【技术分享】通过IPSec VPN实现局域网安全互联

分支与总部互联主要有如下场景。

点到点VPN也称为局域网到局域网VPN，网关到网关VPN，主要用于两个网关之间建立IPSec隧道，从而实现局域网之间安全地互访。点到点IPSec VPN典型组网如图5-21所示。

图5-21  点到点IPSec VPN典型组网

点到点VPN两端网关必须提供固定的IP地址或固定的域名。通信双方都可以主动发起连接。

L2TP over IPSec，即先将报文用L2TP封装再用IPSec传输。L2TP和IPSec这两种VPN经常一起使用，可以实现优势互补。L2TP用于拨号并获取总部内网的IP地址，但是L2TP本身不够安全，正好可以通过IPSec保障通信的安全性。L2TP over IPSec适用于分支网络通过LAC拨号接入VPN并进行安全访问的场景。

分支接入总部的L2TP over IPSec组网如图5-22所示。LAC和LNS的出接口IP地址固定，分支用户通过PPPoE拨号到LAC。由LAC通过Internet向LNS发起建立隧道连接请求。在LAC和LNS之间建立L2TP over IPSec隧道。LAC侧对用户的身份进行验证，LNS侧还可以对用户的身份进行二次验证。验证通过后由LNS为接入用户分配总部内网的IP地址。

图5-22  分支通过L2TP over IPSec接入总部网络

GRE是常用的隧道封装协议，可以很好的实现对于组播、广播和非IP报文的数据承载，但是GRE只有简单的密码验证，没有加密功能，数据传输安全性较低。IPSec虽具备很高的数据安全传输能力，但其本身不支持封装组播、广播和非IP报文。当需要在IPSec VPN上传输组播、广播和非IP报文时，如在总部和分支之间开视频会议等组播业务，可以采用GRE over IPSec。GRE over IPSec利用了GRE和IPSec的优势，利用GRE将组播、广播和非IP报文封装成普通的IP报文，通过IPSec将封装后的IP报文安全地传输。

GRE over IPSec VPN的典型组网，如图5-23所示。

图5-23  GRE over IPSec组网图

GRE over IPSec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比多增加了IPSec头，导致报文长度更长，更容易导致分片。所以推荐采用传输模式GRE over IPSec。

实际组网中最常见的是公司总部与多个分支机构通过点到多点IPSec VPN互通，典型组网如图5-24所示。

图5-24  点到多点IPSec VPN典型组网

总部的IP地址通常为固定公网IP地址或提供固定域名，分支的IP地址可以为静态公网IP也可以为内网IP或动态公网IP。此时网络内数据流量可能存在如下几种情况：

• 各分支机构之间不需要通信

  此时只需要在总部和分支之间部署IPSec VPN。

• 各分支机构之间需要通信

  此时，若分支采用动态的公网地址接入Internet时，部署传统的IPSec VPN将存在一个问题，即分支与分支间无法直接通信，所有分支与分支间的通信数据只能由总部中转。而总部在中转分支间的通信流量时会消耗Hub的CPU及内存资源，造成资源紧张；另外，总部要对分支间的流量进行封装和解封装，会引入额外的网络延时。

  通过部署DSVPN可以解决Hub-Spoke组网方式下动态IP的分支之间建立VPN隧道的难题，但由于mGRE隧道本身不具备安全加密功能，无法保证通信安全。因此，可以在部署DSVPN的同时绑定IPSec安全框架，即部署DSVPN over IPSec，以此达到安全通信的目的。有关DSVPN over IPSec的具体描述请参见DSVPN IPSec保护。