zxlw基于MPLSVPN的长城人寿保险公司网络解决方案.docVIP

毕业设计说明书 学学 院：院： 电子与信息工程学院电子与信息工程学院 专专 业：业： 计算机科学与技术 学生姓名：学生姓名： 张 靖 学学 号：号： 20024124 设计题目：设计题目： 基于 MPLS VPN 的长城人寿保险公司 网络解决方案 起迄日期起迄日期: : 2006 年 3 月2006 年 6 月 指导教师：指导教师： 刘 军 万 （副教授） 专专业业负负责责人人 : : 评阅教师：评阅教师： 2006 年 6 月 1 日 目 录 1 绪论1 1.1 项目的提出 .1 1.2 项目的国内外现状 .4 1.3 项目的前景 .5 1.4 项目的应用 .6 1.5 本文的组织 .7 2 虚拟专用网技术8 2.1 虚拟专用网的概念 .8 2.2 虚拟专用网原理 .9 2.3 虚拟专用网的分类 10 2.4 VPN 涉及的关键技术.12 2.4.1 隧道技术.13 2.4.2 相关隧道协议.15 3 长城人寿保险公司需求分析.20 3.1 保险行业现状概述 20 3.2 保险行业安全分析 20 3.2.1 保险行业安全需求.21 3.2.2 防毒需求.22 3.3 长城人寿保险公司现有网络 22 3.3.1 传统 VPN .22 3.3.2 执行步骤.24 3.4 长城人寿保险公司的具体需求 24 4 基于 MPLS VPN 的网络设计26 4.1 MPLS 标签26 4.2 MPLS 的基本原理27 4.3 MPLS VPN 31 4.3.1 MPLS/BGP VPN.35 4.3.2 MPLS L2 VPN39 4.4 MPLS L2 VPN 与 MPLS L3 VPN 比较44 5 基于 MPLS VPN 的网络解决方案46 5.1 软件和硬件环境 46 5.2 MPLS VPN 网络拓补 47 5.3 路由器的基本配置方法 48 5.4 MPLS VPN 配置 50 5.5 检验配置 54 6 MPLS 基础网络的运营和维护 57 6.1 运营和维护的需求 57 6.2 MPLS 网络运维技术发展现状57 6.3 MPLS OAM 技术 58 6.4 MPLS OAM 支持工具 61 6.5 三层 MPLS VPN 主要故障的排除 .62 6.5.1 路由信息方面故障的处理.62 6.5.2 MPLS 数据流方面故障的处理 63 7 结 论64 参考文献66 附 录.68 基于 MPLS VPN 的长城人寿保险公司网络解决方案 内容摘要VPN（虚拟专网）是近年来快速发展并得到应用普及的新兴互联网业务，作 为下一代网络的关键技术，多协议标签交换（MPLS）技术以其支持流量工程和 QoS 保证 在 IP 网络扮演着越来越重要的角色。本文简要介绍了虚拟专用网的相关技术， 在对长 城人寿保险公司网络需求分析的基础上，选定了构建 MPLS/BGP VPN 网络来达到更高的 安全性和更好的扩展性。且详细阐述了 MPLS VPN 的基础网络技术及网络设计方案，成 功构建了 MPLS VPN 网络且对其路由器进行了配置，很大程度上满足了长城人寿保险公 司的网络升级需求。 关键词虚拟专网；多协议标记交换；隧道技术；动态路由 1 绪论 随着 Internet 技术的发展和普及，企业和个人在 Internet 上的交易日 益频繁，随之而来的安全问题日益突出。人们以往要想构建企业内部 (Intranet)或企业与企业之间(Extranet)交易的安全环境，必须通过自建通 信主干道或者至少租用电缆或光缆组成骨干网，利用 Modem、ISDN、DDN 等 设备和技术来构建自己的专用网，其费用巨大。要构建高性能、高速度、高 安全性和高可靠性的专用网的费用是普通企业或部门难于承受的。 表 1.1 VPN 技术与专线技术的比较 VPN 技术专线技术 安全性 非常高,保证数据传输的完 整性、保密性、不可抵赖性； 安全控制在用户手里 比较高，但安全是建立在对 电信部门相信的基础上，对 电信运营商，无任何安全可 言 可扩展性 基于 TCP/IP 技术，接入方 式灵活，只要网络可达，就 可以方便扩展 依靠当地运营商的支持扩展 很不方便 投资成本 设备一次性投入，不需要支 出每月的运营费用，长戎看 来大幅度节省支出 专线费用很高，需要每月支 付昂贵的专线租用费用，而 且在初期要一次性投入路由 器的费用 对移动用户的支持 能对 internet 上的内部移 动用户安全接入，彻底消除 地域差异，构造全球的虚拟 专网。 只能通过专线拉到的网络， 不支持离开局域网的内部用 户接入专网。 带宽 使用各种廉价的宽带接入方 式，如：ADSL ETHERNET 等， 一般在 1100M。 由于价格昂贵，一般租用的 带宽都比较窄 升级 依赖于设备的升级，非常方 便 依赖于电信部门 如表 1.1 所做的比较,在这种环境下，虚拟专用网技术应运而生。虚拟 专用网技术，给企业提供了一种更安全，更廉价的构造企业 Extranet 的网 络应用形式。利用 VPN 技术，在廉价的、无处不在的 Internet 上建立虚拟 专用网络，为企业提供了一个高安全性、高性能、高可用性和多协议的网络 环境。使得 Internet 上的任意两个节点之间均可以建立一条安全的数据传 输“隧道” 。 1.1 项目的提出 长城人寿保险股份有限公司总公司设在我国首都北京,注册资金 6.4 亿 人民币。