使用公共網絡的安全虛拟網絡稱為什麼-tft每日頭條

在如今這個大數據時代，幾乎一切事物都可以以數據的方式存在，因此大到國家、小到個人，數據的安全成了重中之重。

對于大企業而言，核心數據的重要性不言而喻，為了保護數據不被竊取，每個企業都會有屬于自己的專用網絡。

在講虛拟專用網絡(Virtual Private Network, VPN)之前，先給大家介紹什麼是專用網絡。

使用公共網絡的安全虛拟網絡稱為什麼（網絡安全什麼是虛拟專用網絡）1

專用網絡

專用網絡也就是專線業務，大多面向企業、政府以及其他要求帶寬穩定、對服務質量要求高的客戶。一般具有固網 IP 地址，不需要進行接入認證；根據客戶需求，不僅在接入層對帶寬和接入業務類型有要求，而且會對業務的全程全網服務質量提出更詳細的要求；而專線客戶，往往由運營商提供更為主動、周全、及時、專業的客戶服務支撐。

一家企業異地的局域網可以通過專線連接，如圖1所示，北京、上海兩個城市的局域網，可以通過數字數據網(DDN)專線業務、幀中繼(FR)專線業務、數字用戶線路(DSL)專線業務、同步數字(SDH)專線業務等進行連接。

使用公共網絡的安全虛拟網絡稱為什麼（網絡安全什麼是虛拟專用網絡）2

圖1 專用網絡示意圖

使用專線連接，成本高、通信質量好，專線通常用于内網通信，全網通常采用私有 IP 地址。

虛拟專用網絡（VPN）

使用公共網絡的安全虛拟網絡稱為什麼（網絡安全什麼是虛拟專用網絡）3

圖2 VPN示意圖

如圖2所示，企業在北京的網絡接入了 Internet，在上海的網絡也接入了 Internet，這兩個局域網通過 Internet 連接起來，但由于北京和上海的兩個網絡是私網，因此不能通過 Internet 直接相互通信，從而也确保了它們内網的數據安全。

通過配置兩端的路由器 R1 和 R2，可以為兩個局域網創建一條隧道，讓兩個局域網之間能夠相互通信。通過加密和身份驗證技術實現數據通信的安全，能夠達到像專線一樣的效果。這種在公共網絡中建立的連接多個局域網的隧道就稱為虛拟專用網絡(VPN)，如圖2所示。

通過 VPN，可利用 Internet 對兩地的網絡進行互聯，隻需要支付本地接入 Internet 的費用，費用低。使用 IPSec 能夠保證數據通信安全，不改變使用習慣，使用私網地址和對方進行通信。

配置站點間 VPN

站點間 VPN 就是在 Internet 上創建 VPN 隧道，對多個局域網進行連接（就相當于兩個地方隻有當地内部人員才能訪問的網絡連接在一起，）。而遠程訪問 VPN，是在遠程計算機上建立到企業内網的 VPN 連接，訪問企業内網。

GRE 隧道 VPN

GRE(Generic Routing Encapsulation)是通用路由封裝協議，它對某些網絡層協議(如 IP 和 IPX)的數據包進行封裝，使這些被封裝的數據包能夠在另一個網絡層協議(如 IP)中傳輸。下面讨論的 GRE 隧道 VPN，用于将跨 Internet 的内網之間通信的數據包封裝到具有公網地址的數據包中進行傳輸。

如圖所示，北京和上海的兩個局域網通過 Internet 連接，在 AR1 和 AR3 上配置 GRE 隧道，這時候大家應該把這條隧道當成連接 AR1 和 AR3 的一根網線。AR1 隧道接口的地址和 AR3 隧道接口的地址在同一個網段。這樣理解，就很容易想到，要想實現這兩個私網間的通信，需要添加靜态路由。在 AR1 上添加到上海網段的路由，下一跳地址是 172.16.0.2;在 AR3 上添加到北京網段的路由，下一跳地址是 172.16.0.1。

使用公共網絡的安全虛拟網絡稱為什麼（網絡安全什麼是虛拟專用網絡）4

GRE隧道VPN的網絡拓撲

圖中也畫出了 PC1 與 PC2 通信的數據包，在隧道中(也就是在 Internet 中)傳輸時的封裝格式示意圖，可以看到 PC1 到 PC2 的數據包的外面又有一層 GRE 封裝，最外面是隧道的目标地址和源地址。

GRE 隧道 VPN 的網絡拓撲使用 eNSP 參照圖搭建實驗環境。

AR1 上的配置如下:

[AR1]interface GigabitEthernet 0/0/0 [AR1-GigabitEthernet0/0/0]ip address 20.1.1.1 24 [AR1-GigabitEthernet0/0/0]quit [AR1]interface Vlanif 1 [AR1-Vlanif1]ip address 10.1.1.1 24 [AR1-Vlanif1]quit [AR1]ip route-static 20.1.2.0 24 20.1.1.2 ---添加到20.1.2.0/24網絡的路由

AR2 上的配置如下，不添加到北京和上海網絡的路由，因為在 Internet 上的路由器中不會添加到私有網絡的路由。

[AR2]interface GigabitEthernet 0/0/0 [AR2-GigabitEthernet0/0/0]ip address [AR2-GigabitEthernet0/0/0]quit [AR2]interface GigabitEthernet 0/0/1 [AR2-GigabitEthernet0/0/1]ip address [AR2-GigabitEthernet0/0/1]quit

