07-IP-VPN操作(NE40)

QuidwayNetEngine40系列通用交换路由器操作手册第二分册（IPVPN）目录i目录第1章VPN概述.....................................................................................................................1-11.1VPN简介...........................................................................................................................1-11.2VPN的基本技术.................................................................................................................1-21.3VPN的分类........................................................................................................................1-4第2章GRE配置.....................................................................................................................2-12.1GRE协议简介....................................................................................................................2-12.2GRE配置...........................................................................................................................2-42.2.1创建虚拟Tunnel接口.............................................................................................2-42.2.2指定Tunnel的源端.................................................................................................2-52.2.3指定Tunnel的目的端.............................................................................................2-52.2.4设置Tunnel接口的网络地址..................................................................................2-62.2.5设置Tunnel两端进行端到端校验...........................................................................2-62.2.6设置Tunnel接口的识别关键字...............................................................................2-72.2.7配置通过Tunnel的路由.........................................................................................2-72.3GRE显示和调试................................................................................................................2-82.4GRE配置举例....................................................................................................................2-82.5GRE故障处理..................................................................................................................2-10QuidwayNetEngine40系列通用交换路由器操作手册第二分册（IPVPN）第1章VPN概述1-1第1章VPN概述1.1VPN简介虚拟私有网简称VPN（VirtualPrivateNetwork），是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，用以实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。伴随企业和公司的不断扩张，员工出差日趋频繁，驻外机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。1.VPN的特点VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。VPN只为特定的企业或用户群体所专用。从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。VPN不是一种简单的高层业务。该业务建立专网用户之间的网络互联，包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等，因此VPN技术就比各种普通的点对点的应用机制要复杂得多。2.VPN的优势在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率，有助于增加ISP（InternetServiceProvider）的收益。只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。这使得VPN的应用具有很大灵活性。QuidwayNetEngine40系列通用交换路由器操作手册第二分册（IPVPN）第1章VPN概述1-2支持驻外VPN用户在任何时间、任何地点的移动接入，这将满足不断增长的移动业务需求。构建具有服务质量保证的VPN（如MPLSVPN），可为VPN用户提供不同等级的服务质量保证，通过收取不同的业务使用费用可获得更多的利润。有关MPLSVPN的原理及相关介绍请参见MPLS配置。1.2VPN的基本技术1.VPN基本组网应用以某企业为例，通过VPN建立的企业内部网如图1-1所示：POPPOPPOPPCPSTN/ISDN合作伙伴远端用户内部服务器Internet公司总部图1-1VPN组网示意图从上图可以看出，企业内部资源享用者通过PSTN/ISDN网或局域网就可以连入本地ISP的POP（PointofPresence）服务器，从而访问公司内部资源。而利用传统的WAN组建技术，相互之间要有专线相连才可以达到同样的目的。虚拟网组成后，远端用户和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源，这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。企业开设VPN业务所需的设备很少，只需在资源共享处放置一台支持VPN的服务器（如一台WindowsNT服务器或支持VPN的路由器）就可以了。资源享用者通过PSTN/ISDN网或局域网连入本地POP服务器后，直接呼叫企业的远程服务器（VPN服务器），呼叫接续过程由ISP的接入服务器（AccessServer）与VPN服务器共同完成。QuidwayNetEngine40系列通用交换路由器操作手册第二分册（IPVPN）第1章VPN概述1-32.VPN的原理VPN用户PSTN/ISDNNASVPNServer图1-2VPN接入示意图如上图所示，VPN用户通过PSTN/ISDN网拨入ISP的NAS（NetworkAccessServer）服务器，NAS服务器通过用户名或接入号码识别出该用户为VPN用户后，就和用户的目的VPN服务器建立一条连接，称为隧道（Tunnel），然后将用户数据包封装成IP报文后通过该隧道传送给VPN服务器，VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。反向的处理也一样。隧道两侧可以对报文进行加密处理，使Internet上的其它用户无法读取，因而是安全可靠的。对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，操作起来和实际物理链路相同。隧道可以通过隧道协议来实现。根据是在OSI模型的第二层还是第三层实现隧道，隧道协议分为第二层隧道协议和第三层隧道协议。(1)第二层隧道协议第二层隧道协议是将整个PPP帧封装在内部隧道中。现有的第二层隧道协议有：PPTP（Point-to-PointTunnelingProtocol）：点到点隧道协议，由微软、Ascend和3COM等公司支持，在WindowsNT4.0以上版本中支持。该协议支持点到点PPP协议在IP网络上的隧道封装，PPTP作为一个呼叫控制和管理协议，使用一种增强的通用路由封装GRE（GenericRoutingEncapsulation）技术为传输的PPP报文提供流控和拥塞控制的封装服务。L2F（Layer2Forwarding）协议：二层转发协议，由Cisco和北方电信等公司支持。L2F协议支持对更高级协议链路层的隧道封装，实现了拨号服务器和拨号协议连接在物理位置上的分离。L2TP（Layer2TunnelingProtocol）：二层隧道协议，由IETF起草，微软等公司参与，结合了上述两个协议的优点，为众多公司所接受，并且已经成为标准RFC。L2TP既可用于实现拨号VPN业务，也可用于实现专线VPN业务。(2)第三层隧道协议QuidwayNetEngine40系列通用交换路由器操作手册第二分册（IPVPN）第1章VPN概述1-4第三层隧道协议的起点与终点均在ISP内，PPP会话终止在NAS处，隧道内只携带第三层报文。现有的第三层隧道协议主要有：GRE（GenericRoutingEncapsulation）协议：这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。IPSec（IPSecurity）协议：IPSec协议不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等协议。GRE和IPSec主要用于实现专线VPN业务。(3)第二、三层隧道协议之间的异同第三层隧道与第二层隧道相比，优势在于它的安全性、可扩展性与可靠性。从安全性的角度看，由于第二层隧道一般终止在用户侧设备上，对用户网的安全及防火墙技术提出十分严峻的挑战；而第三层隧道一般终止在ISP网关上，因此一般情况下不会对用户网的安全技