意圖如下：圖3.3.2GREoverIPSec報文封裝和隧道協商的過程：當網關之間采用了GREoverIPSecVPN技術連接時，會先進行GRE封裝，然后再進行IPSec封裝。GREoverIPSecVPN所使用的封裝模式既可以為傳輸模式也可以為隧道模式。其中，IPSec在封裝過程中所增加的IP頭（即源地址）就是IPSec網關應用到的IPSec安全策略的接口地址，目的地址就是IPSec對等體中應用的IPSec安全策略的接口地址。從GRE起點到GRE終點的數據流就是IPSec需要保護的數據流。其次，GRE隧道的源端地址就是GRE封裝過程中所增加的IP頭（即源地址），GRE隧道的目的端地址就是GRE封裝過程中的目的地址。因為隧道模式和傳輸模式相比，隧道模式增加了IPSec頭，導致了報文的長度更長，更容易導致分片，所以大都數時候推薦采用傳輸模式下的GREoverIPSec。圖3.3.3隧道傳遞數據包的過程可以分為3個步驟：1．將接收的原始IP數據包當作乘客協議，原始IP數據包包頭的IP地址就是私有IP地址。2．將原始IP數據包封裝進GRE協議，GRE協議也稱為封裝協議（EncapsulationProtocol），封裝的包頭IP地址就是虛擬直連鏈路兩端的IP地址。3．將整個的GRE數據包都當作數據，并在外層封裝公網IP包頭，即隧道的起源和終點，從而路由到隧道的終點。3.4EASYVPN簡介EASYVPN技術主要解決出差員工通過虛擬專用網訪問內網的問題，也是在現實環境中常用的一種遠程訪問技術。EASYVPN在路由器上部署時，一般都會涉及XAUTH、策略組以及動態CryptoMap等基本概念。在部署EASY虛擬專用網之前，需要弄清楚easy虛擬專用網要解決的問題有哪些：（1）在遠程訪問的虛擬專用網中，一端是路由器、防火墻之類的硬件設備，另一端則是筆記本電腦一類的客戶端設備。那么，在遠程連接的時候，客戶端設備一側會存在安全問題。特別是在很多員工都是通過互聯網訪問公司資源的情況下，網絡的安全會存在很大的隱患。公司的網關級的設備一般都與用戶pc端的安全管理級別不同，建立ipsec虛擬網絡傳輸的本質就是事先在設備上設置與共享密鑰，由于兩端的安全級別不同，那么用戶pc端就容易泄露密鑰，密鑰一旦被泄露，整個虛擬專用網就再沒有信息安全保密等意義了。（2）按照ipsecvpn的配置思路來建立easy虛擬專用網是不可能的。ipsecvpn前提是雙方都有固定的IP地址，才能實現ACL和對等體的配置。在路由器上實現EASYVPN所需相關配置如下：1.使用XAUTH做用戶驗證XAUTH能夠增強虛擬專用網的網關，它提供了用戶名和密碼的方式來驗證用戶的身份。這個過程被稱為“階段1.5”，是因為這個過程是在兩個連接的建立之間完成的。其中，用戶和密碼的存儲方式通常有兩種情況：一種是存儲在虛擬專用網的網關設備的內部的數據庫中；另外一種是存儲在第三方設備上，例如一臺AAA服務器中。可以使用以下辦法來解決用戶端設備丟失，易被非法用戶通過此設備獲取公司內部信息資料的問題：（1）讓使用虛擬專用網的用戶使用令卡牌，使得每次登陸連接時要輸入的用戶名或者口令都是不同的。（2）管理員可以強制使用該虛擬網絡的客戶端用戶不得子啊本地存儲用戶名或者口令，而且用戶每次登陸時都必須要手動輸入用戶名或者口令。（大都數采用此類方2.定義AAA協議。AAA指的是驗證（Authentication）、授權(Authorization)、統計(Accounting)三者的縮寫。AAA提供了一個基本的框架，用于在網絡設備上配置訪問控制。一般使用兩種協議來實現AAA服務器：RADIUS協議（一個全開放的標準協議，無論任何廠商還是用戶都可以靈活的修改RADIUS）和TACACS+協議（一種Cisco設計的私有協議）。3.