【正文】 XX企業(yè) VPN建設(shè) 技術(shù)方案 華為 3Com技術(shù)有限公司 2020年 8月 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 1 1 概述 和需求分析 由于各種類型企業(yè)的業(yè)務(wù)模式和網(wǎng)絡(luò)現(xiàn)狀的不同，他們對 VPN系統(tǒng)的 需求也不盡相同。經(jīng)過總結(jié)，可以把 VPN需求歸結(jié)為 3類： ? VPN通道作為主鏈路的備份鏈路： 這種情況包括 石化總部和各個分支結(jié)構(gòu)的 VPN通道， 這種情況的建網(wǎng)模式通常是在總部和分支機構(gòu) 各 放一個 VPN網(wǎng)關(guān)設(shè)備，通過 Inter形成 VPN通道，對原來 連接傳統(tǒng) 路由設(shè)備的 DDN/SDH線路形成備份。 ? 主鏈路和備份鏈路都是 VPN通道： 這種情況的建 網(wǎng)模式通常在總部放置兩個 VPN網(wǎng)關(guān)，在分支機構(gòu)放置一個 VPN網(wǎng)關(guān)， 并和總部的兩個 VPN網(wǎng)關(guān) 分別 形成兩個互為備份 VPN通道，保證 通道的 高可靠性。 ? 遠程接入 VPN： 這種需求 通過在員工的客戶機上安裝 VPN客戶端軟件， 為企業(yè)員工提供移動辦公的手段。 技術(shù)建議 和分析 在本節(jié)里，我們將根據(jù) 在第一節(jié)里提到 三種基本需求 具體 描述一下華為 3Com的 技術(shù)方案 ，并對相應(yīng)的技術(shù)方案進行詳細的分析。 VPN通道作為主鏈路的備份鏈路 具體的拓撲如圖 1所示。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 2 圖 VPN通道作為備份鏈路的示意拓撲 在圖 1中，我們可以看到中石化總部和 各個分支機構(gòu)之間 已經(jīng)通 路由器和傳統(tǒng)的 SDH/DDN鏈路進行互聯(lián)，路由器通過運行動態(tài)路由協(xié)議維持對全網(wǎng)拓撲信息的動態(tài)感知并自動選路。在這種情況下， VPN通道是作為傳統(tǒng) SDH/DDN鏈路的備份鏈路而引進的。 為了保證主鏈路發(fā)生故障時，流量能夠自動切換到 VPN通道上，我們必須充分利用動態(tài)路由協(xié)議的智能性。但是由于協(xié)議的局限性，動態(tài)路由協(xié)議，如 OSPF協(xié)議，是沒法把 IPSEC隧道感知成一個“鏈路”的 。因此，我們必須借助 GRE隧道 來 實現(xiàn) OSPF穿越 IPSEC隧道。也就是 說，這里實現(xiàn)的技術(shù)模式 是 OSPF over GRE over IPSEC。 請參考圖 2。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 3 圖 2 OSPF over GRE over IPSEC實現(xiàn)動態(tài)路由協(xié)議穿越 IPSEC隧道 在圖 2中，分支機構(gòu)的 SECPATH100作為 VPN網(wǎng)關(guān)和石化總部的 SECPATH1000 VPN網(wǎng)關(guān)形成 IPSEC VPN通道。 VPN策略配置在 SECPATH1000和 SECPATH100各自的外網(wǎng)接口上。這里只需 要總部的 SECPATH1000具有固定 Inter地址，而分支機構(gòu)的 SECPATH無論 是靜態(tài)的 Inter IP， 還 是動態(tài)的 Inter IP，都不影 響 VPN通道的建立。 在石化總部的 SECPATH1000上配置 loopback接口，假設(shè)為 loopback1；在分支機構(gòu)的SECPATH100上配置 loopback接口，假設(shè)為 loopback2；配置 GRE通道，使得其一端為loopback1，另外一端為 loopback2，并且承載在 IPSEC VPN通道上。