【正文】 較清晰。252。 GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用GRE會(huì)造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降； L2TP over IPSec VPN方式組網(wǎng)特點(diǎn)：252。252。使用LAC同時(shí)作為客戶端，是在LAC上建立一個(gè)虛擬的PPP用戶，該用戶與LNS保持一個(gè)常連接。252。L2TP收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用L2TP會(huì)造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降； 移動(dòng)用戶IPSec VPN接入方式組網(wǎng)特點(diǎn)252。 使用L2TP+IPSEC完成用戶身份認(rèn)證和報(bào)文加密252。 VPN服務(wù)器側(cè)可以考慮使用單臺(tái)設(shè)備，也可以考慮使用雙VPN服務(wù)器備份方案特點(diǎn)252。如果Client訪問(wèn)其他Client下面的私有網(wǎng)絡(luò)，首先通過(guò)DVPN Server進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，完成網(wǎng)絡(luò)的訪問(wèn)。DVPN實(shí)現(xiàn)了對(duì)所有的控制報(bào)文的安全保護(hù)，對(duì)通過(guò)公有網(wǎng)絡(luò)傳輸?shù)乃矫艿淖?cè)協(xié)商報(bào)文和會(huì)話協(xié)商報(bào)文，都可以使用通用的加密算法（支持DES、3DES、AES算法）進(jìn)行加密保護(hù)。DVPN對(duì)所有的轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文采用IPSec進(jìn)行保護(hù)處理，繼承了所有的IPSec的功能特點(diǎn)，例如私密性、合法性、防重放等。在一臺(tái)DVPN設(shè)備上最多可以支持200個(gè)DVPN域的Server。圖1 可靠性設(shè)計(jì)組網(wǎng)圖2中，可靠性設(shè)計(jì)重點(diǎn)體現(xiàn)在VPN Server的雙機(jī)備份、負(fù)載分擔(dān)和異?？焖偾袚Q3個(gè)方面。當(dāng)路由器RouterA壞掉時(shí)，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信。VRRP組網(wǎng)示意圖（這個(gè)IP地址可以和備份組內(nèi)的某個(gè)路由器的接口地址相同），備份組內(nèi)的路由器也有自己的IP地址（，）。 快速切換網(wǎng)絡(luò)異常的情況有很多種。而且為了保證網(wǎng)關(guān)切換后，網(wǎng)關(guān)內(nèi)外的流量能同時(shí)切換到新的網(wǎng)關(guān)上，需要在網(wǎng)關(guān)內(nèi)外都設(shè)置VRRP組，并將這一對(duì)VRRP組關(guān)聯(lián)起來(lái)。啟動(dòng)DPD功能后，當(dāng)接收端長(zhǎng)時(shí)間收不到對(duì)端的報(bào)文時(shí)，能夠觸發(fā)DPD查詢，主動(dòng)向?qū)Χ税l(fā)送請(qǐng)求報(bào)文，對(duì)IKE Peer是否存在進(jìn)行檢測(cè)。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測(cè)及時(shí)、隧道恢復(fù)快的優(yōu)點(diǎn)。該數(shù)據(jù)結(jié)構(gòu)可以被多個(gè)IKE Peer引用，這樣用戶不必針對(duì)接口一一進(jìn)行重復(fù)配置。運(yùn)行機(jī)制發(fā)送端：當(dāng)啟動(dòng)了DPD功能以后，如在intervaltime定時(shí)器指定的時(shí)間間隔內(nèi)沒(méi)有收到對(duì)端的IPSec報(bào)文，且本端欲向?qū)Χ税l(fā)送IPSec報(bào)文時(shí)，DPD向?qū)Χ税l(fā)送DPD請(qǐng)求，并等待應(yīng)答報(bào)文。