建立策略組：easyvpn提出組的概念應用在虛擬專用網中，可以解決由于連接虛擬專用網的客戶端由非常多，而造成的peer的IP地址不固定和cryptoacl不唯一的問題。easy虛擬專用網可以將具有相同的策略的客戶端劃分到一個組中，然后在虛擬專用網的網關上為一組用戶端一次性的配置一組策略給這組用戶端，這種配置和管理方式大大地提高了效率，節省了很多工作量。（1）建立地址池：由于移動客戶端常常沒有固定地IP地址，導致了遠程訪問地客戶端與虛擬專用網絡地網關之間很難建立連接。可以采用“推送”IP地址地辦法解決這種“動態”的情況，即讓虛擬專用網絡的設備能夠像dhcp服務器一般給每一個通過了驗證的客戶端“推送”一個IP地址。虛擬專用網絡也能通過這個自己網關動態分配給客戶端IP地址來識別是與哪個ip建立虛擬專用網的連接。示意圖：圖3.3.4建立DNS和網關：還要給客戶端分配DNS和網關。（4）建立共享密鑰：在虛擬專用網與客戶端之間往往需要共享密鑰，但是在遠程訪問中，訪問虛擬專用網的大都是多個用戶，這就需要虛擬專用網為每組用戶都配置不同的共享密鑰。然而客戶端的密鑰往往室友公司的網絡管理員來推送的，而不是所訪問的虛擬專用網網關來推送的，用戶需要通過客戶端軟件來將密鑰配置在主機上，所以這個密鑰就會保存在主機上，就會不安全，也因此產生了“階段1.5”這個概念。如圖：圖3.3.5（5）建立分離隧道：因為虛擬專用網的隧道在虛擬專用網絡和客戶端建立連接后，會將所有的流量都進入隧道到達企業的內網，那么就無法分離只訪問內網的流量和訪問非內網的流量，導致用戶無法訪問外網。針對這個問題，虛擬專用網采用訪問控制列表ACL來解決，即ACL應用到組策略中。在配置了ACL后，所有的permit流量都會被加密，而將所有的deny流量進行明文傳輸，這樣就能使用戶既可以訪問內網又不影響用戶正常訪問外網了。圖3.3.6（6）建立分離DNS：采用分離DNS可以解決：如果當用戶通過遠程訪問接入到公司的虛擬專用網絡后，那么用戶在訪問外網的web時，就也會使用公司內網的DNS進行解析，這樣會非常浪費資源的問題。用戶端在每次訪問公司內網web服務器時就只是用內網的DNS解析，而當用戶端要訪問外網web時，則使用外網的DNS解析就行，可以通過使用不同的域名來使用不同的DNS。4.建立動態的cryptomap由于用戶端的IP地址是由vpn的dhcp服務器來分配的，并不是固定的，無法通過靜態的cryptomap在虛擬專用網中指定用戶端的地址，所以就要動態的填充靜態cryptomap中需要的參數，可以使用基于ISAKMP/IKE發起協商的動態cryptomap來解決。在L2L中很少應用動態的cryptomap，因為只有設備具備靜態的配置時才能夠發起ipsec隧道，而在實現遠程訪問vpn時往往會在虛擬專用網的網關上一同配置動態和靜態的cryptomap。配置cryptomap的常用步驟：第一步：配置transform-set；第二步：配置動態cryptomap；第三步：配置靜態cryptomap；第四步：應用到對應接口。示意圖如下：注意（要先將動態cryptomap應用到靜態的cryptomap中，再將靜態cryptomap應用到接口上）圖3.3.7第四章VPN設計與實現4.1項目背景企業背景為某一教育培訓企業在國內兩個辦公地區，這兩個公司分別坐落在上海和杭州。其中上海公司是總部，擁有辦公室、市場部、人力資源部、咨詢部、教學部、財務部和財務部七個部門。杭州公司是分公司，擁有綜合管理部、市場部、教學部和咨詢部四個部門。由于企業信息安全的需要，以及能夠實現分公司能夠與總公司實現通信聯通，移動用戶不受地理位置的限制訪問內部網絡。4.2需求分析某公司有兩個辦公區域分別在上海和杭州兩個地區，現需要實現總部公司與分部公司間網絡信息數據的安全通信。