现已开设了山东省、湖北省、四川省、河南省等多家省公司，并且 每个省公司下设多个市级中心支公司及区县营业区。此类保险公司皆具有其 行业特殊性，因此对于网络的数据传输的安全性要求甚高。公司现有普遍的 互联网资源，各市级中心支公司已组建了虚拟专用网与省总司进行网络连接， 而省公司也与总公司进行了虚拟专用网的网络连接，在此基础上，为了进一 步提高安全性，同时也考虑到网络的可拓展性，进行了 MPLS VPN 的网络设 计与实现。最直接的目的就是满足长城人寿保险股份有限公司的网络需求及 发展。 目前许多企业已经采用以太、FDDI 等局域网技术组建了公司的内部网， 但对于那些拥有较多分支机构，需要经常跨地域通信的企业用户来说，企业 总部如何来管理分布于各地的分支机构，各地的分支机构间又如何及时地沟 通信息、最大限度地共享资源；企业如何保持与分布日益广泛的客户、合作 伙伴之间的紧密联系，都是让企业深受困扰的问题。要打破局域网传送距离 的限制，最根本的解决之道是进行远程组网。相对局域网而言，远程组网在 技术上的名词为广域网。广域网并非是拉几根光纤，加几个光电转换器那么 简单；它需要确保用户的私有数据在几公里到几千公里的传送过程中安全可 靠。因而广域网需由电信运营商投入巨大的资金和人员进行专业的运营管理 和维护，并按端口和电路出租给用户远程组网时使用。VPN 能够利用公用骨 干网络的广泛而强大的传输能力，降低企业内部网络的建设成本，极大地提 高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实 时性、宽频带、方便性的需要，所以，很受一些大型跨地域集团用户的欢迎。 据研究，VPN 代替租用专线能使远程站点的连接费用降低 20%到 47%，在远程 投入的情况下，能降低 60%至 80%的成本。VPN 在为用户产生效益的同时，也 为自己开拓了广阔的发展前景。 对于企业而言，组网方式选择好了，就要顺理成章地考虑前期投资、后 期维护、网络升级等问题，FR、DDN 以及 MPLS VPN 三种方式的比较，我们可 从表 1.2 的具体数据中看出端倪。 表 1.2 ddn、fr、mpls vpn 所需资源比较表 ddnfr 基于 mpls 的 ip-vpn 前 期 投 入 昂贵的专用终端，而且一个 专用终端设备的物理端口只 能接一条 ddn；每一对要通信 的机构之间都要申请一条 ddn 进行连接；且无法提供 2m 以 上带宽 昂贵的专用终端设备；从每 个要互连的用户端到运营商 fr 网有一条物理电路连接； 在每一对要互连的机构之间 要租用一对 pvc 电路；无法 提供 2m 以上带宽 用户端设备采用低端路由 器即可，从每个要互连的 用户端到中国网通有限公 司 vpn 网需有一条物理电 路连接；租用中国网通有 限公司相应速率的 vpn 端 口；可提供任意速率带宽 每 月 的 费 用 每对互连点间的 ddn 物理线 路费 每对互连点间的 pvc 电路费； fr 端口费 仅端口月租费 如 何 扩 容 每扩容一个点，需要：专用 终端设备投入；新增点至其 它所有要进行连接的点之间 增加多条 ddn 物理线路投入； 可能需要对已有每个点的设 备进行升级，以满足端口增 加的需求；进行大量复杂的 设置，以实现新增点与原有 点的互连 每扩容一个点，需要：新增 点至其它所有要进行连接的 点之间增加的多条 pvc 电路 投入；扩容各点的端口，以 容纳新增 pvc；可能需要因 原有端口不足而导致设备扩 容；进行一系列设置，以实 现新增点与原有点的互连 直接申请新的端口，由中 国网通有限公司实现所有 点的互连 日 常 维 护 工 作 量 需对全公司每一个用户接入 点上每一台连上 ddn 网的设 备进行路由、安全、参数设 置等多方面的配置；需要有 人掌控全公司各结点组成的 广域网 需对全公司每一个用户接入 点上每一台连上 fr 网的设 备进行路由、安全、参数设 置等多方面的配置;需有人 掌控全公司各结点组成的广 域网 对于每一个接入点，用户 只需保证与中国网通有限 公司之间的连通即可 投 入 的 人 力 资 源 数名资深专业工程师和大量 的工作时间 数名资深专业工程师和大量 工作时间 可简单操作路由器的技术 员即可 安 全 性 三种组网方式具有同等安全 性 总的来说，首先，一定要结合其他的 VPN 技术，如租用线、IP VPN、帧 中继、ATM 来提供满足不同用户不同需求的整体解决方案；二是要确网络传 输质量，如可靠性、QoS 等；三是要努力降低网络操作维护的复杂度，提高 网络的利用率，优化网络资源的使用。 针对大家都很敏感的价格问题，中国网通有限公司产品管理部产品经理 董昕透露，作为市场第一家使用 MPLS VPN 服务的运营商，中国网通有限公 司采用了国际通用的价格模式，当接入点大于 3 个以上时，价格将比与同等 质量的 DDN、FR 便宜，点多的话优势更为明显。 1.2 项目的国内外现状 未来网络发展的趋势是三网合一，因此 IP 的应用将会越来越普遍，越 来越重要。而随着 IP 运用的深入，应用与带宽的矛盾将会激化，企业原有 的以专线或电路为主的组网方式将不能适应未来的发展。VPN 服务的推出， 将大大改变、加速推动这一市场的发展，进而推动国内电子商务的进程。目 前，VPN 在国内的发展正处于迅猛上升的势头，据网通数据产品管理部高级 经理高寅介绍，VPN 业务在网通同类型的业务中所占比例达到了 40%的增长 率。VPN 以其高可扩展性及宽带网络的基础迅速在这个领域崛起。