使用VPN技術實現跨地域互聯

■青島 李士山

VPN是指虛擬專用網絡，虛擬專用網絡的功能是：在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN有多種分類方式，主要是按協議進行分類。VPN可通過服務器、硬件、軟件等多種方式實現。

某公司總部位于青島，隨著規模擴大，又在濟南建立了分公司。青島總部通過神州數碼防火墻接入因特網，濟南分公司通過路由器連入因特網。除了互學內網路由之外，還要保護總公司Vlan10和分公司Vlan10之間的數據流。網絡拓撲如圖1所示。

IPSec VPN可以實現不同站點之間的網絡互聯，并且支持數據加密，可以保護總部和分部之間重要的數據流。但是IPSec也有自己的缺陷：一是它工作于網絡層，和NAT一起使用易造成數據源和目的地址的混亂；二是它只支持單播，路由協議多采用組播進行路由信息的更新。GRE是通用路由封裝協議，可以實現任意一種網絡層協議在另一種網絡層協議上的封裝。我們可以利用GRE隧道交互內網網段，同時在使用NAT進行網絡地址轉換時排除IPSEC保護的數據流，避免IPSec VPN和NAT之間的沖突。

網絡設備接口IP的配置就不贅述了，下面講解路由和GRE VPN、IPSEC VPN的配置過程；

路由配置

(1)兩臺三層交換機各配置一條默認路由：

(2)防火墻配置回指靜態路由和默認路由：

(3)路由器R2配置回指靜態路由和默認路由：

配置GRE VPN

配置防火墻FW1

設置策略，放通trust域和gre域之間的數據流。

配置路由器R2

這時，在防火墻和路由器上可以看到對方內網的路由。防火墻上的路由。

配置NAT

(1)配置防火墻FW1時，首先拒絕需要IPSEC保護的青島總部vlan10到濟南分公司vlan10的重要數據流進行NAT轉換,再將內網到外網的所有數據流NAT成出口IP。

(2)配置路由器R2

配置策略路由

策略路由優先于路由表。我們在此處配置策略路由，既可以使IPSEC保護重要數據流，又保障了受保護網段訪問異地公司其它網段，只是走的是GRE隧道。

(1) 配置防火墻FW1

(2)配置路由器R2

配置IPSEC VPN

(1) 配置防火墻FW1

命令行下配置：

與上述命令相對應的圖形界面配置：如圖2-5所示。

設置IPSEC VPN策略和內網用戶訪問因特網的策略，如圖6所示。

(2)配置路由器R2

至此，青島總部和濟南分公司實現了“專線”網絡跨地域互聯。