要求保障總部與分部間有嚴格的驗證功能，且能夠對數據進行加密與完整性驗證。要求實現總部出差人員的移動端用戶能夠與公司內網之間進行訪問。4.3解決方案使用GREoverIPsecVPN技術采用實現總部公司與分部公司間網絡信息數據通信。采用EASYVPN在實現總部出差人員的移動端用戶能夠與公司內網之間進行訪問。總部采用兩臺核心交換機，即核心交換機一和核心交換機二，將核心交換機一作為主交換機，則核心交換機二上作為備用交換機。保障一臺交換機出現問題時，有備用交換機保障通信。使用NAT轉換技術實現內、外網的訪問。為了來實現內網互聯，實現公司內部路由的快速收斂，在公司內部運行ospf協議。4.4網絡設計圖設計的網絡拓撲圖如下：上海總部設置兩臺核心交換機，杭州分部設置一臺核心交換機，遠程登陸通過交換機連接在Internet上。圖拓撲圖設計4.5.1設備描述所用設備與數量如下表：設備數量設備數量三層核心交換機3臺二層交換機15臺路由器3臺服務器2臺PC11臺表格地址規劃上海總部地址規劃如下：部門VlanIP地址子網掩碼網關辦公室Vlan10/2454市場部Vlan20/2454人力資源部Vlan30/2454咨詢部Vlan40/2454教學部Vlan50/2454財務部Vlan60/2454信息部Vlan100/2454表格4.2杭州分部地址規劃如下：部門VlanIP地址子網掩碼網關綜合管理部Vlan101/2454市場部Vlan102/2454教學部Vlan103/2454咨詢部Vlan104/2454表格基本參數配置1.配置公網網絡參數：用路由器R1來模擬公網Internet，只需配置各個端口地址即可。將R1上的s0/0/0端口的ip地址設置為/30，子網掩碼為52；將s0/0/1端口的IP地址設置為/30,子網掩碼為52；將f0/0端口的IP地址設置為/24，子網掩碼為。配置完后返回全局模式并輸入“showipinterface”命令就能看見所配置的接口IP。這里用了“showrunning”命令查看：圖4.5.1圖4.5.2使用NAT轉換技術實現內、外網的訪問，但是配置只允許部門的內網轉換成公網地址。2.配置總部和分部的基本網絡參數：第一步，配置總部的網絡參數：（1）將總部的路由器R1的端口f0/0的ip地址設置為，子網掩碼為；將端口f0/1的ip地址設置為，子網掩碼為；將端口s0/0/0的ip地址設置為，子網掩碼為。啟用一條默認路由:iproute。（2）將該企業的總部依據所劃分的部門分成7個VLAN，其中，辦公室為vlan10，銷售部為vlan20，人力資源部為vlan30，后勤部為vlan40，財務部為vlan50，信息部為vlan60。在上海總部的核心交換機一上分別創建辦公室為vlan10，銷售部為vlan20，人力資源部為vlan30，后勤部為vlan40，財務部為vlan50，信息部為vlan60。并且，為各個vlan接口配置地址。核心交換機的主要配置代碼如下：圖4.5.3（3）為了能保證保證兩臺核心交換機中的任意一臺down掉時，能夠迅速切換到另外一臺，需要在兩臺核心交換機上配置各個vlan的HSRP組。第二步，江蘇分部公司的各個端口配置基本網絡參數：（1）將江蘇分部公司r4的端口f0/0的ip地址設置為，子網掩碼為，端口s0/0/0的ip地址設置為，子網掩碼為52。啟用一條默認路由:iproute。（2）核心交換機上分別創建綜合管理部vlan101、市場部vlan102、銷售部vlan103、物流部vlan104，并配置vlan接口地址。核心交換機上的vlan配置代碼如下：圖4.5.4第三步，配置DHCP，將上海和杭州的核心交換機作為DHCP服務器。第四步：配置OSPF，在公司內部運行ospf協議，來實現內網互聯，實現公司內部路由的快速收斂，還可以運用在三次防止環路中，提供更加快、更加高和更加穩定的訪問速度。