您的当前位置:首页正文

某集团的VPN网络方案设计与分析

2024-07-09 来源:易榕旅网


分类号:TP393.1 U D C:D10621-408-(2010)2113-0 密 级:公 开 编 号:2006121100

某集团的VPN网络方案设计与分析

论文作者姓名: 申请学位专业: 申请学位类别:

项 洋 网 络 工 程 工 学 学 士

指导教师姓名(职称): 秦智(讲师) 论文提交日期: 2010年6月7日

某集团的VPN网络方案设计与分析

摘 要

先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统,同时,对于身处异地的分支机构或者分公司,办事处,或者在外出差的企业员工,需要为其提供高效,实时的内网访问,保证相关业务的准确高效,同时,在远距离传输过程中要保证数据不被窃听和篡改。

从整体上说,对于企业远程接入的设计不仅仅只是购买相应的VPN设备或者做相应的配置,还需要掌握企业针对远程接入的需求以及VPN设计的原则,从企业的实际需求出发,针对现今各种流行的VPN技术进行了分析比较,从原理到结构都做了详细的分析,再结合集团的实际需求,最后选出了适合企业的3种VPN部署方式,最后通过实验模拟,得出了VPN的实际效用。

关键词:远程接入;通用路由封装;安全负载封装;多标签交换协议

Analysis and Design of a Group VPN

Abstract

The advanced network system strengthens the management, the enhancement working efficiency regarding the enterprise and increases the market competitiveness is very important. The enterprise network uses the technology must advanced, mature, stable, the reliable network system, simultaneously, regarding places the different place the Branch office or the subsidiary company, the office, or enterprise staff who travels on official business in outside, needs to provide highly effective, the real-time in net visit for it, guaranteed that related service accurate highly effective, simultaneously, in the long-distance transmission process must guarantee that the data is not intercepted and the distortion.

Overall speaking, not only is the purchase corresponding VPN equipment or makes the corresponding disposition regarding the enterprise long-distance turning on design, but also needs to grasp the enterprise in view of the long-distance turning on demand as well as the VPN design principle, embarks from enterprise's physical demand, has carried on the analysis comparison in view of the nowadays each kind of popular VPN technology, to the architecture has made the detailed analysis comparison from the principle to data packet's seal, finally selected has suited enterprise's 3 VPN deployment way, finally through the test simulation, has obtained the VPN actual utility.

Keywords:Remote Access ; GRE; IPSEC; MPLS

目 录

论文总页数:43页

1 引言 ...................................................................... 1 2 集团介绍................................................................... 1 2.1 集团背景介绍 .......................................................... 1 2.2 集团远程接入需求....................................................... 1 3 集团VPN建设需求 ........................................................... 2 4 集团现有网络现状描述 ....................................................... 2 4.1 集团出口网络描述....................................................... 2 4.2 集团网络资源描述....................................................... 3 5 VPN方案比较分析 ........................................................... 3 5.1 VPN综述 ............................................................... 3 5.2 VPN分类介绍 ........................................................... 4 5.2.1 第一类:按照功能位置 .............................................. 4 5.2.2 Access VPN、Intranet VPN、Extranet VPN ............................ 5 5.2.3 三层VPN 、二层VPN ................................................ 5 5.2.4 按组网模型 ........................................................ 6 5.3 常用VPN分析 .......................................................... 7 5.3.1 L2TP VPN .......................................................... 7 5.3.2 GRE VPN .......................................................... 11 5.3.3 IPSEC VPN ........................................................ 13 5.3.4 SSL VPN .......................................................... 17 5.3.5 MPLS VPN ......................................................... 22 6 适合集团的VPN网络构建 .................................................... 26 6.1 集团VPN技术选择...................................................... 26 6.2 集团分公司以及分支机构重要业务分布 .................................... 27 6.3 集团VPN设计选择...................................................... 27 7 组建集团VPN网络 .......................................................... 28 7.1 集团VPN总体设计...................................................... 28 7.2 IPSEC VPN建设 ........................................................ 28 7.2.1 集团IPSEC VPN部署 ............................................... 28 7.2.2 IPSEC VPN基本配置................................................ 29 7.2.3 IPSEC VPN 验证与测试 ............................................. 30 7.3 SSL VPN建设 .......................................................... 32 7.3.1 SSL VPN部署 ..................................................... 32

7.3.2 SSL VPN基本配置.................................................. 33 7.3.3 SSL VPN 验证方法 ................................................. 35 7.4 MPLS VPN建设 ......................................................... 35 7.4.1 现今MPLS承载网介绍 .............................................. 35 7.4.2 MPLS 部署 ........................................................ 36 7.4.3 MPLS VPN的配置................................................... 36 7.4.4 MPLS VPN验证..................................................... 39 8 VPN管理与维护 ............................................................ 39 8.1 IPSEC VPN的管理与维护 ................................................ 39 8.2 SSL VPN的管理与维护 .................................................. 40 8.3 MPLS VPN的管理与维护 ................................................. 40 结 论.................................................................... 40 参考文献.................................................................... 41 致 谢.................................................................... 42 声 明.................................................................... 43

1 引言

今天的中国,聚焦了世界的目光,经济空前繁荣,企业面临着异常激烈的竞争,机遇与挑战并存。如何增强核心竞争力,如何提高运营效率和客户满意度,如何控制并降低成本,如何获得业务的增长,成为企业负责人最关心的话题。信息技术在各行各业发展中起到的作用日益凸显,信息化为我们带来了高效率的业务模式,信息化为企业的高速发展提供了最新的技术保证,如何让信息技术转化为高生产力,并最终成为我们的核心竞争力,将是每位企业信息主管不断思考的话题。

先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。因此,企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统,同时,对于身处异地的分支机构或者分公司,办事处,或者在外出差的企业员工, 需要为其提供高效,实时的内网访问,保证相关业务的准确高效,同时,在远距离传输过程中要保证数据不被窃听和篡改。于是,各种远程互联技术应运而生,对于各种解决方案,其中的建设费用,以及相应的维护,改造,扩展等费用,以及不稳定性,不安全,不能保证特殊服务,所以产生了一种综合的应用解决方案——VPN技术。

时下,充斥着多种VPN技术。在本设计中,针对园区的特殊需要,详细分析比较了各种VPN技术的利弊,以及相应的实验验证,得出了较好的解决方案。

2 集团介绍

2.1 集团背景介绍

XX集团是一个以生产农产品和加工、开发石油为主,兼营化工、金融等行业的综合性集团公司。XX集团作为一个国有企业集团公司,在积极探索社会主业市场经济道路中,集中资源发展农业、能源、化工、金融、地产五大主业,XX集团为国有园区企业,其园区内有石油中心、农业中心、经营中心、培训中心、化工研究院、园区医院、员工宿舍楼两栋、食堂和超市、员工活动室、迎宾楼等单位。

该集团有员工近30000余名员工,其旗下的种子生产研究基地,农药研发、生产、销售公司,化肥生产、销售公司,石油加工勘探公司,氟化工、医药、天然橡胶、化工物流、地产等50余家子公司以及投资控股公司20余家。园区内的各个生产服务单位和各地子公司都必须实现网上信息传输。

这样的一个大型国有企业当然必须有一个稳定、可靠、可扩展的网络才能适应企业的各种业务需求。

2.2 集团远程接入需求

第 1 页 共 43 页

XX化工集团由于其所经营的业务涉及到国家重大生产农业产业结构,所以业务是否正常直接关系到国民经济命脉。于是该集团需要保证企业网络7*24小时正常。各分公司,各子公司的远程互联要实时保证。同时,针对大文件传输,以及远程视频会议等都要保证其稳定可靠,移动办公人员要能随时访问公司资源。所以需求一种好的解决方案。于是,VPN技术为企业远程互联带来了保障。

3 集团VPN建设需求

1. 高效性

该集团由于规模庞大,经济总量大且相关产业涉及到国家的经济命脉,所以对于实时的数据传输,以及远程视频会议等有着较高的需求;该集团要求保证远程视频会议无延迟,话音无失真;在数据传输方面要能够保证数据的实时传递,无延时。

2. 稳定性

稳定性是企业得以运转的重要保证,该集团需要全天24小时保证网络的稳定,不发生网络故障,对于远程接入方面,该集团要求接入后能保证网络的稳定,不出现掉线延迟等网络故障。

3. 安全性

该集团的业务涉及到国家的稳定,社会的长治久安,所以该集团要面对一切可能的威胁,所以网络安全尤为重要,尤其在远程的数据传输方面,更要保证不被窃听,篡改,伪造等。所以在网络安全上需要良好的设计,尤其在经过公网的数据传输。

