方案建议书第三分册VPN系统建议.docx
《方案建议书第三分册VPN系统建议.docx》由会员分享,可在线阅读,更多相关《方案建议书第三分册VPN系统建议.docx(14页珍藏版)》请在冰豆网上搜索。
方案建议书第三分册VPN系统建议
山东省Internet数据中心工程
技术建议书第三分册
VPN系统
北京国网讯通数据网络有限公司
二零零零年十二月
目录
概述1
第一章VPN技术综述1
1.1VPN概述1
1.2VPN特点2
1.3VPN实现方式和特点3
1.4VPN发展趋势分析7
1.5VPN组建建议8
第二章VPN系统实现方案10
2.1VPN系统实现方式10
2.2VPN系统结构11
2.3VPN系统设备配置13
2.3.1省中心VPN设备配置13
2.3.2济南、青岛VPN设备配置13
2.3.3济南、青岛外其它15地市VPN设备配置14
概述
山东省Internet数据中心可以为用户提供VPN服务,即在公共网络上利用安全、认证、加密等技术提供安全、可靠的网络连接。
本技术建议书的这一分册将对VPN系统的方案设计给出建议。
第一章VPN技术综述
VPN作为一项重要技术在迅猛发展的同时,也成为了业界讨论的一个重要话题,对VPN的概念也产生了众多混淆观点。
该技术虽然在业界已经使用多年,但什麽是VPN,VPN究竟会为用户和运营商带来什么好处,业内仍存在多种不同的解释。
为了使我们能对VPN技术有一个较全面的了解,本部分将对VPN的概念、技术实现方式、VPN技术优势以及发展趋势等进行简单的介绍和分析,希望能为组建VPN系统提供借鉴。
1.1VPN概述
IP虚拟专用网(IP-VPN)是指服务提供商(ISP)可以提供的以IP骨干网为基础的一系列服务。
笼统地说,一个最终用户采用IP-VPN的服务,它就可以在多个地点之间传送IP数据包,同时得到一定程度的服务质量保证(例如丢包和延迟)和某种程度的安全保证,就象它自己建网一样。
访问国际互连网(Internet)当然也是这种服务的一部分。
IP-VPN扩充了Internet的能力,同时其他的增值服务也可以丰富IP-VPN的应用。
增值服务的一些例子包括加密服务,不同形式的数据优先处理(服务等级)和一些基于服务器的应用,像主机代管,协同工作和多媒体服务。
数据优先处理在这里值得特别注意,它可以允许最终用户对网络资源得到比传统的广域网更好的控制。
例如,在资源比较缺乏的时候(低带宽链路),那些重要的或对延迟敏感的应用可以得到特别的对待,而其他低优先级的数据则被限制在剩余的带宽内。
利用公用网络构建虚拟私有网络是个新型的网络概念,它给服务提供商(ISP)和VPN用户都将带来不少的益处。
从经济的角度来说,在一个共同的基础上提供更宽更广的业务可以节省大量的投资。
这样,ISP可以扩展对高端用户的服务范围,而在此同时,扩充对中小型用户的市场份额,后者对刺激收入有显著的效果。
同时IP-VPN又可以降低费用,这对ISP和它们的用户来说,都是一件好事情。
采用IP-VPN带来的其他好处还包括缩短建设及维护的时间,它可以很快地完成在多点之间地移动、增加和改动。
对于服务提供商来说,在通过向企业提供VPN这种增值服务,ISP可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。
事实上,VPN用户的数据流量较普通用户要大的多,而且时间上也是相互错开的。
VPN用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。
ISP对外提供两种服务,资源利用率和业务量大大增加,将给ISP带来新的商业机会。
而对于VPN用户而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用Internet费用,无疑是非常有吸引力的。
而且企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。
VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活性、方便性等特性将给企业的网络管理带来很大的方便。