4.6GREOVERoverIPSECPE配置與EASYVPN配置4.6.1GREoverIPsecVPN配置配置R1：上海總部和杭州分部通過IPsecvpn來實現連接到總部和服務器，從而實現對其進行訪問。(1)啟用IKE，默認條件下，IKE在CiscoISO軟件中是激活狀態的。如果被關閉，就需要去重新激活它。可以使用“R1(config)#cryptoisaknpenable”語句進行激活。IKE提供了在傳送認證或者加密數據之前，對協議、加密算法以及使用的密鑰進行協商這個功能，密鑰管理協定義了兩個通信對等體間能夠通過一些列的過程來保護通信信道,相當于一個運輸工具。（2）構建IKE協商策略，并配置協商參數。根據vpn連接所需要的安全系數、加密算法、完整性驗證算法、身份驗證方法、SA生存周期和確定雙方密碼、IP地址等進行相應的配置。密鑰交換模式有三種：group1，group2，group5。其中group1最簡單，group5最復雜。在創建ISAKMP策略時，policy的取值范圍在1-10000之間，其中策略號越小，優先級就越高。ISAKMPSA的生存時間默認值為86400秒。因為SA是單向的，所以要設置預先共享密碼與對端ip地址或者主機名。即可以用過對端IP地址或者對端主機名進行認證。這里將對端IP地址設置為IPsec對等體驗證方法。要保證兩端密碼匹配。這里將policy取值為1，將加密算法設為3des，將生存時間設為10000，將與共享密鑰設置為test。這里以上海總部為例，主要配置代碼如下圖：圖4.6.1（3）創建交集和用于指定加密通信的訪問控制列表。1.配置訪問控制列表ACL，指定需要加密的通信數據流。2.配置交換集、配置IPSEC傳輸模式。將上海總部與杭州分部間的交換集命名vpn-test，并使用ah-sha-hmac驗證參數；主要配置代碼如下：R0(config)#access-list100permitgrehosthostR0(config)#cryptoipsectransform-setvpn-testah-sha-hmacR0(config-crypto-trans)#modetransport創建加密圖，并將加密圖應用到接口中。1.創建一個加密圖，并且命名為vpn-map，優先級設為1，將ipsec與isakmp關聯起來。2.指定此加密圖對端ip地址，用于分支路由器建立VPN連接。3.配置傳輸模式名。4.配置應用的訪問控制列表。5.將加密圖映射到對應的接口上。進入s0/0/0接口，輸入“R0(config-if)#cryptomapvpn-map”將映射應用到對應的接口上。（注意：加密圖使用的IPSec交換集，交集名稱要與之前ipsce配置中的名稱一樣。在指定使用加密圖進行加密通信時，所用訪問控制列表定義的編號必須相同。）這里以上海總部為例，主要配置代碼如下圖：圖4..6.2創建GRE的tunnel接口，并配置其ip地址、源地址和目的地址。這里隧道接口的IP地址為/254,源地址為外網接口s0/0/0，目的地址為對端IP地址。其中，隧道口的地址，用于IKE的協商和GRE封裝。主要配置代碼如下圖：圖4.6.3配置GREVPN的轉發路由：圖4.6.4杭州分部路由器的相關配置與上海總部路由器的配置相類似，主要配置代碼如下圖：（注意：在創建協商策略時，兩端的配置要相同，isakmpkey要保持一致。）圖4.6.5圖EASYVPN的配置將easyvpn部署在總公司的外網出口路由器R0設備上，來實現外出辦公人員能夠遠程接入內網，訪問企業內部資源。1.首先，在路由器上開啟AAA認證，并創建登錄用戶、密碼。這里將用戶設為cisco，密碼設為123。2.