【精品】VPN方案设计

《【精品】VPN方案设计》由会员分享，可在线阅读，更多相关《【精品】VPN方案设计（30页珍藏版）》请在金锄头文库上搜索。

1、第1章VPN系统整体技术介纟i1.1 VPN概述1.1.1 VPN 介绍伴随企业和公司的不断扩张，公司分支机构及客八群分布日益分散，合作伙伴日益增多, 越來越多的现代企业迫切需要利用公共Internet资源來进行促销、销售、售后服务、培训、 合作及其它咨询活动，这为VPN的应用奠定了广阔市场。VPN （Virtual Private Network,媲拟私有网）是近年來随着Internet的广泛应用而迅速 发展起来的一种新技术，实现在公用网络上构婕私人专川网络。“虚拟”主要指这种网络是 种逻辑上的网络。1.1.2 VPN 特点VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源

2、配宜而成 的虚拟网络，是一种逻辑上的网络。VPN只为特定的企业或川户群体所专川。从VPN川户角度看来，使川VPN与传统专 网没有区别。VPN作为私有专网，一方而与底层承载网络之间保持资源独立性，即在一般 情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另 一-方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。VPN不是一种简单的高层业务。该业务建立专网用户之间的网络互联，包括建立VPN 内部的网络拓扑、路由计算、成员的加入与退出等，因此VPN技术就比各种普通的点对点 的应用机制要复杂得多。1.1.3 VPN 优势 低成本，通过公用网來建立VPN,就可

3、以节省大量的通信费用。此外，VPN还可 使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备，这些 工作都可以由ISP负责完成。 易扩展，如果用八想扩人VPN的容量和覆盖范围，企业可以与新的ISP签约，建 立账户；或者与原有的ISP重签合约，扩人服务范围。在远程办公室增加VPN能 力也很简单，只需通过作适当的设备配置就可。 在远端用户、分支机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接, 保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合 将有特别重要的意义。 利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、 出差人员和业务伙

4、伴，另一方面极大的提高了网络的资源利用率。 只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。这使得VPN 的应用具有很人灵活性。 支持驻外VPN用户在任何吋间、任何地点的移动接入，这将满足不断增长的移动 业务需求。 构建具有服务质量保证的VPN (如MPLS VPN),可为VPN用户提供不同等级的 服务质量保证，通过收取不同的业务使用费用可获得超额利润。1.1.4 VPN 分类IP VPN是指利用IP设施(包括公用的Internet或专用的IP骨干网)实现WAN设备专 线业务(如远程拨号、DDN等)的仿真。IP VPN可有以下儿种分类方法：1. 按运营模式划分 CPE-base

5、d VPN用户不但耍安装价格昂贵的设备及专门认证工具，还要负责繁杂的VPN维护(如隧道 维护、带宽管理等)。这种方式组网复杂度髙、业务扩展能力弱。 Network-based VPN (NBIP-VPN)将VPN的维护等外包给ISP实施(也允许用户在一定程度上进行业务管理和控制)，并 且将其功能特性集中在网络侧设备处实现，这样可以降低用八投资、增加业务灵活性和扩展 性，同时也可为运营商带来新的收入。2. 按隧道所属的层次划分根据是在OSI模型的第二层还是第三层实现隧道，隧道协议分为第二层隧道协议和第 三层隧道协议。 第二层隧道协议第二层隧道协议是将柴个PPP帧封装在内部隧道中。现有的第二层隧道

6、协议有： PPTP (Point-to-Point Tunneling Protocol)：点到点隧道协议，由微软、朗讯、 3C0M等公司支持，在Windows NT 4.0以上版本中支持。该协议支持点到点 PPP协议在IP网络上的隧道封装，PPTP作为一个呼叫控制和管理协议，使用 一种增强的GRE (Generic Routing Encapsulation)技术为传输的PPP报文提供 流控和拥塞控制的封装服务。 L2F (Layer 2 Forwarding)协议：二层转发协议，由北方电信等公司支持。支 持对更高级协议链路层的隧道封装，实现了拨号服务器和拨号协议连接在物理 位置上的分离。

7、L2TP (Layer 2 Tunneling Protocol)：二层隧道协议，由 IETF起草，微软等公 司参与，结合了上述两个协议的优点，为众多公司所接受。并且己经成为标准 RFCo L2TP既可用于实现拨号VPN业务(VPDN接入)，也可用于实现专线 VPN业务。 第三层隧道协议第三层隧道协议的起点与终点均在ISP内，PPP会话终止在NAS处，隧道内只携带第 三层报文。现有的第三层隧道协议主要有： GRE (Generic Routing Encapsulation)协议：这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。 IPSec (IPSecurity)

8、协议：IPSec协议不是一个单独的协议，它给出了 IP网络 上数据安全的一幣套体系结构。包括AH ( Authentication Header) ESP (Enc叩sulating Security Payload)、IKE (Internet Key Exchange)等协议。3. 按业务用途划分 Intranet VPN (企业内部虚拟专网)Intranet VPN通过公用网络进行企业内部务个分布点互联，是传统的专线网或其它企业 网的扩展或替代形式。 Access VPN (远程访问虚拟专网)Access VPN向出羌流动员工、远程办公人员和远程小办公室提供了通过公用网络与企 业的Int

