使用VPN技術實現(xiàn)跨地域互聯(lián)

■青島 李士山

VPN是指虛擬專用網(wǎng)絡，虛擬專用網(wǎng)絡的功能是：在公用網(wǎng)絡上建立專用網(wǎng)絡，進行加密通訊。在企業(yè)網(wǎng)絡中有廣泛應用。VPN網(wǎng)關通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉換實現(xiàn)遠程訪問。VPN有多種分類方式，主要是按協(xié)議進行分類。VPN可通過服務器、硬件、軟件等多種方式實現(xiàn)。

某公司總部位于青島，隨著規(guī)模擴大，又在濟南建立了分公司。青島總部通過神州數(shù)碼防火墻接入因特網(wǎng)，濟南分公司通過路由器連入因特網(wǎng)。除了互學內(nèi)網(wǎng)路由之外，還要保護總公司Vlan10和分公司Vlan10之間的數(shù)據(jù)流。網(wǎng)絡拓撲如圖1所示。

IPSec VPN可以實現(xiàn)不同站點之間的網(wǎng)絡互聯(lián)，并且支持數(shù)據(jù)加密，可以保護總部和分部之間重要的數(shù)據(jù)流。但是IPSec也有自己的缺陷：一是它工作于網(wǎng)絡層，和NAT一起使用易造成數(shù)據(jù)源和目的地址的混亂；二是它只支持單播，路由協(xié)議多采用組播進行路由信息的更新。GRE是通用路由封裝協(xié)議，可以實現(xiàn)任意一種網(wǎng)絡層協(xié)議在另一種網(wǎng)絡層協(xié)議上的封裝。我們可以利用GRE隧道交互內(nèi)網(wǎng)網(wǎng)段，同時在使用NAT進行網(wǎng)絡地址轉換時排除IPSEC保護的數(shù)據(jù)流，避免IPSec VPN和NAT之間的沖突。

網(wǎng)絡設備接口IP的配置就不贅述了，下面講解路由和GRE VPN、IPSEC VPN的配置過程；

路由配置

(1)兩臺三層交換機各配置一條默認路由：

(2)防火墻配置回指靜態(tài)路由和默認路由：

(3)路由器R2配置回指靜態(tài)路由和默認路由：

配置GRE VPN

配置防火墻FW1

設置策略，放通trust域和gre域之間的數(shù)據(jù)流。

配置路由器R2

這時，在防火墻和路由器上可以看到對方內(nèi)網(wǎng)的路由。防火墻上的路由。

配置NAT

(1)配置防火墻FW1時，首先拒絕需要IPSEC保護的青島總部vlan10到濟南分公司vlan10的重要數(shù)據(jù)流進行NAT轉換,再將內(nèi)網(wǎng)到外網(wǎng)的所有數(shù)據(jù)流NAT成出口IP。

(2)配置路由器R2

配置策略路由

策略路由優(yōu)先于路由表。我們在此處配置策略路由，既可以使IPSEC保護重要數(shù)據(jù)流，又保障了受保護網(wǎng)段訪問異地公司其它網(wǎng)段，只是走的是GRE隧道。

(1) 配置防火墻FW1

(2)配置路由器R2

配置IPSEC VPN

(1) 配置防火墻FW1

命令行下配置：

與上述命令相對應的圖形界面配置：如圖2-5所示。

設置IPSEC VPN策略和內(nèi)網(wǎng)用戶訪問因特網(wǎng)的策略，如圖6所示。

(2)配置路由器R2

至此，青島總部和濟南分公司實現(xiàn)了“專線”網(wǎng)絡跨地域互聯(lián)。