01第1章 VPN华为配置手册文档格式.docx

1、VPN分类了解VPN的基本原理VPN原理了解VPN的实现方式VPN实现1.1 VPN概述本节主要介绍VPN的基本概念及其优势，包括以下内容： VPN基本概念 VPN的优势1.1.1 VPN基本概念虚拟专用网VPN是依靠Internet服务提供商ISP（Internet Service Provider）和网络服务提供商NSP（Network Service Provider），在公共网络中建立的虚拟专用通信网络。VPN有以下特点： 专用（Private）：对于VPN用户，使用VPN与使用传统专网没有区别。一方面，VPN与底层承载网络之间保持资源独立，即，一般情况下，VPN资源不被网络中其它VP

2、N或非该VPN用户所使用；另一方面，VPN提供足够的安全保证，确保VPN内部信息不受外部侵扰。 虚拟（Virtual）：VPN用户内部的通信是通过一个公共网络进行的，而这个公共网络同时也被其他非VPN用户使用。即，VPN用户获得的是一个逻辑意义上的专网。这个公共网络称为VPN骨干网（VPN Backbone）。VPN不是一种简单的高层业务。该业务建立用户之间的网络互联，包括建立VPN内部的网络拓扑、进行路由计算、维护成员的加入与退出等，因此，VPN技术比普通的点对点应用复杂得多。1.1.2 VPN的优势和传统的数据专网相比，VPN具有如下优势： 在远端用户、驻外机构、合作伙伴、供应商与公司总部

3、之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。 利用公共网络进行信息通讯，一方面使企业以更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面提高网络资源利用率，有助于增加ISP的收益。 通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。在应用上具有很大灵活性。 支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。 构建具有服务质量保证的VPN（如MPLS VPN），可为VPN用户提供不同等级的服务质量保证。1.2 VPN分类按照不同的角度，VPN可以分为多种类型。具体分类角度包括： 按组网模型 按业务用

4、途 按运营模式 按实现层次1.2.1 按组网模型根据组网模型的不同，VPN可以分为虚拟专用拨号网络VPDN（Virtual Private Dial Network）和虚拟专线VPN。虚拟专线VPN又包括虚拟专用路由网VPRN（Virtual Private Routing Network）、虚拟专用LAN网段VPLS（Virtual Private LAN Segment）、虚拟租用线VLL（Virtual Leased Line）。1. VPDNVPDN利用公共网络（如ISDN和PSTN）的拨号功能及接入网，为企业、小型ISP、移动办公人员提供接入服务。主要采用点到点的连接方式。通过L2T

5、Pv2、PPTP等协议实现。2. VPRNVPRN是总部、分支机构和远端办公室之间通过网络管理虚拟路由器互连。VPRN的实现方式包括两种：一是使用传统VPN协议（如IPSec、GRE等），另一种是使用MPLS。3. VPLS虚拟专用局域网业务VPLS是LAN之间通过虚拟专用网段互连，是局域网在IP公共网络上的延伸。4. VLLVLL是对传统租用线业务的仿真，使用IP网络模拟租用线，提供非对称、低成本的“DDN”业务。从虚拟租用线两端的用户来看，该虚拟租用线近似于传统的租用线。1.2.2 按业务用途根据业务用途不同，VPN可分为企业内部虚拟专网Intranet VPN、扩展的企业内部虚拟专网Ex

6、tranet VPN、远程访问虚拟专网Access VPN三种。1. Intranet VPNIntranet VPN通过公用网络进行企业内部的互联，是传统专网或其它企业网的扩展或替代形式。2. Extranet VPNExtranet VPN利用VPN将企业网延伸至供应商、合作伙伴与客户处，在不同企业间通过公网构筑VPN，使部分资源能够在不同VPN用户间共享。3. Access VPNAccess VPN使出差流动员工、远程办公人员和远程小办公室能够通过公用网络与企业的Intranet和Extranet建立私有网络连接。Access VPN有两种类型：一种是用户发起（Client-initi

7、ated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。1.2.3 按运营模式根据运营模式的不同，VPN可分为由用户控制的CPE-based VPN（Customer Premises Equipment based VPN）、由ISP控制的Network-based VPN（NBIP-VPN）两种。1. CPE-based VPN在CPE-based VPN模式下，由用户控制VPN的构建、管理和维护。用户设备需要安装相关的VPN隧道协议，如：IPSec、GRE、L2TP、PPTP，并负责VPN的维护。CPE-based VPN方式复杂度高、业务扩展能力弱。2

