【正文】 種工作方式。注意到在以上的流程中不用關(guān)心乘客協(xié)議的具體格式或內(nèi)容。 二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP（Point to Point Tunneling Protocol，點(diǎn)對點(diǎn)隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）。Extranet VPN以其易于構(gòu)建與管理為解決以上問題提供了有效的手段，其實(shí)現(xiàn)技術(shù)與Access VPN和Intranet VPN相同。結(jié)合服務(wù)商提供的QoS機(jī)制，可以有效而且可靠地使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。在Access VPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道（Tunnel）連接來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴，如圖1所示。IPSec VPN解決方案 華為3技術(shù)有限公司目錄1. 概述 3 VPN定義 3 VPN的類型 4 VPN的優(yōu)點(diǎn) 5 隧道技術(shù) 5 加密技術(shù) 8 身份認(rèn)證技術(shù) 92. 建設(shè)方案 11 基本建設(shè)思路 11 組網(wǎng)方案 11 可靠性方案 173. IPSec VPN管理系統(tǒng) 21 輕松部署安全網(wǎng)絡(luò) 21 直觀展示VPN拓?fù)?22 全方位監(jiān)控網(wǎng)絡(luò)性能 22 快速定位網(wǎng)絡(luò)故障 24 BIMS分支智能管理系統(tǒng) 24附件:iNode客戶端軟件介紹 261. 概述隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)日益擴(kuò)張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點(diǎn)的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。圖1 VPN應(yīng)用示意圖由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務(wù)提供點(diǎn)），即可相互通信；而利用傳統(tǒng)的WAN組建技術(shù)，彼此之間要有專線相連才可以達(dá)到同樣的目的。Access VPN的結(jié)構(gòu)有兩種類型，一種是用戶發(fā)起（Clientinitiated）的VPN連接，另一種是接入服務(wù)器發(fā)起（NASinitiated）的VPN連接。基于ATM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實(shí)現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。Extranet用戶對于Extranet VPN的訪問權(quán)限可以通過防火墻等手段來設(shè)置與管理。其中L2TP結(jié)合了前兩個協(xié)議的優(yōu)點(diǎn)，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。整個被封裝的報(bào)文具有下圖所示格式： 通過GRE傳輸報(bào)文形式IPSecIPSec（IP Security）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實(shí)性。在隧道方式中，用戶的整個IP數(shù)據(jù)包被用來計(jì)算附加報(bào)頭，且被加密，附加報(bào)頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計(jì)算附加報(bào)頭，附加報(bào)頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報(bào)頭后面。在兩個端點(diǎn)之間可以建立多個安全聯(lián)盟，并結(jié)合訪問控制列表（accesslist）， IPSec可以對不同的數(shù)據(jù)流實(shí)施不同的保護(hù)策略，達(dá)到不同的保護(hù)效果。其中的核心技術(shù)就是DH（Diffie Hellman）交換技術(shù)。 身份認(rèn)證技術(shù)IPSec隧道建立的前提是雙方的身份的得到了認(rèn)證，這就是所謂的身份驗(yàn)證。PKI采用證書進(jìn)行公鑰管理，通過第三方的可信任機(jī)構(gòu)，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，以在網(wǎng)上驗(yàn)證用戶的身份。 設(shè)備選型，需要重點(diǎn)關(guān)心設(shè)備的VPN加密性能和轉(zhuǎn)發(fā)性能216。216。部署要點(diǎn)252。 部分業(yè)務(wù)流量需要IPSec保護(hù)，另一部分業(yè)務(wù)流量不需要IPSec保護(hù)，僅需要GRE隧道完成VPN功能。 IPSec只適用于IP協(xié)議，所以對于企業(yè)網(wǎng)內(nèi)非IP協(xié)議，不能使用。 GRE還支持由用戶選擇記錄Tunnel接口的識別關(guān)鍵字，和對封裝的報(bào)文進(jìn)行端到端校驗(yàn)；252。 GRE的特點(diǎn)是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。