2001 年更 是 VPN 技术突飞猛进并走向成熟的一年，技术的成熟和可靠使得 VPN 在全世 界的应用越来越广泛，并成为许多欧美企业专网组网的首选方案，如国际著 名厂商 AT&T、Level3、MCI World Com、UUNET，以及国内知名企业网通、盈 通等都已经组建了 VPN 网络。 MPLS VPN 业务近几年引起了全球运营业的普遍关注。国外大的运营商 如 AT&T、Sprint、Verizon、BellSouth、NTT 都已经开始应用 MPLS 网络。 我国运营商中最早推出 MPLSVPN 业务的是中国网通，推出时间为 2002 年 6 月。随着市场前景的日益看好，中国电信、中国铁通也开始提供这项服务。 此外，一些跨国运营商也开始关注中国市场，围绕 MPLS VPN 业务的竞争正 在中国市场上逐渐升温。 （1）中国网通 2002 年，网通成为中国首个在全国范围内提供全程全网、端到端的宽带 MPLS VPN 业务的电信运营商。据网通称，MPLS VPN 如今是中国网通所有国 际产品中增长最快的业务，目前的业务量月均增长率在 25%左右，年增长率 高达 300%。 （2）中国电信 2002 年，在中国大陆建立其高密度的 IP/MPLS 网络。该网络在同一物理 网络上支持对传统业务和 IP/MPLS 新业务，并可快速提供用户业务。比如对 等接入、IPVPN、城域以太网，通过二层 VPN 的方式承载 FR、ATM、DDN 业务 的等。中国电信美国公司则将向在中国有业务的美国公司提供 VPN、通达中 国内地各处的专线业务和到 CHINANET 的直接 IP 接入等业务。与此同时，众 多不同行业的大型企业如 Shell、Unilever、Sakura Bank、BBC、雀巢、丰 田等都采用了这种服务并从中获益。 （3）Sprint 2004 年初，美国全国性运营商 Sprint 推出针对企业用户的 MPLS VPN 业 务。至此，Sprint 已经拥有了数据网互联方面所有的服务产品，包括旧有的 传统专用线、帧中继、ATM、IP 接入等等。在接下来的两年里，Sprint 希望 在自己的专有 IP 网和全球 IP 平台上都采用 MPLS VPN 技术，并且集成以前 的 Internet 接入和远程接入服务。 1.3 项目的前景 目前，Internet 本身还是一个没有安全保证的网络。随着 Internet 的 蓬勃发展，基于 TPC/IP 协议的 Internet 逐渐暴露出一些安全方面的问题。 必须采取完备的安全机制，以解决 Internet 日益严重的安全问题，保证数 据通过 Internet 进行传输的安全性。VPN 技术可以保证通过 Internet 连接 的两节点间的安全通讯。Intranet、Extranet 与专用网络有很多相似之处， Internet 的不断完善和发展为企业信息化战略提供更好的网络应用形式，而 VPN 技术，又给企业提供了一种更安全，更廉价的构造企业 Extranet 的网络 应用形式。利用 VPN 技术，在廉价的、无处不在的 Internet 上建立虚拟专 用网络，为企业提供了一个高安全性、高性能、高可用性和多协议的网络环 境。使得 Internet 上的任意两个节点之间均可以建立一条安全的数据传输“ 隧道“,很大程度上缓解了网络资源的紧张。 VPN 虽然是一项刚刚兴起的综合性的网络新技术，但却已经显示了其强 大的生命力。在我国网络基础薄弱，政府和企业对 IP 虚拟专用网的需求不 高，但相信随着政府上网、特别是在电子商务的推动下，基本 MPLS 的 IP 虚 拟专用网技术的解决方案必将有不可估量的市场前景。 MPLS VPN 的网络采用标签交换，一个标签对应一个用户数据流，非常 易于用户间数据的隔离，利用区分服务体系可以轻易地解决困扰传统 IP 网 络的 QoS/CoS 问题，MPLS 自身提供流量工程的能力，可以最大限度地优化配 置网络资源，自动快速修复网络故障，提供高可用性和高可靠性。 MPLS 提供了电信、计算机、有线电视网络三网融合的基础，除了 ATM， 是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交 换的网络平台。因此基于 MPLS 技术的 MPLS VPN，在灵活性、扩展性、安全 性各个方面是当前技术最先进的 VPN。此外，MPLS VPN 提供灵活的策略控 制，可以满足不同用户的特殊要求，快速实现增值服务(VAS)，在带宽价格 比、性能价格比上，相比其他广域 VPN 也具有较大的优势。 1.4 项目的应用 采用 MPLS VPN 技术可以把现有 IP 网络分解成逻辑上隔离的网络，这种 逻辑上隔离的网络的应用可以是千变万化的：可以是用在解决企业互连、政 府相同/不同部门的互连、也可以用来提供新的业务，如为 IP 电话业务专门 开通一个 VPN。例如： （1）MPLS VPN 构建运营支撑网 利用 MPLS VPN 技术可以在一个统一的物理网络上实现多个逻辑上相互 独立的 VPN 专网，该特性非常适合于构建运营支撑网，例如，目前国内很多 省市的 DCN 网就采用华为的设备，在一个统一的物理网络上构建网管，OA， 计费等多个业务专网。 （2）MPLS VPN 在与运营商城域网的应用 作为运营商的基础网络，宽带城域网需同时服务多种不同的用户，承载 多种不同的业务，存在多种接入方式，这一特点决定城域网需同时支持 MPLS L3VPN，MPLS L2VPN 及其它 VPN 服务，根据网络实际情况及用户需求开通相 应的 VPN 业务，例如，为用户提供 MPLS L2VPN 服务以满足用户节约专线租 用费用的要求。 （3）MPLS VPN 在企业网络的应用 MPLS VPN 在企业网中同样有广泛应用。例如，在电子政务网中，不同的 政府部门有着不同的业务系统，各系统之间的数据多数是要求相互隔离的， 同时各业务系统之间又存在着互访的需求，因此大量采用 MPLS VPN 技术实 现这种隔离及互访需求。 1.5 本文的组织 第 1 章，介绍了虚拟专用网以及相关技术的研究现状，对 MPLS VPN 的 国内外现状及前景进行了分析。第 2 章，介绍了虚拟专用网的概念、原理、 分类及深入介绍了虚拟专用网的相关技术，特别是隧道技术。第 3 章，给出 了长城人寿保险公司网络的需求分析。第 4 章，进行 MPLS VPN 的网络设计， 即在构建网络中应用到的 MPLS VPN 的原理分析。 第 5 章，全面给出了网络 解决方案，即网络拓补结构图、网络配置程序、配置的检测等。第 6 章，对 MPLS VPN 网络进行主要故障的排除及维护。 2 虚拟专用网技术 2.1 虚拟专用网的概念 虚拟专用网 VPN(Virtual Private Network)的定义有多种形式，如“是 建立在实际网络(或物理网络)基础上的一种功能性网络” ， “是通过公用网络 实现远程用户或远程 LAN 之间互连，但仍具有专网化点的一种技术” ， “在 Internet 上实现的一个专用网”等等。在这里我引用 Internet 工程任务组 (IETF)对虚拟专用网 VPN 的定义：借助于公用 Internet 和专用 IP 网而建立 的虚拟广域网(WAN)。 VPN 业务采用了当今世界最先进的网络通信技术，在 IP 网络上利用虚拟 逻辑动态联接替代了传统的物理链路的联接方式，为客户提供集保密性、安 全性、可管理性为一体的虚拟逻辑专网，满足客户与不同城市分支机构间安 全、快速、可靠、经济的私有通信需求，并能够支持数据、语音、图像等高 质量、高可靠性的多媒体业务。 作为虚拟的专用网，VPN 是一个虚信道，该信道可以用来连接两个专用 网；可以通过可靠的加密技术方法保证其安全性；可以作为公共网络系统的 一部分存在。 早期的虚拟专用网是使用帧中继或 ATM 的 PVC 来建构的，它们提供的都 是二层服务。现在新的虚拟专用网技术是基于三层的 IP 协议，它可以使 VPN 完全建构在公用的 Internet 或 IP 网之上。 虚拟专用网业务的特点为： (1) 降低建网投资：由于 VPN 是利用公用网络为基础而建立的虚拟专网， 因此可以避免建设传统专用网络所需的远程接入服务器 MODEM 池和市话中继 等高额软硬件投资。 (2) 节约运营成本：用户采用 VPN 业务组网，可以大大节约长途链路租 用费等通信支出；而且也不必投入大量的人力和物力去安装和维护 WAN 和远 程访问设备，完全交由服务商进行管理和维护，因此，可以减少大量网络运 营成本。 (3) 建网快速易扩展：用户只需将各网络节点采用专线或拨号方式本地 接入公用网络，并在服务商的指导下对网络设备进行相关配置即可；当面临 网络线路提速时，只在原线路上改变配置，不用再做物理线路的更换。 (4) 网络具有绝对安全性：实现 VPN 主要采用国际最先进的标准网络安 全技术，通过在公用网络上建立逻辑隧道及网络层的加密，避免网络数据被 修改和盗用，保证了用户数据的安全性及完整性。 (5) 可很好的支持新兴多媒体业务：VPN 可支持目前各种流行的高级应 用，如 IP 语音、IP 视讯等，还有各种流行的网络协议，如 RSVP、MPLS 等。 适用客户群及组网需求： 适用于政府、企事业单位总部与分支机构间的内部联网； 适用于需要同异地的商务伙伴经常保持联系的用户； 适用于供应商与客户之间的业务联系。 2.2 虚拟专用网原理 PSTN/ISDN NAS 图 2.1 VPN 接入示意图 远程用户通过拨号经由 PSTN 接入企业服务器，拨号用户和企业远程访 问服务器之间通过 PSTN 建立直接的物理连接。这样，在企业局域网端，就 要求服务器能提供对数据链路层的控制(LCP)；对请求的认证和对网络层的 控制(NCP)。 集中器 LAC 和网络服务器 LNS 合起来完成了原来由企业访问服务器完成 的工作。在这里，访问 LAC、LNS 是当使用 L2TP 协议时的命名；当使用其它 隧道协议时，访问集中器和网络服务器就以相对应的名字命名(如 PAC 和 PNS 对应于 PPTP 协议)。 当远程 VPN 用户通过拨号访问企业局域网时，LAC 首先通过 Internet 和 LNS 建立隧道(此时假定为合法用户，不考虑认证问题)。该条隧道的建立 分为两个阶段：(1)控制连接的建立；(2) 会话的建立。LAC 和 LNS 必须为每 一位拨号用户建立一个会话，但多个会话可以复用同一条隧道。因此对所有 会话只需建立一个控制连接；所有会话的建立、维持和终止都通过这个控制 连接来传送控制消息。为保证在控制连接上传输控制消息的正确性，控制连 接是基于面向连接的传输层控制协议 TCP 会话建立的。 当 LAC 和 LNS 间的隧道建立后，远程 VPN 用户就可以与 LNS 进行 PPP 握 手，握手成功后建立起 PPP 连接。