在 GRE通道接口上啟動OSPF協(xié)議，這樣 SECPATH1000和 SECPATH100可以通過 GRE通道交換動態(tài)路由協(xié)議。 當(dāng)主鏈路中斷時，動態(tài)路由協(xié)議使得 流量會自動切換到 IPSEC VPN通道上面。 這里 需要注意的石化總部和分支機構(gòu)內(nèi)網(wǎng)路由的部署。在圖 2中，如果石化總部和分支機構(gòu)的內(nèi)網(wǎng)交換機都支持動態(tài)路由協(xié)議，那么路由的變動對最終的用戶來講是透明 的。 用戶計算機只需將網(wǎng)關(guān)指 向 內(nèi)網(wǎng)交換機，交換機 會 通過 動態(tài) 路由協(xié)議選擇正確的下一跳 ，并將用戶的流量路由到正確的鏈路上。 如果石化總部 或者 分支機構(gòu)的內(nèi)網(wǎng)交換機不支持動態(tài)路由 協(xié)議 ，那么內(nèi)網(wǎng)交換機就無法動態(tài)獲得 正確的 路由 信息，這時必須使用靜態(tài)路由 （ 這里我們假設(shè)分支結(jié)構(gòu)的內(nèi)網(wǎng)交換機不支持動態(tài)路由協(xié)議 ） 。 如圖 3所示。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 4 圖 3 VRRP協(xié)議的應(yīng)用 在 圖 3中， 分支機構(gòu)的內(nèi)網(wǎng)交換機 不支持動態(tài)路由協(xié)議，這時分支機構(gòu)的 路由器和SECPATH100之間運行 VRRP協(xié)議形成冗余網(wǎng)關(guān) 。 SECPATH和 路由器之間增加一條備份鏈路 ，提高了鏈路的可用性 。 從主鏈路到 VPN通道的 切換過程如下： 1. 在 VRRP的作用下，從分支機構(gòu)到石化總部的流量首先流到分支路由器的內(nèi)網(wǎng)接口上。 2. 在主鏈路保持暢通的情況下，流量經(jīng)過主鏈路從分支機構(gòu)流向石化總部。 3. 如果主鏈路發(fā)生中斷，則分支機構(gòu)路由器到石化總部的下一跳變成 SECPATH100，流量方向為 用戶計算機－ 分支路由器－ 備份鏈路－ SECPATH100— GRE tunnel（ over IPSEC VPN） — SECPATH1000— 石化總部。 4. 如果主鏈路恢復(fù)，這鏈路自動切換回主鏈路。 5. 如果分支機構(gòu)路由器內(nèi)網(wǎng)接口發(fā)生故障，則在 VRRP作用下，用戶流量自動流向SECPATH100的內(nèi)網(wǎng)接口。同樣完成了自動切換。 主鏈路和備份鏈路都是 VPN通道 如圖 4所示。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 5 圖 VPN同時作為主鏈路和備份鏈路組網(wǎng)方案一 在圖 4中， 云南分公司總部放置了兩臺 SECPATH100 VPN網(wǎng)關(guān)，分支機構(gòu) 2各放置了一臺 SECPATH 10 VPN網(wǎng)關(guān)。如果要通過動態(tài)路由協(xié)議實現(xiàn)云南分公司 總部兩臺 SECPATH 100 VPN網(wǎng)關(guān)的高可靠性， 必須按照 ，使分支機構(gòu)的 SECPATH10和總部的兩個 SECPATH100網(wǎng)關(guān)分別建立一條 IPSEC VPN通道，然后在 IPSEC VPN上承載 GRE通道，并運行 OSPF 動態(tài)路由協(xié)議，實現(xiàn)通過動態(tài)路由協(xié)議自動選路。 另外一個解決方案可以不運行動態(tài)路由協(xié)議，實現(xiàn)云南分公司總部兩臺 SECPATH100 VPN網(wǎng)關(guān)的高可靠性。請參考圖 5。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 6 圖 5 通過 IKE KeepAlive和 NAT實現(xiàn)中心兩個 SECPATH的高可靠性 在這個解決方案里， 分支機構(gòu)的 SECPATH10的 IPSEC VPN策略設(shè)置了兩個對端（ peer），分別指向總部的兩個 SECPATH100，缺省情況下，策略中的第一個 peer是 Active的。