VPN5VPN构建技术及其应用Word格式文档下载.docx
《VPN5VPN构建技术及其应用Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《VPN5VPN构建技术及其应用Word格式文档下载.docx(28页珍藏版)》请在冰豆网上搜索。
第2章、VPN技术详解……………………………………………………………………10
2.1VPN的基本组网应用……………………………………………………10
2.2VPN原理…………………………………………………………………10
2.3VPN隧道…………………………………………………………………11
2.4VPN隧道协议……………………………………………………………14
2.5实现VPN的QoS技术……………………………………………………20
2.6VPN用户的管理、认证和计费…………………………………………24
2.7VPN的安全问题…………………………………………………………25
第3章、VPN的构建………………………………………………………………………26
3.1构建VPN的要求………………………………………..…………………26
3.2VPN的安全解决办法……………………………………………………28
3.3构建VPN的步骤………………………………………….………………28
第4章、VPN技术目前在电信网中的应用举例…………………………………………31
4.1池州市电信分公司内部网络VPDN组网方案…………………….…………31
4.2池州市司法系统VPDN组网方案……………………….……………………33
结束语……………………….……………………………………………………………35
第1章VPN技术的基本概念
1.1Vpn概述
VPN(虚拟专用网)定义为通过一个公用网络(通常是因特网)建立的一个临时的、稳定的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
它是对企业内部网的扩展,是依靠Internet服务提供商ISP(InternetServiceProvider)和网络服务提供商NSP(NetworkServiceProvider),在公共网络中建立的虚拟专用通信网络。
图1.1VPN定义
如图1.1,通过VPN可以帮助出差员工、公司异地办事处、合作伙伴及分支机构同公司的总部建立可信的安全连接,并保证数据的安全传输。
可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到合作伙伴和用户的安全外联网。
虚拟专用网至少应能提供以下3项功能:
1、加密数据。
以确保通过公网传输的信息的安全性,即便被别人截获也不至于泄露。
2、信息认证和身份认证。
以保证信息的完整性、合法性,并能鉴别用户的身份。
3、提供访问控制。
这样可对不同的用户提供不同的访问权限。
虚拟专用网还应具有以下2个特性:
1、专用性(Private):
对于VPN用户,使用VPN与使用传统专网没有区别。
一方面,VPN与底层承载网络之间保持资源独立,即,一般情况下,VPN资源不被网络中其它VPN或非该VPN用户所使用;
另一方面,VPN提供足够的安全保证,确保VPN内部信息不受外部侵扰。
2、虚拟性(Virtual):
VPN用户内部的通信是通过一个公共网络进行的,而这个公共网络同时也被其他非VPN用户使用。
即,VPN用户获得的是一个逻辑意义上的专网。
1.2VPN的优势
与传统的数据专网相比,VPN具有以下5项优势:
1、在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。
这对于实现电子商务或金融网络与通讯网络的融合特别重要。
2、利用公共网络进行信息通讯,一方面可使企业用更低的成本连接远地的办事机构、出差人员或业务伙伴,另一方面可以提高网络资源利用率,有助于增加ISP的收益。
3、VPN的调整和维护基于软件实现,可提高应用的灵活性。
通过软件配置,不需要改动硬件设施就可以实现增加、删除VPN用户。
在应用上灵活性很大。
4、支持用户实时、异地接入。
驻外VPN用户在任何时间、任何地点都可以方便接入,能够满足不断增长的移动业务需求。
5、
支持QoS功能。
构建具有服务质量保证的VPN(如MPLSVPN),可为VPN用户提供不同等级的服务质量保证。
1.3VPN的几种常见类型
VPN的分类,不同的生产厂家根据其产品的角度来做出了不同的划分方式。
不同的ISP在推出VPN业务时也从业务开展的不同角度来做出了不同的分类方式。
●按用户的接入方式划分
用户的不同接入方式对用户和运营商来说是关系最密切的。
通常,根据用户的具体需要,用户可能是专线上(因特)网的,也可能是拨号上网的。
建立在IP网上的VPN也就对应的有两种接入方式:
专线接入方式和拨号接入方式。
1、专线VPN,是通过固定的线路连接到ISP,为已经通过专线接入ISP边缘路由器的用户提供了VPN的解决方案。
这是一种“永远在线”的VPN,可以节省用户的长途专线费用,如DDN、帧中继等都是专线连接。
2、拨号VPN简称VPDN,它是向利用拨号用户PSTN或ISDN接入ISP的用户提供的VPN业务。
这是一种“按需连接”的VPN,可以节省用户的长途电话费用。
需要指出的是,因为用户一般是漫游用户,是“按需连接的,因此VPDN通常需要做身份认证(如利用CHAP和RADIUS)拨号接入VPN简称VPDN,使用拨号连接(如模拟电话、ISDN和ADSL等)连接到ISP,是典型的按需连接方式。
这是―种非固定线路的VPN。
●按协议实现类型划分
这是VPN厂商和ISP最为关心的划分方式。
按隧道协议的网络分层,VPN可划分为第2层隧道协议和第3层隧道协议.
