某集团的VPN网络方案设计与分析.docx

某集团的VPN网络方案设计与分析.docx

《某集团的VPN网络方案设计与分析.docx》由会员分享，可在线阅读，更多相关《某集团的VPN网络方案设计与分析.docx（44页珍藏版）》请在冰豆网上搜索。

某集团的VPN网络方案设计与分析

某集团的VPN网络

方案设计与分析

摘要

先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。

企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统，同时，对于身处异地的分支机构或者分公司，办事处，或者在外出差的企业员工，需要为其提供高效，实时的内网访问，保证相关业务的准确高效，同时，在远距离传输过程中要保证数据不被窃听和篡改。

从整体上说，对于企业远程接入的设计不仅仅只是购买相应的VPN设备或者做相应的配置，还需要掌握企业针对远程接入的需求以及VPN设计的原则，从企业的实际需求出发，针对现今各种流行的VPN技术进行了分析比较，从原理到结构都做了详细的分析，再结合集团的实际需求，最后选出了适合企业的3种VPN部署方式，最后通过实验模拟，得出了VPN的实际效用。

关键词：

远程接入；通用路由封装；安全负载封装；多标签交换协议

AnalysisandDesignofaGroupVPN

Abstract

Theadvancednetworksystemstrengthensthemanagement,theenhancementworkingefficiencyregardingtheenterpriseandincreasesthemarketcompetitivenessisveryimportant.Theenterprisenetworkusesthetechnologymustadvanced,mature,stable,thereliablenetworksystem,simultaneously,regardingplacesthedifferentplacetheBranchofficeorthesubsidiarycompany,theoffice,orenterprisestaffwhotravelsonofficialbusinessinoutside,needstoprovidehighlyeffective,thereal-timeinnetvisitforit,guaranteedthatrelatedserviceaccuratehighlyeffective,simultaneously,inthelong-distancetransmissionprocessmustguaranteethatthedataisnotinterceptedandthedistortion.

Overallspeaking,notonlyisthepurchasecorrespondingVPNequipmentormakesthecorrespondingdispositionregardingtheenterpriselong-distanceturningondesign,butalsoneedstograsptheenterpriseinviewofthelong-distanceturningondemandaswellastheVPNdesignprinciple,embarksfromenterprise'sphysicaldemand,hascarriedontheanalysiscomparisoninviewofthenowadayseachkindofpopularVPNtechnology,tothearchitecturehasmadethedetailedanalysiscomparisonfromtheprincipletodatapacket'sseal,finallyselectedhassuitedenterprise's3VPNdeploymentway,finallythroughthetestsimulation,hasobtainedtheVPNactualutility.

