【正文】 較清晰。252。 GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導致使用GRE會造成路由器數(shù)據(jù)轉發(fā)效率有一定程度的下降； L2TP over IPSec VPN方式組網(wǎng)特點：252。252。使用LAC同時作為客戶端，是在LAC上建立一個虛擬的PPP用戶，該用戶與LNS保持一個常連接。252。L2TP收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導致使用L2TP會造成路由器數(shù)據(jù)轉發(fā)效率有一定程度的下降； 移動用戶IPSec VPN接入方式組網(wǎng)特點252。 使用L2TP+IPSEC完成用戶身份認證和報文加密252。 VPN服務器側可以考慮使用單臺設備，也可以考慮使用雙VPN服務器備份方案特點252。如果Client訪問其他Client下面的私有網(wǎng)絡，首先通過DVPN Server進行數(shù)據(jù)轉發(fā)，完成網(wǎng)絡的訪問。DVPN實現(xiàn)了對所有的控制報文的安全保護，對通過公有網(wǎng)絡傳輸?shù)乃矫艿淖詤f(xié)商報文和會話協(xié)商報文，都可以使用通用的加密算法（支持DES、3DES、AES算法）進行加密保護。DVPN對所有的轉發(fā)數(shù)據(jù)報文采用IPSec進行保護處理，繼承了所有的IPSec的功能特點，例如私密性、合法性、防重放等。在一臺DVPN設備上最多可以支持200個DVPN域的Server。圖1 可靠性設計組網(wǎng)圖2中，可靠性設計重點體現(xiàn)在VPN Server的雙機備份、負載分擔和異常快速切換3個方面。當路由器RouterA壞掉時，本網(wǎng)段內所有以RouterA為缺省路由下一跳的主機將斷掉與外部的通信。VRRP組網(wǎng)示意圖（這個IP地址可以和備份組內的某個路由器的接口地址相同），備份組內的路由器也有自己的IP地址（，）。 快速切換網(wǎng)絡異常的情況有很多種。而且為了保證網(wǎng)關切換后，網(wǎng)關內外的流量能同時切換到新的網(wǎng)關上，需要在網(wǎng)關內外都設置VRRP組，并將這一對VRRP組關聯(lián)起來。啟動DPD功能后，當接收端長時間收不到對端的報文時，能夠觸發(fā)DPD查詢，主動向對端發(fā)送請求報文，對IKE Peer是否存在進行檢測。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測及時、隧道恢復快的優(yōu)點。該數(shù)據(jù)結構可以被多個IKE Peer引用，這樣用戶不必針對接口一一進行重復配置。運行機制發(fā)送端：當啟動了DPD功能以后，如在intervaltime定時器指定的時間間隔內沒有收到對端的IPSec報文，且本端欲向對端發(fā)送IPSec報文時，DPD向對端發(fā)送DPD請求，并等待應答報文。切換時間的長短與timeout定時器的設置有關，定時器設定的超時時間越短，通信中斷時間越短（注意：超時時間過短會增加網(wǎng)絡開銷，一般情況下采用缺省值即可）。為了避免在設備上留下冗余的配置信息，軟件支持“清除”功能，能夠在重新配置以及配置命令下發(fā)出現(xiàn)失敗的情況下，清除設備上不需要的冗余的配置。IPSec VPN Manager顯示拓撲 全方位監(jiān)控網(wǎng)絡性能基于Quidview網(wǎng)絡管理框架的性能管理模塊，IPSec VPN軟件提供了豐富的VPN設備的性能管理功能，可以對VPN網(wǎng)絡中的各項重要性能指標進行監(jiān)視，幫助用戶全方位的監(jiān)控VPN網(wǎng)絡的運行狀態(tài)?？梢圆樵僔PN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。同時，VPN拓撲圖將立刻刷新以反映最新的網(wǎng)絡狀態(tài)。如果設備的IP地址不固定，就增加了主動管理的難度；如果設備位于NAT網(wǎng)關后面，基本上沒有什么有效的管理手段。網(wǎng)管通過一個固定的、全網(wǎng)唯一的ID來識別設備，而不再依賴于設備的IP地址，所以設備擁有公網(wǎng)或私網(wǎng)IP地址或IP地址經(jīng)常變化都不會影響網(wǎng)管對設備的識別。設備側和管理中心側采用協(xié)議進行通信，BIMS管理中心側作為 Server，設備側作為 Client，設備通過定期訪問管理中心側來實現(xiàn)相互通信并完成設備的管理。通過安裝本軟件，可以使PC機能夠通過多種方式與我司的網(wǎng)絡設備（如路由器及Secpath系列網(wǎng)關設備等）進行VPN互聯(lián)，并最終實現(xiàn)遠端PC能夠安全、快捷地通過Internet訪問相應企業(yè)總部VPN的目的.