1、第二层隧道VPN:
这包括点到点隧道协议(PPTP)、第二层转发协议(L2F),第二层隧道协议(L2TP)、多协议标记交换(MPLS)等。
2、第三层隧道VPN:
这包括通用路由封装协议(GRE)、IP安全(IPSec),这是目前最流行的两种三层协议。
第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于实现专线VPN业务,L2TP主要用于实现拨号VPN业务(但也可以用于实现专线VPN业务),VPN的实现往往将第2层和第3层协议配合使用,如L2TP/IPSec。
第2层和第3层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。
第2层隧道协议可以支持多种路由协议,如IP、IPX和AppleTalk,也可以支持多种广域网技术,如帧中继、ATM、X.25或SDH/SONET,还可以支持任意局域网技术,如以太网、令牌环网和FDDI网等。
●按VPN的发起方式划分
VPN业务可以是客户独立自主实现的,也可以是由ISP提供的。
1、客户发起:
在客户端安装VPN相关软件,VPN连接由用户首先发起。
2、网络服务器发起:
主要为ISP提供全面管理的VPN服务,服务提供的起始点和终止点是ISP的POP,其内部构成、实施和管理对VPN客户完全透明。
目前MPLS只能用于服务器发起的VPN方式。
●按承载主体划分
营运VPN业务的企业;
既可以自行建设他们的VPN网络,也可以把此业务外包给VPN商。
这是客户和ISP最关心的问题。
1、自建VPN:
企业自行安装VPN相关软件,独立地建设自己的VPN网络而不需要ISP的支持。
这样企业可以直接控制VPN网络,但这样的组网方式成本很高,也很难保证网络质量。
2、外包VPN:
企业将VPN服务外包给ISP,ISP根据用户要求提供VPN业务并对它进行维护。
这样企业可以降低组建和运维VPN成本,且能得到相应的QoS保障。
●按VPN的服务类型划分
根据服务类型,VPN业务大致分为三类:
1、内联网VPN(IntranetVPN):
这是企业内部各个分布点之间通过公用网络进行互联,是传统的专线网或其它企业网的扩展或替代形式,通常情况下内联网VPN是专线VPN.
2、外联网VPN(ExtranetVPN):
将不同企业间或及企业与供应商、企业与合作伙伴之间通过公网来构筑VPN网络。
3、接入VPN(AccessVPN):
这是企业的远程办公人员或企业的远程分支机构通过公网与企业的Intranet和Extranet建立私有的网络连接。
AccessVPN的远程接入可以是专线方式接入的,也可以是拨号方式接入的。
第2章VPN技术详解
2.1VPN基本组网应用
以某公司为例,通过VPN建立的企业内部网如图2.1所示:
图2.1VPN组网示意图
从图2.1可以看出,公司内部资源享用者通过PSTN/ISDN网或局域网就可以连入本地ISP的POP(PointofPresence)服务器,从而访问公司内部资源。
而利用传统的WAN组网技术,相互之间要有专线相连才可以达到同样的目的。
虚拟网组成后,远端用户和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源,这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。
企业开设VPN业务所需的设备很少,只需在资源共享处放置一台支持VPN的服务器就可以了。
资源享用者通过PSTN/ISDN网或局域网连入本地POP服务器后,直接呼叫企业的远程服务器(VPN服务器),呼叫接续过程由ISP的接入服务器(AccessServer)与VPN服务器共同完成。
2.2VPN原理
VPN的基本原理是利用隧道技术,把VPN报文封装在隧道中,利用VPN骨干网建立专用数据传输通道,实现报文的透明传输。
如图2.2,用户通过PSTN/ISDN网拨入ISP的NAS(NetworkAccessServer)服务器,NAS服务器通过用户名或接入号码识别出该用户为VPN用户后,就和用户的目的VPN服务器建立一条连接,称为隧道(Tunnel),然后将用户数据包封装成IP报文后通过该隧道传送给VPN服务器,VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。
反向的处理也一样。
隧道两侧可以对报文进行加密处理,使Internet上的其它用户无法读取,因而是安全可靠的。
对用户来说,隧道是其PSTN/ISDN链路的逻辑延伸,操作起来和实际物理链路相同。
图2.2VPN接入示意图
2.3VPN隧道
如图2.3,隧道技术使用一种协议封装另外一种协议报文,而封装协议本身也可以被其他封装协议所封装或承载。
对用户来说,隧道是其PSTN/ISDN链路的逻辑延伸,在使用上与实际物理链路相同。