在此 PPP 连接建立的过程中要完成数据链 路层认证和 IP 地址分配等任务。在这里，LNS 经认证后分配给用户的是内部 网地址，而不是 Internet 的全局 IP 号。这样，远程 VPN 用户就与 LNS 成功 建立了 PPP 连接，从而可以开始通信。由于用户端发出的数据(即发给 LNS 的 PPP 帧)先要在 LAC 处被封装成 L2TP 帧格式，此种帧在通过 Internet 隧 道发送之前又要被再次封装到 IP 数据报文中。该报文中的源 IP 地址即为 LAC 的全局 IP 地址；目的 IP 地址即为 LNS 的全局 IP 地址。 由于在虚拟专用网中数据传送要频繁通过 Internet，所以数据传输的安 全性显得十分重要。目前保证安全传输采用的是 IP Sec 协议。IP Sec 使用 两组协议：(1) 验证报头(AH)；(2) 封装安全有效负载(ESP)。 AH 是对 IP 报文用某种认证算法进行计算，将计算后的结果作为 AH 插在 IP 首部和数据字段之间；报文被目的终端接收后，按照认证算法重新对 IP 报文进行计算，将计算后的结果和认证首部中的内容进行比较：若相符，表 示 IP 报文在传输过程中未受损，否则认为已被破坏。AH 只能保证报文的完 整性和可靠性，但不对 IP 数据加密。 ESP 是将 IP 报文的数据字段内容进行加密，加密后的结果才真正作为 IP 报文的负荷封装在 IP 报文中。IP 报文被目的终端接收后，由目的终端重 新对 IP 报文的负荷进行解密，还原成原始的数据字段内容。通过选择好的 加密算法，ESP 可以保证 IP 报文的完整性、可靠性和保密性。 2.3 虚拟专用网的分类 按商业用途分，共有三种类型的 VPN，它们分别是远程访问虚拟专网 (Access VPN)、企业内部虚拟专网(Intranet VPN)和扩展的企业内部虚拟专 网(Extranet VPN)，这三种类型的 VPN 分别与传统的远程访问网络、企业内 部的 Intranet 以及企业网和相关合作伙伴的企业网所构成的 Extranet 相对 应。 （1）远程访问虚拟专网 Access VPN 随着当前移动办公的日益增多，远程用户需要及时地访问 Intranet 和 Extranet。Access VPN 向出差流动员工、远程办公人员和远程小办公室提供 了通过公用网络与企业的 Intranet 和 Extranet 建立私有的网络连接。 Access VPN 的应用如图 2.2 所示。在 Access VPN 的应用中，利用了一种二 层网络遂穿技术在公用网络上建立 VPN 隧道(Tunnel)连接来传输私有网络数 据。 Access VPN 的结构有两种类型，一种是用户发起(client-initiated) 的 VPN 连接，另一种是接入服务器发起(NAS-initiated)的 VPN 连接。 用户发起的 VPN 连接指的是以下的这种情况：首先，远程用户通过服务 提供点(POP)拨入 Internet 访问企业网，接着，用户通过网络隧道协议与企 业网建立一条加密的 IP 隧道连接从而安全地访问企业网内部资源。在这种 情况下，用户端必须维护与管理发起隧道连接的有关协议和软件。 图 2.2 Client-InitializedClient-Initialized VPNVPN 组网图 在接入服务器发起的 VPN 连接应用中，用户通过本地号码或免费号码拨 入 ISP，然后 ISP 的 NAS 再发起一条隧道连接连到用户的企业网。在这种情 况下，所建立的 VPN 连接对远端用户是透明的，构建 VPN 所需的软件均由 ISP 负责管理和维护。 （2）企业内部虚拟专网 Intranet VPN 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、 研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在 分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用 VPN 特性可以在 Internet 上组建世界范围内的 Intranet VPN。利用 Internet 的线路保证网络的互联性，而利用隧道、加密等 VPN 特性可以保证 信息在整个 Intranet VPN 上安全传输。Intranet VPN 通过一个使用专用连 接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专 用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。 Intranet VPN 的优点如下： 减少 WAN 带宽的费用； 能使用灵活的拓扑结构，包括全网孔连接； 新的站点能更快、更容易地被连接； 通过设备供应商 WAN 的连接冗余，可以延长网络的可用时间。 （3）企业扩展虚拟专网 Extranet VPN 随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以 提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各 个企业之间的合作关系也越来越多，信息交换日益频繁。Internet 为这样的 一种发展趋势提供了良好的基础，而如何利用 Internet 进行有效的信息管 理，是企业发展中不可避免的一个关键问题。