中石化vpn解决方案0612.docx
《中石化vpn解决方案0612.docx》由会员分享,可在线阅读,更多相关《中石化vpn解决方案0612.docx(26页珍藏版)》请在冰豆网上搜索。
中石化vpn解决方案0612
IPSecVPN解决方案
华为3com技术有限公司
1.概述
随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:
传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。
于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
1.1VPN定义
利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,VirtualPrivateNetwork),用于构建VPN的公共网络包括Internet、帧中继、ATM等。
在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。
“虚拟”的概念是相对传统私有网络的构建方式而言的。
对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。
通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图1所示。
图1VPN应用示意图
由图可知,企业内部资源享用者只需连入本地ISP的POP(PointOfPresence,接入服务提供点),即可相互通信;而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。
虚拟网组成后,出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游的话,甚至不必拥有本地ISP的上网权限。
这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。
并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。
1.2VPN的类型
VPN分为三种类型:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
2.4.1AccessVPN
随着当前移动办公的日益增多,远程用户需要及时地访问Intranet和Extranet。
对于出差流动员工、远程办公人员和远程小办公室,AccessVPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。
在AccessVPN的应用中,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据。
AccessVPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
用户发起的VPN连接指的是以下这种情况:
首先,远程用户通过服务提供点(POP)拨入Internet,接着,用户通过网络隧道协议与企业网建立一条的隧道(可加密)连接从而访问企业网内部资源。
在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。
在接入服务器发起的VPN连接应用中,用户通过本地号码或免费号码拨入ISP,然后ISP的NAS再发起一条隧道连接连到用户的企业网。
在这种情况下,所建立的VPN连接对远端用户是透明的,构建VPN所需的协议及软件均由ISP负责管理和维护。
2.4.2IntranetVPN
IntranetVPN通过公用网络进行企业各个分布点互联,是传统的专线网或其他企业网的扩展或替代形式。
利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSec、GRE等。
结合服务商提供的QoS机制,可以有效而且可靠地使用网络资源,保证了网络质量。
基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量,但其不足是互联区域有较大的局限性。
而另一方面,基于Internet构建VPN是最为经济的方式,但服务质量难以保证。
企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。
1.2.3ExtranetVPN
ExtranetVPN是指利用VPN将企业网延伸至合作伙伴与客户。
在传统的专线构建方式下,Extranet通过专线互联实现,网络管理与访问控制需要维护,甚至还需要在Extranet的用户侧安装兼容的网络设备;虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,而同样降低不了复杂度。
因合作伙伴与客户的分布广泛,这样的Extranet建设与维护是非常昂贵的。
因此,诸多的企业常常是放弃构建Extranet,结果使得企业间的商业交易程序复杂化,商业效率被迫降低。
ExtranetVPN以其易于构建与管理为解决以上问题提供了有效的手段,其实现技术与AccessVPN和IntranetVPN相同。
Extranet用户对于ExtranetVPN的访问权限可以通过防火墙等手段来设置与管理。
1.3VPN的优点
利用公用网络构建VPN是个新型的网络概念,对于企业而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用。
据报道,局域网互联费用可降低20~40%,而远程接入费用更可减少60~80%,这无疑是非常有吸引力的;VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。
1.4隧道技术
