您好,欢迎访问三七文档
第1页,共31页1VPN设计1.1概要伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。VPN(VirtualPrivateNetwork,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。VPN技术按照不同的角度,可以分为多种类型。具体分类角度包括:1.按组网模型根据组网模型的不同,VPN可以分为虚拟专用拨号网络VPDN(VirtualPrivateDialNetwork)和虚拟专线VPN。虚拟专线VPN又包括虚拟专用路由网VPRN(VirtualPrivateRoutingNetwork)、虚拟专用LAN网段VPLS(VirtualPrivateLANSegment)、虚拟租用线VLL(VirtualLeasedLine)。2.按业务用途根据业务用途不同,VPN可分为企业内部虚拟专网IntranetVPN、扩展的企业内部虚拟专网ExtranetVPN、远程访问虚拟专网AccessVPN三种。3.按运营模式根据运营模式的不同,VPN可分为由用户控制的CPE-basedVPN(CustomerPremisesEquipmentbasedVPN)、由ISP控制的Network-basedVPN(NBIP-VPN)两种。4.按实现层次根据实现层次的不同,VPN可分为L3VPN(Layer3VPN)、L2VPN(Layer2VPN)和VPDN。目前Huawei-3Com公司支持L2TP、IPSec、BGP/MPLSVPN、VPWS/VLL(Martini、Kompella、CCC)、VPLS、DVPN、VPDN、SSLVPN等所有主流VPN技术。1.2VPN技术的选择在实际VPN应用中,由于L2TP由于扩展性差、隧道转发效率低很少使用,VPLS由于标准和扩展性问题没有得到很好的解决也没有得到广泛应用。经常采用的VPN技术是IPSecVPN、BGP/MPLSVPN和MPLSVPWS/VLLVPN。其中IPSecVPN和BGP/MPLSVPN同属于三层VPN;而BGP/MPLSVPN和MPLSVPWS/VLLVPN又都是应用MPLS技术的VPN实现,下面对这几种VPN分别进行比较:IPSecVPN和BGP/MPLSVPN对比列表第2页,共31页方案BGP/MPLSVPNIPSec隔离层次三层三层适用范围广域网,城域网广域网,城域网适用拓扑全连接点到点作用位置网络侧设备用户侧设备技术/标准成熟度成熟成熟设备实现较复杂较复杂设备性能要求高(要求较强的路由处理能力)高(数据加密耗费大量的CPU资源)QoS支持好(DiffServ,DiffServ-awareMPLSTE)同IPQOS互通性好差安全性好好可扩展性好(网络隔离层次清晰,不存在配置N平方问题)差(单点配置复杂且存在配置N平方问题)BGP/MPLSVPN和MPLSVPWS/VLLVPN对比列表方案BGP/MPLSVPNMPLSVPWS/VLLVPN隔离层次三层二层适用范围广域网,城域网广域网,城域网适用拓扑全连接点到点作用位置网络侧设备用户侧设备技术/标准成熟度成熟一般设备实现较复杂简单第3页,共31页设备性能要求高(要求较强的路由处理能力)低QoS支持好(DiffServ,DiffServ-awareMPLSTE)同IPQOS互通性好差安全性好好可扩展性很好差在实际应用中,主要结合用户的具体需求,选择出满足用户要求的VPN技术。1.3VPN技术简介1.3.1L2TP原理简介L2TPVPN技术将整个PPP帧封装在二层隧道中进行数据传输,属于二层隧道技术。L2TPVPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式,在下图中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备,LAC一般就是一个网络接入服务器NAS(NetworkAccessServer),它通过PSTN/ISDN为用户提供网络接入服务;LNS表示L2TP网络服务器(L2TPNetworkServer),是用于处理L2TP协议服务器端的软件。L2TPVPN服务具有如下几个优点:1.灵活的身份验证机制以及高度的安全性。2.L2TP支持内部地址分配,LNS可以放置于企业网的防火墙之后,它可以对于远端用户的地址进行动态的分配和管理,可以支持DHCP和私有地址应用等方案。3.能够实现网络计费的灵活性,可以在LAC和LNS两处同时计费,即ISP处(用于产生账单)及企业处(用于付费及审记)。4.L2TP具有较高的可靠性,可以支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。和任何一种技术一样,L2TPVPN也存在着一定的的缺点:L2TP的缺点是封装层次多,在数据包上依次封装了PPP-UDP-IP三层,因而效率较低。将不安全的IP包封装在安全的IP包内,它们用IP包在两台计算机之间创建和打开数据通道,一旦通道第4页,共31页打开,源和目的地身份就不再需要,这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。端点用户需要在连接前手工建立加密信道。认证和加密受到限制,没有强加密和认证支持。1.3.2GRE原理简介GRE(通用路由协议封装)是由Cisco和Net-smiths等公司于1994年提交给IETF的,标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。GRE规定了如何用一种网络协议去封装另一种网络协议的方法,GREVPN技术属于三层隧道VPN技术。GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址。GRE只提供了数据包的封装,并没有加密功能来防止网络侦听和攻击,所以在实际环境中无法给用户提供更好的安全性。