中石化vpn解决方案.docx

1、中石化vpn解决方案 解决方案华为3技术有限公司1. 概述错误!未指定书签。1.1定义错误!未指定书签。1.2的类型错误!未指定书签。1.3的优点错误!未指定书签。1.4隧道技术错误!未指定书签。1.5加密技术错误!未指定书签。1.6身份认证技术错误!未指定书签。2. 建设方案错误!未指定书签。2.1基本建设思路错误!未指定书签。2.2组网方案错误!未指定书签。2.3可靠性方案错误!未指定书签。3. 管理系统错误!未指定书签。3.1轻松部署安全网络错误!未指定书签。3.2直观展示拓扑错误!未指定书签。3.3全方位监控网络性能错误!未指定书签。3.4快速定位网络故障错误!未指定书签。3.5分支智

2、能管理系统错误!未指定书签。附件客户端软件介绍错误!未指定书签。1. 概述随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。1.1 定义利用公共网络来构建的私人专用网络称为虚拟私有网络（，），

3、用于构建的公共网络包括、帧中继、等。在公共网络上组建的象企业现有的私有网络一样提供安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而是利用服务提供商所提供的公共网络来实现远程的广域连接。通过，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴，如图1所示。图1 应用示意图由图可知，企业内部资源享用者只需连入本地的（，接入服务提供点），即可相互通信；而利用传统的组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有本地的上网权限就可以访问企业内部

4、资源；如果接入服务器的用户身份认证服务器支持漫游的话，甚至不必拥有本地的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设服务所需的设备很少，只需在资源共享处放置一台服务器就可以了。1.2 的类型分为三种类型：远程访问虚拟网（）、企业内部虚拟网（）和企业扩展虚拟网（），这三种类型的分别与传统的远程访问网络、企业内部的以及企业网和相关合作伙伴的企业网所构成的相对应。2.4.1 随着当前移动办公的日益增多，远程用户需要及时地访问和。对于出差流动员工、远程办公人员和远程小办公室，通过公用网络与企业的和建立私有的网络连接。在的应用中，利用了二层网络隧道技术在公

5、用网络上建立隧道（）连接来传输私有网络数据。的结构有两种类型，一种是用户发起（）的连接，另一种是接入服务器发起（）的连接。用户发起的连接指的是以下这种情况：首先，远程用户通过服务提供点（）拨入，接着，用户通过网络隧道协议与企业网建立一条的隧道（可加密）连接从而访问企业网内部资源。在这种情况下，用户端必须维护与管理发起隧道连接的有关协议和软件。在接入服务器发起的连接应用中，用户通过本地号码或免费号码拨入，然后的再发起一条隧道连接连到用户的企业网。在这种情况下，所建立的连接对远端用户是透明的，构建所需的协议及软件均由负责管理和维护。2.4.2 通过公用网络进行企业各个分布点互联，是传统的专线网或其

6、他企业网的扩展或替代形式。利用网络构建的实质是通过公用网在各个路由器之间建立安全隧道来传输用户的私有网络数据，用于构建这种连接的隧道技术有、等。结合服务商提供的机制，可以有效而且可靠地使用网络资源，保证了网络质量。基于或帧中继的虚电路技术构建的也可实现可靠的网络质量，但其不足是互联区域有较大的局限性。而另一方面，基于构建是最为经济的方式，但服务质量难以保证。企业在规划建设时应根据自身的需求对以上的各种公用网络方案进行权衡。1.2.3是指利用将企业网延伸至合作伙伴与客户。在传统的专线构建方式下，通过专线互联实现，网络管理与访问控制需要维护，甚至还需要在的用户侧安装兼容的网络设备；虽然可以通过拨号

7、方式构建，但此时需要为不同的用户进行设置，而同样降低不了复杂度。因合作伙伴与客户的分布广泛，这样的建设与维护是非常昂贵的。因此，诸多的企业常常是放弃构建，结果使得企业间的商业交易程序复杂化，商业效率被迫降低。以其易于构建与管理为解决以上问题提供了有效的手段，其实现技术与和相同。用户对于的访问权限可以通过防火墙等手段来设置与管理。1.3 的优点利用公用网络构建是个新型的网络概念，对于企业而言，利用组建私有网，将大笔的专线费用缩减为少量的市话费用和费用。据报道，局域网互联费用可降低2040，而远程接入费用更可减少6080，这无疑是非常有吸引力的；大大降低了网络复杂度、用户的网络地址可以由企业内部进