其次，配置ipsec的第一階段的安全參數配置，配置easyvpn組名myvpn和密碼123。3.配置第二階段的安全參數的配置、配置動態加密圖名為vpnmap、配置反向路由注入、配置easyvpn介入后所分配的地址（即配置地址池。由于EazyVPN技術的協商是通過ipsec協議來實現的，所以在遠程用戶接入的時候，會通過在IPSEC中進行反向路由的分發的時收斂，分配一個IP地址給它用于實現內部網絡的通信。）4.將動態加密圖vpnmap映射到靜態加密圖vpn-map上，將vpn策略應用到外部接口中。主要配置代碼如下：圖4.6.7圖測試我們可以通過輸入“showcryptoisakmpsa”命令來查看isakmp有沒有建立成功，從圖中我們可以看到輸出了相關信息而且狀態為“QM_IDLE”，說明isakmp建立成功了。若是沒有任何輸出或者狀態非“QM_IDLE”則說明沒有協商成功。也可以通過“showcryptoipsecsa”命令查看ipsec安全關聯，“showcryptoisakmppolicy”命令查看第一階段的策略配置集。“showcryptoipsectransform-set”命令來查看第二階段的傳輸模式。圖4.7.1第一部分，首先測試GREoverIPSECVPN的連通性。在實驗中的測試原則上是要對每一個部門的連通性都要進行一遍測試，但是在本文中就只以在杭州總部選取一部門的pc端為測試端訪問上海總部的內網為例。分別測試與上海內部pc端的連通性、測試是否可以訪問總部公司內部服務器。測試的結果是杭州分部的客戶端可以與上海總部客戶端互通，可以分為總部內網的服務器，即可以實現分部與內網的訪問，GREoverVPN建立成功。各部分的測試結果如下圖：由下圖的測試結果可以知道杭州分部的市場部可以訪問上海總部內的市場部。圖4.7.2由下圖的測試結果可知杭州分部可以訪問上海總部內網的服務器。圖4.7.3用杭州分部的市場部的以臺pc端ping外網路由器接口s0/0/1測試是否能夠訪問外網，由上圖測試結果可知，可以訪問外網。圖4.7.4第二部分，測試EASYVPN的連通性。由于思科模擬器默認已配置好客戶端，所以只要直接打開遠程訪問客戶端來就行，首先要連接虛擬專用網，如果不事先連接虛擬專用網是不能訪問公司內網的。打開vpn連接界面，輸入easyvpn組名myvpn和密碼123用，輸入用戶名cisco、密碼123，輸入上海總部IP地址。然后點擊connect進行連接，連接完成后就可以去訪問內網了。VPN連接步驟如下圖：圖4.7.5輸入完上面的密碼和用戶名后，點擊連接，就會出現下圖的確認連接vpn的窗口，點擊“OK”即可連接。圖4.7.6Vpn連接后我們可以看到顯示的客戶端的IP地址為，這不是本客戶端的IP地址，是上面配置EASYVPN時所配置的vpn地址池中的地址，用戶端與虛擬專用網建立連接后，虛擬專用網網關會分配一個ip地址給用戶端用于通信。使用完vpn后，需要斷開VPN連接則，點擊disconnected即可斷開vpn連接。（建議在不需要訪問虛擬專用網時及時關閉vpn的連接，以免設備丟失時，被非法人員利用。）圖4.7.8下圖是使用客戶端去分別訪問公司的內網pc端和服務器的測試圖：圖4.7.9測試結果顯示，不論是內網中的部門還是服務器都能夠訪問，說明EASYVPN建立成功，實現了遠程客戶端訪問內網的功能。如果關掉VPN連接后，再去訪問內網就無法訪問了。第五章總結與展望本文主要以GREoverIPsecVPN技術和EASYVPN技術為企業網絡實現虛擬專用網，幫助企業網絡實現企業分部訪問企業總部內網資源，實現企業出差人員的遠程介入訪問功能。首先分析了VPN的基本原理相關知識點、GRE和IPSEC的基本知識，再分析了GREoverVPN技術的相關要點。