隧道技术支持各种接入形式,与接入方式无关,它可以拨号方式接入、CABLEModem方式、xDSL以及ISDN方式、E1专线和无线接入方式等。
图2.3VPN隧道
VPN隧道需要完成的功能包括:
1、封装原始数据
2、实现隧道两端的点到点连通
3、定时检测VPN隧道的连通性
4、VPN隧道的安全性
5、VPN隧道的QoS特性
评价和选择隧道技术也主要是根据上述几个方面进行。
下面介绍常见的隧道:
●GRE隧道
GRE隧道使用GRE协议封装原始数据报文,基于公网实现数据的透明传输。
GRE隧道不能配置二层信息,但可以配置IP地址。
利用为隧道指定的实际物理接口完成转发,转发过程可以简单描述如下:
所有去往远端VPN的报文先发送到Tunnel源端。
在Tunnel源端进行GRE封装,填写Tunnel建立时所确定的Tunnel源IP和目的IP。
通过公网转发到远端VPN网络。
●IPSec隧道
IPSec是IETF制定的一个框架协议,用于保证在Internet上传送数据的安全保密性。
IPSec提供传输模式和隧道模式两种操作模式,隧道模式的封装过程为:
首先为需要通信的两个私有网络地址定义一个IP流,流的建立可以使用IP层以上某个协议的端口。
定义IPSec隧道的源和目的地址信息,这个源和目的地址是公网信息。
配置缺省路由,下一跳指向IPSec隧道源地址所在链路的对端地址。
在进行VPN通信时,所有去往对端VPN的报文在出接口时进行IPSec封装,到对端后拆封装,然后再进行转发。
●L2TP隧道
L2TP有v2和v3两个版本,提供对L2TPv2的支持,其封装形式如图2.4所示:
图2.4L2TPv2的报文封装格式
L2TPv2支持PPP方式的二层封装,通过UDP承载。
L2TPv2应用于VPDN,只要实现L2TP就可以完成VPDN的功能。
L2TP隧道支持拥塞控制和隧道端点验证。
在L2TP隧道两端建立IPSec安全机制可以保证VPDN的安全性。
●LSP
在MPLS网络中,边缘路由器对报文打上MPLS标签,网络内部路由器根据标签对报文进行转发。
标签报文所经过的路径称为标签交换路径LSP(LabelSwitchedPath)。
●VPN隧道技术的比较
表2.1对常用的VPN隧道技术进行了比较:
表2.1隧道技术比较
GRE
IPSec
L2TPv2
LSP
参与构成VPN的形式
可独立构成VPN;
可与IPSec构成安全性很强的IPVPN;
可作为RFC2547下LSP隧道的替代隧道
可构成VPDN
可作为L2VPN或L3VPN的隧道
可承载报文类型
IP、IPX、MPLS
IP
PPP
MPLS标签报文
拓扑连接
Access接入
不支持
支持
Site-to-Site
IP地址私有性
以纯粹GRE构建的L3VPN不能保证
以纯粹IPSec构建的L3VPN不能保证
可以保证
隧道连通性
不能保证。
可以通过到对端的路由来检测连通性
可以通过IKE的生存时间来检测连通性
需要通过路由来检测连通性
安全性
非常弱。
可以通过GREOverIPSec(传输模式)来增强其安全性
很强的安全性,可以静态配置,也可以通过IKE配置
简单的隧道身份认证机制。
可以和IPSec结合
无
QoS特性
本身没有,可以使用IPQoS特性
有简单的滑动窗口机制,可进行拥塞和流量控制;
不能保证带宽
与RSVP-TE一起使用,有很强的QoS特性
2.4VPN隧道协议
隧道可通过隧道协议来实现,根据在OSI模型的第二层还是第三层实现隧道,隧道协议可分为第二层隧道协议(如PPTP、L2F、L2TP)和第三层隧道协议(如GRE、IPSec)。
其中GRE和IPSec主要用于实现专线VPN业务,L2TP主要用于实现拨号VPN业务,也可用于实现专线VPN业务。
2.4.1第二层隧道协议
第二层隧道协议是将整个PPP帧封装在内部隧道中,以下介绍现有的第二层隧道协议:
1、PPTP(Point-to-PointTunnelingProtocol):
点到点隧道协议
点到点隧道协议,由Microsoft、Ascend和3COM等公司支持,在WindowsNT4.0以上版本已经包括了PPTP客户机和服务器的功能。
通过该协议,远程客户可以采用拨号方式通过装有点对点协议的系统接入公共的IP网。
拨号客户首先用常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;
在此基础上,用户再进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道,实质上是基于IP协议的另一个PPP连接。
对于直接连接到IP网的客户则不需要第一次的PPP拨号连接,可以直接与PPTP服务器建立虚拟通路,安全访问公司网络。
该协议支持点到点PPP协议在IP网络上的隧道封装,是PPP协议的一种扩展协议,PPTP作为一个呼叫控制和管理协议,使用一种增强的GRE(GenericRoutingEncapsulation,通用路由封装)技术为传输的PPP报文。