在總部和分支機構(gòu)的 SECPATH上設(shè)置 IKE Keepalive，一旦分支機構(gòu) SECPATH10發(fā)現(xiàn)第一個 peer的IKE keepalive沒有響應(yīng)的時候，會自動 把 IPSEC通道 切換到第二個 Peer。 這里有一個 分支機構(gòu)訪問總部的 返回流量的路由問題 ，即非對稱路由問題 。 因為沒法通過動態(tài)路由協(xié)議獲取路由信息，總部的 用戶交換機只能設(shè)置靜態(tài)路由 ，假設(shè)指向第一個 peer的內(nèi)網(wǎng)接口地址 。為了使 分支機構(gòu)到總部的 IPSEC通道切換到第二個 peer后，返回流量能夠正確地流向第二個 Peer的內(nèi)網(wǎng)接口，我們可以把解包后的流量進行 NAT，使 IP報文源地址變成第二個 peer的內(nèi)網(wǎng)接口地址，這樣返回流量就會自動流向第二個 Peer的內(nèi)網(wǎng)接口，然后再經(jīng)過活動的 IPSEC通道流向分支機構(gòu)。 這樣，這個非對稱路由問題就得到了解決。 但是這個方案有一定的局限性， 那就是分支機構(gòu)到總部的 IPSEC通道切換到第二個 peer后，總部主動發(fā)起的到分支機構(gòu)的流量仍然沒法找到正確路由。這時可 能需要管理員手動修改路由配置。 遠程接入 VPN 遠程接入 VPN的組網(wǎng)如圖 6所示， 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 7 圖 遠程接入 VPN 在企業(yè)總部放兩臺 SECPATH設(shè)備，用戶在自己計算機上安裝 SecPoint軟件 ，通過 PPP、L2TP協(xié)議和公司本部建立 VPN隧道， 在 鏈路層建立隧道，更安全。 同時， SecPoint軟件 可以通過 PPP協(xié)商向 VPN申請 IP地址。由于此 IP地址的分配是由 VPN隧道對端分配的，其保密性更高，被攻擊的可能性也更小。 同時 SecPoint軟件 支持 IPSEC/IKE加密。 IPSEC為 IP協(xié)議棧提供在 IP層實施的一系列安 全服務(wù) ,為 IP及其上層提供保護 。 SecPoint軟件 通過支持 IPSEC提供 數(shù)據(jù)加密 ， 數(shù)據(jù)完整性驗證 ， 數(shù)據(jù)身份驗證 ，以及 防重放功能 。 SecPoint軟件 支持 IPSEC隧道模式和傳輸模式， 從安全性來講，隧道模式優(yōu)于傳輸模式。它可以完全地對原始 IP數(shù)據(jù)報進行驗證和加密；此外，可以使用 IPSEC對等體的 IP地址來隱藏客戶機的 IP地址。為了更加安全，鼓勵用戶都使用隧道模式。 SecPoint軟件 和 RSA SecuID動態(tài)密鑰 配合使用，可以更安全的驗證用戶的身份。 RSA SecuID動態(tài)密鑰 的特點是每分鐘更換一次密碼， 并且此密碼和 VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備的密碼能夠保持一致。當(dāng)用戶需要使用 SecPoint軟件 和網(wǎng)關(guān)側(cè)設(shè)備建立 VPN隧道時，在驗證碼一欄輸入 RSA SecuID動態(tài)密鑰 ， SecPoint軟件 和對端網(wǎng)關(guān)側(cè)設(shè)備將就此密碼進行協(xié)商，可以防止非授權(quán)用戶使用此 VPN網(wǎng)絡(luò)，為 VPN隧道的安全又增加了一道屏障 SecPoint軟件支持與 網(wǎng)關(guān)側(cè)設(shè)備 的握手機制 。當(dāng) VPN隧道建立之后， SecPoint軟件 會根據(jù)用戶配置，定時向網(wǎng)關(guān)側(cè)設(shè)備發(fā)送握手。如果一定時間收不到握手，網(wǎng)關(guān)側(cè)設(shè)備認為對端已經(jīng)離線，自動將狀態(tài)設(shè)置為斷開。