vpn设计.docx

1、vpn设计1 VPN设计1.1 概要伴随企业和公司的不断扩张，公司分支机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。VPN技术按照不同的角度，可以分为多种类型。具体分类角度包括：1. 按组网模型根据组网模型的不同，VPN可以分为虚拟专用拨号网络VPDN

2、（Virtual Private Dial Network）和虚拟专线VPN。虚拟专线VPN又包括虚拟专用路由网VPRN（Virtual Private Routing Network）、虚拟专用LAN网段VPLS（Virtual Private LAN Segment）、虚拟租用线VLL（Virtual Leased Line）。2. 按业务用途根据业务用途不同，VPN可分为企业内部虚拟专网Intranet VPN、扩展的企业内部虚拟专网Extranet VPN、远程访问虚拟专网Access VPN三种。3. 按运营模式根据运营模式的不同，VPN可分为由用户控制的CPE-based VPN（

3、Customer Premises Equipment based VPN）、由ISP控制的Network-based VPN（NBIP-VPN）两种。4. 按实现层次根据实现层次的不同，VPN可分为L3VPN（Layer 3 VPN）、L2VPN（Layer 2 VPN）和VPDN。目前Huawei-3Com公司支持L2TP、IPSec、BGP/MPLS VPN、VPWS/VLL（Martini、Kompella、CCC）、VPLS、DVPN、VPDN、SSL VPN等所有主流VPN技术。1.2 VPN技术的选择在实际VPN应用中，由于L2TP由于扩展性差、隧道转发效率低很少使用，VPLS由

4、于标准和扩展性问题没有得到很好的解决也没有得到广泛应用。经常采用的VPN技术是IPSec VPN、BGP/MPLS VPN和MPLS VPWS/VLL VPN。其中IPSec VPN和BGP/MPLS VPN同属于三层VPN；而BGP/MPLS VPN和MPLS VPWS/VLL VPN又都是应用MPLS技术的VPN实现，下面对这几种VPN分别进行比较：IPSec VPN和BGP/MPLS VPN对比列表方案BGP/MPLS VPNIPSec隔离层次三层三层适用范围广域网，城域网广域网，城域网适用拓扑全连接点到点作用位置网络侧设备用户侧设备技术/标准成熟度成熟成熟设备实现较复杂较复杂设备性能要

5、求高(要求较强的路由处理能力)高(数据加密耗费大量的CPU资源)QoS支持好(DiffServ， DiffServ-aware MPLS TE)同IP QOS互通性好差安全性好好可扩展性好(网络隔离层次清晰，不存在配置N平方问题)差(单点配置复杂且存在配置N平方问题)BGP/MPLS VPN和MPLS VPWS/VLL VPN对比列表方案BGP/MPLS VPNMPLS VPWS/VLL VPN隔离层次三层二层适用范围广域网，城域网广域网，城域网适用拓扑全连接点到点作用位置网络侧设备用户侧设备技术/标准成熟度成熟一般设备实现较复杂简单设备性能要求高(要求较强的路由处理能力)低QoS支持好(Di

6、ffServ， DiffServ-aware MPLS TE)同IP QOS互通性好差安全性好好可扩展性很好差在实际应用中，主要结合用户的具体需求，选择出满足用户要求的VPN技术。1.3 VPN技术简介1.3.1 L2TP原理简介L2TP VPN技术将整个PPP帧封装在二层隧道中进行数据传输，属于二层隧道技术。L2TP VPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式，在下图中，LAC表示L2TP 访问集中器（L2TP Access Concentrator ），是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器NAS（Network

7、Access Server），它通过PSTN/ISDN为用户提供网络接入服务；LNS表示L2TP网络服务器（L2TP Network Server），是用于处理L2TP协议服务器端的软件。L2TP VPN服务具有如下几个优点：1. 灵活的身份验证机制以及高度的安全性。2. L2TP支持内部地址分配，LNS可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持DHCP和私有地址应用等方案。3. 能够实现网络计费的灵活性，可以在LAC和LNS两处同时计费，即ISP处（用于产生账单）及企业处（用于付费及审记）。4. L2TP具有较高的可靠性，可以支持备份LNS，当一个主