8、行统一分配、组网的灵活方便等特性简化了企业的网络管理，另外，在应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。1.4 隧道技术对于构建来说，网络隧道()技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议，网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。现有两种类型的隧道协议：一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建和；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建和。2.4.1 二层隧道协议二层隧道协议主要有三种：

9、（，点对点隧道协议）、L2F（ 2 ，二层转发协议）和L2（ 2 ，二层隧道协议）。其中L2结合了前两个协议的优点，具有更优越的特性，得到了越来越多的组织和公司的支持，将是使用最广泛的二层隧道协议。应用L2构建的典型服务的结构如下图所示：典型拨号业务示意图2.4.2 三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术，早已出现的 1701 （）协议就是一个三层隧道协议，此外还有的协议。与、等封装形式很相似，但比他们更通用。在的处理中，很多协议的细微差异都被忽略，这使得不限于某个特定的“X Y”应用，而是一种最基本的封装形式。在最简单的情况下，路由器接收到

10、一个需要封装和路由的原始数据报文（），这个报文首先被封装而成报文，接着被封装在协议中，然后完全由层负责此报文的转发。原始报文的协议被称之为乘客协议，被称之为封装协议，而负责转发的协议被称之为传递（）协议或传输（）协议。注意到在以上的流程中不用关心乘客协议的具体格式或内容。整个被封装的报文具有下图所示格式：通过传输报文形式（）是一组开放协议的总称，特定的通信方之间在层通过加密与数据源验证，以保证数据包在网上传输时的私有性、完整性和真实性。通过（）和（）这两个安全协议来实现。而且此实现不会对用户、主机或其它组件造成影响，用户还可以选择不同的硬件和软件加密算法，而不会影响其它部分的实现。提供以下几种

11、网络安全服务： 私有性在传输数据包之前将其加密.以保证数据的私有性； 完整性在目的地要验证数据包，以保证该数据包在传输过程中没有被修改； 真实性端要验证所有受保护的数据包； 防重放防止了数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。在两个端点之间通过建立安全联盟（）进行数据传输。安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。在转发加密数据时产生新的和/或附加报头，用于保证数据包的安全性。有隧道和传输两种工作方式。在隧道方式中，用户的整个数据包被用来计算附加报头，且被加密，附加报头和加密用户数据被封装在一个新的数据包中；在传输方式

12、中，只是传输层（如、）数据被用来计算附加报头，附加报头和被加密的传输层数据被放置在原报头后面。报头用以保证数据包的完整性和真实性，防止黑客截断数据包或向网络中插入伪造的数据包。考虑到计算效率，没有采用数字签名，而是采用了安全哈希算法来对数据包进行保护。没有对用户数据进行加密。在包中的位置如图5所示（隧道方式）：图5 处理示意图将需要保护的用户数据进行加密后再封装到包中，可以保证数据的完整性、真实性和私有性。头在包中的位置如下（隧道方式）：图6 处理示意图和可以单独使用，也可以同时使用。使用，数据就可以在公网上安全传输，而不必担心数据被监视、修改或伪造。提供了两个主机之间、两个安全网关之间或主机

13、和安全网关之间的数据保护。在两个端点之间可以建立多个安全联盟，并结合访问控制列表（），可以对不同的数据流实施不同的保护策略，达到不同的保护效果。安全联盟是有方向性的（单向）。通常在两个端点之间存在四个安全联盟，每个端点两个，一个用于数据发送，一个用于数据接收。的安全联盟可以通过手工配置的方式建立，但是当网络中结点增多时，手工配置将非常困难，而且难以保证安全性。这时就要使用自动地进行安全联盟建立与密钥交换的过程。1.5 加密技术密钥交换协议（）用于通信双方协商和建立安全联盟，交换密钥。定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。的精髓在于它永远不在不安全的网络上直接传送

14、密钥，而是通过一系列数据的交换，通信双方最终计算出共享的密钥。其中的核心技术就是（）交换技术。交换基于公开的信息计算私有信息，数学上已经证明，破解交换的计算复杂度非常高从而是不可实现的。所以，交换技术可以保证双方能够安全地获得公有信息，即使第三方截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。在身份验证方面，提供了共享验证字（）、公钥加密验证、数字签名验证等验证方法。后两种方法通过对（）中心的支持来实现。密钥交换分为两个阶段，其中阶段1建立，有主模式（）和激进模式（）两种；阶段2在阶段1 的保护下建立，称之为快速模式（）。用于最终的数据安全传送。另外，还包含有传送信息的信息交换

