【正文】 IPSec VPN解決方案 華為3技術(shù)有限公司目錄1. 概述 3 VPN定義 3 VPN的類型 4 VPN的優(yōu)點 5 隧道技術(shù) 5 加密技術(shù) 8 身份認(rèn)證技術(shù) 92. 建設(shè)方案 11 基本建設(shè)思路 11 組網(wǎng)方案 11 可靠性方案 173. IPSec VPN管理系統(tǒng) 21 輕松部署安全網(wǎng)絡(luò) 21 直觀展示VPN拓?fù)?22 全方位監(jiān)控網(wǎng)絡(luò)性能 22 快速定位網(wǎng)絡(luò)故障 24 BIMS分支智能管理系統(tǒng) 24附件:iNode客戶端軟件介紹 261. 概述隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)日益擴(kuò)張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護(hù)，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實現(xiàn)。 VPN定義利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)（VPN，Virtual Private Network），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等?！疤摂M”的概念是相對傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號連接來實現(xiàn)的，而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實現(xiàn)遠(yuǎn)程的廣域連接。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴，如圖1所示。圖1 VPN應(yīng)用示意圖由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務(wù)提供點），即可相互通信；而利用傳統(tǒng)的WAN組建技術(shù)，彼此之間要有專線相連才可以達(dá)到同樣的目的。虛擬網(wǎng)組成后，出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權(quán)限就可以訪問企業(yè)內(nèi)部資源； 如果接入服務(wù)器的用戶身份認(rèn)證服務(wù)器支持漫游的話，甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設(shè)VPN服務(wù)所需的設(shè)備很少，只需在資源共享處放置一臺VPN服務(wù)器就可以了。 VPN的類型VPN分為三種類型：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類型的 VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。 Access VPN隨著當(dāng)前移動辦公的日益增多，遠(yuǎn)程用戶需要及時地訪問Intranet和Extranet。對于出差流動員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室，Access VPN通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。在Access VPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道（Tunnel）連接來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。Access VPN的結(jié)構(gòu)有兩種類型，一種是用戶發(fā)起（Clientinitiated）的VPN連接，另一種是接入服務(wù)器發(fā)起（NASinitiated）的VPN連接。用戶發(fā)起的VPN連接指的是以下這種情況：首先，遠(yuǎn)程用戶通過服務(wù)提供點（POP）撥入Internet，接著，用戶通過網(wǎng)絡(luò)隧道協(xié)議與企業(yè)網(wǎng)建立一條的隧道（可加密）連接從而訪問企業(yè)網(wǎng)內(nèi)部資源。在這種情況下，用戶端必須維護(hù)與管理發(fā)起隧道連接的有關(guān)協(xié)議和軟件。在接入服務(wù)器發(fā)起的VPN連接應(yīng)用中，用戶通過本地號碼或免費號碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。在這種情況下，所建立的VPN連接對遠(yuǎn)端用戶是透明的，構(gòu)建VPN所需的協(xié)議及軟件均由ISP負(fù)責(zé)管理和維護(hù)。 Intranet VPNIntranet VPN通過公用網(wǎng)絡(luò)進(jìn)行企業(yè)各個分布點互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec、GRE等。結(jié)合服務(wù)商提供的QoS機(jī)制，可以有效而且可靠地使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量?；贏TM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構(gòu)建VPN是最為經(jīng)濟(jì)的方式，但服務(wù)質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設(shè)時應(yīng)根據(jù)自身的需求對以上的各種公用網(wǎng)絡(luò)方案進(jìn)行權(quán)衡。 Extranet VPNExtranet VPN是指利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶。在傳統(tǒng)的專線構(gòu)建方式下，Extranet通過專線互聯(lián)實現(xiàn)，網(wǎng)絡(luò)管理與訪問控制需要維護(hù)，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡(luò)設(shè)備；雖然可以通過撥號方式構(gòu)建Extranet，但此時需要為不同的Extranet用戶進(jìn)行設(shè)置，而同樣降低不了復(fù)雜度。 因合作伙伴與客戶的分布廣泛，這樣的Extranet建設(shè)與維護(hù)是非常昂貴的。 因此，諸多的企業(yè)常常是放棄構(gòu)建Extranet，結(jié)果使得企業(yè)間的商業(yè)交易程序復(fù)雜化，商業(yè)效率被迫降低。Extranet VPN以其易于構(gòu)建與管理為解決以上問題提供了有效的手段，其實現(xiàn)技術(shù)與Access VPN和Intranet VPN相同。Extranet用戶對于Extranet VPN的訪問權(quán)限可以通過防火墻等手段來設(shè)置與管理。 VPN的優(yōu)點利用公用網(wǎng)絡(luò)構(gòu)建VPN是個新型的網(wǎng)絡(luò)概念，對于企業(yè)而言，利用Internet組建私有網(wǎng)，將大筆的專線費用縮減為少量的市話費用和Internet費用。據(jù)報道，局域網(wǎng)互聯(lián)費用可降低20～40％，而遠(yuǎn)程接入費用更可減少60～80％，這無疑是非常有吸引力的；VPN大大降低了網(wǎng)絡(luò)復(fù)雜度、VPN用戶的網(wǎng)絡(luò)地址可以由企業(yè)內(nèi)部進(jìn)行統(tǒng)一分配、VPN組網(wǎng)的靈活方便等特性簡化了企業(yè)的網(wǎng)絡(luò)管理，另外，在VPN應(yīng)用中，通過遠(yuǎn)端用戶驗證以及隧道數(shù)據(jù)加密等技術(shù)保證了通過公用網(wǎng)絡(luò)傳輸?shù)乃接袛?shù)據(jù)的安全性。 隧道技術(shù)對于構(gòu)建VPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能。網(wǎng)絡(luò)隧道技術(shù)涉及了三種網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)隧道協(xié)議、支撐隧道協(xié)議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議?，F(xiàn)有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Access VPN和Extranet VPN；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Intranet VPN和Extranet VPN。 二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP（Point to Point Tunneling Protocol，點對點隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）。其中L2TP結(jié)合了前兩個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。應(yīng)用L2TP構(gòu)建的典型VPN服務(wù)的結(jié)構(gòu)如下圖所示：典型撥號VPN業(yè)務(wù)示意圖 三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC 1701 Generic Routing Encapsulation（GRE）協(xié)議就是一個三層隧道協(xié)議，此外還有IETF的IPSec協(xié)議。GRE與IP in IP、IPX over IP等封裝形式很相似，但比他們更通用。在GRE的處理中，很多協(xié)議的細(xì)微差異都被忽略，這使得GRE不限于某個特定的“X over Y”應(yīng)用，而是一種最基本的封裝形式。在最簡單的情況下，路由器接收到一個需要封裝和路由的原始數(shù)據(jù)報文（Payload），這個報文首先被GRE封裝而成GRE報文，接著被封裝在IP協(xié)議中，然后完全由IP 層負(fù)責(zé)此報文的轉(zhuǎn)發(fā)。 原始報文的協(xié)議被稱之為乘