某集团的VPN网络方案设计与分析.doc

分类号：分类号：tp393.1tp393.1 u u d d c c：d10621-408-(2010)2113-0d10621-408-(2010)2113-0 密密 级：公级：公 开开 编编 号：号：20061211002006121100 某集团的某集团的 vpnvpn 网络方案设计与分析网络方案设计与分析 论论文文作作者者姓姓名名： ： 项项 洋洋 申申请请学学位位专专业业： ：网网 络络 工工 程程 申申请请学学位位类类别别： ：工工 学学 学学 士士 指指导导教教师师姓姓名名（ （职职称称） ）： ：秦秦智智（ （讲讲师师） ） 论论文文提提交交日日期期： ：2010年年6月月7日日 某集团的某集团的 vpnvpn 网络方案设计与分析网络方案设计与分析 摘摘 要要 先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至 关重要的。企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统，同 时，对于身处异地的分支机构或者分公司，办事处，或者在外出差的企业员工， 需要为其提供高效，实时的内网访问，保证相关业务的准确高效，同时，在远 距离传输过程中要保证数据不被窃听和篡改。 从整体上说，对于企业远程接入的设计不仅仅只是购买相应的 vpn 设备或 者做相应的配置，还需要掌握企业针对远程接入的需求以及 vpn 设计的原则， 从企业的实际需求出发，针对现今各种流行的 vpn 技术进行了分析比较，从原 理到结构都做了详细的分析，再结合集团的实际需求，最后选出了适合企业的 3 种 vpn 部署方式，最后通过实验模拟，得出了 vpn 的实际效用。 关键词：关键词：远程接入；通用路由封装；安全负载封装；多标签交换协议 analysis and design of a group vpn abstract the advanced network system strengthens the management, the enhancement working efficiency regarding the enterprise and increases the market competitiveness is very important. the enterprise network uses the technology must advanced, mature, stable, the reliable network system, simultaneously, regarding places the different place the branch office or the subsidiary company, the office, or enterprise staff who travels on official business in outside, needs to provide highly effective, the real-time in net visit for it, guaranteed that related service accurate highly effective, simultaneously, in the long-distance transmission process must guarantee that the data is not intercepted and the distortion. overall speaking, not only is the purchase corresponding vpn equipment or makes the corresponding disposition regarding the enterprise long-distance turning on design, but also needs to grasp the enterprise in view of the long-distance turning on demand as well as the vpn design principle, embarks from enterprises physical demand, has carried on the analysis comparison in view of the nowadays each kind of popular vpn technology, to the architecture has made the detailed analysis comparison from the principle to data packets seal, finally selected has suited enterprises 3 vpn deployment way, finally through the test simulation, has obtained the vpn actual utility. keywords：remote