切換時(shí)間的長(zhǎng)短與timeout定時(shí)器的設(shè)置有關(guān)，定時(shí)器設(shè)定的超時(shí)時(shí)間越短，通信中斷時(shí)間越短（注意：超時(shí)時(shí)間過(guò)短會(huì)增加網(wǎng)絡(luò)開銷，一般情況下采用缺省值即可）。為了避免在設(shè)備上留下冗余的配置信息，軟件支持“清除”功能，能夠在重新配置以及配置命令下發(fā)出現(xiàn)失敗的情況下，清除設(shè)備上不需要的冗余的配置。IPSec VPN Manager顯示拓?fù)?全方位監(jiān)控網(wǎng)絡(luò)性能基于Quidview網(wǎng)絡(luò)管理框架的性能管理模塊，IPSec VPN軟件提供了豐富的VPN設(shè)備的性能管理功能，可以對(duì)VPN網(wǎng)絡(luò)中的各項(xiàng)重要性能指標(biāo)進(jìn)行監(jiān)視，幫助用戶全方位的監(jiān)控VPN網(wǎng)絡(luò)的運(yùn)行狀態(tài)?？梢圆樵僔PN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。同時(shí)，VPN拓?fù)鋱D將立刻刷新以反映最新的網(wǎng)絡(luò)狀態(tài)。如果設(shè)備的IP地址不固定，就增加了主動(dòng)管理的難度；如果設(shè)備位于NAT網(wǎng)關(guān)后面，基本上沒(méi)有什么有效的管理手段。網(wǎng)管通過(guò)一個(gè)固定的、全網(wǎng)唯一的ID來(lái)識(shí)別設(shè)備，而不再依賴于設(shè)備的IP地址，所以設(shè)備擁有公網(wǎng)或私網(wǎng)IP地址或IP地址經(jīng)常變化都不會(huì)影響網(wǎng)管對(duì)設(shè)備的識(shí)別。設(shè)備側(cè)和管理中心側(cè)采用協(xié)議進(jìn)行通信，BIMS管理中心側(cè)作為 Server，設(shè)備側(cè)作為 Client，設(shè)備通過(guò)定期訪問(wèn)管理中心側(cè)來(lái)實(shí)現(xiàn)相互通信并完成設(shè)備的管理。通過(guò)安裝本軟件，可以使PC機(jī)能夠通過(guò)多種方式與我司的網(wǎng)絡(luò)設(shè)備（如路由器及Secpath系列網(wǎng)關(guān)設(shè)備等）進(jìn)行VPN互聯(lián)，并最終實(shí)現(xiàn)遠(yuǎn)端PC能夠安全、快捷地通過(guò)Internet訪問(wèn)相應(yīng)企業(yè)總部VPN的目的.操作方便 一個(gè)成熟的VPN客戶端軟件，首先必須操作簡(jiǎn)單，界面友好。配置文件的導(dǎo)入能夠極大的減輕維護(hù)工作量。需要訪問(wèn)VPN的時(shí)候，只需要輸入個(gè)人專用用戶名和密碼，就可以輕松訪問(wèn)VPN資源。由于此IP地址的分配是由VPN隧道對(duì)端分配的，其保密性更高，被攻擊的可能性也更小。INode軟件支持IPSEC隧道模式和傳輸模式，從安全性來(lái)講，隧道模式優(yōu)于傳輸模式。INode軟件支持局域網(wǎng)用戶，同時(shí)也支持撥號(hào)用戶。但是，由于使用VPN`客戶端軟件的用戶經(jīng)常處于撥號(hào)上網(wǎng)的狀態(tài)，而每次上網(wǎng)時(shí)其IP地址是不固定的，如果要求VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備每次都修改對(duì)端IP地址，其維護(hù)量就可想而知了。注意：網(wǎng)關(guān)側(cè)設(shè)備也需要支持IKE協(xié)商Aggressive模式。如果用戶需要訪問(wèn)公司的內(nèi)部DNS服務(wù)器，由于用戶計(jì)算機(jī)上沒(méi)有針對(duì)DNS服務(wù)器的路由，所以用戶無(wú)法訪問(wèn)DNS服務(wù)器。當(dāng)建立VPN隧道之后，用戶可以繼續(xù)訪問(wèn)internet資源，而不會(huì)因?yàn)榻⑺淼乐螅瑔适г械墓δ?。包括從IP地址，IP數(shù)據(jù)頭，協(xié)議端口號(hào)，VPN隧道兩端都有加密和防篡改, 否則對(duì)端接收后不能正確解密。