利用 VPN 技术可以组建安全的 Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证身的 内部网络的安全。Extranet VPN 通过一个使用专用连接的共享基础设施，将 客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网 络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。Extranet VPN 结构的主要好处是，能容易地对外部网进行部署和管理，外部网的连接 可以使用与部署内部网和远端访问 VPN 相同的架构和协议进行部署。主要的 不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。 按采用二层还是三层技术分，有基于二层技术的帧中继、ATM VPN 和基 于三层的 IPVPN（在隧道技术中加以阐述） 。 2.4 VPN涉及的关键技术 VPN是一个虚拟的网，其重要的意义在于“虚拟”和“专用” 。为了实现 在公网之上传输私有数据。必须满足其安全性。VPN技术主要体现在： (1) 隧道协议，如IPsec，PPTP，L2TP及MPLS等； (2) 验证机制，如PKI(Public Key Infrastructure)，RADIUS(Remoto Authorization Dial in User Service)等； (3) 访问控制机制，如目录服务； (4) 数据安全技术，如封装； (5) 数据提供技术，如服务质量、流量工程。 当构建VPN解决方案时，通常在上面的技术中根据环境需要进行选择。 实际上，在VPN方案中，ISP已提供了大部分的定制服务，用户只是根据需求 选择相应的集成服务。 2.4.12.4.1 隧道技术隧道技术 2.4.1.1 隧道技术介绍 VPN 在表面上是一种联网的方式，比起专线网络来，它具有许多优点。 在 VPN 中，通过采用一中所谓“隧道”的技术，可以通过公共路由网络传送 数据分组，例如 Internet 网或其他商业性网络。 这里，专有的“隧道”类似于点到点的连接。这种方式能够使得来自许 多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点 对点的通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技术 允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。 通过 TUNNEL 的建立，可实现以下功能： (1) 将数据流量强制到特定的目的地； (2) 隐藏私有的网络地址； (3) 在 IP 网上传输非 IP 协议数据包； (4) 提供数据安全支持； (5) 协助完成用户基于 AAA 的管理； (6) 在安全方面可提供数据包认证、数据加密以及密钥管理等手段。 拨号 VPNs 使用隧道技术远程访问服务器把用户数据打包进 IP 信息包中， 这些信息包通过电信服务提供商网络传递，在 Internet 里，则需要穿过不 同的网络，最后到达隧道终点，然后数据拆包，转发成最初的形式。VPN 允 许网络协议的转换，还允许对来自许多源的流量进行区别，这样可以指定特 定的目的地，接受字顶级别的服务公司进行远程访问通信，从电路交换的， 长距离的本地电信服务提供商到 ISP 和 Internet 需要采用隧道技术。隧道 技术使用点对点通信协议，代替了交换连接，通过路由网络来连接数据地址。 这代替了电话交换网络使用的电话号码连接。隧道技术允许授权移动用户或 已授权的用户在任何时间任何地点访问企业网络。应用授权技术，隧道技术 也禁止未授权的访问。 下面是一个隧道包典型设计： 要形成隧道，基本的要素有以下几项： (1) 隧道开通器(TI)； (2) 有路由能力的公用网络； (3) 一个或多个隧道终止器(TT)； (4) 必要时增加一个隧道交换机以增加灵活性。 隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件 可完成此项任务，例如： (1) 配有模拟式调制解调器 PC 卡和 VPN 型拨号软件的最终用户膝上型 计 算机； (2) 分支机构的 LAN 或家庭办公室 LAN 中的有 VPN 功能的 Extranet 路 由 器； (3) 网络服务提供商站点中的有 VPN 能力的访问集中器。 隧道终止器的任务是使隧道到此终止，不再继续向前延伸。也有多种网 络设备和软件可完成此项任务，例如： (1) 专门的隧道终止器； (2) 企业网络中的隧道交换机； (3) NSP 网络的 Extranet 路由器上的 VPN 网关。 VPN 网络中通常还有一个或多个安全的服务器。安全服务器除提供防火 墙和地址转换功能之外，还通过与隧道设备的通信来提供加密、身份查验和 授权功能。它们通常也提供各种信息，如带宽、隧道端点、网络策略和服务 等级。通过软件或模块升级，现有的网络设备就可以增加就可以增加 VPN 的 能力。一个有 VPN 能力的设备可以承担多项 VPN 的应用。 现在已经有许多 Internet(IETF)的建议，都是关于隧道技术如何应用的。 其中包括点对点隧道协议(PPTP)、第二层转发(L2F)、第二层隧道协议(L2TP)、 虚拟隧道协议(VTP)和移动 IP。