access ; gre; ipsec; mpls 目目 录录 论文总页数：43 页 1 引言1 2 集团介绍1 2.1 集团背景介绍 .1 2.2 集团远程接入需求 .1 3 集团 vpn 建设需求2 4 集团现有网络现状描述2 4.1 集团出口网络描述 .2 4.2 集团网络资源描述 .3 5 vpn 方案比较分析 3 5.1 vpn 综述 3 5.2 vpn 分类介绍 4 5.2.1 第一类：按照功能位置 .4 5.2.2 access vpn、intranet vpn、extranet vpn .5 5.2.3 三层 vpn 、二层 vpn .5 5.2.4 按组网模型 .6 5.3 常用 vpn 分析 .7 5.3.1 l2tp vpn .7 5.3.2 gre vpn .11 5.3.3 ipsec vpn .13 5.3.4 ssl vpn .17 5.3.5 mpls vpn 22 6 适合集团的 vpn 网络构建.26 6.1 集团 vpn 技术选择 26 6.2 集团分公司以及分支机构重要业务分布 27 6.3 集团 vpn 设计选择 27 7 组建集团 vpn 网络.28 7.1 集团 vpn 总体设计 28 7.2 ipsec vpn 建设 .28 7.2.1 集团 ipsec vpn 部署 28 7.2.2 ipsec vpn 基本配置 29 7.2.3 ipsec vpn 验证与测试 30 7.3 ssl vpn 建设 .32 7.3.1 ssl vpn 部署 32 7.3.2 ssl vpn 基本配置 33 7.3.3 ssl vpn 验证方法 35 7.4 mpls vpn 建设 35 7.4.1 现今 mpls 承载网介绍 .35 7.4.2 mpls 部署 .36 7.4.3 mpls vpn 的配置 .36 7.4.4 mpls vpn 验证 .39 8 vpn 管理与维护 .39 8.1 ipsec vpn 的管理与维护 .39 8.2 ssl vpn 的管理与维护 .40 8.3 mpls vpn 的管理与维护 40 结 论.40 参考文献.41 致 谢.42 声 明.43 第 1 页 共 43 页 1 1 引言引言 今天的中国，聚焦了世界的目光，经济空前繁荣，企业面临着异常激烈的 竞争，机遇与挑战并存。如何增强核心竞争力，如何提高运营效率和客户满意 度，如何控制并降低成本，如何获得业务的增长，成为企业负责人最关心的话 题。信息技术在各行各业发展中起到的作用日益凸显，信息化为我们带来了高 效率的业务模式，信息化为企业的高速发展提供了最新的技术保证，如何让信 息技术转化为高生产力，并最终成为我们的核心竞争力，将是每位企业信息主 管不断思考的话题。 先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至 关重要的。因此，企业网络采用的技术必须先进、成熟、稳定、可靠的网络系 统，同时，对于身处异地的分支机构或者分公司，办事处，或者在外出差的企 业员工， 需要为其提供高效，实时的内网访问，保证相关业务的准确高效，同 时，在远距离传输过程中要保证数据不被窃听和篡改。于是，各种远程互联技 术应运而生，对于各种解决方案，其中的建设费用，以及相应的维护，改造， 扩展等费用，以及不稳定性，不安全，不能保证特殊服务，所以产生了一种综 合的应用解决方案vpn 技术。 时下，充斥着多种 vpn 技术。在本设计中，针对园区的特殊需要，详细分 析比较了各种 vpn 技术的利弊，以及相应的实验验证，得出了较好的解决方案。 2 2 集团介绍集团介绍 2.12.1 集团背景介绍集团背景介绍 xx 集团是一个以生产农产品和加工、开发石油为主，兼营化工、金融等行 业的综合性集团公司。xx 集团作为一个国有企业集团公司，在积极探索社会主 业市场经济道路中，集中资源发展农业、能源、化工、金融、地产五大主业， xx 集团为国有园区企业，其园区内有石油中心、农业中心、经营中心、培训中 心、化工研究院、园区医院、员工宿舍楼两栋、食堂和超市、员工活动室、迎 宾楼等单位。 该集团有员工近 30000 余名员工，其旗下的种子生产研究基地，农药研发、 生产、销售公司，化肥生产、销售公司，石油加工勘探公司，氟化工、医药、 天然橡胶、化工物流、地产等 50 余家子公司以及投资控股公司 20 余家。园区 内的各个生产服务单位和各地子公司都必须实现网上信息传输。 这样的一个大型国有企业当然必须有一个稳定、可靠、可扩展的网络才能 适应企业的各种业务需求。 第 2 页 共 43 页 2.22.2 集团远程接入需求集团远程接入需求 xx 化工集团由于其所经营的业务涉及到国家重大生产农业产业结构，所以 业务是否正常直接关系到国民经济命脉。于是该集团需要保证企业网络 7*24 小 时正常。各分公司，各子公司的远程互联要实时保证。同时，针对大文件传输， 以及远程视频会议等都要保证其稳定可靠，移动办公人员要能随时访问公司资 源。所以需求一种好的解决方案。于是，vpn 技术为企业远程互联带来了保障。 3 3 集团集团 vpnvpn 建设需求建设需求 1. 高效性 该集团由于规模庞大，经济总量大且相关产业涉及到国家的经济命脉，所 以对于实时的数据传输，以及远程视频会议等有着较高的需求；该集团要求保 证远程视频会议无延迟，话音无失真；在数据传输方面要能够保证数据的实时 传递，无延时。 