4. 维护简单

该信息系统建成后能保证不需要复杂的维护就能保证网络的正常运转,发生故障时能快速恢复。且维护人员也不需要专业的知识。

5. 造价便宜

为了响应国家关于建设节约型社会的号召,也为了减少公司的财务支出,该集团要求造价在保证性价比的基础上尽可能便宜。

本着上述原则,集团需要在最少花费下取得最好的效果,达到集团验收标准。

4 集团现有网络现状描述

4.1 集团出口网络描述

集团于2009年重新构建了集团网络,现需要一个较好的远程互联解决方案。 如图1所示,集团采用CISCO 7206路由器作为双出口路由器,ASA5580企业级防火墙配置成互为冗余模式作为安全保障,电信网通各百兆光纤连接。

第 2 页 共 43 页

图1 集团网络出口图

4.2 集团网络资源描述

集团现有ERP平台,CRM平台,以及WEB服务器,FTP服务器,MAIL服务器,数据库服务器若干,以及对应的各类业务处理平台若干。

所以各分公司,子公司,合作伙伴,销售人员,移动办公人员,以及各监管部门都需要能访问到部分集团资源,同时又要保障相关资源的安全性。

5 VPN方案比较分析

5.1 VPN综述

VPN--虚拟专用网(Virtual Private Network)是专用网络在公共网络如Internet上的扩展,如图2所示。VPN通过私有隧道技术在公网上仿真一条点到点的专线,将远程的分支机构、移动办公人员等连接起来从而达到安全的数据传输目的。

图2 VPN应用图 第 3 页 共 43 页

有了VPN,用户在家里或在路途中也可以利用Internet或其他公共网络对企业服务器进行远程访问。从用户的角度来看,VPN就是在用户计算机即VPN客户机和企业服务器即VPN服务器之间点到点的连接,由于数据通过一条仿真专线传输,用户感觉不到公共网络的实际存在,能够像在专线上一样处理企业内部信息。换言之,虚拟专用网不是真正的专用网络,但却能够实现专用网络的功能。

VPN可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立快捷,安全、可靠的信息通信。这种连接方式在概念上等同于传统广域网WAN的运作。

VPN技术的出现,使企业不再依赖于昂贵的长途拨号以及长途专线服务,而代之以本地ISP提供的VPN服务。从企业中心站点铺设至当地ISP的专线要比传统WAN解决方案中的长途专线短得多,因而成本也低廉得多。

5.2 VPN分类介绍

按功能位置: CPE-based VPN 、Network-based VPN 按业务构成: Access VPN 、Intranet VPN 、Extranet VPN 按实现层次:应用层VPN、网络层VPN 、二层VPN 按组网模型:VPDN、VPRN、VPLS、VLL 5.2.1 第一类:按照功能位置

根据是由企业客户还是由服务提供商实施,VPN分为两类: 1. CPE-based VPN 基于客户端设备的VPN 2. Network-based VPN 基于网络的VPN

对于CPE-based VPN 基于客户端设备的VPN的特点是:业务扩展能力弱、设备价格昂贵、组网复杂度高,不易维护。

对于Network-based VPN基于网络的VPN 的特点是:便于管理和维护、降低用户投资、业务扩展能力强、支持网络管理、运营商与用户实现双赢。

表 1 各种不同VPN特性对比

特征 QoS,CoS与SLAs 可扩展性 用户控制 业务类型 CPE-based VPN SLAs局限于网络时延和可用性,不支持CoS 有连接数限制,局限于几百条连接 有用户数限制 数据类型 Network-based VPN 多CoS,综合SLAs覆盖每个CoS 没有限制 多种提供在线修改网络资源的特性 关键数据,实时话音,图像以及其他实时数据 维护手段 维护困难 容易 第 4 页 共 43 页

5.2.2 Access VPN、Intranet VPN、Extranet VPN

用户可以根据自己的情况进行选择:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

5.2.3 三层VPN 、二层VPN

二层VPN服务的主要特征是根据用户数据包的二层地址(如MAC地址、帧中继的DLCI、ATM的PVC等)在网络的第二层对数据包进行转发和发送,服务提供商的网络负责提供CE之间的二层连接,这包括用MAC地址(例如LAN仿真)、点到点的链路层连接(ATM、帧中继、MPLS)、多点到点(用MPLS多点到点的LSP)和点到多点(例如ATM VCC),而三层的连接例如选路由等由用户负责。PE设备可以是路由器或交换机,从支持二层连接的角度看,交换机更合适一些。VLL及局域网仿真服务VPLS就属于二层VPN。二层VPN主要有L2TP、PPTP、L2F等,主要常用的就是L2TP。

二层VPN的主要特征:

通过链路层地址(必要时也可用链路端口号)转发用户数据包。 SP(服务供应商)主要提供CE之间的链路层连接,一般SP不对IP VPN管理而只对链路的连接进行管理。

SP负责二层链路的连接,而三层的连接例如选路由等由用户负责。 由于VPN是建立在链路层基础上的,SP仅提供链路层连接,所以实际上IP VPN是由用户借助于SP的链路建立的。当然SP为VPN打下基础,它提供用户的链路应该是可靠的,也有较好的安全性(主要是指所提供的链路的专用性,它与公用部分及其他VPN的链路是相互隔离的,不会有用户数据包传送至公网或其他VPN域内)。

三层VPN:

三层VPN服务的主要特征是PE转发用户数据包是以其IP地址为依据的,VPRN就属于三层VPN。通常用户网络使用专用的IP地址,所以PE要了解用户的专用IP地址空间。从CE的角度看PE,它是一个IP路由器。在三层VPN中,SP也参与VPN的管理并提供VPN,用户也可在其VPN范围内对其进行管理。

三层VPN主要有:IPSEC,GRE,SSL。 还有介于二层三层之间的MPLS VPN。 二层三层VPN的主要特点:

CE与PE之间的接入链路对于二层VPN,CE的接入链路要求统一,例如都是帧中继; 而对于三层VPN,CE的接入链路可以不同,例如某些CE可用帧中继,而另一些CE可用ATM等。

第 5 页 共 43 页

对CE的要求:

根据应用的需求不同,二层VPN的CE可为路由器也可以为网桥,三层VPN则通常以CE为路由器。

CE的邻居:

当CE为路由器时,三层VPN的CE只需与其相连的PE维持邻居关系,而二层VPN的CE需与其他的CE维持邻居关系,从而增加路由复杂度,规模受限。

支持第三层多协议能力:

由于二层VPN只使用SP网络的二层链路,从而为支持三层多协议创造条件,三层VPN也能支持多协议,但不如前者灵活且有一定限制。同理在支持VPLS方面,二层VPN更合适。但如果VPN用户只传送IP包,此特点就不明显。

支持组播能力:

二层VPN与三层VPN都支持组播,但二层VPN是依靠CE实施组播的,而三层VPN则依靠PE,因而三层VPN实施组播较简单,同时它还可以充分利用SP网络有关组播方面的能力支持组播,而二层VPN则无法使用SP网络的有关组播方面的能力。

网络管理:

VPN服务提供商与用户VPN的管理部门都可进行网络管理,但侧重面不同。对于三层VPN,服务提供商可参与三层的管理;而二层VPN,服务提供商只能对所提供的链路进行管理,无法对三层进行管理。无论是二层VPN还是三层VPN,用户都可以对所属的VPN进行管理。

5.2.4 按组网模型

IP VPN-Framework-RFC2764中定义了VPN类型,如图3所示: VPDN:Virtual Private Dial Networks VPRN:Virtual Private Routed Networks VPLS:Virtual Private LAN Segment VLL:Virtual Leased Lines

VPDN的基本特点是:除VPN的总部网络中心采用专线接入VPN服务提供商的网络外,其余的VPN用户通过PSTN或ISDN拨号线路接入网络。另外,虽然拨号用户是通过PSTN或ISDN公网拨入VPN的,但是VPN所属用户仍与外界隔离,有较好的安全保证。VPDN也可以使用IP专用地址等VPN所特有的一些特性,接入范围可遍及PSTN、ISDN的覆盖区域,网络建设投资少、周期短,网络运行费用低。

VPRN定义为:用IP设施仿真出一个专用多站点广域路由网。它是在IP公用网络(如Internet)基础上实施的。像VPN结构一样,VPRN也可以分为基于网络的VPRN及基于CE的VPRN。

第 6 页 共 43 页

VPN拨号NAS等网络准入设备虚电路专用IP隧道其他客户发起FRATMCPE-basedNetwork-based利用BGP协议自动生成隧道用户预定VLLVPRNVPDNVPLSMPLS VPN