Keywords：

RemoteAccess;GRE;IPSEC;MPLS

论文总页数：

43页

1引言1

2集团介绍1

2.1集团背景介绍1

2.2集团远程接入需求1

3集团VPN建设需求2

4集团现有网络现状描述2

4.1集团出口网络描述2

4.2集团网络资源描述3

5VPN方案比较分析3

5.1VPN综述3

5.2VPN分类介绍4

5.2.1第一类：

按照功能位置4

5.2.2AccessVPN、IntranetVPN、ExtranetVPN5

5.2.3三层VPN、二层VPN5

5.2.4按组网模型6

5.3常用VPN分析7

5.3.1L2TPVPN7

5.3.2GREVPN11

5.3.3IPSECVPN13

5.3.4SSLVPN17

5.3.5MPLSVPN22

6适合集团的VPN网络构建26

6.1集团VPN技术选择26

6.2集团分公司以及分支机构重要业务分布27

6.3集团VPN设计选择27

7组建集团VPN网络28

7.1集团VPN总体设计28

7.2IPSECVPN建设28

7.2.1集团IPSECVPN部署28

7.2.2IPSECVPN基本配置29

7.2.3IPSECVPN验证与测试30

7.3SSLVPN建设32

7.3.1SSLVPN部署32

7.3.2SSLVPN基本配置33

7.3.3SSLVPN验证方法35

7.4MPLSVPN建设35

7.4.1现今MPLS承载网介绍35

7.4.2MPLS部署36

7.4.3MPLSVPN的配置36

7.4.4MPLSVPN验证39

8VPN管理与维护39

8.1IPSECVPN的管理与维护39

8.2SSLVPN的管理与维护40

8.3MPLSVPN的管理与维护40

结论40

参考文献41

致谢42

声明43

1引言

今天的中国，聚焦了世界的目光，经济空前繁荣，企业面临着异常激烈的竞争，机遇与挑战并存。

如何增强核心竞争力，如何提高运营效率和客户满意度，如何控制并降低成本，如何获得业务的增长，成为企业负责人最关心的话题。

信息技术在各行各业发展中起到的作用日益凸显，信息化为我们带来了高效率的业务模式，信息化为企业的高速发展提供了最新的技术保证，如何让信息技术转化为高生产力，并最终成为我们的核心竞争力，将是每位企业信息主管不断思考的话题。

先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。

因此，企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统，同时，对于身处异地的分支机构或者分公司，办事处，或者在外出差的企业员工，需要为其提供高效，实时的内网访问，保证相关业务的准确高效，同时，在远距离传输过程中要保证数据不被窃听和篡改。

于是，各种远程互联技术应运而生，对于各种解决方案，其中的建设费用，以及相应的维护，改造，扩展等费用，以及不稳定性，不安全，不能保证特殊服务，所以产生了一种综合的应用解决方案——VPN技术。

时下，充斥着多种VPN技术。

在本设计中，针对园区的特殊需要，详细分析比较了各种VPN技术的利弊，以及相应的实验验证，得出了较好的解决方案。

2集团介绍

2.1集团背景介绍

XX集团是一个以生产农产品和加工、开发石油为主，兼营化工、金融等行业的综合性集团公司。

XX集团作为一个国有企业集团公司，在积极探索社会主业市场经济道路中，集中资源发展农业、能源、化工、金融、地产五大主业，XX集团为国有园区企业，其园区内有石油中心、农业中心、经营中心、培训中心、化工研究院、园区医院、员工宿舍楼两栋、食堂和超市、员工活动室、迎宾楼等单位。

该集团有员工近30000余名员工，其旗下的种子生产研究基地，农药研发、生产、销售公司，化肥生产、销售公司，石油加工勘探公司，氟化工、医药、天然橡胶、化工物流、地产等50余家子公司以及投资控股公司20余家。

园区内的各个生产服务单位和各地子公司都必须实现网上信息传输。

这样的一个大型国有企业当然必须有一个稳定、可靠、可扩展的网络才能适应企业的各种业务需求。

2.2集团远程接入需求

XX化工集团由于其所经营的业务涉及到国家重大生产农业产业结构，所以业务是否正常直接关系到国民经济命脉。

于是该集团需要保证企业网络7*24小时正常。

各分公司，各子公司的远程互联要实时保证。

同时，针对大文件传输，以及远程视频会议等都要保证其稳定可靠，移动办公人员要能随时访问公司资源。

所以需求一种好的解决方案。

于是，VPN技术为企业远程互联带来了保障。

3集团VPN建设需求

1.高效性

该集团由于规模庞大，经济总量大且相关产业涉及到国家的经济命脉，所以对于实时的数据传输，以及远程视频会议等有着较高的需求；该集团要求保证远程视频会议无延迟，话音无失真；在数据传输方面要能够保证数据的实时传递，无延时。

2.稳定性

稳定性是企业得以运转的重要保证，该集团需要全天24小时保证网络的稳定，不发生网络故障，对于远程接入方面，该集团要求接入后能保证网络的稳定，不出现掉线延迟等网络故障。

