H3C-IPSec-VPN解决方案技术白皮书

H3CIPSecVPN技术白皮书杭州华三通信技术有限公司目录H3CIPSECVPN技术白皮书............................................................................................................................I1商业用户网络互连业务需求..........................................................................................................32IPVPN技术方案比较....................................................................................................................43华为3COM分支节点IPSECVPN典型解决方案.......................................................................53.1VPN建设的基本思路........................................................................................................................53.2基本VPN技术组网方案（单链路单网关）....................................................................................63.2.1IPSecVPN方式..................................................................................................................................73.2.2IPSecoverGREVPN方式.................................................................................................................73.2.3GREoverIPSecVPN方式.................................................................................................................83.2.4L2TPoverIPSecVPN方式................................................................................................................93.3VPN网关备份的解决方案（单链路双VPN网关）......................................................................103.3.1VPN服务器可靠性备份方式1（L2TP的备份方式）....................................................................113.3.2VPN服务器可靠性备份方式2（VRRP的备份状态）..................................................................123.3.3VPN服务器可靠性备份方式3（OSPF的备份方式）..................................................................123.4高可靠性VPN分支接入解决方案（接入双链路备份）..............................................................124系统主要模块分析.......................................................................................................................144.1VPN接入网关子系统......................................................................................................................144.2认证计费子系统..............................................................................................................................144.3VPN管理子系统..............................................................................................................................165参考案例.......................................................................................................................................18杭州华三通信技术有限公司商业用户网络互连业务需求传统专线网基于现有的物理网络，例如数字电路、ATM/FR、DDN等，这种方式安全性和可靠性非常高，但对于客户来说，相应的建设成本和使用费用昂贵，并且只能实现有限的专网访问，缺乏联网的灵活性。因此伴随互联网的发展，通过互联网搭建企业VPN得模式越来越引起客户的兴趣。下面是Gartner对亚太区VPN市场的业务预测数据:年度2003200420052006200720082009数量(千台)1552292873423773944020501001502002503003504004502003200420052006200720082009数量(千台)2004年中国VPN设备市场规模达到2.2亿元，比2003年增长69.2%，从2000-2004年中国VPN设备市场发展来看，5年间累计市场规模达到4.9亿元，复合增长率为64.6%。下面是国内昀近几年VPN业务发展统计数据:第3页共20页杭州华三通信技术有限公司有两种方式，一种是企业自建，一种是租用运营商的VPN业务。如果企业采用自建方式，通过在其公司总部架设VPN服务器（防火墙、NAT设备等），以允许可信赖的伙伴访问公司内网。另外放置在每个节点的安全设备还用于对每一个在广域网上传输的数据包进行物理加密和解密，这种方式对于客户来说，专业技术要求较高，并且建设和维护成本大，客户对象一般是中、高端客户。还有一种就是采取运营商转售的方式，由运营商提供给企业这种VPN的接入平台，并进行代维。其基本的组网模式都是比较类似的，本文档统一描述。2IPVPN技术方案比较VPN是指通过公众IP网络建立私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来，减轻企业的远程访问费用负担，节省电话费用开支，并且提供安全的端到端数据通讯。电信运营商可以利用现有的互联网网络资源，将VPN作为一种增值业务推向企业，并从企业得到回报。可以从不同的角度对VPN业务进行分类，如可以从接入方式(专线、拨号)，协议类型(二层、三层)，发起方等。从运营商开展IPVPN的方式的角度来看，主要有下面一些类型：MPLSVPN,VPDN,SSLVPN和IPSecVPN。VPN业务的网络互联可以有两种结构：网络与网络之间通过VPN互联，适合于企业分支机构之间、政府机关之间或ISP之间构建的VPN。主机到网络之间通过VPN互联，适合于普通拨号用户或企业员工通过互联网接入VPN的情况。对VPN技术一般有如下的功能要求：透明的分组传输，数据的安全性，业务质量保证以及使用隧道机制来实现等。隧道协议一般有二层隧道协议(如L2TP)，三层隧道协议(如IPSec、GRE)以及MPLS协议。作为一种高效的IP骨干网技术平台，MPLS技术为实现IP-VPN提供了一种灵活的而且具有可扩展性的技术基础。MPLSVPN适用于实现对于服务质量，服务等级划分以及网络资源的利用率，网络的可靠性有较高要求的VPN业务。但是MPLSVPN一般面向运营商骨干网或企业骨干网，并且网络投入成本高，可以适用于对价格不敏感的大客户。VPDN指利用公共网络的拨号及接入网(比如PSTN，ISDN及ADSL)，实现虚拟专用网，为企业、小型ISP、移动办公人员提供接入服务，适用于对服务质量，网络可靠性要求较低，对价格敏感的用户，并且地点分散，人员分散，对线路的保密和可用性有一定要求。运营商第4页共20页杭州华三通信技术有限公司业务有一些限制条件，首先实现VPDN所采用的L2TP协议自身并不提供对连接安全性的保证，需要配合IPSec或其它安全协议保证业务安全。另外，对于用户的接入方式有限制条件，一般需要接入运营商自己的接入服务器，如果用户在外地或海外，网络接入费用将会很高。IPSec基于一组开放的网络安全协议，业务数据流通过IPSec加密，IPSEC能够提供服务器及客户端的双向身份认证，并且为IP及其上层业务数据提供安全加密保护，能够支持数据加密（包括常见的DES,3DES,AES加密算法），数据完整性验证，数据身份验证，以及防重放等功能，充分保证业务数据的安全性。IPSecVPN利用Internet构建三层隧道VPN的方式，可以允许用户以任意方式接入VPN,并且不受地理因素的限制，无论用户在外地或海外，只需要从当地接入Internet即可。IPSecVPN不仅适用于SOHO用户或移动办公用户接入,而且适用于企业分支机构之间的互连互通。正因为IPSecVPN具有其它VPN不可替代的业务优势，在VPN业务较为普及的海外一些国家得到了比较普遍的应用。下面是专业咨询机构Infonetics的统计数据：总之，不同类型的IPVPN业务实现的技术不同，面向的用户也不同。下面主要对目前应用比较广泛的IPSecVPN的几种用户典型组网进行描述。3华为3com分支节点IPsecVPN典型解决方案3.1VPN建设的基本思路在VPN接入网的建设过程中，需要从以下几个方面来考虑：¾设备选型，需要重点关心设备的VPN加密性能和转发性能¾因为IPSec的工作方式基于ACL，实际组网中一般与L2TP或GRE等隧道技术捆绑使用,这样可以提供一些增强功能，如在二层隧道运行动态路由协议监测隧道状态，GRE可第5页共20页杭州华三通信技术有限公司报文，L2TP能够提供比较完善的AAA等.¾支持客户端各种接入手段及动态IP地址；企业总部采用固定IP地址，分支机构可以选择ADSL或者FE专线接入Internet。¾网络拓扑类型以Hub-Spoke为主，Partial-Mash方式下客户端互访流量通过Server转发，此时流量不超过20％，否则会加重Server负担，这种情况下，路由的设计是重点关注的问题。¾L2TP实现对客户端用户的接入认证，并且可以支持访问备份Hub设备；IPSEC提供在IP层的加密认证等安全服务。¾IKE协商可