图3 VPN分类模型

VPLS是用Internet设施仿真LAN网段。VPLS可用于提供所谓的透明LAN服务(TLS)。TLS可用于以协议透明方式互连多个支干CE节点(如桥或路由器)。VPLS在IP上仿真LAN网段,类似于LANE在ATM上仿真LAN网段。它的主要优点是协议完全透明,这在多协议传送和传送管理上是很重要的。

5.3 常用VPN分析

5.3.1 L2TP VPN 5.3.1.1 L2TP介绍

L2TP可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络 设施如IP、ATM、帧中继中进行隧道传输的封装协议。

Cisco、Ascend、Microsoft 和RedBack 公司的专家们在修改了十几个版本后,终于在1999 年8月公布了L2TP 的标准RFC2661。

目前用户拨号访问Internet时,必须使用IP协议,并且其动态得到的IP地址也是合法的。L2TP的好处就在于支持多种协议, 用户可以保 留原有的IPX、Appletalk 等协议或公司原有的IP地址。L2TP 还解决了多个PPP链路的捆绑问题,PPP链路捆绑要求其成员均指向同一个NAS,L2TP可以使物理上连接到不同NAS的PPP链路,在逻辑上的终结点为同一个物理设备。L2TP扩展了PPP连接,在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接,并在其上运行PPP,第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。L2TP作为PPP 扩展提供更强大的功能,包括第2层连接的终结点和PPP会话的终结点可以是不同的设备。

第 7 页 共 43 页

L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TPNetworkServer)构成,LAC(L2TP访问集中器)支持客户端的L2TP,他用于发起呼叫,接收呼叫和建立隧道;LNS(L2TP网络服务器)是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS。

CISCO说的LNS就是工作在以PPP为终端的平台上,LNS处理服务器端的L2TP协议。LNS初始化发出呼叫和接收呼叫。

5.3.1.2 L2TP 协议结构 PPP数据帧 L2TP数据消息 L2TP数据通道 包传输通道 图4 L2TP协议结构

L2TP控制消息 L2TP控制通道 上图所示L2TP协议结构描述了PPP帧和控制通道和数据通道之间的关系。PPP帧首先被封装L2TP头部并在不可靠数据通道上进行传输,然后进行UDP、Frame Relay、ATM等包传输过程。控制消息在可靠的L2TP控制通道内传输。

通常L2TP以UDP报文的形式发送。L2TP注册了UDP 1701端口,但是这个端口仅用于初始的隧道建立过程中。L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。

5.3.1.3 L2TP包封装

L2TP用户传输数据的隧道化过程采用多层封装的方法。图5中表示了封装后在隧道中传输L2TP数据包格式。

Date-link IP header Header UDP Header L2TP Header PPP Header PPP Payload Date-link Trailer 图5 L2TP数据包格式

若是封装在IPSEC等数据包中这要加上IPSEC 包头和包尾。其中IPSEC包头到包尾之间都是通过ESP或者AH协议加密过。

a. L2TP封装

初始PPP有效载荷如IP数据报、IPX数据报或NetBEUI帧等首先经过PPP报头和L2TP报头的封装。

b. UDP封装

L2TP帧进一步添加UDP报头进行UDP封装,在UDP报头中,源端和目的端端口号均设置为1701。

第 8 页 共 43 页

c. IP封装

在UDP数据报外再添加IP报头进行IP封装,IP报头中包含VPN客户机和服务器的源端和目的端IP地址。

d.数据链路层封装

数据链路层封装是L2TP帧多层封装的的最后一层,依据不同的外发物理网络再添加相应的数据链路层报头和报尾。例如,如果L2TP帧将在以太网上传输,则用以太网报头和报尾对L2TP帧进行数据链路层封装;如果L2TP帧将在点-点WAN上传输,如模拟电话网或ISDN等,则用PPP报头和报尾对L2TP帧进行数据链路层封装。

e.数据的解封装过程

在接收到L2TP帧后,L2TP客户机或服务器将做如下解封装处理: 处理并去除数据链路层报头和报尾;处理并去除IP报头;处理UDP报头并将数据报提交给L2TP协议;L2TP协议依据L2TP报头中Tunnel ID和Call ID分解出某条特定的L2TP隧道;依据PPP报头分解出PPP有效载荷,并将它转发至相关的协议驱动程序做进一步处理。

5.3.1.4 L2TP的优势

1.AAA Support (认证,审计,受权支持)

L2TP是基于PPP协议的,因此它除继承了 PPP 的所有安全特性外, 还可以对隧道端点进行验证,这使得通过 L2TP 所传输的数据更加难以被攻击。而且根据特定的网络安全要求,还可以方便地在 L2TP 之上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。

2. Encryption(加密)

支持如 IPSec and DES 加密 (40 and 56 bits are supported today, with plans for168-bit support)。

3. Quality of Service(QOS支持)

利用IP优先级,保证能为企业提供不同的隧道提供不同的带宽,能为企业提供各种不同的服务类型,以及相应核心业务的保证。 4. Reliability(可靠性支持)

基于多个备份的LNS,所以能配置多个隧道组。若连接到一个主LNS链路出现故障,LAC将会重新连接备份的LNS。加强的VPN可靠性和容错能力能确保企业的应用保证以及相关的服务级别。

5. Scalability on a Single LNS(对于单个LNS的可伸缩性)

L2TP支持无限制的LAC会话和支持超过2000个单LNS的会话。不同的设备对链接会话的支持可能不一样。

6.Scalability on a Single Site (对于单个站点的可伸缩性)

可以支持LAC和LNS之间的多个隧道的负载均衡。

第 9 页 共 43 页

7.Address Management (地址管理)

LNS可以放置于企业网的防火墙之后,它可以对于远端用户的地址进行动态的分配和管理,可以支持 DHCP 和私有地址应用。远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。

8.Network Management(网络管理)

可以统一地采用 SNMP 网络管理方案进行方便的网络维护与管理,同时支持SYSLOG,方便排错和审计。 9.网络计费的灵活性

可以在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业处(用于付费及审记)。L2TP 能够提供数据传输的出入包数,字节数及连接的起始、结束时间等计费数据,可以根据这些数据方便地进行网络计费。

5.3.1.5 L2TP会话建立过程 流程图如下:

图6 L2TP隧道建立流程图

a.用户通过公共电话网或ISDN拨号至本地的接入服务器LAC;LAC接收呼叫并进行基本的辨别,这一过程可以采用几种标准,如域名或用户名、呼叫线路识别CLID) 或拨ID业务(DNIS)等。

第 10 页 共 43 页

b.当用户确认为合法业用户时,就建立一个通向LNS的拨号VPN 隧道。 c.企业内部的安全服务器如RADIUS 鉴定拨号用户。

d.LNS与远程用户交换PPP信息,分配IP地址。LNS可采用企业专用地址(未注册的IP地址)或服务提供商提供的地址空间分配IP地址。因为内部源IP 地址 与 目 的 地IP 地址实际上都通过服务提供商的IP网络在PPP信息包内传送,企业专用地址对提供者的网 络是透明的。

e.端到端的数据从拨号用户传到LNS。

在实际应用中,LAC将拨号用户的PPP帧封装后,传送到LNS,LNS去掉封装包头,得到PPP 帧,再去掉PPP帧头得到网络层数据包。

5.3.2 GRE VPN 5.3.2.1 GRE 概述

通用路由封装 GRE(Generic Routing Encapsulation)是对某些网络层协议(如IP和IPX)的报文进行封装,使这些被封装的报文能够在另一网络层协议(如IP)中传输,并支持全部的路由协议如RIP、OSPF、IGRP、EIGRP。

GRE 可以作为VPN 的第三层隧道协议,在协议层之间采用隧道(Tunnel)技术。Tunnel 是一个虚拟的点对点的连接,可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路,使封装的数据报能够在这个通路上传输,并在一个Tunnel的两端分别对数据报进行封装及解封装。

GRE在包头中包含了协议类型,这用于标明乘客协议的类型;校验和包括了GRE的包头和 完整的乘客协议与数据;密钥用于接收端验证接收的数据;序列 号用于接收端数据包的排序和差错控制;路由用于本数据包的路由。

GRE只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和IPSec在一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。

5.3.2.2 GRE 结构 报文的传输:

图7 多协议本地网通过单一骨干网

第 11 页 共 43 页

报文的传输包括封装和解封装的过程:  加封装过程

连接 Novell group1 的接口收到IPX 数据报后,首先交由IPX 协议处理。IPX 协议检查IPX 报头中的目的地址域来确定如何路由此包。如果发现报文的目的地址要经过网号为1f 的网络(Tunnel 的虚拟网号),则将此报文发给网号为1f 的Tunnel 接口,Tunnel 接口收到此报文后进行GRE 封装,封装完成后交给IP 模块处理,在封装IP报文头后,根据报文目的地址及路由表交由相应的网络接口处理。  解封装过程