3.安全性

该集团的业务涉及到国家的稳定，社会的长治久安，所以该集团要面对一切可能的威胁，所以网络安全尤为重要，尤其在远程的数据传输方面，更要保证不被窃听，篡改，伪造等。

所以在网络安全上需要良好的设计，尤其在经过公网的数据传输。

4.维护简单

该信息系统建成后能保证不需要复杂的维护就能保证网络的正常运转，发生故障时能快速恢复。

且维护人员也不需要专业的知识。

5.造价便宜

为了响应国家关于建设节约型社会的号召，也为了减少公司的财务支出，该集团要求造价在保证性价比的基础上尽可能便宜。

本着上述原则，集团需要在最少花费下取得最好的效果，达到集团验收标准。

4集团现有网络现状描述

4.1集团出口网络描述

集团于2009年重新构建了集团网络，现需要一个较好的远程互联解决方案。

如图1所示，集团采用CISCO7206路由器作为双出口路由器，ASA5580企业级防火墙配置成互为冗余模式作为安全保障，电信网通各百兆光纤连接。

图1集团网络出口图

4.2集团网络资源描述

集团现有ERP平台，CRM平台，以及WEB服务器，FTP服务器,MAIL服务器，数据库服务器若干，以及对应的各类业务处理平台若干。

所以各分公司，子公司，合作伙伴，销售人员，移动办公人员，以及各监管部门都需要能访问到部分集团资源，同时又要保障相关资源的安全性。

5VPN方案比较分析

5.1VPN综述

VPN--虚拟专用网（VirtualPrivateNetwork）是专用网络在公共网络如Internet上的扩展，如图2所示。

VPN通过私有隧道技术在公网上仿真一条点到点的专线，将远程的分支机构、移动办公人员等连接起来从而达到安全的数据传输目的。

图2VPN应用图

有了VPN，用户在家里或在路途中也可以利用Internet或其他公共网络对企业服务器进行远程访问。

从用户的角度来看，VPN就是在用户计算机即VPN客户机和企业服务器即VPN服务器之间点到点的连接，由于数据通过一条仿真专线传输，用户感觉不到公共网络的实际存在，能够像在专线上一样处理企业内部信息。

换言之，虚拟专用网不是真正的专用网络，但却能够实现专用网络的功能。

VPN可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立快捷，安全、可靠的信息通信。

这种连接方式在概念上等同于传统广域网WAN的运作。

VPN技术的出现，使企业不再依赖于昂贵的长途拨号以及长途专线服务，而代之以本地ISP提供的VPN服务。

从企业中心站点铺设至当地ISP的专线要比传统WAN解决方案中的长途专线短得多，因而成本也低廉得多。

5.2VPN分类介绍

按功能位置：

CPE-basedVPN、Network-basedVPN

按业务构成：

AccessVPN、IntranetVPN、ExtranetVPN

按实现层次：

应用层VPN、网络层VPN、二层VPN

按组网模型：

VPDN、VPRN、VPLS、VLL

5.2.1第一类：

按照功能位置

根据是由企业客户还是由服务提供商实施，VPN分为两类：

1.CPE-basedVPN基于客户端设备的VPN

2.Network-basedVPN基于网络的VPN

对于CPE-basedVPN基于客户端设备的VPN的特点是：

业务扩展能力弱、设备价格昂贵、组网复杂度高，不易维护。

对于Network-basedVPN基于网络的VPN的特点是：

便于管理和维护、降低用户投资、业务扩展能力强、支持网络管理、运营商与用户实现双赢。

表1各种不同VPN特性对比

特征

CPE-basedVPN

Network-basedVPN

QoS,CoS与SLAs

SLAs局限于网络时延和可用性，不支持CoS

多CoS,综合SLAs覆盖每个CoS

可扩展性

有连接数限制，局限于几百条连接

没有限制

用户控制

有用户数限制

多种提供在线修改网络资源的特性

业务类型

数据类型

关键数据，实时话音，图像以及其他实时数据

维护手段

维护困难

容易

5.2.2AccessVPN、IntranetVPN、ExtranetVPN

用户可以根据自己的情况进行选择：

远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

5.2.3三层VPN、二层VPN

二层VPN服务的主要特征是根据用户数据包的二层地址（如MAC地址、帧中继的DLCI、ATM的PVC等）在网络的第二层对数据包进行转发和发送，服务提供商的网络负责提供CE之间的二层连接，这包括用MAC地址（例如LAN仿真）、点到点的链路层连接（ATM、帧中继、MPLS）、多点到点（用MPLS多点到点的LSP）和点到多点（例如ATMVCC），而三层的连接例如选路由等由用户负责。