2. 稳定性 稳定性是企业得以运转的重要保证，该集团需要全天 24 小时保证网络的稳 定，不发生网络故障，对于远程接入方面，该集团要求接入后能保证网络的稳 定，不出现掉线延迟等网络故障。 3. 安全性 该集团的业务涉及到国家的稳定，社会的长治久安，所以该集团要面对一 切可能的威胁，所以网络安全尤为重要，尤其在远程的数据传输方面，更要保 证不被窃听，篡改，伪造等。所以在网络安全上需要良好的设计，尤其在经过 公网的数据传输。 4. 维护简单 该信息系统建成后能保证不需要复杂的维护就能保证网络的正常运转，发 生故障时能快速恢复。且维护人员也不需要专业的知识。 5. 造价便宜 为了响应国家关于建设节约型社会的号召，也为了减少公司的财务支出， 该集团要求造价在保证性价比的基础上尽可能便宜。 本着上述原则，集团需要在最少花费下取得最好的效果，达到集团验收标 准。 4 4 集团现有网络现状描述集团现有网络现状描述 4.14.1 集团出口网络描述集团出口网络描述 第 3 页 共 43 页 集团于 2009 年重新构建了集团网络，现需要一个较好的远程互联解决方案。 如图 1 所示，集团采用 cisco 7206 路由器作为双出口路由器，asa5580 企 业级防火墙配置成互为冗余模式作为安全保障，电信网通各百兆光纤连接。 图 1 集团网络出口图 4.24.2 集团网络资源描述集团网络资源描述 集团现有 erp 平台，crm 平台，以及 web 服务器，ftp 服务器,mail 服务器， 数据库服务器若干，以及对应的各类业务处理平台若干。 所以各分公司，子公司，合作伙伴，销售人员，移动办公人员，以及各监 管部门都需要能访问到部分集团资源，同时又要保障相关资源的安全性。 5 5 vpnvpn 方案比较分析方案比较分析 5.15.1 vpnvpn 综述综述 vpn-虚拟专用网（virtual private network）是专用网络在公共网络如 internet 上的扩展，如图 2 所示。vpn 通过私有隧道技术在公网上仿真一条点 到点的专线，将远程的分支机构、移动办公人员等连接起来从而达到安全的数 据传输目的。 第 4 页 共 43 页 图2 vpn应用图 有了 vpn，用户在家里或在路途中也可以利用 internet 或其他公共网络对 企业服务器进行远程访问。从用户的角度来看，vpn 就是在用户计算机即 vpn 客户机和企业服务器即 vpn 服务器之间点到点的连接，由于数据通过一条仿真 专线传输，用户感觉不到公共网络的实际存在，能够像在专线上一样处理企业 内部信息。换言之，虚拟专用网不是真正的专用网络，但却能够实现专用网络 的功能。 vpn 可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立 快捷，安全、可靠的信息通信。这种连接方式在概念上等同于传统广域网 wan 的运作。 vpn 技术的出现，使企业不再依赖于昂贵的长途拨号以及长途专线服务， 而代之以本地 isp 提供的 vpn 服务。从企业中心站点铺设至当地 isp 的专线要 比传统 wan 解决方案中的长途专线短得多，因而成本也低廉得多。 5.25.2 vpnvpn 分类介绍分类介绍 按功能位置： cpe-based vpn 、network-based vpn 按业务构成： access vpn 、intranet vpn 、extranet vpn 按实现层次：应用层vpn、网络层vpn 、二层vpn 按组网模型：vpdn、vprn、vpls、vll .1 第一类：按照功能位置第一类：按照功能位置 根据是由企业客户还是由服务提供商实施，vpn分为两类： 1. cpe-based vpn 基于客户端设备的vpn 2. network-based vpn 基于网络的vpn 对于cpe-based vpn 基于客户端设备的vpn的特点是：业务扩展能力弱、设 备价格昂贵、组网复杂度高，不易维护。 对于network-based vpn基于网络的vpn 的特点是：便于管理和维护、降低 用户投资、业务扩展能力强、支持网络管理、运营商与用户实现双赢。 表 1 各种不同vpn特性对比 第 5 页 共 43 页 特征 cpe-based vpnnetwork-based vpn qos,cos与slasslas局限于网络时延和可用性，不支持cos多cos,综合slas覆盖每个cos 可扩展性有连接数限制，局限于几百条连接没有限制 用户控制有用户数限制多种提供在线修改网络资源的特性 业务类型数据类型关键数据，实时话音，图像以及其 他实时数据 维护手段维护困难容易 .2 accessaccess vpnvpn、intranetintranet vpnvpn、extranetextranet vpnvpn 用户可以根据自己的情况进行选择：远程访问虚拟网（accessvpn）、企业 内部虚拟网（intranetvpn）和企业扩展虚拟网（extranetvpn），这三种类型 的vpn分别与传统的远程访问网络、企业内部的intranet以及企业网和相关合作 伙伴的企业网所构成的extranet相对应。 .3 三层三层 vpnvpn 、二层、二层 vpnvpn 二层vpn服务的主要特征是根据用户数据包的二层地址（如mac地址、帧中 继的dlci、atm的pvc等）在网络的第二层对数据包进行转发和发送，服务提供 商的网络负责提供ce之间的二层连接，这包括用mac地址(例如lan仿真)、点到 点的链路层连接(atm、帧中继、mpls)、多点到点(用mpls多点到点的lsp)和点 到多点(例如atm vcc)，而三层的连接例如选路由等由用户负责。pe设备可以是 路由器或交换机，从支持二层连接的角度看，交换机更合适一些。vll及局域网 仿真服务vpls就属于二层vpn。二层vpn主要有l2tp、pptp、l2f等，主要常用的 就是l2tp。 二层vpn的主要特征： 通过链路层地址（必要时也可用链路端口号）转发用户数据包。 sp（服务供应商）主要提供ce之间的链路层连接，一般sp不对ip vpn管理 而只对链路的连接进行管理。 sp负责二层链路的连接，而三层的连接例如选路由等由用户负责。 由于vpn是建立在链路层基础上的，sp仅提供链路层连接，所以实际上ip vpn是由用户借助于sp的链路建立的。当然sp为vpn打下基础，它提供用户的链 路应该是可靠的，也有较好的安全性(主要是指所提供的链路的专用性，它与公 用部分及其他vpn的链路是相互隔离的，不会有用户数据包传送至公网或其他 vpn域内)。 三层vpn： 第 6 页 共 43 页 三层vpn服务的主要特征是pe转发用户数据包是以其ip地址为依据的，vprn 就属于三层vpn。通常用户网络使用专用的ip地址，所以pe要了解用户的专用ip 地址空间。从ce的角度看pe，它是一个ip路由器。在三层vpn中，sp也参与vpn 的管理并提供vpn，用户也可在其vpn范围内对其进行管理。 三层vpn主要有：ipsec,gre,ssl。 还有介于二层三层之间的mpls vpn。 二层三层vpn的主要特点： ce与pe之间的接入链路对于二层vpn，ce的接入链路要求统一，例如都是帧中继; 而对于三层vpn，ce的接入链路可以不同，例如某些ce可用帧中继，而另一些ce 可用atm等。 对ce的要求： 根据应用的需求不同，二层vpn的ce可为路由器也可以为网桥，三层vpn则 通常以ce为路由器。 ce的邻居： 当ce为路由器时，三层vpn的ce只需与其相连的pe维持邻居关系，而二层 vpn的ce需与其他的ce维持邻居关系，从而增加路由复杂度，规模受限。 支持第三层多协议能力： 由于二层vpn只使用sp网络的二层链路，从而为支持三层多协议创造条件， 三层vpn也能支持多协议，但不如前者灵活且有一定限制。同理在支持vpls方面， 二层vpn更合适。但如果vpn用户只传送ip包，此特点就不明显。 支持组播能力：支持组播能力： 二层vpn与三层vpn都支持组播，但二层vpn是依靠ce实施组播的，而三层 vpn则依靠pe，因而三层vpn实施组播较简单，同时它还可以充分利用sp网络有 关组播方面的能力支持组播，而二层vpn则无法使用sp网络的有关组播方面的能 力。 网络管理：网络管理： vpn服务提供商与用户vpn的管理部门都可进行网络管理，但侧重面不同。 对于三层vpn，服务提供商可参与三层的管理；而二层vpn，服务提供商只能对 所提供的链路进行管理，无法对三层进行管理。无论是二层vpn还是三层vpn， 用户都可以对所属的vpn进行管理。 .4 按组网模型按组网模型 ip vpn-framework-rfc2764中定义了vpn类型，如图3所示： vpdn：virtual private dial networks vprn：virtual private routed networks 第 7 页 共 43 页 vpls：virtual private lan segment vll：virtual leased lines vpdn的基本特点是：除vpn的总部网络中心采用专线接入vpn服务提供商的 网络外，其余的vpn用户通过pstn或isdn拨号线路接入网络。另外，虽然拨号用 户是通过pstn或isdn公网拨入vpn的，但是vpn所属用户仍与外界隔离，有较好 的安全保证。vpdn也可以使用ip专用地址等vpn所特有的一些特性，接入范围可 遍及pstn、isdn的覆盖区域，网络建设投资少、周期短，网络运行费用低。 vprn定义为：用ip设施仿真出一个专用多站点广域路由网。它是在ip公用 网络(如internet)基础上实施的。像vpn结构一样，vprn也可以分为基于网络的 vprn及基于ce的vprn。 v vp pn n 拨拨号号专专用用 客客户户发发起起 n na as s等等网网络络 准准入入设设备备 虚虚电电路路i ip p隧隧道道其其他他 f fr ra at tm m c cp pe e- -b ba as se ed d n ne et tw wo or rk k- - b ba as se ed d 用用户户预预定定 v vl ll l v vp pr rn n v vp pd dn n v vp pl ls s 利利用用b bg gp p协协 议议自自动动生生 成成隧隧道道 m mp pl ls s v vp pn n 图 3 vpn 分类模型 vpls是用internet设施仿真lan网段。