解封装过程和加封装过程相反。从 Tunnel 接口收到IP 报文,检查目的地址,当发现目的地就是此路由器时,系统去掉此报文的IP 报头,交给GRE 协议模块处理;

GRE 协议模块完成相应的处理后,去掉GRE 报头,再交由IPX 协议模块处理,IPX协议模块象对待一般数据报一样对此数据报进行处理。

如图8所示,IPX封装在IP Tunnel中。

图8 IPX封装在IP Tunnel

封装好的格式如图9所示。 Delivery header GRE Header Payload packet 图9 GRE封装格式 5.3.2.3 GRE VPN 特点 优点:

加密为可选的,不象IPSec中加密是必须的,而加密方法是可选,所以大幅度减低了芯片的工作量,提高了系统性能。

更细化的QoS服务能力,包含应用层QoS。

第 12 页 共 43 页

IP层的可见性使得对应用层的带宽管理成为可能。 能封装非IP协议,如IPX和DECnet。 缺点:

通信只局限在服务商的网络中,很大程度上依赖服务商提供的网络。 平面网状结构需要更多的准备开销,与基于VC的VPN具有相同的问题,就是在大型VPN上会引起N的平方问题。所以不适合大型网络的拓展。

准备与管理的开销相对昂贵。 5.3.3 IPSEC VPN

5.3.3.1 IPSEC VPN的种类:

 The seamless connection of two private networks to form one

combined virtual private network(无缝连接两个私有网络)  The extension of a private network to allow remote-access users

(also known as road warriors) to become part of the trusted network(允许远程用户接入)

 LAN-to-LAN IPSec implementations (also known as site-to-site

VPNs)(点到点 VPN)

 Remote-access client IPSec implementations (客户端工具接入) 5.3.3.2 IPSEC 概述

IPSec是一种开放标准的框架结构,在RFC2401中定义。特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段,来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication),防重放(protection against replays)等。

IPSEC协议簇包含以下协议。

图10 IPSEC 协议簇

IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议

第 13 页 共 43 页

图11 IPSec数据包格式

 加密保证数据的私密性

通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性

图 12 数据私密性描述

 保证数据完整性(hash,sha)

图 13 数据完整性描述

 通过身份认证保证数据的真实性

 通过身份认证可以保证数据的真实性。常用的身份认证方式包括:

1. Pre-shared key ,预共享密钥 2. RSA Signature ,数字签名 5.3.3.3 IPSEC框架结构

图 14 IPSEC框架 第 14 页 共 43 页

框架包括IPSEC协议簇,数据加密,散列算法,以及密钥交换体系。 5.3.3.4 IPSEC 封装模式

IPSec支持两种封装模式:传输模式和隧道模式

 传输模式:不改变原有的IP包头,通常用于主机与主机之间。

图15 传输模式封装图

 隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。

图16 隧道模式封装图

两幅图可以很好的描述两种模式的区别。

5.3.3.5 Internet Key Exchange

RFC 2409中定义了IKE相关。IKE用来协商IPSEC安全参数,如: 协商参数,交换公共密钥,密钥刷新,认证对等体,以及密钥管理。IKE协议簇如图14所示:

IKE包含三个协议:

 SKEME— 提供公共密钥更新技术。

 Oakley— 提供IPSEC对等体之间提供密钥交换模式  ISAKMP— 提供安全关联和密钥管理协议 IKE工作原理:

IKE包含两个过程,phase1和phase2 。Phase1主要对通信双方进行身份认证,并在两端之间建立一条安全的通道,主要有主模式和积极模式。Phase2在上述安全通道上协商IPSec参数,主要有快速模式。IKE原理如图15所示:

第 15 页 共 43 页

图17 IKE协议簇

图18 IKE 原理

图19 IKE阶段1 第 16 页 共 43 页

图20 IKE阶段2

IKE阶段2协商IPSEC 安全关联(SA),SA由SPD (security policy database)和SAD(SA database)组成。SPD,SAD区别如下:

图21 SPD,SAP关系图

5.3.4 SSL VPN 5.3.4.1 SSL VPN概述

图22 SSL VPN描述图

在TCP的网络层,IPSec协议通过预共享密钥或者安全数字签名和高强度加密算法实现了局域网的安全互联,让组织的分支机构融合到了总部的局域网,分

第 17 页 共 43 页

支机构可以根据其网络规模和使用人数选择和总部连接的方式,然而,组织的成员不会永远安坐在办公室,当他们“移动”起来时,例如回到家中、参加会议、出差考察,环境的频繁变化让IPSec难以应对。组织的外界环境迅速膨胀,合作伙伴、股东、审计部门、供应商、经销商都被纳入了组织的网络外延,他们需要接入到组织的内网,以访问他们所关心的应用资源和数据报表。IPSec的部署问题会让企业的网络人员成为合作伙伴 “公用”的网管。IPSec客户端不停的安装、调试和维护将会成为网管人员生活中不可或缺的一部分,无论你是在工作时间还是8小时之外。问题还远没有结束,基于IPSec是网络层协议的前提,当远程设备从Internet接入后将被虚拟成局域网内的一台PC,也就是获得了局域网的所有使用权限。这是相当危险和难以控制的。如果这台接入的设备携带了病毒、蠕虫,局域网也会很快地受到感染,使网络人员精心构建的安全城墙在一瞬间灰飞烟灭。

SSL(安全套接层)VPN被视为IPSec VPN的互补性技术,在实现移动办公和远程接入时,SSL VPN更可以作为IPSec VPN的取代性方案。SSL协议由网景公司提出,是一种基于WEB应用的安全协议,包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和数据保密性。所有标准的WEB浏览器均已内建了SSL协议。采用SSL协议的设备实现对WEB及各种使用静态或动态端口的服务做支持,于是便出现了 SSL VPN。在上图中,移动用户或者固定用户通过浏览器直接访问公司内部网络或者访问内部服务,实现内网的随时随地访问。

思科SSL VPN有三种工作模式:客户端模式,瘦客户,隧道模式。客户端模式就是基于web的简单应用,瘦客户就是需要增加一个客户端,也就是一个Java插件,这个插件很小,简称瘦客户,主要能实现一些扩展的应用,比如TCP端口转发,e-mail,telnet,SSH等。隧道模式等同于IPSEC,主要是基于IP的应用。

5.3.4.2 SSL VPN原理

SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和 TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。 警告协议用于在发生错误时终止两个主机之间的会话。

所以SSL VPN,就是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器访问公司内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标

第 18 页 共 43 页

准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问,即构建基于IP的访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。

5.3.4.3 SSL 过程

1.Hello Phase

在这个过程中客户端与服务器端主要做的事:

客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。

服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书 2.Authentication and Key Exchange

这个阶段主要过程:

客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。

用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。

如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的 CA 是否可靠,发行 CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。

3.Key Derivation

Client write key C加密S解密的key

第 19 页 共 43 页

Server write key S加密C解密的key Client write MAC secret S验证C的数据key Server write MAC secret C验证S的数据key 主要过程:

服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。

客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。

服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束 4.Finishing Handshake

SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。

5.3.4.4 SSL VPN优势

SSL VPN的优势来自于HTTP的广泛应用,常见的使用 HTTP 的应用有:SOAP(Simple Object Access Protocol) 简单对象访问协议,UDDI (Universal Description, Discovery, and Integration)统一描述、发现和集成等。这类B/S 架构管理软件只安装在服务器端上,用户界面主要事务逻辑在服务器端完全通过WWW浏览器实现。极少部分事务逻辑在前端(Browser)实现,所有的客户端可以只有浏览器。 SSL VPN与主流的IPSEC easy VPN相比,自然有其优势。与L2TP VPN相比,更是明显。一个是2层,一个是3层VPN,这里不作比较。

(1)不需要客户端

客户端的区别是SSL VPN最大的优势。有Web浏览器的地方的就有SSL,所以预先安装了Web浏览器的客户机可以随时作为SSL VPN的客户端。这样,使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供应商等,通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问,而IPSec VPN只允许已经定义好的客户端进行访问,所以它更适用于企业内部。

SSL VPN的客户端属于即插即用的安装模式,不需要任何附加的客户端软件和硬件,即便是瘦客户端模式,由于是用自动下载的模式,所以对用户来讲仍然是透明的;相对而言,IPSec VPN通常需要长时间的配置,并必须有相应的软硬件才可使用,用户需要支付软硬件费用以及配置、技术支持的费用也就比较高。IPSec VPN部署如果增添新的设备,往往要改变网络结构,因此造成IPSec VPN的可扩展性比较差。