另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术使得通过公用网络传输的私有数据的安全性得到了很好的保证。
1.2VPN特点
一个高效、成功的VPN一般应当满足以下几项条件:
1、安全性
虽然实现VPN的技术和方式有很多,但所有的VPN均应保证通过公用网络平台传输数据的安全性和私有性,保证传送的数据完整、私有并不被篡改。
隧道加密技术是保证网络、数据以及用户地址信息私有性的一个比较常用的方法。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,我们称之为建立了一个隧道,我们可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者理解,从而保证了数据的私有性和安全性。
2、服务质量保证
VPN网应当为企业数据提供不同的服务质量保证,而对于不同的用户和业务对服务质量保证的要求也差别较大。
比如对于移动办公用户,提供广泛的连接和覆盖性成为保证VPN服务的一个主要因素。
而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性,对于其他应用(如视频等)则对网络提出了更明确的要求,如网络延迟及误码等。
所有以上网络应用均要求网络根据需要提供不同的服务优先级。
3、策略管理
如何将网络资源分配给用户或数据流这样的网络实体,是由策略来定义的。
VPN应该支持SLA定义的多种策略类型。
服务商应能够根据用户和数据业务情况在网络资源商施加不同的策略规则。
4、可扩充性
作为一种基本的服务传送技术,VPN必须可以扩充到成百上千个用户和站点。
VPN除了作为一种可管理的服务,还应成为服务提供商用于控制服务接入的管理工具。
5、灵活性
VPN必须能够支持Intranets和Extranets中流动的任何类型的数据流。
VPN应具备的灵活性还包括:
方便增加新的节点;支持多种类型的介质连接;可以满足同时传输语音、图像和数据等新应用时对高质量传输以及带宽增加的需求。
1.3VPN实现方式和特点
IPVPN主要分为两种类型,即拨号VPN(又简称VPDN)和专线VPN。
拨号VPN又分为客户端发起和NAS发起VPDN两类,而专线VPN主要分为基于Tunnel的VPN、基于虚电路(如FrameRelay和ATMPVC)的VPN和基于MPLS技术的VPN三类。
其中基于虚电路的VPN已经成为了一项非常成熟、目前已经被广泛使用的VPN技术和方式,但该技术成本较高、灵活性较差,正在促使企业采用其他几类技术,利用目前的公用IP网络,而不是公用FrameRelay网和ATM网组建IPVPN。
因此,以下将对拨号VPN、基于Tunnel的专线VPN以及基于MPLS的专线VPN进行介绍。
VPN实现方式体系结构图如下:
各种实现方式的特点如下:
1、由用户端建立的拨号IP-VPN
首先,远程客户拨号进入一个本地接入点(POP)。
然后它运行一个支持IPSec的客户端软件,与公司内联网中的一台PIX防火墙建立一条加密的隧道,这样就可以安全地访问防火墙内的数据。
1)优势
访问服务器不参与IP-VPN,客户可以同时访问互连网和内联网。
2)限制
客户端软件必须是指定的支持IPSec的产品。
隧道对ISP来说是安全透明的,ISP无法提供增值服务。
IP地址由ISP分配,不能采用内部地址
2、由访问服务器建立的拨号IP-VPN
采用访问服务器(NAS),通过L2F或L2TP协议,由NAS建立一条安全隧道到内联网的网关,该网关负责身份验证和IP地址分配,远廓客户就象直接连到内联网一样。
ဍ1)漘势Р远程客户端不需要特别的软件
ISP可俧提供高档次的拨号IP耭VPN服务
ʼnѐ地址采用内联网的内탨地址,不占用ISP的地址空间
3、IŐ聓ecP隧酓的专线Iɐ-ÖP⁎
䀠任何两台支持I⁐Sec的设备之韴都可以建立一条加密隧道,支持IPSec的设备匍括:
运行IPSec软件皌客户机㈁路由器、혲火墙和服务器。
1)优势
方便、快捷,无需改变ISP的网络
安全、可靠、性能高?