PE设备可以是路由器或交换机，从支持二层连接的角度看，交换机更合适一些。

VLL及局域网仿真服务VPLS就属于二层VPN。

二层VPN主要有L2TP、PPTP、L2F等，主要常用的就是L2TP。

二层VPN的主要特征：

通过链路层地址（必要时也可用链路端口号）转发用户数据包。

SP（服务供应商）主要提供CE之间的链路层连接，一般SP不对IPVPN管理而只对链路的连接进行管理。

SP负责二层链路的连接，而三层的连接例如选路由等由用户负责。

由于VPN是建立在链路层基础上的，SP仅提供链路层连接，所以实际上IPVPN是由用户借助于SP的链路建立的。

当然SP为VPN打下基础，它提供用户的链路应该是可靠的，也有较好的安全性（主要是指所提供的链路的专用性，它与公用部分及其他VPN的链路是相互隔离的，不会有用户数据包传送至公网或其他VPN域内）。

三层VPN：

三层VPN服务的主要特征是PE转发用户数据包是以其IP地址为依据的，VPRN就属于三层VPN。

通常用户网络使用专用的IP地址，所以PE要了解用户的专用IP地址空间。

从CE的角度看PE，它是一个IP路由器。

在三层VPN中，SP也参与VPN的管理并提供VPN，用户也可在其VPN范围内对其进行管理。

三层VPN主要有：

IPSEC,GRE,SSL。

还有介于二层三层之间的MPLSVPN。

二层三层VPN的主要特点：

CE与PE之间的接入链路对于二层VPN，CE的接入链路要求统一，例如都是帧中继;而对于三层VPN，CE的接入链路可以不同，例如某些CE可用帧中继，而另一些CE可用ATM等。

对CE的要求：

根据应用的需求不同，二层VPN的CE可为路由器也可以为网桥，三层VPN则通常以CE为路由器。

CE的邻居：

当CE为路由器时，三层VPN的CE只需与其相连的PE维持邻居关系，而二层VPN的CE需与其他的CE维持邻居关系，从而增加路由复杂度，规模受限。

支持第三层多协议能力：

由于二层VPN只使用SP网络的二层链路，从而为支持三层多协议创造条件，三层VPN也能支持多协议，但不如前者灵活且有一定限制。

同理在支持VPLS方面，二层VPN更合适。

但如果VPN用户只传送IP包，此特点就不明显。

支持组播能力：

二层VPN与三层VPN都支持组播，但二层VPN是依靠CE实施组播的，而三层VPN则依靠PE，因而三层VPN实施组播较简单，同时它还可以充分利用SP网络有关组播方面的能力支持组播，而二层VPN则无法使用SP网络的有关组播方面的能力。