(2)安全性较好

第 20 页 共 43 页

SSL是与客户资源之间建立安全连接的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

SSL VPN的安全性与IPSec VPN相比较,SSL VPN在防病毒和防火墙方面有它特有的优势。

SSL VPN由于是与资源直接建立连接,比如web 服务器,文件服务器,邮件等,所以不是基于IP应用的访问。所以客户主机即使感染病毒而后发起基于SSL VPN的访问,都不会感染内网的其他主机。而采用IPSEC VPN,则可能会感染整个网络。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。

还有就是对整个网络的影响。比如客户要访问公司内部FTP服务器,则在出口防火墙则需要开启对21端口的检测,或者运行outside直接访问inside服务器的21端口,这样务必会造成防火墙多余端口的开放,造成不必要的安全隐患。而SSL VPN采用HTTPS加密传输数据,不需要防火墙等安全设备开放21端口,所以这在另一个层面上保证了集团内网安全。

(3)身份识别方面

用户部署VPN是为了让外网用户能安全的访问内网资源,所以保护网络中重要数据的安全成了VPN的一个重要组成部分。在电子商务和电子政务日益发展的今天,企业的各种应用日益复杂,需要访问内部网络人员的身份也多种多样,对内网资源的权限也有不同的级别。

由于IPSEC VPN主要提供基于IP的应用,所以用户通过IPSEC连到内网后就没办法控制,他们就具有较高的权限,因此,内部网络对于IPSec VPN的使用者来说是透明的,只要是通过了IPSEC VPN网关,就可以任意访问内网中的资源。因此,IPSEC VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的全面安全。

而SSL VPN重点在于只是对敏感数据的访问,所以SSL VPN可以根据用户的不同身份,给予不同的访问权限。通过配合一定的身份认证,不仅可以控制访问人员的权限,还可以对访问人员的每个访问的关键信息进行数字签名,以保证每次访问的不可抵赖性,为事后追踪提供了依据。

(4)经济性

使用SSL VPN具有很好的经济性,SSL VPN不需要使用专门的设备,只需要在防火墙或者出口路由器上配置即可。但是对于IPSEC VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备,同时,若也在出口路由器以及防火墙上部署IPSEC easy VPN,则IPSEC使用的加密手段以及HASH手段会加大设备的负担,造成处理能力低下。就使用成本而言,SSL VPN具有更大的优势。

第 21 页 共 43 页

(5)易于维护

SSL VPN相比IPSEC EASY VPN,只需要较少的专业知识就可以维护,不像IPSEC,IPSEC过程较为复杂,很容易就出现差错。出现差错了排错也不容易。所以从维护性来说这也是SSL VPN的一个优势。

所以SSL VPN在其易于使用性及安全层级,都比IPSec VPN高。我们都知道,由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。对于使用者而言,方便安全简单便宜的解决方案,才能真正符合需求。

5.3.5 MPLS VPN 5.3.5.1 MPLS 概述

传统的IP 数据转发是基于逐跳式的,每个转发数据的路由器都要根据IP 包头的目的地址查找路由表来获得下一跳的出口,这是个繁琐又效率低下的工作,主要的原因是两个:1、有些路由的查询必须对路由表进行多次查找,这就是所谓的递归搜索;2、由于路由匹配遵循最长匹配原则,所以迫使几乎所有的路由器的交换引擎必须用软件来实现,用软件实现的交换引擎和ATM 交换机上用硬件来实现的交换引擎在效率上无法相 抗衡。当今的互联网应用需求日益增多,对带宽、对时延的要求也越来越高。如何提高转发效率,各个路由器生产厂家做了大量的改进工作,如Cisco 在路由器上提供CEF(Cisco Express Forwarding)功能、修改路由表搜索算法等等。但这些修补并不能完全解决目前互联网所面临的问题。

IP 和ATM 曾经是两个互相对立的技术,各个IP 设备制造商和ATM 设备制造商都曾努力想消灭对方,想一种技术存世。

ATM技术具有高带宽、快速交换、服务质量可靠的优点,利用ATM实现第二层的交换传输已是共识。而Internet的迅速发展也使IP成为计算机网络应用环境中既成事实的标准和开放的系统平台。因此宽带网络发展的主线是把最先进的ATM交换技术和最普及的IP技术融合起来,那就是MPLS(Multi-Protocol Label Switching)技术的诞生!MPLS 技术结合和IP 技术信令简单和ATM 交换引擎高效的优点!这种融合如果以时间发展和先进性为主线,则集中体现在IP交换、Tag Switch ARIS和MPLS(Multiprotocol Label Switching多协议标签交换)技术。MPLS技术是当前最具有发展前景的宽带网络传输交换技术。

5.3.5.2 MPLS 原理

MPLS VPN网络主要由CE、PE和P等3部分组成:CE(Custom Edge Router,用户网络边缘路由器)设备直接与服务提供商网络(图1中的MPLS骨干网络)相连,它“感知”不到VPN的存在;PE(Provider Edge Router,骨干网边缘路由器)设备与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS

第 22 页 共 43 页

三层VPN的主要实现者:P(Provider Router 骨干路由器)负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P,PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。

PE是MPLS VPN网络的关键设备,根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为 BGP/MPLS VPN。本文主要阐述的是Layer3 MPLS VPN。

在MPLS VPN网络中,对VPN的所有处理都发生在PE路由器上,为此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等属性。RD具有全局惟一性,通过将8byte的RD作为IPv4地址前缀的扩展,使不惟一的IPv4地址转化为惟一的VPNv4地址。 VPNv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。PE对等体之间需要发布基于VPNv4地址族的路由,这通常是通过 MBGP实现的。正常的BGP4能只传递IPv4的路由,MP-BGP在BGP的基础上定义了新的属性。MP-iBGP在邻居间传递VPN用户路由时会将 IPv4地址打上RD前缀,这样VPN用户传来的IPv4路由就转变为VPNv4路由,从而保证VPN用户的路由到了对端的PE上以后,即使存在地址空间重叠,对端PE也能够区分开分属不同VPN的用户路由。RT使用了BGP中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个RT只能被一个 VPN使用,它分成Import RT和Export RT,分别用于路由信息的导入和导出策略。在PE路由器上针对每个site均创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding),VRF为每个site维护逻辑上分离的路由表,每个VRF都有Import RT和Export RT属性。当PE从VRF表中导出VPN路由时,要用Export RT对VPN路由进行标记;当PE收到VPNv4路由信息时,只有所带RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中,而不是全网所有VPN的路由,从而形成不同的VPN,实现VPN的互访与隔离。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。

整个MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和VPN路由信息的分发过程,数据面则定义了VPN数据的转发过程。

在控制层面,P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP(RIPv2、OSPF)等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互,PE路由器通过维持

第 23 页 共 43 页

iBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外,在控制层面工作的还有 LDP,它在整个MPLS网络中进行标签的分发,形成数据转发的逻辑通道LSP。

在数据转发层面,MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE 路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过PE输出接口转发出去,然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上,外层标签被弹出,P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE 路由器,从而实现了整个数据转发过程。

5.3.5.3 MPLS 工作过程

MPLS VPN模式支持网内所有地点之间的全互连通信。当多个用户共享同一个IP骨干网时,可以通过使用边界网关协议BGP的归属群体(community-of-interest)属性来指定属于同一个VPN的路由器。服务供应商则可以设置策略来规定VPN网内的路由信息的传播只限于网内的路由器。

用户端路由器只与服务供应商本地POP的路由器相连,而不是与VPN中的每一个其它的节点相连,POP的路由器只接收并保持与其直接相连的路由器的有关VPN的路由信息。所以用户在管理自己的VPN时会发现使用MPLS模式时路由配置非常简单。他们可以把服务供应商的骨干网当作到他们所有地点的缺省路由来使用,而不需要与非常复杂的、包括了大量第二层PVC或第三层路由表的网络打交道。

基于MPLS的VPN,其框架结构的基本思想是:定义供应商核心路由器PE(ProviderEdge)、用户端路由器CE(CustomerEdge)、骨干网核心路由器P(Provider)三种路由器。其中在CE/PE、PE/PE之间使用BGP协议作为路由控制协议,这其中CE/PE之间属于BGP自治域间会晤,即EBGP;PE/PE之间属于BGP自治域内会晤,即IBGP。PE/P之间可以使用IETF为MPLS定义的任何路由控制协议,即可以使用LDP(标签分配协议)/RSVP(资源保留协议)或其它控制协议。

第一,用户端路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知供应商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,称作内层标记),而在PE与P路由器之间则采用传统的内部网关协议IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,称作外层标记)的绑定。此时CE、PE以及P路由器