ISP可以对隧道提供高级的IP服务
2)限制
ISP的网络不知道IP-VPN的存在
4、GREIP隧道的专线IP-VPN
GRE隧道是基于RFC1701和1702的标准IP-VPN方案。
它的作法是将IP数据包加上GRE头,封装在IP数据项内。
在路由器看来,GRE隧道是一个点到点端口,它可以被加密。
ISP可以对GRE隧道提供QoS服务,但这个隧道的两端必须在同一个ISP的网络内。
1)优势
ISP无需知道用户的IP地址
ISP可以提供IPQoS服务,甚至可以对应用层
5、基于MPLS的内嵌VPN网络
在整个网络上运行MPLS,每一个IP-VPN都有一个IP-VPN,通过TDP将不同的VPN-ID映射到不同的Tag上,这样VPN的信息就内嵌在MPLS网络之中。
1)优势
Tag-VPN是无连接的,无需定义隧道
与MPLS一样具有良好的网络扩展性和增值服务扩展性
在ISP的网络中可以“看见”VPN,可以为每个VPN提供增值服务
容易增加VPN和简化管理
IPQoS和流量管理随MPLS与生具有
2)限制
要求ISP网络上所有设备支持MPLS协议
1.4VPN发展趋势分析
经过几年的发展,IPVPN得到了迅猛的发展,而且这种趋势还将继续。
统计表明不管公司的规模大小,它们都普遍支持和接受VPN。
许多大型公司希望尽快采用VPN,因为他们每月要为移动办公人员进行远程访问支付大笔的费用。
采用IPVPN为企业带来的显而易见的好处是企业选择该种方案的重要原因。
在研究过程中发现,实施VPN的最大好处并不是节约成本,也不是拓宽区域或能够更快地增加用户,而是它为企业提供了一个更可靠的网络。
企业期望基于服务供应商IP网络的VPN,能够为他们提供比当前网络更加可靠的远程访问和站点到站点网络。
可靠性是企业期望的最大回报和好处,当然也有一些其他原因,如节约远程访问成本、节省国际拨号费用、站点到站点访问、以及能够在公共数据网络上快速增加远程访问用户和站点等战略优势。
统计还发现,对连接客户、供应商和其他业务合作伙伴的ExtranetVPN来说,Extranet用户的巨大回报是及时的业务通信能力。
企业认为,通过使用ExtranetVPN,他们可以提高客户忠诚度,拉进他们与客户之间的关系。
他们还发现,他们不必面临当前面临的技术升级问题,也不必更换目前的调制解调器群和RAS设备。
远程访问VPN的另一个好处是,通过把许多这类问题转移到ISP那里,而减轻了技术支持的负担。
通过对实际远程访问成本的研究表明,在远程访问用户配置、安装和解决问题中,IT经理只完成了15%的工作,而另外85%的工作都是由最终用户完成的。
对大多数企业来说,远程访问的目的是使移动工作人员对本公司业务具有战略意义的客户保持密切的联系。
对于运营商,通过在残酷的竞争中构建低廉的本地VPN接入业务,可以在满足企业IP网络外包需求中处于非常有利的位置。
运营商可以在提供的带宽中提供更多的增值,进而获得更多的利润。
事实上,不同机构实际采用VPN的序幕刚刚拉开,其中包括公司、高校和政府机构,VPN正在改变这些机构的业务运作方式。
VPN的影响将类似于语音邮件、传真和电子邮件。
其实,它只是机构内部和外部之间进行通讯的另外一种方法。
将来数据网络将象使用工具或网络服务供应商一样运行,VPN则是实现这一目标的重要基石。
目前,许多VPN的早期采用正在测试和试用VPN。
尽管目前尚未普及,但许多人都在使用公共IP网络来处理远程访问。
有些人则正在使用VPN,处理站点到站点的连接。
通过与一些公司的交流发现,VPN可以明显节约远程访问成本并带来其他益处,正是这些益处吸引这些公司更多地了解VPN及其实现方式。
统计表明,到2000年,将大约有50万的办公室将通过VPN互连。
