中国铁路广州局集团公司 广州通信段技术支持中心 510080
摘要 在企业内部通信组网中,应用数据通信网GRE VPN技术,可以实现跨越运营商公共网络,在企业总部与分支机构之间搭建企业内部三层网络,为企业网络改造提供一种简单实用的解决方案。
Abstract In the enterprise internal communication network, through the application of data communication network GRE VPN technology, it can span the public network of operators and build an internal three-layer network between the enterprise headquarters and branches, which provides a simple and practical solution for the transformation of enterprise network
关键词 数据通信网 GRE VPN 三层网络
Key word Data Communication Network GRE VPN three-layer network
随着现代企业的发展,企业内部各个部门之间以及总部与分支机构之间的网络通信变得越来越重要。一般在发展早期企业总部与分支机构之间简单通过二层交换机组成局域网进行内部通信,IP地址采用无统一规划的私网地址。后期随着网络规模的变大,需要对组网进行改造,满足企业发展的需求。
VPN(Virtual Private Network虚拟专用网路)是近年来随着Internet的广泛应用而迅速发展起来的一种新的通信技术,依靠运营商在公共网络上创建的虚拟专用通信网络。VPN资源只能被该VPN的用户使用,不能被网络中其他用户所使用。同时VPN提供足够的安全保证,确保VPN内部信息不受外部侵扰。VPN用户内部的通信是通过一个公共网络进行的,而这个公共网络同时也被其他非VPN用户使用,提高了网络的使用效率。VPN技术具有连接可靠,可保证数据传输的安全性;利用公共网络进行信息通讯,可降低成本,提高网络资源利用率;支持用户实时、异地接入,可满足不断增长的移动业务需求;支持QOS(Quality of Service 服务质量)功能,可为VPN用户提供不同等级的服务质量保证等多种优点。目前VPN技术在企业网和运营商网络中广泛使用。
GRE(Generic Routing Encapsulation 通用路由封装协议)协议是一种承载协议(Carrier Protocol),它提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为tunnel(隧道)。Tunnel是一个虚拟的点对点的连接,它提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封。
通过GRE协议和VPN技术结合起来的GRE VPN技术,可以使企业与分支机构之间跨越运营商网络搭建虚拟专用通道,通过GRE封装使数据在形成的虚拟tunnel之间进行点到点的传输,从而实现企业各个业务子网的互联互通。
1.问题提出
如图1所示,企业内部组网普遍采用纯二层的组网方式,各个部门的终端系统,通过二层的交换机接入,然后通过物理层的传输通道连接各个部门的交换机,从而实现终端与服务器之间的通信。
图1企业二层组网示意图
当企业所有的业务终端设备与服务器在同一个局域网LAN内进行通信,所有的设备都处于同一个广播域内,任何一台设备发送的数据包,其他设备都能够收到,数据流量增大的时候,网络的性能会严重受到影响,网络安全性和扩展性较差。同时企业总部与分支机构之间通信需借助运营商传输专用通道,租用成本较高,分支机构较多时需租用多条专用通道,该类型组网无法满足企业发展需求。
IPv4地址中预留了3段地址作为私有IP地址为企业网和个人使用,其分别为10.0.0.0-10.255.255.255(A类地址)、172.16.0.0-172.31.255.255(B类地址)和192.168.0.0-192.168.255.255(C类地址)。根据企业的组网需求,可对私网地址进行统一规划,结合网络规模的大小适当选择对应的私网网段进行分配使用,网络规模较大时可采用A类地址私网网段。
由于企业内部业务系统使用的IP地址为私网IP地址,所以无法直接接入运营商数据网中,可以在企业总部与分支机构之间设置网关路由器,网关路由器之间通过运营商数据网建立GRE VPN隧道,总部与分支机构网关路由器之间可配置三层路由协议,实现企业总部与分支机构之间业务系统的互相访问。通过GRE VPN方式组网示意图如图2所示:
图2 通过GRE VPN搭建三层组网示意图
GRE是三层VPN隧道协议,因此需要对接入交换机进行改造升级为支持三层协议的路由器。总部与分支机构之间通过网关路由器通信,隔离了二层广播域,提高网络安全性,同时三层组网更加灵活,方便企业网络扩容。
在VPN技术中路由器分为三种角色:CE(Custom Edge Router),用户边缘路由器,直接与运营商网络相连;PE(Provider Edge Router)运营商边缘路由器,与CE相连,负责VPN业务的接入;P路由器(Provider Router)运营商核心路由器,主要完成路由传递和快速转发。
如图3和图4所示,GRE VPN隧道可以在CE-CE之间部署,也可以在PE-PE之间部署
图3 CE-CE间部署GRE VPN隧道示意图
图4 PE-PE间部署GRE VPN隧道示意图
一般在运营商数据网中,PE-PE之间采用MPLS VPN隧道进行业务数据的传输,而企业一般在内部业务侧CE-CE之间部署GRE VPN隧道。因此在数据传输过程中采用了GRE和MPLS两组技术对数据报文进行VPN封装转发。
(1)GRE数据封装格式如图5所示:
图5 GRE数据封装
(2)MPLS(MultiProtocol label Switch,多协议标签交换)是根据标签对数据包进行转发,因此在三层数据包中可以使用私有地址,从而形成了一种天然的隧道。MPLS标签的分发可以通过LDP等协议动态完成,所以MPLS能够提供动态的隧道。MPLS协议数据封装格式如图6所示:
图6 MPLS数据封装
(3)经过GRE和MPLS封装后的应急通信系统数据格式如图7所示:
图7 GRE和MPLS封装后数据格式
经过GRE和MPLS两种隧道封装,数据报文由CE网关路由器转发至运营商网络PE路由器,然后再转发到分支机构CE网关路由器,再进行数据包逆向解封装过程,从而实现总部与分支机构之间的数据交互。
4.网络数据配置
配置GRE需要在总部与分支机构路由器之间建立一条Tunnel隧道如图8所示,Tunnel隧道的源端地址与目的端地址唯一标识了一条隧道,需在Tunnel两端配置,通常配置于网关路由器与运营商互联接口,该地址必须为运营商提供公网地址。
为使隧道支持动态三层路由协议,还需要配置Tunnel接口的网络地址,Tunnel接口的网络地址可以采用私网地址,隧道两端的网络地址应该位于同一网段。
为了确保总部与分支机构之间路由数据转发正常,需要在网关路由器上启用动态路由协议或者配置静态路由,实现总部与分支机构之间业务路由的互通。
在安全方面,GRE隧道支持keepalive检测,可对隧道两端进行配置,检测运营商通道的连通性,当对端隧道不可达时就会及时关闭,避免行车数据黑洞。同时GRE隧道支持报文端到端校验和Tunnel接口校验,校验失败时丢弃报文,提高了数据安全性。
图8 GRE配置示意图
5.总结
目前随着数据通信技术的快速发展,数据通信网逐渐成为承载移动通信业务、电信业务和公司业务的主要承载网络。本文中提到的研究思路对于各行业企业网络改造具有很大的借鉴意义,通过技术改造将原有的业务网络接入数据通信网,降低了重新组网的成本,提高了业务网络的安全性和稳定性。本文采用的技术为GRE VPN技术,其他可选的相关技术有IPsec、NAT技术和SSL VPN技术等,可以根据工程改造的需求,选择相应的数据网技术。
参考文献
[1] Network Working Group D. Farinacci,Generic Routing Encapsulation (GRE),IETF RFC1701,1994
[2] Network Working Group D. Farinacci,Generic Routing Encapsulation (GRE),IETF RFC2784,2000