对于构建VPN来说,网络隧道(Tunneling)技术是个关键技术。
网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。
网络隧道技术涉及了三种网络协议,网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。
现有两种类型的隧道协议:
一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建AccessVPN和ExtranetVPN;另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建IntranetVPN和ExtranetVPN。
2.4.1二层隧道协议
二层隧道协议主要有三种:
PPTP(PointtoPointTunnelingProtocol,点对点隧道协议)、L2F(Layer2Forwarding,二层转发协议)和L2TP(Layer2TunnelingProtocol,二层隧道协议)。
其中L2TP结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持,将是使用最广泛的VPN二层隧道协议。
应用L2TP构建的典型VPN服务的结构如下图所示:
典型拨号VPN业务示意图
2.4.2三层隧道协议
用于传输三层网络协议的隧道协议叫三层隧道协议。
三层隧道协议并非是一种很新的技术,早已出现的RFC1701GenericRoutingEncapsulation(GRE)协议就是一个三层隧道协议,此外还有IETF的IPSec协议。
GRE与IPinIP、IPXoverIP等封装形式很相似,但比他们更通用。
在GRE的处理中,很多协议的细微差异都被忽略,这使得GRE不限于某个特定的“XoverY”应用,而是一种最基本的封装形式。
在最简单的情况下,路由器接收到一个需要封装和路由的原始数据报文(Payload),这个报文首先被GRE封装而成GRE报文,接着被封装在IP协议中,然后完全由IP层负责此报文的转发。
原始报文的协议被称之为乘客协议,GRE被称之为封装协议,而负责转发的IP协议被称之为传递(Delivery)协议或传输(Transport)协议。
注意到在以上的流程中不用关心乘客协议的具体格式或内容。
整个被封装的报文具有下图所示格式:
通过GRE传输报文形式
IPSec
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。
而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
IPSec提供以下几种网络安全服务:
Ÿ私有性-IPSec在传输数据包之前将其加密.以保证数据的私有性;
Ÿ完整性-IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;
Ÿ真实性-IPSec端要验证所有受IPSec保护的数据包;
Ÿ防重放-IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
IPSec在两个端点之间通过建立安全联盟(SecurityAssociation)进行数据传输。
安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。
IPSec在转发加密数据时产生新的AH和/或ESP附加报头,用于保证IP数据包的安全性。
IPSec有隧道和传输两种工作方式。
在隧道方式中,用户的整个IP数据包被用来计算附加报头,且被加密,附加报头和加密用户数据被封装在一个新的IP数据包中;在传输方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算附加报头,附加报头和被加密的传输层数据被放置在原IP报头后面。
AH报头用以保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。
考虑到计算效率,AH没有采用数字签名,而是采用了安全哈希算法来对数据包进行保护。
AH没有对用户数据进行加密。
AH在IP包中的位置如图5所示(隧道方式):
图5AH处理示意图
ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP可以保证数据的完整性、真实性和私有性。
ESP头在IP包中的位置如下(隧道方式):
图6ESP处理示意图
AH和ESP可以单独使用,也可以同时使用。
使用IPSec,数据就可以在公网上安全传输,而不必担心数据被监视、修改或伪造。
IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。
在两个端点之间可以建立多个安全联盟,并结合访问控制列表(access-list),IPSec可以对不同的数据流实施不同的保护策略,达到不同的保护效果。
安全联盟是有方向性的(单向)。
通常在两个端点之间存在四个安全联盟,每个端点两个,一个用于数据发送,一个用于数据接收。
IPSec的安全联盟可以通过手工配置的方式建立,但是当网络中结点增多时,手工配置将非常困难,而且难以保证安全性。
这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程。
1.5加密技术
Internet密钥交换协议(IKE)用于通信双方协商和建立安全联盟,交换密钥。
IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。
IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,通信双方最终计算出共享的密钥。
其中的核心技术就是DH(DiffieHellman)交换技术。