到2001年,在美国将有830万远程访问用户使用VPN。
尽管美国的VPN采用速度较快,但是到2001年,在全世界其他国家也将新增930万远程访问用户。
通过以上分析表明,VPN的市场发展潜力是巨大的。
1.5VPN组建建议
组建VPN网可以采用基于隧道的VPN和基于MPLS的VPN两种方式。
其中基于隧道的VPN网可以依赖于运营商,也可以不依赖于运营商而独立组建;基于MPLS的VPN组建需要运营商进行支持,运营商需要提供该项业务。
基于隧道的VPN较基于MPLS的VPN发展较早,技术上比较成熟,目前已经被比较广泛的使用。
基于MPLS的VPN技术仍在起步阶段,一些问题(如服务质量保证、跨不同自治域问题、互通问题等)仍需要解决,MPLS的标准仍待完善。
企业组建VPN网一般有两个需求,一种需求是提供出差用户或家庭办公用户通过接入服务器接入公司内部网,另一种需求是满足不同分支机构内部网间的互连。
前一种方式我们称为VPDN业务,而后一种称为专线VPN业务。
企业组建VPDN网接入移动办公用户,一般采用隧道方式,实现方式有客户端发起和NAS发起两种方式。
客户端发起VPDN不需要运营商参与,企业可以独立组建,但一般要求客户端设备安装专门的VPN客户端软件。
目前采用客户端发起VPDN方式用户可以根据选择VPN网关情况选择使用PPTP、L2TP或IPSec隧道协议。
基于NAS发起的VPDN需要运营商接入服务器支持VPDN业务,企业需要向运营商申请该项业务并依赖于运营商,该种方式客户端设备不需要安装专门的VPN客户端软件。
目前NAS发起的VPDN主要可选择使用L2TP隧道协议。
企业组建专线VPN可采用隧道方式或MPLS方式。
采用隧道方式组建专线VPN不需要运营商参与,企业可以独立组建。
目前通过隧道方式组建专线VPN网建议选择使用IPSec隧道方式,该种隧道方式定义了一套完善的数据传输和安全加密机制,能够保证数据传输的私有性、完整性和可靠性。
采用MPLS方式组建专线VPN需要运营商提供这种业务,通过该种方式组建的VPN具有更好的灵活性、安全性和可扩充性,并可提供比较完善的服务质量保证,是真正意义的专用网络。
通过MPLS组建VPN的技术还待完善和增强。
经过以上分析可以发现,企业若组建VPN网与运营商有关和必须由运营商参与的方式为NAS发起的VPDN和通过MPLS方式的专线VPN方式。
考虑到目前VPN业务的发展需要,我们建议运营商应首先开展基于NAS发起的VPDN业务,为企业提供移动办公用户接入企业网的服务。
在提供基于MPLS专线VPN业务前,应向用户推荐利用隧道方式组建专线VPN的建议。
利用隧道方式组建VPN网,VPN网关的位置不受地域限制,可以放置在任何可以接入Internet网的地方,因此该种方式会得到广泛应用。
利用MPLS组建专线VPN对于大的集团用户、仅需要提供专线方式的用户是合适的,比隧道方式有更好的灵活性,因此建议运营商在条件具备情况下可以考虑进行试点实验,待确认技术成熟以及系统稳定后向公众开放。
应当注意的是通过MPLS组建专线VPN受到地域的限制,提供该种业务需要运营商网络设备提供对MPLS技术的支持。
第二章VPN系统实现方案
2.1VPN系统实现方式
建成的山东省Internet数据中心要求能够向用户提供VPN服务,为需要安全传输的客户提供服务。
因此,要在山东省网范围内建立VPN系统。
山东省Internet数据中心VPN系统包括省中心节点,济南、青岛节点以及济南、青岛外的其它15个地市节点。
VPN系统主要为全省的业务数据提供安全可靠的传输通道。
其中,济南、青岛外的15个地市节点为业务受理点,直接面向用户受理VPN业务,并和济南或青岛交换业务数据。
在济南、青岛以及省中心均建立业务管理系统,济南、青岛分别和省中心交换业务数据。