9、ranet和Extranet建立私有的网络连接。Access VPN的结构有两种类型，一种是用户 发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NASinitiated)的VPN连 接。 Extranet VPN (扩展的企业内部虚拟专网)Extranet VPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处，使不同企业 间通过公网來构筑VPN。4. 按组网模型划分 虚拟租用线(VLL)VLL (Virtual Leased Line)是对传统租用线业务的仿真，通过使用IP网络对租用线进 行模拟，提供非对称、低成本的“DDN”业务。从虚拟租川线两端的用八来

10、看，该虚拟租 用线近似于过去的租用线。 虚拟专用拨号网络(VPDN)VPDN (Virtual Private Dialup Network)是指利用公共网络(如 ISDN 和 PSTN)的拨号 功能及接入网來实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。 虚拟专用LAN网段(VPLS)业务VPLS (Virtual Private Lan Segment)借助IP公共网络实现LAN之间通过虚拟专用网段 互连，是局域网在IP公共网络上的延伸。 虚拟专用路由网(VPRN)业务VPRN (Virtual Private Routing Network)借助IP公共网络实现总部、

11、分支机构和远端 办公室之间通过网络管理虚拟路由器进行互连，业务实现包括两类：一种是使用传统VPN 协议(如IPSec、GRE等)实现的VPRN,另外一种是MPLS方式的VPRN。1.1.5 L2TP VPN 技术L2TP VPN技术将整个PPP帧封装在二层隧道中进行数据传输，属于二层隧道技术。L2TF VPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式，在下图中，LAC 表示L2TP访问集中器(L2TP Access Concentralor ),是附屈在交换网络上的具有接入功能 和L2TP协议处理能力的设备，LAC 一般就是一个网络接入服务器NAS （Network Access

12、 Server）,它通1 PSTN/ISDN为用户提供网络接入服务；LNS表示L2TP网络服务器（L2TP Network Server）,是用于处理L2TP协议服务器端部分的软件。在一个LNS和LAC对之间存在两种类型的连接，-种是隧道（tunnel）连接，它定义 了一个LNS和LAC对；另-种是会话（session）连接，它复用在隧道连接之上，用于表示 承载在隧道连接中的每个PPP会话过程。在一个隧道连接上可以承载多个会话连接n L2TP 连接的维护以及PPP数据的传送都是通过L2TP消息的交换來完成的，这些消息再通过UDP 的1701端口承载于TCP/IP之上。远端用户首先，远端用户通过

13、拨号接入到LAC上，在通过AAA服务器对川户进行合法性验证 后，LAC与相应的LNS建立L2TP隧道并开始进行记费，出于安全考虑，一般在LNS 还要对远程访问用户进行二次合法验证，当验证通过了，远程用户才可以真正的访问内部网络。L2TP VPN服务具有如下儿个优点： 灵活的身份验证机制以及高度的安全性。 L2TP支持内部地址分配，LNS可以放宜于企业网的防火墙Z后，它可以对于远端 用户的地址进行动态的分配和管理，可以支持DHCP和私有地址应用等方案。 能够实现网络计费的灵活性，可以在LAC和LNS两处同时计费，即ISP处（用于 产生帐单）及企业处（用于付费及审记）。 L2TP具有较高的可靠性，

14、可以支持备份LNS,当一个主LNS不可达之后，LAC（接入服务器）可以重新与备份LNS建立连接，这样增加了 VPN服务的可靠性和 容错性。同任何一种技术一样，L2TP VPN也存在着一定的的缺点：L2TP的缺点是封装层次多, 在数据包上依次封装了 PPP-UDP-IP三层，因而效率较低。将不安全的IP包封装在安全 的IP包内，它们用IP包在两台计算机ZI可创建和打开数据通道，一口通道打开，源和目的 地身份就不再需要，这样可能带來问题。它不对两个节点间的信息传输进行监视或控制。端 点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。1.1.6 GREVPN 技术GRE（

15、通用路由协议封装）是由Cisco和Netsmiths等公司于1994年提交给IETF的， 标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。GRE规 定了如何用-种网络协议去封装另一种网络协议的方法，GRE VPN技术属于三层隧道VPN 技术。GRE的隧道由两端的源IP地址和11的IP地址来定义，允许川户使川IP包封装IP、 IPX、AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。通过GRE,用户可以利 用公共IP网络连接IPX网络、AppleTalk网络，还可以使用保留地址进行网络直连，或者对 公网隐藏企业网的IP地址。GRE只提供了数

16、据包的封装，并没有加密功能來防止网络侦听 和攻击，所以在实际环境中无法给用户提供更好的安全性。GRE协议的主要用途有两个：企业内部协议封装和私有地址封装。在国内，由于企业 网儿乎全部采用的是TCP/IP协议，因此在建立隧道时没有对企业内部协议封装的山场 需求。金业使用GRE的唯一理由应该是对内部地址的封装。当运营商向多个用户提供这种 方式的VPN业务时会存在地址冲突的可能性。基于GRE的VPN技术具有如下的优点： 多协议的本地网可以通过单一协议的骨干网实现传输； 将一些不能连续的子网连接起来，用于组建VPN； 扩大了网络的工作范囤，包括那些路由网关有限的协议。如IPX包最多可以转发 16次（即经过16个路