vpls可用于提供所谓的透明lan服务 (tls)。tls可用于以协议透明方式互连多个支干ce节点(如桥或路由器)。vpls 在ip上仿真lan网段，类似于lane在atm上仿真lan网段。它的主要优点是协议完 全透明，这在多协议传送和传送管理上是很重要的。 5.35.3 常用常用 vpnvpn 分析分析 .1 l2tpl2tp vpnvpn l2tpl2tp 介绍介绍 l2tp可以让用户从客户端或访问服务器端发起vpn连接。l2tp是把链路层 ppp帧封装在公共网络 设施如ip、atm、帧中继中进行隧道传输的封装协议。 cisco、ascend、microsoft 和redback 公司的专家们在修改了十几个版本 第 8 页 共 43 页 后，终于在1999 年8月公布了l2tp 的标准rfc2661。 目前用户拨号访问internet时，必须使用ip协议，并且其动态得到的ip地 址也是合法的。l2tp的好处就在于支持多种协议， 用户可以保 留原有的 ipx、appletalk 等协议或公司原有的ip地址。l2tp 还解决了多个ppp链路的捆 绑问题，ppp链路捆绑要求其成员均指向同一个nas，l2tp可以使物理上连接到 不同nas的ppp链路，在逻辑上的终结点为同一个物理设备。l2tp扩展了ppp连接， 在传统方式中用户通过模拟电话线或isdn/adsl与网络访问服务器(nas)建立一 个第2层的连接，并在其上运行ppp，第2层连接的终结点和ppp会话的终结点在 同一个设备上(如nas)。l2tp作为ppp 扩展提供更强大的功能，包括第2层连接 的终结点和ppp会话的终结点可以是不同的设备。 l2tp主要由lac(l2tp access concentrator)和lns(l2tpnetworkserver)构 成，lac(l2tp访问集中器)支持客户端的l2tp，他用于发起呼叫，接收呼叫和建 立隧道；lns(l2tp网络服务器)是所有隧道的终点。在传统的ppp连接中，用户 拨号连接的终点是lac，l2tp使得ppp协议的终点延伸到lns。 cisco说的lns就是工作在以ppp为终端的平台上，lns处理服务器端的l2tp 协议。lns初始化发出呼叫和接收呼叫。 l2tpl2tp 协议结构协议结构 ppp 数据帧 l2tp 数据消息l2tp 控制消息 l2tp 数据通道l2tp 控制通道 包传输通道 图4 l2tp协议结构 上图所示l2tp协议结构描述了ppp帧和控制通道和数据通道之间的关系。 ppp帧首先被封装l2tp头部并在不可靠数据通道上进行传输，然后进行 udp、frame relay、atm等包传输过程。控制消息在可靠的l2tp控制通道内传输。 通常l2tp以udp报文的形式发送。l2tp注册了udp 1701端口，但是这个端口 仅用于初始的隧道建立过程中。l2tp隧道发起方任选一个空闲的端口（未必是 1701）向接收方的1701端口发送报文；接收方收到报文后，也任选一个空闲的 端口（未必是1701），给发送方的指定端口回送报文。至此，双方的端口选定， 并在隧道保持连通的时间段内不再改变。 l2tpl2tp 包封装包封装 l2tp用户传输数据的隧道化过程采用多层封装的方法。图5中表示了封装后 在隧道中传输l2tp数据包格式。 第 9 页 共 43 页 date-link header ip header udp header l2tp header ppp header ppp payload date-link trailer 图5 l2tp数据包格式 若是封装在ipsec等数据包中这要加上ipsec 包头和包尾。其中ipsec包头 到包尾之间都是通过esp或者ah协议加密过。 a. l2tp封装 初始ppp有效载荷如ip数据报、ipx数据报或netbeui帧等首先经过ppp报头 和l2tp报头的封装。 b. udp封装 l2tp帧进一步添加udp报头进行udp封装，在udp报头中，源端和目的端端口 号均设置为1701。 c. ip封装 在udp数据报外再添加ip报头进行ip封装，ip报头中包含vpn客户机和服务 器的源端和目的端ip地址。 d.数据链路层封装 数据链路层封装是l2tp帧多层封装的的最后一层，依据不同的外发物理网 络再添加相应的数据链路层报头和报尾。例如，如果l2tp帧将在以太网上传输， 则用以太网报头和报尾对l2tp帧进行数据链路层封装；如果l2tp帧将在点-点 wan上传输，如模拟电话网或isdn等，则用ppp报头和报尾对l2tp帧进行数据链 路层封装。 e.数据的解封装过程 在接收到l2tp帧后，l2tp客户机或服务器将做如下解封装处理： 处理并去除数据链路层报头和报尾；处理并去除ip报头；处理udp报头并将 数据报提交给l2tp协议；l2tp协议依据l2tp报头中tunnel id和call id分解出 某条特定的l2tp隧道；依据ppp报头分解出ppp有效载荷，并将它转发至相关的 协议驱动程序做进一步处理。 l2tpl2tp 的优势的优势 1aaa support (认证，审计，受权支持) l2tp是基于ppp协议的，因此它除继承了 ppp 的所有安全特性外， 还可以 对隧道端点进行验证，这使得通过 l2tp 所传输的数据更加难以被攻击。