第 24 页 共 43 页

中基本的网络拓扑以及路由信息已经形成了。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。

第二,当属于某一VPN的CE用户数据进入网络时,在CE与PE之间连接的接口上可以识别出该CE属于哪一个VPN,从而到该VPN的路由表中去读取下一跳的地址信息,与此同时,在前传的数据包中打上相应VPN的VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。

第三,在骨干网中,初始PE之后的所有P均只读取数据包中的外层标记的信息来决定下一跳,因此在骨干网中P路由器只是作简单的标记交换。P路由器上不运行BGP,也不区分不同的VPN。

第四,在达到目的端PE之前的最后一个P路由器时,该P路由器将数据包的外层标记去掉,读取内层标记(VPN标记),从而确定数据包所属的VPN,随之将该数据包送至相关的接口上,进而将数据包传送到VPN的目的地址处。如图20所示:

图23 MPLS VPN原理图

5.3.5.4 MPLS VPN优势

MPLS能识别不同种类的应用的数据包这点,保证了QoS的实现,而且实现方法比IP隧道和基于VC的网络简单。因为在IP网络上建设VPN需要隧道或加密,而基于VC的网络(如ATM和帧中继)所建的VPN是点对点的,需要为每个CPE

第 25 页 共 43 页

进行单独的配置。另外因为在这种网络上的IP数据包的传输是在VC通道内进行的,所以整个VPN并不知道通信的内容和种类。这种方式下,需要智能化和有策略配置的边界设备,可以给每个通信最大的VC带宽。而且这种方式是以连接为中心的,不具备可扩展性。而且还与IP的商业应用是冲突的,因为IP的商务应用是围绕无连接的TCP/IP协议的。VPN还应当能识别通信的类型,从而将通信根据应用分类。而且VPN应当对VPN的整个网络的存在有了解,这样服务商可以将不同用户和服务分组到IntranetVPN或ExtranetVPN。

MPLS完全可以隔离无关用户的通信,使得无关用户的通信不会混杂,从而提高了安全性。这是在不必使用隧道和加密的前提下就能完成的。MPLS根据服务类型区分的传输方法和完全的QoS策略使得服务商的原来面向传输的服务模型转变成为重点集中于服务变化的模型。

基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络,以网络到网络的方式提供保密性,为用户提供服务。这将支持服务供应商实现从面向传输的模式到面向服务的模式转变。基于MPLS的VPN提供了逻辑上最大的安全性,网络的安全性是由BGP、IP地址方案、可选的IPSec加密三方面结合而成的。

MPLS VPN不仅满足VPN用户对安全性的要求,还减少了网络方和用户方的工作量,可以建立任意的连接,且具有很好的网络可扩展性。VPN用户可以延用原有的专用地址,不需要作任何修改,在骨干网络采用VPN-ID,可以保持全网的唯一性。MPLSVPN还易于提供增值业务,如不同的COS等。

6 适合集团的VPN网络构建

6.1 集团VPN技术选择

该化工集团拥有众多子公司,以及各地分公司,所以各子公司以及分公司间需要较好的远程网络互联。同时,各分公司之间因不同的业务需求需要保证不同的服务质量,要能保证相关业务以及视频会议等不出现延迟,或者不能访问的现象,同时又要保证数据的安全。在工程造价以及维护方面要便宜简单。综合考虑,需要以下几点作保证:

可靠稳定:

MPLS、GRE、IPSEC,SSL、L2TP等技术组建VPN网络在可靠性稳定性方面,GRE、IPSEC、SSL、L2TP不能保证服务质量,其很大程度上要依赖运营商网络。MPLS承载在专线上,而且还提供丰富的QOS,所以MPLS在很大程度上能保证园区网络的可靠性,稳定性。所以在可靠性以及稳定性方面选择MPLS VLN。

安全性:

第 26 页 共 43 页

普通GRE隧道没有采用加密方式,所以在安全性上得不到保证,所以大多选择选择了IPSEC+GRE模式。IPSEC在数据部分和IP包头部分采用加密和HASH算法,保证数据的安全性,完整性。同时,IPSEC的还能保证数据源认证以及防重放等功能。SSL采用SSL套接层加密,HASH等保证数据安全性,数据完整性。基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络,以网络到网络的方式提供保密性,为用户提供安全服务。 所以在安全性上考虑可以选择GRE +IPSEC或者IPSEC或者SSL,MPLS VPN等部署方式。

用户可使用性:

GRE或者IPSEC VPN在点到点方式上用户不需要安装什么客户端软件就可以直接访问公司内部网络,不过不具备移动性。基于IPSEC的easy VPN技术可以很好的解决移动性问题,不过需要客户端软件拨号。SSL VPN可以很好的实现无客户端移动访问,具有很好的可移动性。MPLS VPN用户也不具移动性,也是在固定站点后使用。

支持的应用:

除了SSL VPN是基于WEB,邮件,文件共享等的应用,其他都是基于IP的服务应用。所以在支持的应用上基于不同的需求可以选择不同的部署类型。

可伸缩性:

GRE隧道容易配置,也方便用户端扩展。IPSEC在服务器端可以自由扩展,在客户端有限制。SSL VPN容易配置和扩展。与设备性能有关。MPLS VPN也利于扩展。

维护:

在维护方面,IPSEC难维护,需要配置较多参数,而且也难管理。SSL维护简单,管理也容易。GRE 隧道在管理方面基本也容易,配置不多,维护也简单。MPLS在CE端维护简单,在PE侧有运营商维护。所以从维护管理上来说GRE和SSL较容易。IPSEC相对复杂的多。

费用:

从造价方面,GRE借助运营商网络也就是互联网,造价不会太高,IPSEC和SSL也借助运营商网络。MPLS需要承载网,需要租用线路,所以相对贵些。

6.2 集团分公司以及分支机构重要业务分布

经过调研,该集团主要经营农业、能源、化工、金融、地产五大业务,其中需要实时性要求较高的业务有金融公司,化工公司,能源公司以及各分支机构。化工公司中重要业务有加油卡以及各加油站实时数据业务,票据业务。金融公司主要业务为投资,发行债券等。其他业务相对不必要保证太高实时性,可靠性。

6.3 集团VPN设计选择

第 27 页 共 43 页

针对该集团现状,建议关键核心业务使用MPLS VPN,分公司使用IPSEC VPN。移动人员使用SSL VPN。

7 组建集团VPN网络

7.1 集团VPN总体设计

如下所示为集团整体VPN设计,移动人员以及家庭用户选择SSLVPN,业务相对实时性,可靠性,稳定性要求不高的分支机构选择IPSEC SITE TO SITE VPN,其他业务相对重要的分支机构,子公司使用MPLS VPN。

图24 集团VPN总体设计

7.2 IPSEC VPN建设

7.2.1 集团IPSEC VPN部署

图 25 IPSEC部署图

根据企业实际情况,对比当今VPN部署趋势,选择了如图所示部署方式。如图所示,为IPSEC site-to-site VPN部署方式图。中心站点为总部机房,VPN设备为出口路由器CISCO 7206 。cisco7206支持:

Advanced Encryption Standard (AES) 128, 192, and 256; Triple Data Encryption Standard (3DES); and DES cryptology support

第 28 页 共 43 页

Cisco Easy VPN remote Cisco Easy VPN server

Group Encrypted Transport VPN (GET VPN) Dynamic Multipoint VPN (DMVPN) Virtual Tunnel Interfaces (VTI) 802.1x

VPN QoS—Preclassification support Support for up to 5000 IPSec tunnels

可以看到7206支持256位的AES加密以及VPN Qos,支持5000条IPSec隧道,所以从整体上7206能满足IPSECVPN部署需求。分支机构也选择出口路由器部署IPSEC VPN。7206能满足企业总部与各分支机构的互联,不会影响其他业务。

7.2.2 IPSEC VPN基本配置

IPSEC主要需要配置IKE参数,以及相关的感兴趣数据流,产生加密图,最后应用加密图。

IPSEC VPN运行流程:

需要保护的流量流经路由器,触发路由器启动相关的协商过程。

启动IKE (Internet key exchange)阶段1,对通信双方进行身份认证,并在两端之间建立一条安全的通道。

启动IKE阶段2,在上述安全通道上协商IPSec参数。 按协商好的IPSec参数对数据流进行加密、hash等保护。 IPSEC VPN配置步骤:

1. 准备工作:确保总部路由器到分公司路由器能ping通,确保确认AH流

量(IP协议号为50)、 ESP流量(IP协议号为51)和ISAKMP流量(UDP的端口500)不会被阻塞。

2. 配置IKE参数

启用IKE

创建IKE策略集policy 配置IKE身份认证的相关参数 验证IKE配置

3. 创建转换集,转换集定义了使用的隧道协议,AH或者ESP,然后选择隧道模式。

4. 创建加密图应用加密图 具体如下:

crypto isakmp policy 10 //定义ISAKMP策略;