15、（）和建立新组的组交换（）。1.6 身份认证技术隧道建立的前提是双方的身份的得到了认证，这就是所谓的身份验证。身份验证确认通信双方的身份。目前有两种方式：一种是域共享密钥（ ）验证方法，验证字用来作为一个输入产生密钥，验证字不同是不可能在双方产生相同的密钥的。验证字是验证双方身份的关键。这种认证方式的优点是简单，但有一个严重的缺点就是验证字作为明文字符串，很容易泄漏。另一种是()验证方法。这种方法通过数字证书对身份进行认证，安全级别很高，是目前最先进的身份认证方式。公钥基础设施（ ，简称）是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系，它是一套软硬件系

16、统和安全策略的集合，提供了一整套安全机制。采用证书进行公钥管理，通过第三方的可信任机构，把用户的公钥和用户的其他标识信息捆绑在一起，以在网上验证用户的身份。为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的完整性是指数据在传输过程中不能被非法篡改；数据的有效性是指数据不能被否认。一个系统由公开密钥密码技术、证书认证机构、注册机构、数字证书和相应的存储库共同组成。组成框图其中，认证机构用于签发并管理证书；注册机构用于个人身份审核、证书废除列表管理等；存储

17、库用于对证书和日志等信息进行存储和管理，并提供一定的查询功能；数字证书是应用信任的基础，是系统的安全凭据。数字证书又称为公共密钥证书（），是基于公共密钥技术发展起来的一种主要用于验证的技术，它是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，可作为各类实体在网上进行信息交流及商务活动的身份证明。证书是有生命期的，在证书生成时指定，认证中心也可以在证书的有效期到来前吊销证书，结束证书的生命期。2. 建设方案2.1 基本建设思路在接入网的建设过程中，需要从以下几个方面来考虑： 设备选型，需要重点关心设备的加密性能和转发性能 支持客户端各种接入手段及动态地址；企业总部采用固定地

18、址，分支机构可以选择或者专线接入。 网络拓扑类型以为主，方式下客户端互访流量通过转发，此时流量不超过20，否则会加重负担，这种情况下，路由的设计是重点关注的问题。 提供在层的加密认证等安全服务。 协商可以采用预共享密钥的方式，也可以采用认证的方式进行。 在企业总部每2台 互为备份组作为接入服务器, 如果用户增加,可以通过增加服务器备份组的方法接入更多用户。 网络的部署监控配置维护采用 和配合进行2.2 组网方案接入网关子系统部署：在总部局域网边界防火墙后面配置一台专用的高性能的网关，在分支机构边界防火墙后面配置一台专用网关，由此两端的网关建立 隧道，进行数据封装、加密和传输。客户端设备可以采用

19、静态或动态申请的地址和总部网关建立链接。根据其业务的需求，有必要的话，可以在分支节点用设备进行冷备份。H3C系列网关强大的处理性能，高端专用网关通过专业的硬件加密处理器可以提供标准加密算法下350以上的加密吞吐量，百兆网关通过专业的硬件加密处理器可以提供标准加密算法下60以上的加密吞吐量； 企业网络应用服务器 服务器分支结构局域网 分支结构局域网 分支结构局域网 2.4.1 方式组网特点： 客户端设备相对来说比较简单。部署要点 客户端可以使用动态地址接入服务器，但为了防止客户端配置泄露造成的安全隐患，建议客户端口采用静态地址。同时，这样也便于使用 的配置管理功能。方案特点 组网简单，易于部署；

20、 由于不能承载路由协议，需要在分支结构和园区网配置大量的静态路由。 单纯的封装，对于带宽资源消耗较小；2.4.2 方式组网特点： 部分业务流量需要保护，另一部分业务流量不需要保护，仅需要隧道完成功能。 内部需要建立统一的路由域。部署要点 两端的网关的之间建立隧道，然后将策略应用到隧道接口上从而建立隧道，进行数据封装、加密和传输； 在隧道接口上使能；方案特点 可以承载多种协议，扩展性强。 只适用于协议，所以对于企业网内非协议，不能使用。 是基于策略的，是基于路由的。如果企业网内部分流量需要保护，而另一部分不需要。建议使用 的方式。 不需要配置大量的静态路由，配置简单。 还支持由用户选择记录接口的