DH交换基于公开的信息计算私有信息,数学上已经证明,破解DH交换的计算复杂度非常高从而是不可实现的。
所以,DH交换技术可以保证双方能够安全地获得公有信息,即使第三方截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
在身份验证方面,IKE提供了共享验证字(Pre-sharedKey)、公钥加密验证、数字签名验证等验证方法。
后两种方法通过对CA(CertificateAuthority)中心的支持来实现。
IKE密钥交换分为两个阶段,其中阶段1建立ISAKMPSA,有主模式(MainMode)和激进模式(AggressiveMode)两种;阶段2在阶段1ISAKMPSA的保护下建立IPSecSA,称之为快速模式(QuickMode)。
IPSecSA用于最终的IP数据安全传送。
另外,IKE还包含有传送信息的信息交换(InformationalExchange)和建立新DH组的组交换(DHGroupExchange)。
1.6身份认证技术
IPSec隧道建立的前提是双方的身份的得到了认证,这就是所谓的身份验证。
身份验证确认通信双方的身份。
目前有两种方式:
一种是域共享密钥(pre-sharedkey)验证方法,验证字用来作为一个输入产生密钥,验证字不同是不可能在双方产生相同的密钥的。
验证字是验证双方身份的关键。
这种认证方式的优点是简单,但有一个严重的缺点就是验证字作为明文字符串,很容易泄漏。
另一种是PKI(rsa-signature)验证方法。
这种方法通过数字证书对身份进行认证,安全级别很高,是目前最先进的身份认证方式。
公钥基础设施(PublicKeyInfrastructure,简称PKI)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系,它是一套软硬件系统和安全策略的集合,提供了一整套安全机制。
PKI采用证书进行公钥管理,通过第三方的可信任机构,把用户的公钥和用户的其他标识信息捆绑在一起,以在网上验证用户的身份。
PKI为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。
数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
一个PKI系统由公开密钥密码技术、证书认证机构、注册机构、数字证书和相应的PKI存储库共同组成。
PKI组成框图
其中,认证机构用于签发并管理证书;注册机构用于个人身份审核、证书废除列表管理等;PKI存储库用于对证书和日志等信息进行存储和管理,并提供一定的查询功能;数字证书是PKI应用信任的基础,是PKI系统的安全凭据。
数字证书又称为公共密钥证书PKC(PublicKeyCertificate),是基于公共密钥技术发展起来的一种主要用于验证的技术,它是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,可作为各类实体在网上进行信息交流及商务活动的身份证明。
证书是有生命期的,在证书生成时指定,认证中心也可以在证书的有效期到来前吊销证书,结束证书的生命期。
2.建设方案
2.1基本建设思路
在VPN接入网的建设过程中,需要从以下几个方面来考虑:
Ø设备选型,需要重点关心设备的VPN加密性能和转发性能
Ø支持客户端各种接入手段及动态IP地址;企业总部采用固定IP地址,分支机构可以选择ADSL或者FE专线接入Internet。
Ø网络拓扑类型以Hub-Spoke为主,Partial-Mash方式下客户端互访流量通过Server转发,此时流量不超过20%,否则会加重Server负担,这种情况下,路由的设计是重点关注的问题。
ØIPSEC提供在IP层的加密认证等安全服务。
ØIKE协商可以采用预共享密钥的方式,也可以采用CA认证的方式进行。
Ø在企业总部每2台VPNServer互为备份组作为VPN接入服务器,如果用户增加,可以通过增加服务器备份组的方法接入更多用户。
Ø网络的部署监控配置维护采用VPNMANAGER和BIMS配合进行
2.2组网方案
VPN接入网关子系统部署:
在总部局域网Internet边界防火墙后面配置一台专用的高性能的VPN网关,在分支机构Internet边界防火墙后面配置一台专用VPN网关,由此两端的VPN网关建立IPSecVPN隧道,进行数据封装、加密和传输。
VPN客户端设备可以采用静态或动态申请的IP地址和总部网关建立VPN链接。
根据其业务的需求,有必要的话,可以在分支节点用设备进行冷备份。
H3Csecpath系列VPN网关强大的VPN处理性能,高端专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下350Mbps以上的加密吞吐量,百兆VPN网关通过专业的硬件加密处理器可以提供标准加密算法下60Mbps以上的加密吞吐量;
2.4.1IPSecVPN方式
组网特点:
✓VPN客户端设备相对来说比较简单。
部署要点
✓VPN客户端可以使用动态地址接入服务器,但为了防止客户端IPSec配置泄露造成的安全隐患,建议VPN客户端口采用静态地址。
同时,这样也便于使用VPNManager的配置管理功能。
方案特点
✓组网简单,易于部署;
✓由于IPSec不能承载路由协议,需要在分支结构和园区网配置大量的静态路由。
✓单纯的IPSec封装,对于带宽资源消耗较小;
2.4.2IPSecoverGREVPN方式
组网特点:
✓部分业务流量需要IPSec保护,另一部分业务流量不需要IPSec保护,仅需要GRE隧道完成VPN功能。
✓VPN内部需要建立统一的OSPF路由域。
部署要点
✓两端的VPN网关的之间建立GRE隧道,然后将IPSec策略应用到GRE隧道接口上从而建立IPSec隧道,进行数据封装、加密和传输;
