张翔宇　魏国伟

摘   要：网络安全威胁是当前一个极其重要而紧迫的课题，关系个人及组织的信息安全。为确保虚拟专用网络中的可靠传输、数据安全，文章给出了一种解决方案，实现了一种MPLS L2层VPN，采用可加密的隧道技术IPSec保障信息安全，同时选择GRE和MPLS技术对数据帧进行封装，该方案减轻了设备的性能开销。通过实物模拟测试，基于华三和思科等主流路由器验证了协议的互通性，业务访问测试正常，适合用于承载高安全可靠需求的业务。

关键词：GRE;IPSec;MPLS

中图分类号： TP309          文献标识码：B

Abstract： Network security threat is an urgent issue in today's society， which concerns information security of individuals and organizations. This paper proposes a novel design scheme of MPLS L2 VPN to gain cyber space security. This design runs MPLS L2 VPN over GRE over IPSec. GRE encapsulation is introduced to resolve the problem that IPSec tunneling can't run on MPLS VPN directly. This proposal could provide better security performance and reduce constraints on routers. A test bed is deployed on H3C and Cisco routers. Connectivity tests were performed on IPSec， GRE over IPSec， MPLS L2 VPN over GRE. Experiments shows that VPN scheme proposed is suitable to carry high security sensitive data.

Key words： GRE; IPSec; MPLS

1 引言

随着国家对网络安全的日益重视，数据安全和加密在国民经济活动和个人生活中发挥着日益重要的作用。虚拟专用网络（VPN，Virtual Private Network）技术使得个人用户或者组织的分支机构远程接入各种应用，更加便捷地享用内部资源。VPN在现有网络中通过隧道协议建立虚拟的点对点连接[1]，它借助公用网络实现了专用网络的延伸和拓展。为了确保安全性，专用网络的连接使用加密分层隧道协议，其用户使用身份验证的方法如凭借密码或证书获取接入权。目前VPN技术通常都依赖于多协议标签交换、通用路由封装和互联网安全协议等技术实现。

为了解决IP技术在网络发展上的制约，突破网络技术发展的瓶颈，多协议标签交换（MPLS，Multi-Protocol Label Switching）技术应运而生。MPLS以标签交换替代IP转发[2]，将IP地址映射为固定长度的标签，为进入网络的数据帧分配固定长度的短标签，将其与数据帧封装在一起，取代长网络地址为短路径标签，从一个节点定向到下一个节点，在整个转发过程中，它只在网络边缘解析IP报文头，避免路由表中的复杂寻找，节约了每一跳对报文头分析的处理時间[3]。

通用路由封装（GRE，Generic Routing Encapsulation）是对某些网络层协议的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议中传输[4]。GRE隧道是一个虚拟的点到点的连接，为封装的数据报文提供了一条传输通路，GRE隧道的两端分别对数据报进行封装及解封装[5]。

互联网安全协议（IPSec，Internet Protocol Security）是Internet工程工作小组制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量、可互操作、基于密码学的安全保证[6]。IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议认证头、封装安全载荷、因特网密钥交换和用于网络认证及加密的一些算法等[7]。

如果要完整实现MPLS L2层VPN技术，需要网络设备均支持MPLS的相关功能，网络目前无法满足这个要求，本文中的方案采用基于GRE和IPSec的MPLS L2层VPN，将MPLS数据通过GRE隧道进行封装，穿越信息网[8]采用安全可靠、技术成熟的IPSec，此方案采用了协议层之间隧道技术的GRE通用路由封装技术，增强可用性的同时也解决了MPLS VPN技术无法直接承载在IPSec VPN之上的问题。本文第1节介绍了MPLS L2层VPN的技术方案，以及GRE、IPSec、MPLS等相关技术的背景;第2节详细介绍了本技术方案的实现;第3节基于模拟环境对VPN进行了测试;第4节为本文的总结。

2 系统设计

在纯粹采用MPLS L2 VPN的方案中，要求沿途的信息网的设备均要启用MPLS VPN，为了规避这个问题，并且实现更高的安全性，可以采用可加密的隧道技术。结合大多数企业级广域网的应用模式，IPSec VPN是较为合适的技术。但纯粹的MPLS VPN技术无法直接承载在IPSec VPN之上，因此选择GRE对MPLS数据进行IP封装，进而再进行IPSec的加密。对于此种方案模式，无需沿途的信息网路由器进行额外的配置部署，大大减轻了对于设备的性能开销。

2.1 路由规划设计

在路由规划上的设计，为接入网支撑的是承载网，采用开放最短路径优先策略（OSPF，Open Shortest Path First）作为内部网关协议。承载网的Area 0为Loopback地址（也可以是子接口地址）和内部互连地址的OSPF统一承载路由，同时OSPF也承载业务地址路由。在OSPF中发布地址包括承载网网络设备之间互联接口和承载网网络设备的Loopback接口，同时需要将静态路由重分布到OSPF中，承载网的路由描述如图1所示。