21、识别关键字，和对封装的报文进行端到端校验； 收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就导致使用会造成路由器一定的负担；2.4.3 方式组网特点： 内部需要建立统一的路由域。 内部可以支持、等非协议的网络。部署要点 两端的网关的接口之间建立隧道，然后将策略应用到接口上从而建立隧道，进行数据封装、加密和传输； 在隧道接口上使能；方案特点 的特点是可以承载多种协议，而只能承载协议。如果企业网内有、等应用，建议可以先借用承载非协议，然后才能使用保护报文。 是基于路由的，而是基于策略。如果需要在企业网内统一规划路由方案， 的方式逻辑就比较清晰。因为的策略是针对隧道的，而隧道

22、是基于路由的，所以整个内的路由是统一的。 对业务流量，诸如路由协议、语音、视频等数据先进行封装，然后再对封装后的报文进行的加密处理。 不必配置大量的静态路由，配置简单。 还支持由用户选择记录接口的识别关键字，和对封装的报文进行端到端校验； 收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就导致使用会造成路由器数据转发效率有一定程度的下降；2.4.4 L2 方式组网特点： 隧道保护和之间的公网链路。 对于分支设备的安全要求较高，在认证之外，还需要对分支设备进行L2的认证。 通常情况下，L2的客户端是拨号连接到的用户主机。此时用户与的连接总是连接。如果使用同时作为客户端，那么

23、用户与之间的连接就不受限于连接，而只要是一个连接就可以了，这样能够将用户的报文转发到。使用同时作为客户端，是在上建立一个虚拟的用户，该用户与保持一个常连接。其它所有实际用户的报文都是通过此虚拟用户转发给的；部署方式 在创建模拟用户，配置地址、验证方式、用户名、密码等信息； 分支设备的用户端不能由分配地址，必须由用户手工配置地址，而且需要保证与的地址在同一网段，否则路由不同互通。 如果没有部署等动态路由协议，必须在上需要配置一条静态路由，将内的流量指向接口。方案特点 中心网关可以对分支设备进行认证和计费，提高系统安全性。L2收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就

24、导致使用L2会造成路由器数据转发效率有一定程度的下降；2.4.5 移动用户 接入方式组网特点 移动用户灵活接入，安全认证、数据保护。部署要点 通过客户端软件多链路形式接入企业内部 使用L2完成用户身份认证和报文加密 认证方式可以采用 协商使用预共享密钥的方式进行 对于L2用户认证计费采用远端（）进行 服务器侧可以考虑使用单台设备，也可以考虑使用双服务器备份方案特点 灵活、安全2.4.6 动态（）接入方式采用了和的方式，设备（应用中，作为接入域的设备）需要在 设备（应用中，作为接入域的设备）进行注册。域中一台接入设备作为，其他的接入设备作为。在 注册成功后，会与其建立（会话隧道），通过完成的私有

25、网络和 的私有网络的互联，成功加入到一个域；会保存所有登录到域中的信息。如果访问其他下面的私有网络，首先通过 进行数据转发，完成网络的访问。 进行数据转发时，如果之间可以建立，可以使用（重定向）报文把目的端信息发送给发起端。接收到报文，得到对端的信息，会在之间建立一条新的直连的，后续之间的数据不需要通过 进行转发，可以通过直连的进行数据通信。所以一台合法的设备只需要有设备的信息就能够加入到域，可以和域中其它的设备自动建立会话隧道，实现私有网络的直接互联，而不需要通过 进行转发。实现了对所有的控制报文的安全保护，对通过公有网络传输的私密的注册协商报文和会话协商报文，都可以使用通用的加密算法（支持

26、、3、算法）进行加密保护。对于需要进行转发的私有网络的数据报文，通过进行加密处理以后，再通过进行转发，保证了所有的转发数据都通过进行保护处理。实现了身份认证功能，保证和 的身份合法性。在向 进行注册过程中，可以根据配置需要对 的身份使用进行验证，保证接入一个合法的 ； 可以根据需要使用对需要接入到域的进行身份验证，保证只有通过身份验证的才可以接入到域。对所有的转发数据报文采用进行保护处理，继承了所有的的功能特点，例如私密性、合法性、防重放等。还实现了策略的统一管理和多域支持。对于整个域内的各种策略、以及数据使用的算法套件和超时重协商时间统一由进行管理，所有的设备使用相同的策略（会话的数据 的密