由于得到了不同网络厂商的支持，建议的标 准定义了远程设备如何能以简单安全的访问公司网络和 Internet。 隧道技术非常有用： (1) 一个 IP 隧道可以调整任何形式的有效负载，使用桌面或便携式计 算 机的用户能够透明地拨号上网来访问他们公司的 IP、IPX 或 AppleTalk 网络； (2) 隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利 用封装技术来实现。例如 IETFRFC1701 定义的一般路由封装； (3) 使用隧道技术访问公司网时，公司网不会向 Internet 报告它的 IP 网络地址； (4) 隧道技术允许接受者滤掉或报告个人的隧道连接。 2.4.1.2 第二层隧道与第三层隧道 按照隧道的起始和终止位置可分为第二层和第三层隧道。隧道终止在不 同的位置取决于第二层隧道或第三层隧道是否使用。使用第三层隧道时，利 用终端设备在服务提供商的网络上进行隧道产生和终止。在远程访问服务器 (RAS)上也能终止远程用户对点协议(PPP)对话。使用第二层隧道时，隧道的 创建可以在 RAS 也可以在服务商提供的网络上或在 RAS 上，第三层隧道终止 第二层隧道连接。在这个服务提供商网络的企业内部网或路由驻留，它仅仅 通过隧道传送第三层有效负载到隧道终点。远程访问服务器上，另一方面， 第二层隧道在服务提供商的骨干网上把这个 PPP 帧传到预先确定的终点。远 程客户端。隧道的终止则在路由器的用户端或一般的服务器上。 针对 IP 隧道协议，通过 PPTP 和 IP Sec 协议建立的隧道从客户端起始， 终止于企业端 VPN 接入设备。过 L2F 和 L2TP 协议建立的隧道从 ISP 接入设 备端起始终止于企业端 VPN 接入设备。 第三层隧道技术对于公司网络还有一些其它优点，网络管理者采用第三 层隧道技术时，不必在他们的远程节点或客户原有设备(CPE)上安装特殊软 件。因为 PPP 和隧道终点由服务提供商的设备生成，CPE 不用负担这些功能, 而仅作为一台路由器。第三层隧道技术可采用任意厂家的 CPE 予以实现。使 用第三层隧道技术的服务提供商不需要参与公司网路由选择。服务提供商控 制其网络的全部数据信息包的通信，当选择把第三层隧道技术应用到第二层 隧道通路上时服务商能够更方便的提供服务。 2.4.22.4.2 相关隧道协议相关隧道协议 2.4.2.1 点对点隧道协议 PPTP 点到点隧道协议(PPTP)是由 PPTP 论坛开发的点到点的安全隧道协议， 为使用电话上网的用户提供安全 VPN 业务，1996 年成为 IETF 草案。PPTP 是 PPP 协议的一种扩展，提供了在 IP 网上建立多协议的安全 VPN 的通信方式， 远端用户能够通过任何支持 PPTP 的 ISP 访问企业的专用网络。PPTP 提供 PPTP 客户机和 PPTP 服务器之间的保密通信。PPTP 客户机是指运行该协议的 PC 机，PPTP 服务器是指运行该协议的服务器。通过 PPTP，客户可以采用拨 号方式接入公共的 IP 网。拨号客户首先按常规方式拨号到 ISP 的接入服务 器(NAS)，建立 PPP 连接；在此基础上，客户进行二次拨号建立到 PPTP 服务 器的连接，该连接称为 PPTP 隧道，实质上是基于 IP 协议的另一个 PPP 连接， 其中 IP 包可以封装多种协议数据，包括 TCPIP，IPX 和 NetBEUI。对于直 接连接到 IP 网的客户则不需要第一次的 PPP 拨号连接，可以直接与 PPTP 服 务器建立虚拟通路。 PPTP 的最大优势是 Microsoft 公司的支持。NT4.0 已经包括了 PPTP 客 户机和服务器的功能，并且考虑了 Windows95 环境。另外一个优势是它支持 流量控制，可保证客户机与服务器间不拥塞，改善通信性能，最大限度地减 少包丢失和重发现象。PPTP 把建立隧道的主动权交给了客户，但客户需要在 其 PC 机上配置 PPTP，这样做既会增加用户的工作量，又会造成网络的安全 隐患。另外，PPTP 仅工作于 IP，不具有隧道终点的验证功能，需要依赖用 户的验证。 2.4.2.2 第 2 层转发 L2F L2F(Layer2Forwarding)是由 Cisco 公司提出的，可以在多种介质(如 ATM、帧中继 IP)上建立多协议的安全 VPN 的通信方式。它将链路层的协议 (如 HDLC、PPP、ASYNC 等)封装起来传送，因此网络的链路层完全独立于用 户的链路层协议。1998 年提交给 IETF，成为 RFC2341。 L2F 远端用户能够通过任何拨号方式接入公共 IP 网络。首先，按常规方 式拨号到 ISP 的接人服务器(NAS)，建立 PPP 连接；NAS 根据用户名等信息发 起第二次连接，呼叫用户网络的服务器。这种方式下，隧道的配置和建立对 用户是完全透明的。L2F 允许拨号服务器发送 PPP 帧，并通过 WAN 连接到 L2F 服务器。L2F 服务器将包去封装后，把它们接入到企业自己的网络中。 与 PPTP 和 PPP 所不同的是，L2F 没有定义客户。 2.4.2.3 第 2 层隧道协议 L2TP L2TP 协议由 Cisco、Ascend、Microsoft、3Com 和 Bay 等厂商共同制订， 1999 年 8 月公布了 L2TP 的标准 RFC2661。上述厂商现有的 VPN 设备已具有 L2TP 的互操作性。