接入网采用静态路由与承载网互通，在承载网的边界将静态路由重新分布到OSPF[9]。Metric属性对于OSPF正常运行至关重要，同时网络的IGP Metric的规划通常需遵循三个原则。

（1） 一致性原则：链路两端开销和同一链路互连接口上开销保持一致。

（2） 最近优先原则：流量通过最近的出口路由器转发。

（3） 转发穿透原则：下层优先于上层穿透原则。OSPF Area需要统一分配，以免自行分配产生路由混乱，需要对OSPF的Area号码进行规划。

要进行标签交换，设备之间必须对每一个IP所使用的标签达成共识，因此需要有一种机制来明确，出栈与入栈标签的对应形成的映射关系机制就极为重要。建立起会话关系的路由器是双向进行信息交流的，这两台路由器被称为对等路由器。在MPLS中，控制平面采用LDP协议规定标签分发过程中的各种消息以及相关的处理过程，实现标签的分配、标签转发信息表的建立、标签交换路径的建立和拆除等工作。通过LDP，路由器可以把网络层的路由信息映射到数据链路层的交换路径上，进而建立起标签交换路径。

2.2  MPLS VPN设计

MPLS L3 VPN与MPLS L2 VPN技术都是构成MPLS VPN网络的技术，是通过VPN隧道技术来建立一个逻辑的虚拟专网，通过这个专网与承载网上面的业务实现隔离，提供专网专用的数据传输。这两个技术虽然都是MPLS VPN网络的技术，区别也很明显，其用途也会根据场景的不同来选择使用。根据提供服务的类型、管理和维护方式，这两种技术主要有五点区别。

（1）在服务类型方面，MPLS L3 VPN只能支持纯IP的业务，L2 VPN容易解决组播问题，而L3 VPN实现组播比较复杂;（2）在访问方式方面，在MPLS L3 VPN中同一个VPN中不同的用户侧访问方法可以是不同的，在MPLS L2 VPN网络拓扑中，用户侧的CE访问骨干网络的PE则是L2层连接;（3）在路由管理方式方面，MPLS L3 VPN路由管理主要由主干网管理，而MPLS L2 VPN实现路由的方式只能直接由用户管理路由（用户侧CE间运行静态路由/OSPF/BGP等）;（4）在网络运维方面，MPLS L3 VPN对网络运营管理人员的专业要求更高，业务开展的周期也会相应的延长，MPLS L2 VPN网络只需要配置主干網PE之间的虚通路，为OSI网络参考模型第二层技术提供的二层的连接，不提供对三层网络的连接性的责任（如路由），所以管理比较简单;（5）在网络安全性方面，MPLS L2 VPN无需获取用户的路由信息，对虚拟专网的私密性和安全性也得到了保证。综合以上分析，本方案选用MPLS L2 VPN技术方案。

2.3 GRE设计

GRE有加封装和解封装两个过程。加封装有三个步骤，如图2所示。

GRE的解封装过程与加封装的过程相反，步骤如图3所示。

通过在CPE路由器上启用GRE功能，实现CPE路由器之间的GRE隧道。实现拓扑图如图4所示。

数据在传输过程中需要进行加解封装。这项工作是在虚拟网络隧道两端的路由器上完成的。出口路由器（CPE路由器）不但负责加解封的工作，还要负责建立虚拟网络通道的工作，使封装的数据通过建立的GRE隧道传输。在实现过程中，需要在CPE路由器上启用OSPF协议，实现配置GRE的两端内部的互通。CPE设备之间建立GRE隧道，传输GRE报文，而在GRE报文中则封装了MPLS VPN报文，用户端不关心中间是否通过了GRE对MPLS VPN报文的封装，也感觉不到封装和隧道传送过程。只要用户看到这是一个MPLS VPN网络，并且在这个网络中，保持着MPLS VPN网络的优点，可以灵活的组网，并提供良好的可伸缩性。

通过以上论述，MPLS VPN over GRE的组网方式有着现阶段的优越性和灵活性，其优点为：第一，采用此组网方式，对于已经有着众多分支和部门的大型机构，其各部门之间IP网络互联方式不需要做任何修改，数据传输业务影响小。原有的信息网在网络拓扑、配置和路由方面不用做任何修改，业务继续采用IP承载，这样完全可以保证现有业务的稳定性;第二，对于从经济成本上考虑，改造成本低，许多的原有设备基本可以继续使用;第三，这种组网方式实现了VPN逻辑专用网络，可以有效地保证网络的隔离;第四，这种组网络具有良好的可伸缩性和易于管理。承载网的管理员只参与端口、带宽和IP地址分配等工作，MPLS VPN over GRE的相关配置完全由专网内部网络管理员自行维护，管理范围和责任明晰，明显降低了运营管理的复杂性。