27、钥是在建立过程中进行协商，每个会产生单独的密钥）。为了提高设备的使用，允许在一台设备上支持多个域。在一台设备上最多可以支持200个域的。大大提高了组网的灵活性，多个企业可以使用一台设备作为 接入设备使用，可以更加充分的使用网络设备资源，减少了实际的设备投资。2.3 可靠性方案H3C 高可靠性设计的核心理念就是增大网络冗余性的同时做到负载分担。衡量可靠性设计优劣的标准就是网络异常业务流量中断时间。图1 可靠性设计组网图2中，可靠性设计重点体现在 的双机备份、负载分担和异常快速切换3个方面。2.3.1 双机备份双机备份是通过实现的。（，虚拟路由冗余协议）是一种容错协议。通常，一个网络内的所有主机都

28、设置一条缺省路由（如下图所示，10.100.10.1），这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器，从而实现了主机与外部网络的通信。当路由器坏掉时，本网段内所有以为缺省路由下一跳的主机将断掉与外部的通信。局域网组网方案就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。我们结合下图来看一下的实现原理。将局域网的一组路由器（包括一个即活动路由器和若干个即备份路由器）组织成一个虚拟路由器，称之为一个备份组。组网示意图这个虚拟的路由器拥有自己的地址10.100.10.1（这个地址可以和备份组内的某个路由器的接口地址相同），备份组内的路由器也有自己的地

29、址（如的地址为10.100.10.2，的地址为10.100.10.3）。局域网内的主机仅仅知道这个虚拟路由器的地址10.100.10.1，而并不知道具体的路由器的地址10.100.10.2以及路由器的地址10.100.10.3，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的地址10.100.10.1。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的路由器坏掉，路由器将会通过选举策略选出一个新的路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。2.3.2 快速切换网络异常的情况有很多种。如果不考虑运营商的网络异常，的异常主要有

30、两大类：第一类是网关异常，包括网关瘫痪、重启等等；第二类是网关链路异常。在网络出现异常时，如何保证业务流量能够尽快恢复？网关快速切换，这一切换由实现。当主网关或其链路出现异常时，能够保证在34秒内完成主备网关的切换。而且为了保证网关切换后，网关内外的流量能同时切换到新的网关上，需要在网关内外都设置组，并将这一对组关联起来。一旦其中一个组发生切换，另一个方向的能发起同步切换。隧道快速切换，这一切换由 实现。 （ ）为按需型安全隧道对端状态探测功能。启动功能后，当接收端长时间收不到对端的报文时，能够触发查询，主动向对端发送请求报文，对 是否存在进行检测。与中原有的周期性功能相比，具有产生数据流量小

31、、检测及时、隧道恢复快的优点。（）为按需型安全隧道对端状态探测功能。启动功能后，当接收端长时间收不到对端的报文时，能够触发查询，主动向对端发送请求报文，对是否存在进行检测。与中原有的周期性功能相比，具有产生数据流量小、检测及时、隧道恢复快的优点。在路由器与备份组的虚地址之间建立的应用方案中，功能保证了备份组中主备切换时安全隧道能够迅速自动恢复。解决了备份组主备切换使安全隧道通信中断的问题，扩展了的应用范围，提高了协议的健壮性。数据结构数据结构（简称为结构）用于配置查询参数，包括查询时间间隔及等待应答报文超时时间间隔。该数据结构可以被多个引用，这样用户不必针对接口一一进行重复配置。定时器在发送和接收报文中使用了两个定时器：和。l：触发查询的间隔时间，该时间指明隔多久没有收到对端报文时触发查询。l：等待应答报文超时时间。运行机制发送端：当启动了功能以后，如在定时器指定的时间间隔内没有收到对端的报文，且本端欲向对端发送报文时，向对端发送请求，并等待应答报文。如果超过定时器设定的超时时间仍然未收到正确的应答报文，记录失败事件1次。当失败事件达到3次时，删除和相应的。对于路由器与备份组虚地址之间建立的，