8、LNS不可达之后，LAC可以重新与备份LNS建立连接，这样增加了VPN服务的可靠性和容错性。和任何一种技术一样，L2TP VPN也存在着一定的的缺点： L2TP的缺点是封装层次多，在数据包上依次封装了PPP-UDP-IP三层，因而效率较低。将不安全的IP包封装在安全的IP包内，它们用IP包在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的地身份就不再需要，这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。 端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。1.3.2 GRE原理简介GRE(通用路由协议封装）是由Cisco和Net-smiths等公

9、司于1994年提交给IETF的，标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。GRE规定了如何用一种网络协议去封装另一种网络协议的方法，GRE VPN技术属于三层隧道VPN技术。GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。通过GRE，用户可以利用公共IP网络连接IPX网络、AppleTalk网络，还可以使用保留地址进行网络互连，或者对公网隐藏企业网的IP地址。GRE只提供了数据包的封装，并没有加密功能来防止网络侦听和攻击，所以在实际环境中无法给

10、用户提供更好的安全性。GRE协议的主要用途有两个：企业内部协议封装和私有地址封装。在国内，由于企业网几乎全部采用的是TCP/IP协议，因此在中国建立隧道时没有对企业内部协议封装的市场需求。企业使用GRE的唯一理由应该是对内部地址的封装。当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。基于GRE的VPN技术具有如下的优点：1. 多协议的本地网可以通过单一协议的骨干网实现传输；2. 将一些不能连续的子网连接起来，用于组建VPN；3. 扩大了网络的工作范围，包括那些路由网关有限的协议。如IPX包最多可以转发16次（即经过16个路由器），而在一个隧道连接中看上去只经过一个路由器。4

11、. 与其他厂家设备之间的互通性容易实现；5. 对现有IP网络骨干设备基本不做任何修改基于GRE的VPN技术具有如下的缺点：1. 不提供数据的加密功能，安全性较差；2. 不提供QOS功能, 需另外协议支持；3. 对于组建大型VPN较复杂。1.3.3 IPSec/VPN原理简介IPSec VPN技术属于三层隧道VPN技术。IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，它包括： 网络安全协议：Authentication Header（AH）协议，提供数据源认证，无连接的完整性，以及一个可选的抗重放服务。AH认证整个IP头，不过由于AH不能加密数据包所加载的

12、内容，因而它不保证任何的机密性。Encapsulating Security Payload（ESP）协议，通过对数据包的全部数据和加载内容进行全加密，进而提供数据保密性、有限的数据流保密性，数据源认证，无连接的完整性，以及抗重放服务。与AH不同的是，ESP认证功能不对IP数据报头中的源和目的以及其它域认证，这为ESP带来了一定的灵活性。在IPsec中，AH和ESP是两个独立的协议，可以仅使用其中一个协议，也可以两者同时使用。大部分的应用案例都采用了ESP或同时使用ESP和AH。 密钥管理协议：Internet Key Exchange （IKE）协议，实现安全协议的自动安全参数协商，可协商的

13、安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等，这些安全参数的总体称之为安全联盟（SA）。 验证及加密的算法：认证算法，HMAC-MD5、HMAC-SHA-1；加密算法，DES、3DES。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。IPSec协议是一个应用广泛、开放的VPN安全协议。IPSec适应向IPv6迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。IPSec提供了如何使敏感数据在开放的网络（如Internet）中传输的安全机制。IPSec工作在网络层，在参加I

14、PSec的设备（如路由器）之间为数据的传输提供保护，主要是对数据的加密和数据收发方的身份认证。 IPsec是主要用于在网络层实现VPN的技术。根据用户对在内部网络中传输数据的安全性和处理速度要求的情况，可采用IPsec技术组建企业VPN。它比较适用于对网络数据保密要求高的用户。IPSec的实现是靠两个IPSec的对端维系的，因此它实际上是一种端到端的安全实现，从技术的角度上说，在端到端客户的路由器上实现是最安全合理的方式，中间任何一个路由器都不需要做相应设置。因此，它的实现是一种与接入网络无关的VPN技术。但这并不等于说它就是与网络服务提供商无关的，我们可以作为网络服务维护者的角度，帮助客户建