而且 根据特定的网络安全要求，还可以方便地在 l2tp 之上采用隧道加密、端对端 数据加密或应用层数据加密等方案来提高数据的安全性。 2. encryption(加密) 支持如 ipsec and des 加密 (40 and 56 bits are supported today, 第 10 页 共 43 页 with plans for168-bit support)。 3. quality of service(qos支持) 利用ip优先级，保证能为企业提供不同的隧道提供不同的带宽，能为企业 提供各种不同的服务类型，以及相应核心业务的保证。 4. reliability（可靠性支持） 基于多个备份的lns，所以能配置多个隧道组。若连接到一个主lns链路出 现故障，lac将会重新连接备份的lns。加强的vpn可靠性和容错能力能确保企业 的应用保证以及相关的服务级别。 5. scalability on a single lns（对于单个lns的可伸缩性） l2tp支持无限制的lac会话和支持超过2000个单lns的会话。不同的设备对 链接会话的支持可能不一样。 6scalability on a single site （对于单个站点的可伸缩性） 可以支持lac和lns之间的多个隧道的负载均衡。 7address management （地址管理） lns可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动 态的分配和管理，可以支持 dhcp 和私有地址应用。远端用户所分配的地址不 是internet地址而是企业内部的私有地址，这样方便了地址的管理并可以增加 安全性。 8network management（网络管理） 可以统一地采用 snmp 网络管理方案进行方便的网络维护与管理，同时支 持syslog，方便排错和审计。 9网络计费的灵活性 可以在lac和lns两处同时计费，即isp处（用于产生帐单）及企业处（用于 付费及审记）。l2tp 能够提供数据传输的出入包数，字节数及连接的起始、结 束时间等计费数据，可以根据这些数据方便地进行网络计费。 l2tpl2tp 会话建立过程会话建立过程 流程图如下： 第 11 页 共 43 页 图 6 l2tp 隧道建立流程图 a.用户通过公共电话网或 isdn 拨号至本地的接入服务器 lac；lac 接收呼 叫并进行基本的辨别，这一过程可以采用几种标准，如域名或用户名、呼叫线 路识别 clid) 或拨 id 业务(dnis)等。 b.当用户确认为合法业用户时，就建立一个通向 lns 的拨号 vpn 隧道。 c.企业内部的安全服务器如 radius 鉴定拨号用户。 d.lns 与远程用户交换 ppp 信息，分配 ip 地址。lns 可采用企业专用地址 (未注册的 ip 地址)或服务提供商提供的地址空间分配 ip 地址。因为内部源 ip 地址 与 目 的 地 ip 地址实际上都通过服务提供商的 ip 网络在 ppp 信息包内 传送，企业专用地址对提供者的网 络是透明的。 e.端到端的数据从拨号用户传到 lns。 在实际应用中，lac 将拨号用户的 ppp 帧封装后，传送到 lns，lns 去掉封 装包头，得到 ppp 帧，再去掉 ppp 帧头得到网络层数据包。 .2 gregre vpnvpn gregre 概述概述 通用路由封装 gre（generic routing encapsulation）是对某些网络层协 议（如 ip 和 ipx）的报文进行封装，使这些被封装的报文能够在另一网络层协 第 12 页 共 43 页 议（如 ip）中传输，并支持全部的路由协议如 rip、ospf、igrp、eigrp。 gre 可以作为 vpn 的第三层隧道协议，在协议层之间采用隧道（tunnel） 技术。tunnel 是一个虚拟的点对点的连接，可以看成仅支持点对点连接的虚拟 接口，这个接口提供了一条通路，使封装的数据报能够在这个通路上传输，并 在一个 tunnel 的两端分别对数据报进行封装及解封装。 gre 在包头中包含了协议类型，这用于标明乘客协议的类型；校验和包括 了 gre 的包头和 完整的乘客协议与数据；密钥用于接收端验证接收的数据；序 列 号用于接收端数据包的排序和差错控制；路由用于本数据包的路由。 gre 只提供了数据包的封装，它并没有加密功能来防止网络侦听和攻击。 所以在实际环境中它常和 ipsec 在一起使用，由 ipsec 提供用户数据的加密， 从而给用户提供更好的安全性。 gregre 结构结构 报文的传输： 图7 多协议本地网通过单一骨干网 报文的传输包括封装和解封装的过程： 加封装过程加封装过程 连接 novell group1 的接口收到 ipx 数据报后，首先交由 ipx 协议处理。 ipx 协议检查 ipx 报头中的目的地址域来确定如何路由此包。如果发现报文的 目的地址要经过网号为 1f 的网络（tunnel 的虚拟网号），则将此报文发给网 号为 1f 的 tunnel 接口，tunnel 接口收到此报文后进行 gre 封装，封装完成 后交给 ip 模块处理，在封装 ip 报文头后，根据报文目的地址及路由表交由相 应的网络接口处理。 解封装过程解封装过程 解封装过程和加封装过程相反。