如果用戶需要再 使用 VPN隧道資源，需要重新認證。握 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 8 手機制能夠增加安全性，防止身份冒充。 SecPoint軟件 支持局域網(wǎng)用戶，同時也支持撥號用戶。相對于局域網(wǎng)用戶，特別的，SecPoint軟件 能夠讓撥號用戶使用 IPSEC/IKE加密。 為保證數(shù)據(jù)安全， 建立 VPN隧道時 使用 IKE協(xié)商為 IPSEC提供密鑰供 IPSEC加密使用 。但是在 一般使用 IKE協(xié)商 時，要求兩端設(shè)備配置對端 IP地址信息。但是，由于使用 VPN`客戶端軟件的用戶經(jīng)常處于撥號上網(wǎng)的狀態(tài)，而每次 上網(wǎng)時 其 IP地址 是 不固定 的 ， 如果要求 VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備每次都 修改 對端 IP地址， 其維護量就可想而知了。 SecPoint軟件 通過支持 IKE的 Aggressive模式（野蠻模式）成功 地解決這個問題， 在這種模式下， IKE協(xié)商時 允許協(xié)商 的兩 端不 使用 IP地址信息 ，而代之以使用雙方的 name。 這樣 當(dāng)撥號用戶 使用動態(tài) IP地址， 只要正確的配置對端 name，而網(wǎng)關(guān)側(cè)設(shè)備也接受次 name，就可以進行 IKE協(xié)商。從而實現(xiàn) IPSEC加密 。 注意：網(wǎng)關(guān)側(cè)設(shè)備也需要 支持 IKE協(xié)商Aggressive模式 。 SecPoint軟件 支持對 VPN隧道對端多個網(wǎng)段的訪問。在實際應(yīng)用中， VPN隧道對端即公司本部組網(wǎng)中包含 很多網(wǎng)段，例如，公司所有的服務(wù)器的 IP為 .*.*，研發(fā)部門的 IP為.*.*，財務(wù)部門的 IP為 .*.*。當(dāng)用戶通過 SecPoint軟件 和網(wǎng)關(guān)建立 VPN隧道之后，通過協(xié)議從公司本部分配了一個 IP地址 .*.*，掩碼為 。如果用戶需要訪問公司的內(nèi)部 DNS服務(wù)器， IP為 ，由于用戶計算機上沒有針對 DNS服務(wù)器的路由，所以用戶無法訪問 DNS服務(wù)器。而 SecPoint軟件 成功地解決了這個問題，只需要用戶在使用登錄之前，將公司本部 需要訪問的網(wǎng)段配置進 來即可。配置的界面如 圖 7所示 ： 圖 7 SecPoint軟件 支持 NAT穿越。在使用 IPSEC加密的 VPN隧道， 用戶數(shù)據(jù)包不能被篡改 。包括從 IP地址， IP數(shù)據(jù)頭，協(xié)議端口號， VPN隧道兩端都有加密和防篡改 , 否則對端接收后不 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 9 能正確解密 。但是，很多時候使用 SecPoint軟件 的時候其所在位于 NAT設(shè)備 之后，通過 NAT地址轉(zhuǎn)換 進入 Inter。 NAT的基本原理在與修改報文的 IP地址和端口信息，這樣，一旦報文 經(jīng)過 NAT設(shè)備 ， VPN隧道兩端就 不 可 能建立 IPSEC隧道連接。 SecPoint軟 件 成功地記解決了此問題。軟件 通過在 IPSEC報文前增加一層 UDP報文頭的方式 ，使 NAT設(shè)備不需要修改報文內(nèi)容，從而 解決了 IPSEC支持 NAT穿越的問題， NAT設(shè)備只修改封裝的 UDP頭，但是沒有影響 IPSEC數(shù)據(jù)報文的內(nèi)容，即使經(jīng)過 NAT轉(zhuǎn)換，仍然可以正常建立 IPSEC隧道連接。 在使用 SecPoint軟件 的 NAT穿越功能時，需要網(wǎng)管側(cè)設(shè)備也支持 NAT穿越。 SecPoint軟件 支持備份 LNS服務(wù)器 。當(dāng)主 LNS服務(wù)器 因故障不能使用， SecPoint軟件 自動向 備份