第 29 页 共 43 页

encr 3des

authentication pre-share // 认证对等体,使用预共享密钥 group 2 //公共密钥交换算法DH group2

crypto isakmp key cisco address 1.1.1.2 //对等体的预共享密钥 !

crypto IPSec transform-set chinaset esp-3des esp-sha-hmac //IKE阶段2定义转换集

!

crypto map huagong 1 //创建加密图。 set peer 1.1.1.2 //加密图内指定对等体 set transform-set chinaset //指定转换集 match address 101 //匹配感兴趣数据流 !

access-list 101 permit ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 //感兴趣数据流,定义哪类数据流加密 !

interface Serial1/0

ip address 1.1.1.1 255.255.255.252 serial restart-delay 0 crypto map huagong

!//应用加密图到接口下 这样,在总部一端IPSEC VPN配置完成。集团分公司配置时只需要IKE相关参数,IPSEC参数,就能与总部相同就能形成SA。

7.2.3 IPSEC VPN 验证与测试 测试并验证配置的相关方法:

show crypto isakmp policy //显示 IKE策略

show crypto IPSec transform-set //显示IPSec变换集 show crypto map //显示加密图信息

show crypto IPSec sa //显示IPSec SA的状态 Show crypto isakmp sa //显示ISAKMP SA debug crypto IPSec //debug IPSec 事件 debug crypto isakmp //debug ISAKMP 事件

通过相关的显示与调试命令可以调试IPSEC 以及IPSEC VPN信息,保证IPSEC VPN系统得以正常运行。

zongbu#sh crypto IPSec sa interface: Serial1/2 Crypto map tag: huagong, local addr 1.1.1.2

第 30 页 共 43 页

protected vrf: (none)

local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (20.1.1.0/255.255.255.0/0/0) current_peer 1.1.1.1 port 500 PERMIT, flags={origin_is_acl,}

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0

local crypto endpt.: 1.1.1.2, remote crypto endpt.: 1.1.1.1 path mtu 1500, ip mtu 1500, ip mtu idb Serial1/2 current outbound spi: 0x1EBC53EB(515658731)

inbound esp sas:

spi: 0x486D3A2A(1215117866)

transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, }

conn id: 2001, flow_id: SW:1, crypto map: huagong sa timing: remaining key lifetime (k/sec): (4599070/3513) IV size: 8 bytes

replay detection support: Y Status: ACTIVE

inbound ah sas: inbound pcp sas: outbound esp sas:

spi: 0x1EBC53EB(515658731)

transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, }

conn id: 2002, flow_id: SW:2, crypto map: huagong

第 31 页 共 43 页

sa timing: remaining key lifetime (k/sec): (4599070/3512) IV size: 8 bytes

replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas:

zongbu#sh crypto isakmp sa

dst src state conn-id slot status 1.1.1.1 1.1.1.2 QM_IDLE 1 0 ACTIVE 经过本次模拟测试,可以看到两端SA已经建立,数据通道已经建立。

图26 数据包加密

可以看到数据部分已经完全被加密,这样就保证了数据的安全性。 IPSEC还可以使用数字证书认证,这样保证了数据源认证。需要建立一个CA证书中心。CA证书中心需要各分公司都能访问这个CA证书中心。所以在一定程度上也加大了开销。只需要将密钥管理好,可以达到相关安全要求。

7.3 SSL VPN建设

7.3.1 SSL VPN部署

图27 SSL VPN部署图 第 32 页 共 43 页

如图:SSL VPN可以让移动用户,固定用户以及小型SOHO家庭用户登录,根据该集团网络实际情况,充分考虑了各种因素,提出了将SSL VPN网关架设在防火墙上,也就是cisco ASA5580上。只要用户能上网,就能访问到SSL网关,也就是ASA5580。ASA5580完全能满足SSL VPN的部署需求,起百万的连接数,5000M的网络吞吐能力,加上强大的处理器内存等硬件设施,完全能满足企业SSL VPN网关部署需求。

7.3.2 SSL VPN基本配置 SSL配置基本需求:  认证:

SSL VPN需要配置认证,最好配置授权,审计,也就是AAA。也可以使用本地授权认证。

 DNS:

需要定义域名或者静态主机名到IP的映射。  证书和信任点:  WEB VPN 网关 包括地址,信任点等  WEB VPN context

配置相关信息,诸如登陆信息,URL显示,或者策略组或者其他如URL跳转,文件共享,端口转发等。

具体基本配置: aaa new-model//认证 ! !

aaa authentication login webvpn group radius !

radius-server host 10.10.10.10 auth-port 1645 acct-port 1646 key cisco

WEB vpn基本配置:

webvpn gateway webvpn_gate//webvpn基本配置,包括网关地址以及激活服务

ip address 192.168.1.254 port 443

ssl trustpoint TP-self-signed-4294967295//自动生成的证书 inservice !

URL-LIST基本配置:

第 33 页 共 43 页

webvpn context OA//OA context ,在网页上会显示OA目录,相当于书签 ssl authenticate verify all !

url-list \"OAServer\" heading \"office\"

url-text \"OAServer\" url-value \"10.10.20.253\"//点击OAServer这个标签时会自动跳转到10.10.20.253 的OAServer上,10.10.20.253为OAserver地址,也可以添加其他地址只需要标签对应的地址就可以了 ! !

policy group OAGroup//策略组,在这里调用URL-list url-list \"OAServer\" default-group-policy OAGroup inservice//激活 !

File-share配置:

webvpn context fileshare ssl authenticate verify all !

nbns-list \"jituanfileshare\"// 转发标签 nbns-server 10.10.20.252 //文件服务器地址 !

policy group fileshare//组策略

nbns-list \"jituanfileshare\"//组策略下调用转发列表

functions file-access//允许的操作,包括文件访问,文件浏览等 functions file-browse functions file-entry

functions svc-enabled//运行客户端通过隧道模式访问 default-group-policy fileshare//调用策略组 inservice ! !

端口转发: !

第 34 页 共 43 页

webvpn context telnet ssl authenticate verify all !

port-forward \"telnet\"//转发表

local-port 6666 remote-server \"10.10.20.251\" remote-port 23 description \"port-to-23\"//基本转发项,包含本地端口,远端设备地址以及远端端口。 !

policy group portforward//策略组,调用转发策略组 port-forward \"telnet\"

default-group-policy portforward inservice ! !

7.3.3 SSL VPN 验证方法

show webvpn gateway //显示WEBVPN网关的运行状态

show webvpn context //显示操作的状态和配置的参数 show webvpn nbns //文件共享状态

show webvpn policy //WEBVPN策略参数与context的关联情况 show webvpn session //显示WEBVPN用户会话信息 show webvpn stats //显示WEBVPN应用和网络状态 排错方法:

Debug webvpn //开启webvpn基本会话监视,会显示大量WEBVPN信息 Debug webvpn aaa //调试显示AAA信息

Debug webvpn port-forward //调试端口转发信息 Debug webvpn webservice //显示webservice调试信息 清除相关会话信息:

Clear webvpn session/nbns/stats……

对于集团公司的SSL VPN建设,主要从安全性,稳定性,可靠性,以及造价方面考虑,只需要在ASA5580上配置,没有必要花费额外的金钱去购买SSL VPN设备。

7.4 MPLS VPN建设

7.4.1 现今MPLS承载网介绍

现今MPLS承载网主要有163网,DCN网。其中更多的MPLS是承载在DCN网上,当前中国电信数据承载网主要有C网,DCN,163网,以及新的NCN网。163

第 35 页 共 43 页

网为电信城域网,主要由几台GSR连接到4台CRS路由器骨干网上,DCN为封闭网络。

7.4.2 MPLS 部署

MPLS VPN承载在电信DCN网上,所以核心只需要电信去维护。这种部署方案需要租用电信线路,但是这种专线相当于公网,能很好的保证稳定性,可靠性,安全性。所以在关键业务以及核心数据传输方面,租用线路比公网传输能给企业带来更大的效益。特别是其丰富的QOS支持,保证企业核心业务不因网络环境而受到影响,企业数据不会因网络安全而泄密。在部署上总部选择出口路由器7206作为CE设备,其他分公司也选用出口路由器作为CE设备。CE设备只需要通过光纤连接到电信PE设备上。

如图为MPLS网络部署图:

图28 MPLS VPN部署图

7.4.3 MPLS VPN的配置 MPLS配置的基本步骤: PE配置流程(运营商配置):

(1) 启用cef转发功能 (2) 配置VRF (3) 配置RD

(4) 配置export RT和import RT

(5) 配置连接CE的接口,将该接口与VRF联系起来 (6) 配置PE到CE的路由协议 (7) 配置MP-BGP协议

(8) 配置连接P的接口,在该接口上启用MPLS标签交换 (9) CE配置:只需配置与PE间的动态路由协议。

第 36 页 共 43 页

如下拓扑模拟: 参考拓扑:

VPNACE110.1.1.1分支公司VPNACE2总部模拟20.1.1.120.1.1.2PE1PPE260.1.1.150.1.1.150.1.1.210.2.2.260.1.1.2VPNBCE110.1.1.130.1.1.130.1.1.240.1.1.140.1.1.270.1.1.270.1.1.110.2.2.2分支公司VPNBCE2分支公司

图29 模拟集团环境配置MPLS VPN

如下为PE配置:

ip cef //启用cef转发 !