8、. Network-based VPN（NBIP-VPN）在Network-based VPN模式下，VPN的构建、管理和维护由ISP控制，允许用户在一定程度上进行业务管理和控制。功能特性集中在网络侧设备处实现，用户网络设备只需要支持网络互联，无需特殊的VPN功能。Network-based VPN方式可以降低用户投资、增加业务灵活性和扩展性，也为运营商带来新的收益。1.2.4 按实现层次根据实现层次的不同，VPN可分为L3VPN（Layer 3 VPN）、L2VPN（Layer 2 VPN）和VPDN。1. L3VPN包括多种类型，例如IPSec VPN、GRE VPN、基于RFC2547的

9、BGP/MPLS VPN、以IPSec或GRE作为隧道的BGP/MPLS VPN。2. L2VPN包括基于MPLS骨干网的Martini方式L2VPN和Kompella方式L2VPN、基于IP骨干网的VPLS、基于MPLS骨干网的PWE3以及静态CCC L2VPN等。3. VPDN严格来说，VPDN也属于二层VPN，但其网络构成和协议设计与其他L2VPN有很大不同。在对IP报文进行封装时，VPDN方式需要封装多次，第一次封装使用隧道协议L2TP，第二次封装使用UDP。1.3 VPN原理本届介绍VPN的基本原理，具体包括： VPN隧道 隧道协议 具体的隧道技术 VPN隧道技术的比较1.3.1 V

10、PN隧道VPN的基本原理是利用隧道技术，把VPN报文封装在隧道中，利用VPN骨干网建立专用数据传输通道，实现报文的透明传输。隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，在使用上与实际物理链路相同。1.3.2 隧道协议隧道通过隧道协议实现，根据实现隧道的层次，隧道协议分为第二层隧道协议和第三层隧道协议。1. 第二层隧道协议第二层隧道协议将整个数据帧封装在内部隧道中。主要包括： 点到点隧道协议PPTP（Point-to-Point Tunneling Protocol）：由微软、Ascend和3CO

11、M等公司支持，在WindowsNT 4.0以上版本中提供。该协议支持PPP在IP网络上的隧道封装。PPTP作为呼叫控制和管理协议，使用一种增强的GRE（Generic Routing Encapsulation）技术为传输的PPP报文提供流量控制和拥塞控制。 二层转发协议L2F（Layer 2 Forwarding）：支持对更高级协议链路层的隧道封装，实现拨号服务器和拨号协议连接在物理位置上的分离。 二层隧道协议L2TP（Layer 2 Tunneling Protocol）：结合上述两个协议的优点，既可用于拨号VPN业务，也可用于专线VPN业务。2. 第三层隧道协议第三层隧道协议的起点与终点

12、均在ISP内，PPP会话终止在NAS处，隧道内只携带第三层报文。现有的第三层隧道协议主要包括： 通用路由封装协议GRE（Generic Routing Encapsulation）：实现任意一种网络协议在另一种网络协议上的封装。 IPSec（IP Security）：IPSec不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议。GRE和IPSec主要用于实现专线VPN业务。3. 第二、三层隧道协议

13、的比较第三层隧道与第二层隧道相比，优势在于它的安全性、可扩展性与可靠性。从安全性的角度看，第二层隧道一般终止在用户侧设备上，对用户网的安全及防火墙技术要求很高；而第三层隧道一般终止在ISP网关，通常不会对用户网的安全提出较高要求。从可扩展性的角度看，第二层隧道内封装了整个PPP帧，可能产生传输效率问题；PPP会话贯穿整个隧道并终止在用户侧设备上，导致用户侧网关需要保存大量PPP会话状态与信息，对系统负荷产生较大的影响，也影响到系统的扩展性；此外，由于PPP的LCP及NCP协商对时间敏感，隧道效率降低会造成PPP对话超时等问题。而第三层隧道终止在ISP的网关内，PPP会话终止在NAS处，用户侧网

14、关无需管理和维护每个PPP对话的状态，从而减轻了系统负荷。多数情况下，第二层隧道协议和第三层隧道协议都是独立使用的，如果合理地将这两层协议结合起来，将可能为用户提供更好的安全性和更佳的性能，例如将L2TP和IPSec协议配合使用。VPN隧道需要完成的功能包括： 封装原始数据 实现隧道两端的点到点连通 定时检测VPN隧道的连通性 VPN隧道的安全性 VPN隧道的QoS特性评价和选择隧道技术也主要是根据上述几个方面进行。1.3.3 具体的隧道技术1. GRE隧道GRE隧道使用GRE协议封装原始数据报文，基于公共IP网络实现数据的透明传输。GRE隧道不能配置二层信息，但可以配置IP地址。利用为隧道指