✓在GRE隧道接口上使能OSPF;
方案特点
✓GRE可以承载多种协议,扩展性强。
✓IPSec只适用于IP协议,所以对于企业网内非IP协议,不能使用。
✓IPSec是基于策略的,GRE是基于路由的。
如果企业网内部分流量需要IPSec保护,而另一部分不需要。
建议使用IPSecoverGRE的方式。
✓不需要配置大量的静态路由,配置简单。
✓GRE还支持由用户选择记录Tunnel接口的识别关键字,和对封装的报文进行端到端校验;
✓GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响,这就导致使用GRE会造成路由器一定的负担;
2.4.3GREoverIPSecVPN方式
组网特点:
✓VPN内部需要建立统一的OSPF路由域。
✓VPN内部可以支持MPLS、IPX等非IP协议的网络。
部署要点
✓两端的VPN网关的Loopback接口之间建立GRE隧道,然后将IPSec策略应用到Wan接口上从而建立IPSec隧道,进行数据封装、加密和传输;
✓在GRE隧道接口上使能OSPF;
方案特点
✓GRE的特点是可以承载多种协议,而IPSec只能承载IP协议。
如果企业网内有IPX、MPLS等应用,建议可以先借用GRE承载非IP协议,然后才能使用IPSec保护GRE报文。
✓GRE是基于路由的,而IPSec是基于策略。
如果需要在企业网内统一规划路由方案,GREoverIPSec的方式逻辑就比较清晰。
因为IPSec的策略是针对GRE隧道的,而GRE隧道是基于路由的,所以整个VPN内的路由是统一的。
✓对业务流量,诸如路由协议、语音、视频等数据先进行GRE封装,然后再对封装后的报文进行IPSec的加密处理。
✓不必配置大量的静态路由,配置简单。
✓GRE还支持由用户选择记录Tunnel接口的识别关键字,和对封装的报文进行端到端校验;
✓GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响,这就导致使用GRE会造成路由器数据转发效率有一定程度的下降;
2.4.4L2TPoverIPSecVPN方式
组网特点:
✓IPSec隧道保护RouterA和RouterB之间的公网链路。
✓对于分支设备的安全要求较高,在IPSec认证之外,还需要对分支设备进行L2TP的认证。
✓通常情况下,L2TP的客户端是拨号连接到LAC的用户主机。
此时用户与LAC的连接总是PPP连接。
如果使用LAC同时作为客户端,那么用户与LAC之间的连接就不受限于PPP连接,而只要是一个IP连接就可以了,这样LAC能够将用户的IP报文转发到LNS。
使用LAC同时作为客户端,是在LAC上建立一个虚拟的PPP用户,该用户与LNS保持一个常连接。
其它所有实际用户的IP报文都是通过此虚拟用户转发给LNS的;
部署方式
✓在LAC创建VT模拟用户,配置地址、验证方式、用户名、密码等信息;
✓分支设备的用户端不能由LNS分配地址,必须由用户手工配置地址,而且需要保证与LNS的VT地址在同一网段,否则OSPF路由不同互通。
✓如果没有部署OSPF等动态路由协议,必须在LAC上需要配置一条静态路由,将VPN内的流量指向VT接口。
方案特点
✓中心网关可以对分支设备进行认证和计费,提高系统安全性。
L2TP收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响,这就导致使用L2TP会造成路由器数据转发效率有一定程度的下降;
2.4.5移动用户IPSecVPN接入方式
组网特点
✓移动用户灵活接入,安全认证、数据保护。
部署要点
✓通过客户端软件iNode多链路形式接入企业内部VPN
✓使用L2TP+IPSEC完成用户身份认证和报文加密
✓认证方式可以采用Seckey
✓IKE协商使用预共享密钥的方式进行
✓对于L2TP用户认证计费采用远端Radius(CAMS)进行
✓VPN服务器侧可以考虑使用单台设备,也可以考虑使用双VPN服务器备份
方案特点
✓灵活、安全
2.4.6动态VPN(DVPN)接入方式
DVPN采用了Client和Server的方式,Client设备(DVPN应用中,作为Client接入DVPN域的设备)需要在DVPNServer设备(DVPN应用中,作为Server接入DVPN域的设备)进行注册。
DVPN域中一台DVPN接入设备作为Server,其他的DVPN接入设备作为Client。
Client在DVPNServer注册成功后,会与其建立Session(会话隧道),通过Session完成Client的私有网络和DVPNServer的私有网络的互联,Client成功加入到一个DVPN域;Sever会保存所有登录到DVPN域中的Client信息。
如果Client访问其他Client下面的私有网络,首先通过DVPNServer进行数据转发,完成网络的访问。
DVPNServer进行数据转发时,如果Client之间可以建立Session,可以使用Redirect(重定向)报文把目的端信息发送给发起端。
Client接收到Redirect报文,得到对端Client的信息,会在Client之间建立一条新的直连的Session,后续Client之间的数据不需要通过DVPNServer进行转发,可以通过直连的Session进行数据通信。
所以一台合法的Client设备只需要有DVPNServer设备的信息就能够加入到DVPN域,可以和域中其它的Client设备自动建立会话隧道,实现私有网络的直接互联,而不需要通过DVPNServer进行转发。
DVPN实现了对所有的控制报文的安全保护,对通过公有网络传输的私密的注册协商报文和会话协商报文,都可以使用通用的加密算法(支持DES、3DES、AES算法)进行加密保护。
对于需要DVPN进行转发的私有网络的数据报文,通过IPSec进行加密处理以后,再通过DVPN进行转发,保证了所