从 tunnel 接口收到 ip 报文，检查目的 地址，当发现目的地就是此路由器时，系统去掉此报文的 ip 报头，交给 gre 协议模块处理； gre 协议模块完成相应的处理后，去掉 gre 报头，再交由 ipx 协议模块处 第 13 页 共 43 页 理，ipx 协议模块象对待一般数据报一样对此数据报进行处理。 如图 8 所示，ipx 封装在 ip tunnel 中。 图 8 ipx 封装在 ip tunnel 封装好的格式如图 9 所示。 delivery header gre header payload packet 图 9 gre 封装格式 gregre vpnvpn 特点特点 优点： 加密为可选的，不象 ipsec 中加密是必须的，而加密方法是可选，所以大 幅度减低了芯片的工作量，提高了系统性能。 更细化的 qos 服务能力，包含应用层 qos。 ip 层的可见性使得对应用层的带宽管理成为可能。 能封装非 ip 协议，如 ipx 和 decnet。 缺点： 通信只局限在服务商的网络中，很大程度上依赖服务商提供的网络。 平面网状结构需要更多的准备开销，与基于 vc 的 vpn 具有相同的问题，就 是在大型 vpn 上会引起 n 的平方问题。所以不适合大型网络的拓展。 准备与管理的开销相对昂贵。 .3 ipsecipsec vpnvpn ipsecipsec vpnvpn 的种类：的种类： the seamless connection of two private networks to form one combined virtual private network（无缝连接两个私有网络） the extension of a private network to allow remote-access users (also known as road warriors) to become part of the 第 14 页 共 43 页 trusted network（允许远程用户接入） lan-to-lan ipsec implementations (also known as site-to-site vpns)(点到点 vpn) remote-access client ipsec implementations （客户端工具接入） ipsecipsec 概述概述 ipsec 是一种开放标准的框架结构，在 rfc2401 中定义。特定的通信方之 间在 ip 层通过加密和数据摘要(hash)等手段，来保证数据包在 internet 网上 传输时的私密性(confidentiality) 、完整性(data integrity)和真实性 (origin authentication)，防重放（protection against replays）等。 ipsec 协议簇包含以下协议。 图 10 ipsec 协议簇 ipsec 只能工作在 ip 层，要求乘客协议和承载协议都是 ip 协议 图 11 ipsec 数据包格式 加密保证数据的私密性 通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性 图 12 数据私密性描述 保证数据完整性（hash，sha） 第 15 页 共 43 页 图 13 数据完整性描述 通过身份认证保证数据的真实性 通过身份认证可以保证数据的真实性。常用的身份认证方式包括： 1. pre-shared key ，预共享密钥 2. rsa signature ，数字签名 ipsecipsec 框架结构框架结构 图 14 ipsec 框架 框架包括 ipsec 协议簇，数据加密，散列算法，以及密钥交换体系。 ipsecipsec 封装模式封装模式 ipsec 支持两种封装模式：传输模式和隧道模式 传输模式：不改变原有的 ip 包头，通常用于主机与主机之间。 图 15 传输模式封装图 隧道模式：增加新的 ip 头，通常用于私网与私网之间通过公网进行通 第 16 页 共 43 页 信。 图 16 隧道模式封装图 两幅图可以很好的描述两种模式的区别。 internetinternet keykey exchangeexchange rfc 2409 中定义了 ike 相关。ike 用来协商 ipsec 安全参数，如: 协商参 数，交换公共密钥，密钥刷新，认证对等体，以及密钥管理。ike 协议簇如图 14 所示： ike 包含三个协议： skeme 提供公共密钥更新技术。 oakley 提供 ipsec 对等体之间提供密钥交换模式 isakmp 提供安全关联和密钥管理协议 ike 工作原理： ike 包含两个过程，phase1 和 phase2 。phase1 主要对通信双方进行身份 认证，并在两端之间建立一条安全的通道，主要有主模式和积极模式。phase2 在上述安全通道上协商 ipsec 参数，主要有快速模式。ike 原理如图 15 所示： 图 17 ike 协议簇 第 17 页 共 43 页 图 18 ike 原理 图 19 ike 阶段 1 图 20 ike 阶段 2 ike 阶段 2 协商 ipsec 安全关联（sa），sa 由 spd (security policy database)和 sad(sa database)组成。