L2TP 结合了 L2F 和 PPTP 的优点，可以让用户从客户端或 接人服务器端发起 VPN 连接。L2TP 定义了利用公共网络设施封装传输链路层 PPP 帧的方法。目前用户拨号访问因特网时，必须使用 IP 协议，并且其动态 得到的 IP 地址也是合法的。L2TP 的好处就在于支持多种协议，用户可以保 留原来的 IPX、AppleTalk 等协议或企业原有的 IP 地址，企业在原来非 IP 网上的投资不至于浪费。另外，L2TP 还解决了多个 PPP 链路的捆绑问题。 L2TP 主要由 LAC(接入集中器)和 LNS(L2TP 网络服务器)构成。LAC 支持 客户端的 L2TP，用于发起呼叫，接收呼叫和建立隧道。LNS 是所有隧道的终 点。在传统的 PPP 连接中，用户拨号连接的终点是 LAC，L2TP 使得 PPP 协议 的终点延伸到 LNS。在安全性考虑上，L2TP 仅仅定义了控制包的加密传输方 式，对传输中的数据并不加密。因此，L2TP 并不能满足用户对安全性的需求。 如果需要安全的 VPN，则依然需要 IP Sec。 2.4.2.4 安全 IP（IPSec）隧道模式 IP SEC 是第 3 层的协议标准，支持 IP 网络上数据的安全传输。利用隧 道方式来实现 VPN 时，除了要充分考虑隧道的建立及其工作过程之外，另外 一个重要的问题是隧道的安全。第二层隧道协议只能保证在隧道发生端及终 止端进行认证及加密，而隧道在公网的传输过程中并不能完全保证安全。IP Sec 加密技术则是在隧道外面再封装，保证了隧道在传输过程中的安全性。 IP Sec 是一个第三层 VPN 协议标准，它支持信息通过 IP 公网的安全传输。 IP Sec 系列标准从 1995 年问世以来得到了广泛的支持，IETF 工作组中已制 定的与 IP Sec 相关的 RFC 文档有：RFC214、RFC2401-RFC2409、RFC2451 等。 其中 RFC2409 介绍了互连网密钥交换(IKE)协议；RFC2401 介绍了 IP Sec 协 议；RFC2402 介绍了验证包头(AH)；RFC2406 介绍了加密数据的报文安全封 装(ESP)协议。 IP Sec 兼容设备在 OSI 模型的第三层提供加密、验证、授权、管理，对 于用户来说是透明的，用户使用时与平常无任何区别。密钥交换、核对数字 签名、加密等都在后台自动进行。另外，为了组建大型 VPN，需要认证中心 来进行身份认证和分发用户公共密钥。IP Sec 可用两种方式对数据流进行加 密：隧道方式和传输方式。隧道方式对整个 IP 包进行加密，使用一个新的 IP Sec 包打包。这种隧道协议是在 IP 上进行的，因此不支持多协议。传输 方式时 IP 包的地址部分不处理，仅对数据净荷进行加密。IP Sec 支持的组 网方式包括：主机之间、主机与网关、网关之间的组网。IP Sec 还支持对远 程访问用户的支持。IP Sec 可以和 L2TP、GRE 等隧道协议一起使用，给用户 提供更大的灵活性和可靠性。IP Sec 的 ESP 协议和报文完整性协议认证的协 议框架已趋成熟，IKE 协议也已经增加了椭圆曲线密钥交换协议。由于 IP Sec 必须在端系统的操作系统内核的 IP 层或网络节点设备的 IP 层实现，因 此需要进一步完善 IP Sec 的密钥管理协议。 2.4.2.5 多协议标记交换 MPLS MPLS（Multi-protocol Label Switching）即多协议标记交换。MPLS 属于第 三代网络架构，是新一代的 IP 高速骨干网络交换标准，由 IETF（Internet Engineering Task Force，因特网工程任务组）所提出，由 Cisco、ASCEND、3Com 等网络设备大厂所主导。 多协议标记交换是一种介于第二层和第三层之间的标记交换技术，是专 门为 IP 设计的，可以将第二层的高速交换能力和第三层的灵活特性结合起 来，使 IP 网具备高速交换、流量控制、QoS 等性能。它的产生伴随着网络的 发展。 多年以前，人们期盼 ATM 能做任何事情，随着 Internet 的发展，人们 试图通过 ATM 传语音、传图像，但由于 ATM 自身的一些限制，使得它无法适 应 Internet 高速发展的今天。同时，由于点到点的连接，人们难以承受其 高昂价格以及对带宽资源的严重浪费。然而，由于 IP 网的开放性，人们又 很难实现端到端的连接，同时，语音数据包的传输也带来了很多问题。因而， 将 ATM 网和 IP 网合二为一是人们早期的一个初衷。 当时最早采用的方式是 IP over ATM，但遇到了非常多的问题和困难， 如 IP 地址与 ATM 地址之间的映射问题。ATM 的优点在于其固定长度的包，主 要特点用硬件实现转发，因为固定长度的包，只看到包头的这些转发信息就 可直接转发。因此，硬把两个协议捆绑在一起不能成功，也不能真正推广。 后来，另外一些人试图尝试把两种协议的优势结合起来，即将传统的 ATM 网 的转发机制和 IP 网的寻址和路由的机制结合起来，这就产生了 IP 交换技术， 进而通过 IETE 组织推出了 MPLS 协议。 MPLS 是集成式的 IP Over ATM 技术，即在 Frame Relay 及 ATM Switch 上结合路由功能，数据包通过虚拟电路来传送，只须在 OSI 第二层（数据链 结层）执行硬件式交换（取代第三层（网络层）软件式 routing） ，它整合