配置 vrf: ip vrf vpna

rd 100:1 //RD,前者为AS号,后者为标识,用来区分不同VPN的路由 route-target export 100:1 //发出RD路由属性 route-target import 100:1 //接收RD路由属性 !

ip vrf vpnb rd 100:2

route-target export 100:2 route-target import 100:2 !

interface FastEthernet0/0

ip vrf forwarding vpna //接口下开启VRF转发 ip address 20.1.1.2 255.255.255.0 duplex auto speed auto !

interface Serial1/0

ip address 40.1.1.1 255.255.255.0 mpls ip //接口上启用MPLS标签交换

第 37 页 共 43 页

serial restart-delay 0 !

router ospf 2 vrf vpna //重分布BGP到OSPF,主要为PE到CE间的路由协议,有时候指静态

log-adjacency-changes redistribute bgp 100 subnets network 20.1.1.2 0.0.0.0 area 0 !

router ospf 1 //PE到P间的IGP路由 log-adjacency-changes

network 3.3.3.3 0.0.0.0 area 0 network 40.1.1.1 0.0.0.0 area 0 !

router bgp 100 //配置M-BGP no synchronization bgp log-neighbor-changes neighbor 5.5.5.5 remote-as 100

neighbor 5.5.5.5 update-source Loopback0 no auto-summary !

address-family vpnv4 neighbor 5.5.5.5 activate

neighbor 5.5.5.5 send-community extended exit-address-family !

address-family ipv4 vrf vpnb redistribute connected redistribute static no synchronization exit-address-family !

address-family ipv4 vrf vpna redistribute ospf 2 vrf vpna no synchronization

第 38 页 共 43 页

exit-address-family !

P(骨干网核心路由器)配置: interface Serial1/0

ip address 40.1.1.2 255.255.255.0 mpls ip //只需要开启MPLS标签交换 serial restart-delay 0 !

只需配置IGP即可 router ospf 1

log-adjacency-changes

network 0.0.0.0 255.255.255.255 area 0 ! CE配置:

CE只需要有到PE路由即可。所以可以选择静态动态路由协议。 7.4.4 MPLS VPN验证 show ip vrf_ //查看VRF表

show ip vrf interfaces_ //显示活动的接口 show ip route vrf CENAME //显示PE上路由信息 show ip bgp vpnv4 tag_验证BGP. show ip cef vrf XX X.X.X.X detail_ debug ip vrf debug ip route vrf debug ip bgp vpnv4 debug ip cef vrf

集团公司由于只是租用电信线路,所以MPLS 核心骨干网交由电信维护。所以只需要保持到电信PE端的连接。

在集团VPN网络组建中,合理根据企业实际情况,选择了三种VPN部署方式,综合利用其优缺点,发挥其应有的作用。

8 VPN管理与维护

8.1 IPSEC VPN 的管理与维护

针对集团远程接入需求,结合该集团实际情况,部署了IPSEC SITE TO SITE VPN,主要在总部的7206路由器以及各分支机构的出口路由器。Cisco 7206路由器完全可以支持IPSEC VPN 的部署,而且双出口的部署模式不会对现存网络产生

第 39 页 共 43 页

影响。唯一的缺点是IPSEC 不好维护。其众多的策略组以及加密图有时候很难匹配,造成麻烦。所以从管理上考虑,需要将策略组与加密图对应,然后记录下相应的策略组与分支机构的对应关系,这样以后出现故障也好查找。同时,可以借助SDM之类的软件进行配置管理,还有就是 VPN的配置部分要及时做好备份。

IPSEC的维护的确是一件困难的事,但是我们做好相应的备份与记录管理,管理也就不是问题。

8.2 SSL VPN的管理与维护

在SSL VPN的管理方面相对IPSEC来说还是比较容易,SSL只需要一台SSL VPN网关或者叫服务器。SSL VPN不需要客户端支持,可以说随时随地都可以访问网络资源同时SSL VPN消耗的硬件资源较少,不需要策略组的匹配与加密图。所以不需要花费相当的资源去加解密数据,也不需要去匹配规则。同时ASA5580对SSL VPN的支持也比较出色,所以在管理方面需要花费较少的精力。

8.3 MPLS VPN的管理与维护

MPLS VPN租用电信线路。只需要PE与CE的互联,同时PE设备只是服务提供商重分布公司路由到BGP进程。运营商内部不需要额外配置与管理,所以借助运营商网络可以很好的管理VPN网络。CE端只需要与PE端保持互联即可,所以不存在难以管理与维护的问题。

结 论

依靠因特网发展而迅速发展的电子商务越来越受到企业,政府等企事业单位的重视,先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。因此,企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统,同时,对于身处异地的分支机构或者分公司,办事处,或者在外出差的企业员工,需要为其提供高效,实时的内网访问,保证相关业务运行的准确高效,同时,在远距离传输过程中要保证数据不被窃取和篡改,不遭受其他各种形势的威胁。于是,通过本课题的研究,帮助企业实现远程安全,实时,高效互联。

从整体上说,对于企业远程接入的设计不仅仅只是购买相应的VPN设备或者做相应的配置,还需要掌握企业针对远程接入的需求以及VPN设计的原则,从企业的实际需求出发,针对现今各种流行的VPN技术进行了分析比较,从原理到数据包的封装到体系结构都做了详细的分析比较,最后选出了适合企业的3种VPN部署方式,最后通过实验模拟,得出了VPN的实际效用。当然,本实验只是在理论上做的模拟。在实际环境中会复杂的多,所以难免会有很多不足之处。希望通过本次设计研究,提供给企业一个很好的参考。

第 40 页 共 43 页

参考文献

[1] Cisco. Securing Networks with Cisco Routers and Switches (SNRS) v2.0 Volume 2: USA: Cisco press 2008

[2]Cisco.Press.CCIE.Professional.Development.Network.Security.Principles.and.Practices. USA: Cisco press 2002

[3] Cisco.Securing Networks with PIX and ASA (SNPA) v4.0 Volume 2: USA: Cisco press 2005

[4] Luc De GHein 著,陈麒帆译. MPLS Fundamentals (MPLS技术构架).北京:人民邮电出版社

第 41 页 共 43 页

致 谢

本文是在秦智老师的热情关心和指导下完成的,通过他的细心指导,让我在VPN设计方面学到很多知识;同时,在论文结构排列和论文排版方面也受益匪浅。在此向他表示我最衷心的感谢!

感谢网络工程学院的方睿老师,何林波老师,李享梅老师以及其他众多老师给予4年来无限照顾,在此谢谢各位老师。

最后向在百忙之中评审本文的各位专家、老师表示衷心的感谢!

作者简介:成都信息工程学院网络工程系网络200603班学生 姓 名:项洋 性别:男 出生年月:19861103 民族:汉 职业认证:HCNE,HCSE,CCNA,CCSP,CCIE-W E-mail: chinaxy11@sina.com

第 42 页 共 43 页

声 明

本论文的工作是 2010年01月至2010年06月在成都信息工程学院网络工程系完成的。文中除了特别加以标注地方外,不包含他人已经发表或撰写过的研究成果,也不包含为获得成都信息工程学院或其他教学机构的学位或证书而使用过的材料。除非另有说明,本文的工作是原始性工作。

关于学位论文使用权和研究成果知识产权的说明:

本人完全了解成都信息工程学院有关保管使用学位论文的规定,其中包括: (1)学校有权保管并向有关部门递交学位论文的原件与复印件。 (2)学校可以采用影印、缩印或其他复制方式保存学位论文。 (3)学校可以学术交流为目的复制、赠送和交换学位论文。 (4)学校可允许学位论文被查阅或借阅。

(5)学校可以公布学位论文的全部或部分内容(保密学位论文在解密后遵守此规定)。

除非另有科研合同和其他法律文书的制约,本论文的科研成果属于成都信息工程学院。 特此声明!

作者签名: 2010年 月 日

第 43 页 共 43 页

因篇幅问题不能全部显示,请点此查看更多更全内容