根据这样的管理模式,要求在15个业务受理点和济南、青岛业务管理系统之间,以及济南、青岛和省中心业务管理系统之间建立VPN安全隧道,保证数据传输的安全性。
由于省中心与济南和青岛之间交换的数据量较大,对系统可靠性、安全性以及系统性能的要求也较高,因此我们建议VPN隧道采用IPSec基于Tunnel的专线VPN方式。
采用这种VPN方式要求在省中心、济南、青岛数据中心均配置支持IPSec的VPN安全网关。
济南、青岛外15个地市节点和济南或青岛之间交换的数据量相对较小,并且这15个地市直接放置业务受理终端,可在终端上直接集成VPN客户端软件,因此我们建议济南、青岛外的地市节点与济南或青岛之间采用客户端发起的拨号VPN方式。
采用这种VPN方式要求在其它15个地市节点配置支持IPSec的VPN客户端软件。
运行这个客户端软件,可以与济南或青岛节点的VPN网关建立一条加密的隧道,这样就可以安全地访问业务管理系统中的数据了。
山东省Internet数据中心VPN系统实现方式示意图见下图所示:
2.2VPN系统结构
省中心与济南节点之间、省中心与青岛节点之间均采用IPSec基于Tunnel的专线VPN方式,因此在省中心、济南、青岛数据中心的业务系统前端均需配置支持IPSec的VPN安全网关。
济南、青岛外的15个地市与济南、青岛节点采用客户端发起的拨号VPN方式,因此在这15个节点的业务受理终端上均需配置支持IPSec的VPN客户端软件。
山东省Internet数据中心VPN系统结构图如下图所示:
2.3VPN系统设备配置
2.3.1省中心VPN设备配置
在省中心配置一台VPN网关。
具体配置情况见下表所示:
设备名称
项目
描述
数量
省中心安全网关CiscoVPN3030
CVPN3030-RED
VPN3030Concentrator(Redun.&2P/S);1500users@50Mbps
1
CVPN3030-SW-25
Rel2.5SWLoadCiscoVPN3030Concentrator(req'dfor3030)
1
CVPN3000-PC-AUS
PowerCordAustraliaNZ
1
2.3.2济南、青岛VPN设备配置
由于济南节点负责10地市的业务,青岛节点负责7地市的业务,业务量较大,因此我们建议在这两个节点各配置两台VPN网关。
济南节点具体配置情况见下表所示:
设备名称
项目
描述
数量
济南节点安全网关CiscoVPN3030
CVPN3030-RED
VPN3030Concentrator(Redun.&2P/S);1500users@50Mbps
2
CVPN3030-SW-25
Rel2.5SWLoadCiscoVPN3030Concentrator(req'dfor3030)
2
CVPN3000-PC-AUS
PowerCordAustraliaNZ
2
青岛节点具体配置情况见下表所示:
设备名称
项目
描述
数量
青岛节点安全网关CiscoVPN3030
CVPN3030-RED
VPN3030Concentrator(Redun.&2P/S);1500users@50Mbps
2
CVPN3030-SW-25
Rel2.5SWLoadCiscoVPN3030Concentrator(req'dfor3030)
2
CVPN3000-PC-AUS
PowerCordAustraliaNZ
2
2.3.3济南、青岛外其它15地市VPN设备配置
济南、青岛外其它15地市各需要一套支持IPSec的VPN客户端软件。
由于Windows2000操作系统支持IPSec的VPN客户端软件,并且这15个地市的业务受理终端操作系统采用的是Windows2000,因此无需额外配置了。
升级会员 