15、立并维护VPN网络，使得用户不必投入人力资源去维护一个VPN网络。 IPSec的特点是较为适用于各分支机构之间的互联，对于IP地址要求做较为完善的规划，在一定程度上制约了IPSec的应用范围。针对这个问题，目前华为3Com已经支持野蛮模式，所谓野蛮模式就是通过实现注册的用户名来进行IKE协商，优点避免了解决方案中必须是固定IP地址的困惑，可以是分支上网自动获取IP地址，然后与总部进行协商，极大的增强了IPsec的功能。1.3.4 BGP/MPLS VPN原理简介在MPLS/BGP VPN的模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对site集合的划分，一个VPN就对应

16、一个由若干site组成的集合。但是必须遵循如下规则：两个Site之间只有至少同时属于一个VPN定义的Site集合，才具有IP连通性。基于BGP扩展实现的L3 MPLS VPN所包含的基本组件： PE：Provider Edge Router，骨干网边缘路由器，存储VRF（Virtual Routing Forwarding Instance），处理VPN-IPv4路由，是MPLS三层VPN的主要实现者。 CE：Custom Edge Router，用户网边缘路由器，分布用户网络路由。 P router： Provider Router，骨干网核心路由器，负责MPLS转发。 VPN用户站点（si

17、te）：是VPN中的一个孤立的IP网络，一般来说，不通过骨干网不具有连通性，公司总部、分支机构都是site的具体例子。CE路由器通常是VPN Site中的一个路由器或交换设备，Site通过一个单独的物理端口或逻辑端口（通常是VLAN端口）连接到PE设备上。用户接入MPLS VPN的方式是每个site提供一个或多个CE，同骨干网的PE连接。在PE上为这个site配置VRF，将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上，但不可以是多跳的3层连接。BGP扩展实现的MPLS VPN扩展的了BGP NLRI中的IPv4地址，在其前增加了一个8字节的RD（Route D

18、istinguisher）。RD时用来标识VPN的成员-即Site的。VPN的成员关系是通过路由所携带的route target属性来获得的，每个VRF配置了一些策略，规定一个VPN可以接收哪些Site来的路由信息，可以向外发布哪些Site的路由信息。 每个PE根据BGP扩展发布的信息进行路由计算，生成每个相关VPN的路由表。PE-CE之间要交换路由信息一般是通过静态路由，也可以通过RIP、OSPF、BGP、IS-IS等。PE-CE之间采用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网BGP路由产生震荡，影响骨干网的稳定性。PE与PE之间需要运行iBGP协议，存在可扩展性

19、问题，但采用路由反射器RR可以显著地减少IBGP连接的数量。MPLS/BGP VPN提供了灵活的地址管理。由于采用了单独的路由表，允许每个VPN使用单独的地址空间中，称为VPN-IPv4地址空间，RD加上IPv4地址就构成了VPN-IPv4地址。很多采用私有地址的用户不必再进行地址转换NAT。NAT只有在两个有冲突地址的用户需要建立Extranet进行通信时才需要。在MPLS/BGP VPN中，属于同一的VPN的两个site之间转发报文使用两层标签来解决，在入口PE上为报文打上两层标签，第一层（外层）标签在骨干网内部进行交换，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着

20、LSP到达对端PE，这时候就需要使用第二层（内层）标签，这层标签指示了报文应该到达哪个site，或者更具体一些，到达哪一个CE，这样，根据内层标签，就可以找到转发的接口。可以认为，内层标签代表了通过骨干网相连的两个CE之间的一个隧道。L3 MPLS VPN通过和Internet路由之间配置一些静态路由的方式，可以实现VPN的Internet上网服务，还可以为跨不同地域的、属于同一个AS但是没有自己的骨干网的运营商提供VPN互连，即提供“运营商的运营商”模式的VPN网络互连。(MPLS VPN访问Internet及Carriers Carrier解决方案将在后面章节详细描述)MPLS/MBGP