2.4 IPSec VPN设计

GRE虽然将数据进行隧道封装，但是数据本身是明文传输，而不进行加密，对于对数据安全性要求较高的用户来说，需要考虑采用其他的技术手段来实现数据的加密，从而保障整体技术的安全性。由此可见，还需要一种技术来实现对数据传输安全的保障，IPSec技术与之结合将是一个很好的选择。CPE路由器上需同时具有MPLS、GRE和IPSec的功能，并且将这三种功能全部开启，才能实现基于GRE和IPSec的MPLS L2层VPN。

在CPE的路由器的入端口，首先进行MPLS L2VPN的标签封装，根据路由收敛，判断报文需要进入GRE隧道，打上GRE的隧道报文头，在CPE路由器信息网接口上配置策略，应用IPSec，再次封装GRE数据流，数据流被IPSec加密，加密后的报文流向信息网，IPSec报文到达IPSec路由器，直接解密GRE封装进入MPLS VPN，将内部数据送入相应的MPLS VPN中，其反向操作类似。需要注意的是WA专网的路由器与信息网之间只有一个接口互联，因此需要启用子接口，并且需要单独规划IPSec VPN的隧道地址。

3 实验与分析

本文采用华三SR6608与思科ASR1006等典型网络设备建立了硬件模拟环境，实验验证了基于GRE和IPSec的MPLS L2层VPN协议，并对IPSec的互通性、将数据封装成GRE再封装成IPSec之后的互通性以及MPLS L2 VPN over GRE over IPSec的互通性进行了测试，并基于实验环境进行了模拟业务测试。

3.1 实验环境

本文基于思科1941路由器和2960交换机建立了仿真环境，网络拓扑结构如图5所示。在模拟环境中，采用两台1941路由器分别作为CE设备，采用思科2960模拟本地网络。

3.2 路由器配置

在MPLS L2层VPN协议验证环境中，CE通过子接口与各自的PE相连，MPLS L2层VPN在子接口上通过Ethernet封装方式进行互联，路由器配置如表2所示。

3.3 实验测试

在VPN模拟环境中，实验了源端PC-A和目的端PC-C在IPSec和GRE over IPSec通道上的互通性，实验基于GRE over IPSec 的MPLS L2层VPN的互通性，验证了模拟VPN网络业务，如图6所示。实验发现，本文提出的VPN技术方案的连通性良好，能够实现模拟VPN业务。

4 结束语

随着远程办公为代表的专用网络需求的增长，各类VPN技术繁荣发展，IPSec VPN、GRE VPN、MPLS L2/L3 VPN等技术均获得了广泛应用，有效地保障了网络的安全。本文提出了一种基于GRE和IPSec的MPLS L2层VPN技术，首先对数据采用IPSec封装，然后再进行GRE封装，最后进行MPLS L2层封装。通过在硬件模拟环境中的测试，本文中的VPN解决方案可有效满足连通性，可以为有高安全高可靠需求的部门组织提供解决方案。

参考文献

[1] 童怡.MPLS技术及其在VPN中的应用[J]. 哈尔滨师范大学自然科学学报， 2013， 29（6）：49-52.

[2] 董昊， 胡曦明， 馬苗. BGP/MPLS VPN安全性分析与仿真实验[J]. 计算机与网络， 2018， v.44;No.580（12）：64-67.

[3] 刘勇. MPLS VPN在中小型IP城域网中的应用探讨[J]. 电脑知识与技术， 2017（11）.

[4]  Bonica R ， Pignataro C ， Touch J . A Widely Deployed Solution to the Generic Routing Encapsulation （GRE） Fragmentation Problem[J]. Computers & Education， 2015， 67（9）：193-207.

[5] Chirayu S . Generic routing encapsulation over point-to-point protocol[J]. 2007.

[6] CarltonR.Davis著， 周永彬， 冯登国. IPSec：VPN的安全实施[M]. 清华大学出版社， 2002.

[7] 王凤领. 基于IPSec的VPN技术的应用研究[J]. 计算机技术与发展， 2012， 22（9）：250-252.

[8] Lee W ， Bhagavathula R ， Thanthry N ， et al. MPLS-over-GRE based VPN architecture： A performance comparison， [C] Symposium on Circuits & Systems. IEEE， 2003.

[9] 雷鸣. 基于单自治域层次化IP网络的Metric值设计探讨[J]. 电信工程技术与标准化， 2007， 20（5）：42-45.

作者简介：

张翔宇（1977-），男，汉族，江西赣州人，中国科学院大学，博士，北京赛迪时代信息产业股份有限公司，高级工程师;主要研究方向和关注领域：网络安全、通信技术、数据挖掘、数据安全。

魏国伟（1982-），女，汉族，山东聊城人，北京邮电大学，博士，北京赛迪时代信息产业股份有限公司，高级工程师;主要研究方向和关注领域：信息安全、数据安全。