AR3 上的配置如下。

[AR3]interface GigabitEthernet 0/0/0 [AR3-GigabitEthernet0/0/0]ip address [AR3-GigabitEthernet0/0/0]quit [AR3]interface Vlanif 1 [AR3-Vlanif1]ip address 10.1.2.1 24 [AR3-Vlanif1]quit [AR3]ip route-static 20.1.1.0 24 20.1.2.2 --添加到20.1.1.0/24網絡的路由

現在，在 AR1 上創建到上海網絡的 GRE 隧道接口，并添加到上海網絡的路由。

[AR1]interface Tunnel 0/0/0 --指定隧道接口編号 [AR1-Tunnel0/0/0]tunnel-protocol ? --查看隧道支持的協議 gre Generic Routing Encapsulation ipsec IPSEC Encapsulation ipv4-ipv6 IP over IPv6 encapsulation ipv6-ipv4 IPv6 over IP encapsulation mpls MPLS Encapsulation none Null Encapsulation [AR1-Tunnel0/0/0]tunnel-protocol gre --隧道使用GRE協議 [AR1-Tunnel0/0/0]ip address 172.16.0.1 24 --指定隧道接口的地址 [AR1-Tunnel0/0/0]source 20.1.1.1 --指定隧道的起點(源地址) [AR1-Tunnel0/0/0]destination 20.1.2.1 --指定隧道的終點(目标地址) [AR1-Tunnel0/0/0]quit [AR1]ip route-static 10.1.2.0 24 172.16.0.2 --添加到上海網絡的路由

添加到上海網絡的路由，下一跳地址也可以使用 Tunnel 0/0/0 替換。

[AR1]ip route-static 10.1.2.0 24 Tunnel 0/0/0

在 AR3 上創建到北京網絡的 GRE 隧道接口，并添加到北京網絡的路由。

[AR3]interface Tunnel 0/0/0 [AR3-Tunnel0/0/0]tunnel-protocol gre [AR3-Tunnel0/0/0]ip address 172.16.0.2 24 [AR3-Tunnel0/0/0]source 20.1.2.1 [AR3-Tunnel0/0/0]destination 20.1.1.1 [AR3-Tunnel0/0/0]quit [AR3]ip route-static 10.1.1.0 24 172.16.0.1

抓包分析GRE隧道中的數據包格式。如圖所示，右擊AR2路由器，單擊“數據抓包”，再單擊“GE 0/0/0”接口。

使用公共網絡的安全虛拟網絡稱為什麼（網絡安全什麼是虛拟專用網絡）5

開始抓包後，用 PC1 ping PC2，觀察捕獲的數據包，查看 GRE 封裝，如圖所示。

上面給大家展示了創建 GRE 隧道 VPN，将兩個城市的局域網連接起來。如果一個企業在北京、上海、石家莊 3 個城市都有局域網，如圖所示，創建 GRE 隧道 VPN，需要在每個路由器上創建兩個 Tunnel 接口，分别定義好隧道的起點和終點，以及隧道接口地址，添加到遠程網絡的路由。

使用公共網絡的安全虛拟網絡稱為什麼（網絡安全什麼是虛拟專用網絡）6

抓包分析 GRE 隧道中的數據包格式

使用公共網絡的安全虛拟網絡稱為什麼（網絡安全什麼是虛拟專用網絡）7

總結：GRE 是一個标準協議，支持多種協議和多播，能夠用來創建彈性的 VPN，支持多點隧道，能夠實施 QoS。

GRE 協議存在的以下問題：

缺乏加密機制，沒有标準的控制協議來保持 GRE 隧道(通常使用協議和 kee palive)，
隧道很消耗 CPU，出現問題時進行調試很困難。

以上内容摘自《華為HCNA路由與交換學習指南》，作者是韓立剛、李聖春、韓利輝

縱觀網絡，并沒有十全十美的協議，本篇我們着重講解了虛拟專用網絡，詳細地介紹了如何将兩個安全的網絡通過“隧道”的方式連接在一起，使得内部數據之間的傳輸更加安全。

網絡技術是一門很深的學問，涉及到行業方方面面，建議通過《華為HCNA路由與交換學習指南》這本書去深入地了解。

本書專門介紹華為認證網絡工程師(HCNA)路由與交換技術的相關内容。全書共分為13章。

本書首先介紹了計算機網絡的産生和演進、計算機通信使用的協議、IP地址和子網劃分；然後介紹了使用華為設備進行企業組網的基本技術，包括路由器和交換機的基本配置、IP地址的規劃、靜态路由和動态路由的配置、使用交換機進行組網；最後講解了高級網絡技術，其中涉及網絡安全的實現、網絡地址轉換和端口映射、将路由器配置為DHCP以實現IP地址的自動分配，以及IPv6、廣域網、VPN相關的知識。

本書以理論知識為鋪墊，重點凸顯内容的實用性，旨在通過以練代學的方式提升讀者的理論理解能力和實操能力，适合備考華為HCNA認證的考生閱讀，也适合有志于投身于網絡技術領域的初學者閱讀，還可作為網絡專業課程的教材。
,