21、VPN可以简化对用户端设备的需求和用户管理、维护Intranet/Extranet的复杂性，每个CE仅需要维持一个到PE的路由交换协议，CE间的路由交换、传输控制、路由策略由运营商根据VPN用户的需求来实施。由于BGP的策略控制能力很强，随之而来的是VPN用户路由策略控制的灵活性。1.3.5 MPLS VPWS/VLL VPN原理简介MPLS L2VPN提供基于MPLS网络的二层VPN服务。使用基于MPLS的L2VPN解决方案，运营商可以在统一的MPLS网络上提供不同基于媒介的二层VPN服务，包括ATM、FR、VLAN、Ethernet、PPP等。同时，这个MPLS网络仍然可以提供通常的IP、

22、三层VPN、流量工程和QOS等其他服务，极大地节省网络建设的投资。简单来说，MPLS L2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看，这个MPLS网络就是一个二层的交换网络，通过这个网络，可以在不同站点之间建立二层的连接。以ATM为例，每一个用户边缘设备（CE）配置一个ATM虚电路，通过MPLS网络与远端的另一个CE设备相连，与通过ATM网络实现互联是完全一样的。对于MPLS二层VPN，网络运营商负责提供给二层VPN用户提供二层的连通性，不需要参与VPN用户的路由计算。在提供全连接的二层VPN时，和传统的二层VPN一样( 如ATM PVC提供的VPN），存在N方问题，每

23、个VPN的CE到其它的CE都需要在CE与PE之间分配一条连接。对于PE设备来说。在一个VPN有N个Site的时候，CE-PE必需有需要N-1个物理或逻辑端口连接。由于MPLS l2VPN中，PE设备不参与用户的路由处理，因此它的可扩展性比L3VPN要好得多，MPLS L2VPN的可扩展性只与PE能连接的VPN用户数目相关。但是，作为代价，L2VPN的灵活性要差一些，无法实现Extranet。当前MPLS L2VPN还没有形成正式的标准。IETF的PPVPN（Provider-provisioned Virtual Private Network）工作组制订了多个框架草案，其中最主要的两种称为M

24、artini草案和Kompella草案。Martini草案是通过LDP扩展实现MPLS L2VPN的，而Kompella草案则是是通过MP-BGP扩展实现的，两者草案分别是：draft-martini-l2circuit-trans-mplsdraft-kompella-ppvpn-l2vpn两种二层VPN采用的封装协议都是：Draft-martini-l2circuit-encap-mpls。Martini方式Martini草案定义了通过建立点到点的链路来实现L2VPN的方法。它以LDP为信令协议来传递双方的VC标记，因此这种方式又被称为LDP方式的L2VPN。LDP扩展实现的二层VPN只需

25、要对LDP进行简单扩展，实现简单。LDP扩展实现的二层VPN可以承载ATM、帧中继、以太网/VLAN、PPP等，但这种实现要求VPN的每一个Site的链路层协议是相同的， 即只有当所有Site都是Eithernet或ATM等的时候才可以共同组成一个二层VPN。相对于BGP扩展它的缺点是只能建立点到点的VPN二层连接，没有VPN的自动发现机制。LDP方式的L2VPN着重于解决“怎么在两个CE之间建立VC（Virtual Circuit）”的问题。它采用VC-TYPE + VC-ID来识别一个VC。VC-TYPE表明这个VC的类型是ATM、VLAN还是PPP；VC-ID则用于唯一标志一个VC。同一

26、个VC-TYPE的所有VC中，其VC-ID必须在整个SP网络中唯一。连接两个CE的PE通过LDP交换VC标记，并通过VC-ID将对应的CE绑定起来。当连接两个PE的LSP建立成功，双方的标记交换和绑定完成后，一个VC就建立起来了，两个CE就可以通过这个VC传递二层数据。为了在PE之间交换VC标记，Martini草案对LDP进行了扩展，增加了VC FEC的FEC类型。此外，由于交换VC标记的两个PE可能不是直接相连的，所以LDP必须使用remote peer来建立session，并在这个session上传递VC FEC和VC标记。Kompella方式Kompella草案则定义了怎样在MPLS网络

27、上以端到端（CE到CE）的方式建立L2VPN。目前它采用BGP为信令协议来散发二层可达信息和VC标记，因此这种方式又被称为BGP方式的L2VPN。通过MP-BGP扩展实现的二层VPN， 顾名思义需要有BGP扩展的支持， MPLS信令也是必须的。 当链路层承载的都是IP时，容许使用不同的链路层协议的Site组成同一个VPN。与LDP方式的L2VPN不同，BGP方式的L2VPN不是直接对CE与CE之间的连接进行操作，而是在整个SP网络中划分不同的VPN，在VPN内部对CE进行编号。要建立两个CE之间的连接时，只需在PE上设置本地CE和远程CE的CE ID，并指定本地CE为这个连接分配的Circui