GRE隧道技術的原理與配置其實并不是很難，反而是個很容易理解的隧道技術，但是gre與ipsec技術相結合時，就會出現一些技術上要解決的問題。Gre技術支持組播和廣播這樣的非ip數據流，數據是明文傳輸的，ipsec只能支持單播，數據加密傳輸。將gre與ipsec相結合，可以解決如今這樣越來越復雜的網絡環境下ipsec的運行效率不足的問題。在GREoverIPsecVPN技術的方案和實施中，最主要的原理就是要用ipsec的單播數據包來封裝一個完整的廣播或者組播數據包亦或者非ip數據包，這樣可以處理ospf這樣的組播或者rip這樣的廣播數據流，就可以實現ipsec隧道中的動態路由。在該企業網絡的基本配置中，為了能保證保證兩臺核心交換機中的任意一臺down掉時，能夠迅速切換到另外一臺，需要在兩臺核心交換機上配置各個vlan的HSRP組。將上海和杭州的核心交換機用作DHCP服務器，在公司內部運行ospf協議，來實現內網互聯，實現公司內部路由的快速收斂，還可以運用在三次防止環路當中。，在配置實現greoveripsecvpn技術時，要將虛擬接口的IP地址告知到動態路由協議中，需要將兩端配置的gre隧道設置成tunnel虛擬接口，需要將ipsec的感興趣流設置成針對gre協議的，在外接口處要允許ipsec流量通過。在配置安全協議時，考慮到AH協議只能提供身份認證、消息完整性和抗重放功能，而ESP協議還能提供數據安全加密，所以采用ESP協議，交換集使用ah-sha-hmac來驗證參數。Easyvpn技術被用于實現遠程訪問中，由于主要實現總部公司員工外出訪問，所以只在總部外出路由器上部署。在路由設備上進行了相應的配置，如配置AAA協議、配置預共享密鑰建立策略組、配置DNS和網關、設置地址池、建立動態cryptomap等。遠程用戶只需建立VPN連接后，就能進行遠程訪問。為了確保用戶密碼不被泄露，管理員應該強制使用者手動輸入虛擬專用網的用戶和密碼，不能保存在設備本地上。最后對兩種技術的實現結果進行了測試，并且測試都成功了。實現了分公司訪問內網，遠程用戶訪問內網，并且不影響他們對外網的正常訪問，滿足了方案設計的需求。雖然這次課題最終完成了設計方案的需求，但是仍然存在著技術上的和人為上因素的缺陷。人為因素上的不足是本人對GREoverIPsec和easyvpn技術上的相關研究還不夠深入，以及在方案設計上的不足，在實施過程中的不足。技術上的不足有在對gre隧道進行配置時，是要為每一個分部都配置一對對等體tunnel接口，雖然本課題只設計了一個分部，但是對于有多個分部子公司來說，會很麻煩，不僅要一個一個手動配置，還需要路由器能夠所承受處理這么多的接口信息。可能會對以后公司擴張后的網絡有影響。不過以后可以通過一些技術進行改善彌補，所以以后將針對性的學習和探索解決這類問題的技術和方法。另外一個問題就是本課題的遠程訪問只限于訪問公司總部內網，公司擴張后各個子公司也會需要遠程訪問內網需求，之后應該學習和探索如何實現各公司員工的遠程訪問。參考文獻段小煥.

GRE

over

IPSec

VPN技術實現異地WLAN統一管理[J].

電子技術與軟件工程,2020(06):15-17.楊禮.

基于GNS3的GRE

over

IPSec

VPN實驗仿真[J].

中央民族大學學報(自然科學版),2019,28(01):42-46.張韜,柳亞婷.

GRE

over

IPsec與IPsec

over

GRE在網絡安全中的區別與實現[J].

電腦與信息技術,2018,26(01):56-59.馮友誼.

基于Packet

Tracer的Easy

VPN實驗仿真[J].

信息通信,2018(10):48-50.張偉,王鳳英.

GRE

over

IPsec

VPN結合NAT的構建方案研究與實現[J]