軟件通過(guò)在IPSEC報(bào)文前增加一層UDP報(bào)文頭的方式，使NAT設(shè)備不需要修改報(bào)文內(nèi)容，從而解決了IPSEC支持NAT穿越的問(wèn)題，NAT設(shè)備只修改封裝的UDP頭，但是沒(méi)有影響IPSEC數(shù)據(jù)報(bào)文的內(nèi)容，即使經(jīng)過(guò)NAT轉(zhuǎn)換，仍然可以正常建立IPSEC隧道連接。這樣降低故障對(duì)于整體網(wǎng)絡(luò)資源的影響。INode軟件支持備份LNS服務(wù)器。NAT的基本原理在與修改報(bào)文的IP地址和端口信息，這樣，一旦報(bào)文經(jīng)過(guò)NAT設(shè)備，VPN隧道兩端就不可能建立IPSEC隧道連接。INode軟件支持NAT穿越。配置的界面如下圖：INode軟件建立VPN隧道之后不影響用戶原有的網(wǎng)絡(luò)功能。在實(shí)際應(yīng)用中，VPN隧道對(duì)端即公司本部組網(wǎng)中包含很多網(wǎng)段，例如，.*.*，.*.*，.*.*。這樣當(dāng)撥號(hào)用戶使用動(dòng)態(tài)IP地址，只要正確的配置對(duì)端name，而網(wǎng)關(guān)側(cè)設(shè)備也接受次name，就可以進(jìn)行IKE協(xié)商。為保證數(shù)據(jù)安全，建立VPN隧道時(shí)使用IKE協(xié)商為IPSEC提供密鑰供IPSEC加密使用。為了更加安全，鼓勵(lì)用戶都使用隧道模式。IPSec為IP協(xié)議棧提供在IP層實(shí)施的一系列安全服務(wù),為IP及其上層提供保護(hù)。首先，INode軟件支持使用PPP，L2TP協(xié)議和公司本部建立VPN隧道，在鏈路層建立隧道，更安全。相應(yīng)的，為了能夠訪問(wèn)VPN，每個(gè)訪問(wèn)此VPN的人員都需要對(duì)客戶端軟件進(jìn)行相應(yīng)的配置。具備簡(jiǎn)單的PC操作技能的人，就可以完成軟件配置，登錄并訪問(wèn)VPN資源。設(shè)備主動(dòng)訪問(wèn)BIMS管理中心時(shí)，上報(bào)設(shè)備當(dāng)前的配置文件、設(shè)備軟件的特征信息，由BIMS管理中心來(lái)判斷是否需要對(duì)設(shè)備進(jìn)行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點(diǎn)。同時(shí)，為了保證通訊安全，BIMS對(duì)傳輸?shù)南?shù)據(jù)進(jìn)行加密處理。BIMS采用一種被動(dòng)的方式對(duì)設(shè)備進(jìn)行管理，即網(wǎng)管作為Server，設(shè)備作為Client，依靠設(shè)備周期性的主動(dòng)訪問(wèn)網(wǎng)管來(lái)實(shí)現(xiàn)對(duì)設(shè)備的管理。 BIMS分支智能管理系統(tǒng)BIMS（QuidView組件）分支智能管理系統(tǒng)實(shí)現(xiàn)從網(wǎng)絡(luò)管理中心來(lái)集中對(duì)網(wǎng)絡(luò)設(shè)備的管理，如配置文件下發(fā)、設(shè)備軟件升級(jí)等。故障管理模塊能夠與Quidview IPSec VPN其他組件密切配合，幫助用戶快速定位網(wǎng)絡(luò)故障。IPSec VPN Manager配置界面 直觀展示VPN拓?fù)銺uidview IPSec VPN軟件能夠自動(dòng)發(fā)現(xiàn)和構(gòu)建VPN拓?fù)洌脩粼谕負(fù)渖峡梢灾庇^查看VPN通道狀態(tài)、通道流量情況、VPN設(shè)備的運(yùn)行情況等。為了減少配置操作，IPSec VPN網(wǎng)絡(luò)配置以網(wǎng)絡(luò)域?yàn)榕渲脝挝?，?duì)網(wǎng)絡(luò)域的配置會(huì)自動(dòng)賦予網(wǎng)絡(luò)域內(nèi)的全部設(shè)備，用戶可一次性對(duì)網(wǎng)絡(luò)域內(nèi)所有設(shè)備進(jìn)行相同配置部署。同時(shí)，提供了預(yù)定義配置參數(shù)功能，方便高級(jí)用戶設(shè)置高級(jí)選項(xiàng)，重用配置信息。3. IPSec VPN管理系統(tǒng)IPSec VPN的命令行配置非常復(fù)雜，需要大量的培訓(xùn)工作，同時(shí)日常的維護(hù)管理工作也極為繁重。當(dāng)失敗事件達(dá)到3次時(shí)，刪除ISAKMP SA 和相應(yīng)的IPSec SA。l intervaltime：觸發(fā)DPD查詢的間隔時(shí)