GRE协议的主要用途有两个:企业内部协议封装和私有地址封装。在国内,由于企业网几乎全部采用的是TCP/IP协议,因此在中国建立隧道时没有对企业内部协议封装的市场需求。企业使用GRE的唯一理由应该是对内部地址的封装。当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。基于GRE的VPN技术具有如下的优点:1.多协议的本地网可以通过单一协议的骨干网实现传输;2.将一些不能连续的子网连接起来,用于组建VPN;3.扩大了网络的工作范围,包括那些路由网关有限的协议。如IPX包最多可以转发16次(即经过16个路由器),而在一个隧道连接中看上去只经过一个路由器。4.与其他厂家设备之间的互通性容易实现;5.对现有IP网络骨干设备基本不做任何修改基于GRE的VPN技术具有如下的缺点:1.不提供数据的加密功能,安全性较差;2.不提供QOS功能,需另外协议支持;3.对于组建大型VPN较复杂。1.3.3IPSec/VPN原理简介IPSecVPN技术属于三层隧道VPN技术。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括:网络安全协议:AuthenticationHeader(AH)协议,提供数据源认证,无连接的完整性,第5页,共31页以及一个可选的抗重放服务。AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。EncapsulatingSecurityPayload(ESP)协议,通过对数据包的全部数据和加载内容进行全加密,进而提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。与AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。在IPsec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。大部分的应用案例都采用了ESP或同时使用ESP和AH。密钥管理协议:InternetKeyExchange(IKE)协议,实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等,这些安全参数的总体称之为安全联盟(SA)。验证及加密的算法:认证算法,HMAC-MD5、HMAC-SHA-1;加密算法,DES、3DES。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。IPSec协议是一个应用广泛、开放的VPN安全协议。IPSec适应向IPv6迁移,它提供所有在网络层上的数据保护,进行透明的安全通信。IPSec提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制。IPSec工作在网络层,在参加IPSec的设备(如路由器)之间为数据的传输提供保护,主要是对数据的加密和数据收发方的身份认证。IPsec是主要用于在网络层实现VPN的技术。根据用户对在内部网络中传输数据的安全性和处理速度要求的情况,可采用IPsec技术组建企业VPN。它比较适用于对网络数据保密要求高的用户。IPSec的实现是靠两个IPSec的对端维系的,因此它实际上是一种端到端的安全实现,从技术的角度上说,在端到端客户的路由器上实现是最安全合理的方式,中间任何一个路由器都不需要做相应设置。因此,它的实现是一种与接入网络无关的VPN技术。但这并不等于说它就是与网络服务提供商无关的,我们可以作为网络服务维护者的角度,帮助客户建立并维护VPN网络,使得用户不必投入人力资源去维护一个VPN网络。IPSec的特点是较为适用于各分支机构之间的互联,对于IP地址要求做较为完善的规划,在一定程度上制约了IPSec的应用范围。针对这个问题,目前华为3Com已经支持野蛮模式,所谓野蛮模式就是通过实现注册的用户名来进行IKE协商,优点避免了解决方案中必须是固定IP地址的困惑,可以是分支上网自动获取IP地址,然后与总部进行协商,极大的增强了IPsec的功能。1.3.4BGP/MPLSVPN原理简介在MPLS/BGPVPN的模型中,网络由运营商的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。但是必须遵循如下规则:两个Site之间只有至少同时属于一个VPN定义的Site集合,才具有IP连通性。基于BGP扩展实现的L3MPLSVPN所包含的基本组件:PE:ProviderEdgeRouter,骨干网边缘路由器,存储VRF(VirtualRoutingForwarding第6页,共31页Instance),处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。CE:CustomEdgeRouter,用户网边缘路由器,分布用户网络路由。Prouter:ProviderRouter,骨干网核心路由器,负责MPLS转发。VPN用户站点(site):是VPN中的一个孤立的IP网络,一般来说,不通过骨干网不具有连通性,公司总部、分支机构都是site的具体例子。CE路由器通常是VPNSite中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备上。用户接入MPLSVPN的方式是每个site提供一个或多个CE,同骨干网的PE连接。在PE上为这个site配置VRF,将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上,但不可以是多跳的3层连接。BGP扩展实现的MPLSVPN扩展的了BGPNLRI中的IPv4地址,
本文标题:vpn设计
链接地址:https://www.777doc.com/doc-4358873 .html