这项技术为在隧道中传输的数据提供低层拥塞控制和流量控制,且这种机制允许高效使用隧道可用带宽,并能避免不必要的重发和缓冲区溢出。
PPTP把建立隧道的主动权交给了客户,但客户需要在其PC机上配置PPTP,这样做既会增加用户的工作量,又会造成网络的安全隐患。
另外,PPTP仅工作于IP,不具有隧道终点的验证功能,需要依赖用户的验证。
2、L2F(Layer2Forwarding):
二层转发协议
L2F是由思科公司提出的,它支持对更高级协议链路层的隧道封装,这样便可实现拨号服务器和拨号协议连接在物理位置上的分离。
可用于建立跨越公网的安全隧道,将ISPPOP连接到企业内部网关,即提供了一个远程用户与企业总部网络之间虚拟的点对点连接。
L2F远端用户能够通过任何拨号方式接入公共IP网络。
首先,按常规方式拨号到ISP的接人服务器(NAS),建立PPP连接;
NAS根据用户名等信息发起第二次连接,呼叫用户网络的服务器。
这种方式下,隧道的配置和建立对用户是完全透明的。
3、L2TP(Layer2TunnelingProtocol):
二层隧道协议
该协议是一种工业标准的Internet隧道协议,IETF起草,微软等公司参与,结合了PPTP和L2F的优点。
L2TP既可用于实现拨号VPN业务,也可用于实现专线VPN业务,目前在电信网络中得到大量应用。
(1)、运用L2TP协议组建的VPDN典型
使用L2TP协议构建的VPDN应用的典型组网如图2.5所示:
图2.5L2TP协议构建的VPDN
L2TP主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)构成。
LAC是附属在网络上具有PPP端系统和L2TP协议处理能力的设备。
LAC一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。
LNS是PPP端系统上用于处理L2TP协议服务器端的软件。
LAC位于LNS和远端系统(远地用户和远地分支机构)之间,用于在LNS和远端系统之间传递信息包,把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,将从LNS收到的信息包进行解封装并送往远端系统。
LAC与远端系统之间可以采用本地连接或PPP链路,VPDN应用中通常为PPP链路。
LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点。
(2)、L2TP协议详解
●L2tp的协议结构:
图2.6L2TP协议结构
L2TP协议结构描述了PPP帧和控制通道以及数据通道之间的关系。
由于L2TP仅仅定义了控制包的加密传输方式,对传输中的数据并不加密,PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输。
通常L2TP数据以UDP报文的形式发送。
L2TP注册了UDP1701端口,但是这个端口仅用于初始的隧道建立过程中。
L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;
接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文。
至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
●隧道(Tunnel)和会话(Session)
在一对LAC和LNS之间存在着两种类型的连接:
Tunnel连接和Session连接。
Tunnel连接定义了一个LAC和LNS对;
Session连接复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
在同一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话(Session)组成。
会话连接必须在隧道建立成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。
控制消息和PPP数据报文都在隧道上传输。
L2TP使用Hello报文来检测隧道的连通性。
LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,该会话将被清除。
●控制消息和数据消息的概念
L2TP定义了控制消息和数据消息这两种消息。
控制消息用于隧道和会话连接的建立、维护以及传输控制;
数据消息则用于封装PPP帧并在隧道上传输。
控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制;
而数据消息的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。
控制消息和数据消息共享相同的报文头。
L2TP报文头中包含隧道标识符(TunnelID)和会话标识符(SessionID)