操作方便 一個成熟的VPN客戶端軟件，首先必須操作簡單，界面友好。配置文件的導入能夠極大的減輕維護工作量。需要訪問VPN的時候，只需要輸入個人專用用戶名和密碼，就可以輕松訪問VPN資源。由于此IP地址的分配是由VPN隧道對端分配的，其保密性更高，被攻擊的可能性也更小。INode軟件支持IPSEC隧道模式和傳輸模式，從安全性來講，隧道模式優(yōu)于傳輸模式。INode軟件支持局域網(wǎng)用戶，同時也支持撥號用戶。但是，由于使用VPN`客戶端軟件的用戶經(jīng)常處于撥號上網(wǎng)的狀態(tài)，而每次上網(wǎng)時其IP地址是不固定的，如果要求VPN隧道的網(wǎng)關側設備每次都修改對端IP地址，其維護量就可想而知了。注意：網(wǎng)關側設備也需要支持IKE協(xié)商Aggressive模式。如果用戶需要訪問公司的內部DNS服務器，由于用戶計算機上沒有針對DNS服務器的路由，所以用戶無法訪問DNS服務器。當建立VPN隧道之后，用戶可以繼續(xù)訪問internet資源，而不會因為建立隧道之后，喪失原有的功能。包括從IP地址，IP數(shù)據(jù)頭，協(xié)議端口號，VPN隧道兩端都有加密和防篡改, 否則對端接收后不能正確解密。軟件通過在IPSEC報文前增加一層UDP報文頭的方式，使NAT設備不需要修改報文內容，從而解決了IPSEC支持NAT穿越的問題，NAT設備只修改封裝的UDP頭，但是沒有影響IPSEC數(shù)據(jù)報文的內容，即使經(jīng)過NAT轉換，仍然可以正常建立IPSEC隧道連接。這樣降低故障對于整體網(wǎng)絡資源的影響。INode軟件支持備份LNS服務器。NAT的基本原理在與修改報文的IP地址和端口信息，這樣，一旦報文經(jīng)過NAT設備，VPN隧道兩端就不可能建立IPSEC隧道連接。INode軟件支持NAT穿越。配置的界面如下圖：INode軟件建立VPN隧道之后不影響用戶原有的網(wǎng)絡功能。在實際應用中，VPN隧道對端即公司本部組網(wǎng)中包含很多網(wǎng)段，例如，.*.*，.*.*，.*.*。這樣當撥號用戶使用動態(tài)IP地址，只要正確的配置對端name，而網(wǎng)關側設備也接受次name，就可以進行IKE協(xié)商。為保證數(shù)據(jù)安全，建立VPN隧道時使用IKE協(xié)商為IPSEC提供密鑰供IPSEC加密使用。為了更加安全，鼓勵用戶都使用隧道模式。IPSec為IP協(xié)議棧提供在IP層實施的一系列安全服務,為IP及其上層提供保護。首先，INode軟件支持使用PPP，L2TP協(xié)議和公司本部建立VPN隧道，在鏈路層建立隧道，更安全。相應的，為了能夠訪問VPN，每個訪問此VPN的人員都需要對客戶端軟件進行相應的配置。具備簡單的PC操作技能的人，就可以完成軟件配置，登錄并訪問VPN資源。設備主動訪問BIMS管理中心時，上報設備當前的配置文件、設備軟件的特征信息，由BIMS管理中心來判斷是否需要對設備進行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點。同時，為了保證通訊安全，BIMS對傳輸?shù)南?shù)據(jù)進行加密處理。BIMS采用一種被動的方式對設備進行管理，即網(wǎng)管作為Server，設備作為Client，依靠設備周期性的主動訪問網(wǎng)管來實現(xiàn)對設備的管理。 BIMS分支智能管理系統(tǒng)BIMS（QuidView組件）分支智能管理系統(tǒng)實現(xiàn)從網(wǎng)絡管理中心來集中對網(wǎng)絡設備的管理，如配置文件下發(fā)、設備軟件升級等。故障管理模塊能夠與Quidview IPSec VPN其他組件密切配合，幫助用戶快速定位網(wǎng)絡故障。IPSec VPN Manager配置界面 直觀展示VPN拓撲Quidview IPSec VPN軟件能夠自動發(fā)現(xiàn)和構建VPN拓撲，用戶在拓撲上可以直觀查看VPN通道狀態(tài)、通道流量情況、VPN設備的運行情況等。為了減少配置操作，IPSec VPN網(wǎng)絡配置以網(wǎng)絡域為配置單位，對網(wǎng)絡域的配置會自動賦予網(wǎng)絡域內的全部設備，用戶可一次性對網(wǎng)絡域內所有設備進行相同配置部署。同時，提供了預定義配置參數(shù)功能，方便高級用戶設置高級選項，重用配置信息。3. IPSec VPN管理系統(tǒng)IPSec VPN的命令行配置非常復雜，需要大量的培訓工作，同時日常的維護管理工作也極為繁重。當失敗事件達到3次時，刪除ISAKMP SA 和相應的IPSec SA。l intervaltime：觸發(fā)DPD查詢的間隔時