网络管理：

VPN服务提供商与用户VPN的管理部门都可进行网络管理，但侧重面不同。

对于三层VPN，服务提供商可参与三层的管理；而二层VPN，服务提供商只能对所提供的链路进行管理，无法对三层进行管理。

无论是二层VPN还是三层VPN，用户都可以对所属的VPN进行管理。

5.2.4按组网模型

IPVPN-Framework-RFC2764中定义了VPN类型，如图3所示：

VPDN：

VirtualPrivateDialNetworks

VPRN：

VirtualPrivateRoutedNetworks

VPLS：

VirtualPrivateLANSegment

VLL：

VirtualLeasedLines

VPDN的基本特点是：

除VPN的总部网络中心采用专线接入VPN服务提供商的网络外，其余的VPN用户通过PSTN或ISDN拨号线路接入网络。

另外，虽然拨号用户是通过PSTN或ISDN公网拨入VPN的，但是VPN所属用户仍与外界隔离，有较好的安全保证。

VPDN也可以使用IP专用地址等VPN所特有的一些特性，接入范围可遍及PSTN、ISDN的覆盖区域，网络建设投资少、周期短，网络运行费用低。

VPRN定义为：

用IP设施仿真出一个专用多站点广域路由网。

它是在IP公用网络（如Internet）基础上实施的。

像VPN结构一样，VPRN也可以分为基于网络的VPRN及基于CE的VPRN。

图3VPN分类模型

VPLS是用Internet设施仿真LAN网段。

VPLS可用于提供所谓的透明LAN服务（TLS）。

TLS可用于以协议透明方式互连多个支干CE节点（如桥或路由器）。

VPLS在IP上仿真LAN网段，类似于LANE在ATM上仿真LAN网段。

它的主要优点是协议完全透明，这在多协议传送和传送管理上是很重要的。

5.3常用VPN分析

5.3.1L2TPVPN

5.3.1.1L2TP介绍

L2TP可以让用户从客户端或访问服务器端发起VPN连接。

L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。

Cisco、Ascend、Microsoft和RedBack公司的专家们在修改了十几个版本后，终于在1999年8月公布了L2TP的标准RFC2661。

目前用户拨号访问Internet时，必须使用IP协议，并且其动态得到的IP地址也是合法的。

L2TP的好处就在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。

L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。

L2TP扩展了PPP连接，在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器（NAS）建立一个第2层的连接，并在其上运行PPP，第2层连接的终结点和PPP会话的终结点在同一个设备上（如NAS）。

L2TP作为PPP扩展提供更强大的功能，包括第2层连接的终结点和PPP会话的终结点可以是不同的设备。

L2TP主要由LAC（L2TPAccessConcentrator）和LNS（L2TPNetworkServer）构成，LAC（L2TP访问集中器）支持客户端的L2TP，他用于发起呼叫，接收呼叫和建立隧道；LNS（L2TP网络服务器）是所有隧道的终点。

在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。

CISCO说的LNS就是工作在以PPP为终端的平台上，LNS处理服务器端的L2TP协议。

LNS初始化发出呼叫和接收呼叫。

5.3.1.2L2TP协议结构

PPP数据帧

L2TP数据消息

L2TP控制消息

L2TP数据通道

L2TP控制通道

包传输通道

图4L2TP协议结构

上图所示L2TP协议结构描述了PPP帧和控制通道和数据通道之间的关系。

PPP帧首先被封装L2TP头部并在不可靠数据通道上进行传输，然后进行UDP、FrameRelay、ATM等包传输过程。

控制消息在可靠的L2TP控制通道内传输。

通常L2TP以UDP报文的形式发送。

L2TP注册了UDP1701端口，但是这个端口仅用于初始的隧道建立过程中。

L2TP隧道发起方任选一个空闲的端口（未必是1701）向接收方的1701端口发送报文；接收方收到报文后，也任选一个空闲的端口（未必是1701），给发送方的指定端口回送报文。

至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。

5.3.1.3L2TP包封装

L2TP用户传输数据的隧道化过程采用多层封装的方法。

图5中表示了封装后在隧道中传输L2TP数据包格式。

Date-linkheader

IPHeader

UDPHeader

L2TPHeader

PPPHeader

PPPPayload

Date-linkTrailer

图5L2TP数据包格式

若是封装在IPSEC等数据包中这要加上IPSEC包头和包尾。

其中IPSEC包头到包尾之间都是通过ESP或者AH协议加密过。

a.L2TP封装

初始PPP有效载荷如IP数据报、IPX数据报或NetBEUI帧等首先经过PPP报头和L2TP报头的封装。

b.UDP封装

L2TP帧进一步添加UDP报头进行UDP封装，在UDP报头中，源端和目的端端口号均设置为1701。

c.IP封装

在UDP数据报外再添加IP报头进行IP封装，IP报头中包含VPN客户机和服务器的源端和目的端IP地址。

d.数据链路层封装

数据链路层封装是L2TP帧多层封装的的最后一层，依据不同的外发物理网络再添加相应的数据链路层报头和报尾。

例如，如果L2TP帧将在以太网上传输，则用以太网报头和报尾对L2TP帧进行数据链路层封装；如果L2TP帧将在点-点WAN上传输，如模拟电话网或ISDN等，则用PPP报头和报尾对L2TP帧进行数据链路层封装。

e.数据的解封装过程

在接收到L2TP帧后，L2TP客户机或服务器将做如下解封装处理：

处理并去除数据链路层报头和报尾；处理并去除IP报头；处理UDP报头并将数据报提交给L2TP协议