15、定的实际物理接口完成转发。转发过程可以简单描述如下： 所有去往远端VPN的报文先发送到隧道（Tunnel）源端； 在Tunnel源端进行GRE封装，填写Tunnel建立时确定的隧道源地址和目的地址； 通过公共IP网络转发到远端VPN网络。2. IPSec隧道IPSec是IETF制定的一个框架协议，用于保证在Internet上传送数据的安全保密性。IPSec提供传输模式和隧道模式两种操作模式，隧道模式的封装过程为： 首先为需要通信的两个私有网络地址定义一个IP流，流的建立可以使用IP层以上某个协议的端口； 定义IPSec隧道的源和目的地址信息，这个源和目的地址是公网信息； 配置缺省路由，下一跳指

16、向IPSec隧道源地址所在链路的对端地址。在进行VPN通信时，所有去往对端VPN的报文在出接口进行IPSec封装，到对端拆封装，然后再进行转发。IPSec的详细介绍请参见通用路由平台VRP 操作手册 安全分册。3. LSP在MPLS网络中，边缘路由器对报文打上MPLS标签，网络内部路由器根据标签对报文进行转发。标签报文所经过的路径称为标签交换路径LSP（Label Switched Path）。4. GRE或IPSec作为Kompella L2VPN或RFC2547下LSP的替代隧道RFC2547中使用的隧道类型为LSP。如果核心网只提供纯IP功能，而网络边缘的PE路由器具备MPLS功能，可以

17、通过GRE或IPSec替代LSP，在核心网提供三层或二层VPN解决方案。5. L2TPL2TP有v2和v3两个版本，VRP提供对L2TPv2的支持，其封装形式如下图所示：图1-1 L2TPv2的报文封装形式L2TPv2支持PPP方式的二层封装，通过UDP承载。L2TPv2应用于VPDN，只要实现L2TP就可以完成VPDN的功能。L2TP隧道支持拥塞控制和隧道端点验证。在L2TP隧道两端建立IPSec安全机制可以保证VPDN的安全性。1.3.4 VPN隧道技术的比较下面对常用的VPN隧道技术进行比较：表1-1 隧道技术比较项目 隧道 GREIPSecL2TPv2LSP参与构成VPN的形式可独立构

18、成VPN；可与IPSec构成安全性很强的IP VPN；可作为RFC2547下LSP隧道的替代隧道可构成VPDN可作为L2VPN或L3VPN的隧道可承载报文类型IP、IPX、MPLSIPPPPMPLS标签报文拓扑连接Access接入不支持支持Site-to-SiteIP地址私有性以纯粹GRE构建的L3 VPN不能保证以纯粹IPSec构建的L3 VPN 不能保证可以保证隧道连通性不能保证。可以通过到对端的路由来检测连通性可以通过IKE的生存时间来检测连通性需要通过路由来检测连通性安全性非常弱。可以通过GRE Over IPSec（传输模式）来增强其安全性很强的安全性，可以静态配置，也可以通过IKE

19、配置简单的隧道身份认证机制。可以和IPSec结合无QoS特性本身没有，可以使用IP QoS特性有简单的滑动窗口机制，可进行拥塞和流量控制；不能保证带宽与RSVP-TE一起使用，有很强的QoS特性1.4 VPN实现通过前面的介绍，VPN体系结构可以概括为VPN隧道、VPN管理、VPN信令协议三个组成部分。 VPN隧道：包括隧道的建立和管理； VPN管理：包括VPN配置管理、VPN成员管理、VPN属性管理（管理服务提供商边缘设备PE上多个VPN的属性，区分不同的VPN地址空间）、VPN自动配置（指在二层VPN中，收到对端链路信息后，建立VPN内部链路之间一一对应的关系）； VPN信令协议：完成VP

20、N中各用户网络边缘设备CE间VPN资源信息的交换和共享（对于L2VPN，需要交换数据链路信息；对于L3VPN，需要交换路由信息；对于VPDN，需要交换单条数据链路直连信息），以及在某些应用中完成VPN的成员发现对于本章中描述的各种VPN，隧道都是必须的，VPN管理和VPN信令协议则根据VPN的具体类型可选。结合VPN体系结构的三个主要组成部分，可以将VPN的实现分成两种模式：1. 隧道VPN管理这类VPN的构成非常简单： 在需要直连的VPN两端建立一种隧道； VPN管理负责隧道的建立和删除、部署VPN网管和计费、QoS等策略。采用这种实现方式的VPN包括IPSec VPN、GRE VPN、Martini L2VPN、以及VPDN。2. 基于RFC2547的L3VPN和基于Kompella的L2VPN这类VPN要求在二层、三层中为每个VPN进行实例化，构建本VPN私有转发信息实例。VPN不仅管理隧道，还包括VPN成员发现、VPN成员管理、VPN自动配置等。