spd,sad 区别如下： 第 18 页 共 43 页 图 21 spd,sap 关系图 .4 sslssl vpnvpn sslssl vpnvpn 概述概述 图 22 ssl vpn 描述图 在 tcp 的网络层，ipsec 协议通过预共享密钥或者安全数字签名和高强度 加密算法实现了局域网的安全互联，让组织的分支机构融合到了总部的局域网， 分支机构可以根据其网络规模和使用人数选择和总部连接的方式，然而，组织 的成员不会永远安坐在办公室，当他们“移动”起来时，例如回到家中、参加 会议、出差考察，环境的频繁变化让 ipsec 难以应对。组织的外界环境迅速膨 胀，合作伙伴、股东、审计部门、供应商、经销商都被纳入了组织的网络外延， 他们需要接入到组织的内网，以访问他们所关心的应用资源和数据报表。ipsec 的部署问题会让企业的网络人员成为合作伙伴 “公用”的网管。ipsec 客户端 不停的安装、调试和维护将会成为网管人员生活中不可或缺的一部分，无论你 是在工作时间还是 8 小时之外。问题还远没有结束，基于 ipsec 是网络层协议 的前提，当远程设备从 internet 接入后将被虚拟成局域网内的一台 pc，也就 是获得了局域网的所有使用权限。这是相当危险和难以控制的。如果这台接入 的设备携带了病毒、蠕虫，局域网也会很快地受到感染，使网络人员精心构建 的安全城墙在一瞬间灰飞烟灭。 第 19 页 共 43 页 ssl(安全套接层)vpn 被视为 ipsec vpn 的互补性技术，在实现移动办公和 远程接入时，ssl vpn 更可以作为 ipsec vpn 的取代性方案。ssl 协议由网景公 司提出，是一种基于 web 应用的安全协议，包括服务器认证、客户认证(可选)、 ssl 链路上的数据完整性和数据保密性。所有标准的 web 浏览器均已内建了 ssl 协议。采用 ssl 协议的设备实现对 web 及各种使用静态或动态端口的服务做支 持，于是便出现了 ssl vpn。在上图中，移动用户或者固定用户通过浏览器直 接访问公司内部网络或者访问内部服务，实现内网的随时随地访问。 思科 ssl vpn 有三种工作模式：客户端模式，瘦客户，隧道模式。客户端 模式就是基于 web 的简单应用，瘦客户就是需要增加一个客户端，也就是一个 java 插件，这个插件很小，简称瘦客户，主要能实现一些扩展的应用，比如 tcp 端口转发，e-mail，telnet，ssh 等。隧道模式等同于 ipsec，主要是基于 ip 的应用。 sslssl vpnvpn 原理原理 ssl（安全套接层）协议是一种在 internet 上保证发送信息安全的通用协 议。它处于应用层。ssl 用公钥加密通过 ssl 连接传输的数据来工作。ssl 协议 指定了在应用程序协议（如 http、telnet 和 ftp 等）和 tcp/ip 协议之间进行 数据交换的安全机制，为 tcp/ip 连接提供数据加密、服务器认证以及可选的客 户机认证。ssl 协议包括握手协议、记录协议以及警告协议三部分。握手协议 负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数 据。 警告协议用于在发生错误时终止两个主机之间的会话。 所以 ssl vpn，就是使用者利用浏览器内建的 secure socket layer 封包 处理功能，用浏览器访问公司内部 ssl vpn 服务器，然后透过网络封包转向的 方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。 它采用标准的安全套接层（ssl）对传输中的数据包进行加密，从而在应用层保 护了数据的安全性。高质量的 ssl vpn 解决方案可保证企业进行安全的全局访 问，即构建基于 ip 的访问。在不断扩展的互联网 web 站点之间、远程办公室、 传统交易大厅和客户端间，ssl vpn 克服了 ipsec vpn 的不足，用户可以轻松 实现安全易用、无需客户端安装且配置简单的远程访问，从而降低用户的总成 本并增加远程用户的工作效率。 sslssl 过程过程 1.hello phase 在这个过程中客户端与服务器端主要做的事： 客户端的浏览器向服务器传送客户端 ssl 协议的版本号，加密算法的种类， 产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。 服务器向客户端传送 ssl 协议的版本号，加密算法的种类，随机数以及其 第 20 页 共 43 页 他相关信息，同时服务器还将向客户端传送自己的证书 2.authentication and key exchange 这个阶段主要过程： 客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括： 证书是否过期，发行服务器证书的 ca 是否可靠，发行者证书的公钥能否正确 解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器 的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证 通过，将继续进行第四步