28、t ID（例如ATM的VPI/VCI）。有VPN拓扑的概念，通过BGP进行自动拓扑发现，适用于全连接网络（相对LDP方式），当然也适应于半网状或星型网络。与BGP/MPLS VPN相同，BGP方式的L2VPN也使用route target来区分不同的VPN，这使得VPN组网具备了极大的灵活性。Kompella方式的MPLS L2VPN也存在跨域的问题，解决方法同MPLS L3VPN。在标记分配方面，BGP方式L2VPN采取标记块的方式，一次为多个连接分配标记。用户可以指定一个本地CE的范围（CE range），CE range表明这个CE能与多少个CE建立连接。系统会一次为这个CE分配一个标记

29、块，标记块的大小等于CE range。这种方式允许用户为VPN分配一些额外的标记，留待以后使用。这样会造成标记资源的浪费，但是同时带来一个很大的好处：减少VPN部署和扩容时的配置工作量。假设一个企业的VPN包括10个CE，但是考虑到企业会扩展业务，将来可能会有20个CE。这样可以把每个CE的CE range设置为20，系统会预先为未来的10个CE分配标记。以后VPN添加CE节点时，配置的修改仅限于与新CE直接相连的PE，其他PE不需要作任何修改。这使得VPN的扩容变得非常简单。1.3.6 VPLS VPN原理简介VPLS是一种可以在以太网上提供上述诸多服务的解决方案。它利用以太网和MPLS的组

30、合，来满足运营商和用户的需求。VPLS使分散在不同地理位置上的用户网络可以相互通信，就像它们直接相互连接在一起一样，即广域网变成对所有用户位置是透明的。这种功能是由MPLS 2层VPN解决方案实现的。在VPLS网络中，每个用户位置连接在MPLS网络上的一个节点上。对于每一个用户或虚拟专用网来说，由逻辑的点对点连接构成的完整网络是在骨干MPLS网络上建立的。这使一个用户位置可以直接看到属于这位用户的其他所有位置。惟一的MPLS标记用于将一位用户的传输流与另一位用户的传输流隔离，并且用于将一项服务与另一项服务相分离。这种分割使用户可以从提供商那里获得多种服务，而每一个服务都是为最终应用定制的。例如

31、，某位用户的服务集合可以由VoIP、Internet接入以及可能两个或更多的VPN服务构成。第一个VPN服务可以在所有企业位置之间提供“宽数据”连接性并可为所有雇员所使用。而第二个VPN服务可以被限制在一个位置子集合之间进行的某些金融交易上。所有这些服务都是通过VPLS惟一配置的，因此使它们具有独特的质量保障和安全属性。在VPLS网络中，在各个PE(运营商网络边缘)之间建立全网状的MPLS LSP(标记交换路径)，将二层以太网帧通过MPLS进行封装，通过MPLS交换将用户以太网流量在各个PE之间进行转发，并与CE（用户边缘设备）连接，从而建立一个点对多点的以太网VPN。PE设备将客户的以太网帧

32、封装到MPLS包内，MPLS包头包含两层标记，其中外层标记Tunnel Label标识用来承载MPLS LSP，内层标记VC Label则代表不同虚拟电路，也就是不同的VPLS流量，这是一种伪线的封装格式。因此在目的端PE(提供商边缘路由器)设备终结LSP并弹出外层标记之后，将会根据内层VC Label来确定是属于哪个VPLS实例的流量。对于运营商来说，将以太网和MPLS组合在一起的好处多多。他们可以马上从部署以太网基础设施更低的资本开支中受益。但是，简单的以太网交换网络在服务可伸缩性（由于V局域网 ID的限制）和可靠性（生成树不能很好地扩展）上存在局限性。这些限制性被MPLS所解决。MPLS提供多种解决方案，这些解决方案不仅提供大规模的可伸缩性和多种可靠性选择，而