252。252。252。 使用L2TP+IPSEC完成用戶身份認(rèn)證和報(bào)文加密252。如果Client訪問其他Client下面的私有網(wǎng)絡(luò)，首先通過DVPN Server進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，完成網(wǎng)絡(luò)的訪問。DVPN對所有的轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文采用IPSec進(jìn)行保護(hù)處理，繼承了所有的IPSec的功能特點(diǎn)，例如私密性、合法性、防重放等。圖1 可靠性設(shè)計(jì)組網(wǎng)圖2中，可靠性設(shè)計(jì)重點(diǎn)體現(xiàn)在VPN Server的雙機(jī)備份、負(fù)載分擔(dān)和異常快速切換3個方面。VRRP組網(wǎng)示意圖（這個IP地址可以和備份組內(nèi)的某個路由器的接口地址相同），備份組內(nèi)的路由器也有自己的IP地址（，）。而且為了保證網(wǎng)關(guān)切換后，網(wǎng)關(guān)內(nèi)外的流量能同時切換到新的網(wǎng)關(guān)上，需要在網(wǎng)關(guān)內(nèi)外都設(shè)置VRRP組，并將這一對VRRP組關(guān)聯(lián)起來。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測及時、隧道恢復(fù)快的優(yōu)點(diǎn)。運(yùn)行機(jī)制發(fā)送端：當(dāng)啟動了DPD功能以后，如在intervaltime定時器指定的時間間隔內(nèi)沒有收到對端的IPSec報(bào)文，且本端欲向?qū)Χ税l(fā)送IPSec報(bào)文時，DPD向?qū)Χ税l(fā)送DPD請求，并等待應(yīng)答報(bào)文?？梢圆樵僔PN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。如果設(shè)備的IP地址不固定，就增加了主動管理的難度；如果設(shè)備位于NAT網(wǎng)關(guān)后面，基本上沒有什么有效的管理手段。設(shè)備側(cè)和管理中心側(cè)采用協(xié)議進(jìn)行通信，BIMS管理中心側(cè)作為 Server，設(shè)備側(cè)作為 Client，設(shè)備通過定期訪問管理中心側(cè)來實(shí)現(xiàn)相互通信并完成設(shè)備的管理。配置文件的導(dǎo)入能夠極大的減輕維護(hù)工作量。由于此IP地址的分配是由VPN隧道對端分配的，其保密性更高，被攻擊的可能性也更小。INode軟件支持局域網(wǎng)用戶，同時也支持撥號用戶。注意：網(wǎng)關(guān)側(cè)設(shè)備也需要支持IKE協(xié)商Aggressive模式。當(dāng)建立VPN隧道之后，用戶可以繼續(xù)訪問internet資源，而不會因?yàn)榻⑺淼乐?，喪失原有的功能。軟件通過在IPSEC報(bào)文前增加一層UDP報(bào)文頭的方式，使NAT設(shè)備不需要修改報(bào)文內(nèi)容，從而解決了IPSEC支持NAT穿越的問題，NAT設(shè)備只修改封裝的UDP頭，但是沒有影響IPSEC數(shù)據(jù)報(bào)文的內(nèi)容，即使經(jīng)過NAT轉(zhuǎn)換，仍然可以正常建立IPSEC隧道連接。INode軟件支持備份LNS服務(wù)器。INode軟件支持NAT穿越。在實(shí)際應(yīng)用中，VPN隧道對端即公司本部組網(wǎng)中包含很多網(wǎng)段，例如，.*.*，.*.*，.*.*。為保證數(shù)據(jù)安全，建立VPN隧道時使用IKE協(xié)商為IPSEC提供密鑰供IPSEC加密使用。IPSec為IP協(xié)議棧提供在IP層實(shí)施的一系列安全服務(wù),為IP及其上層提供保護(hù)。相應(yīng)的，為了能夠訪問VPN，每個訪問此VPN的人員都需要對客戶端軟件進(jìn)行相應(yīng)的配置。設(shè)備主動訪問BIMS管理中心時，上報(bào)設(shè)備當(dāng)前的配置文件、設(shè)備軟件的特征信息，由BIMS管理中心來判斷是否需要對設(shè)備進(jìn)行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點(diǎn)。BIMS采用一種被動的方式對設(shè)備進(jìn)行管理，即網(wǎng)管作為Server，設(shè)備作為Client，依靠設(shè)備周期性的主動訪問網(wǎng)管來實(shí)現(xiàn)對設(shè)備的管理。故障管理模塊能夠與Quidview IPSec VPN其他組件密切配合，幫助用戶快速定位網(wǎng)絡(luò)故障。IPSec VPN Manager配置界面 直觀展示VPN拓?fù)銺uidview IPSec VPN軟件能夠自動發(fā)現(xiàn)和構(gòu)建VPN拓?fù)?，用戶在拓?fù)渖峡梢灾庇^查看VPN通道狀態(tài)、通道流量情況、VPN設(shè)備的運(yùn)行情況等。同時，提供了預(yù)定義配置參數(shù)功能，方便高級用戶設(shè)置高級選項(xiàng)，重用配置信息。當(dāng)失敗事件達(dá)到3次時，刪除ISAKMP SA 和相應(yīng)的IPSec SA。解決了VRRP備份組主備切換使安全隧道通信中斷的問題，擴(kuò)展了IPSec的應(yīng)用范圍，提高了IPSec協(xié)議的健壯性。IPSec隧道快速切換，這一切換由IPSec DPD實(shí)現(xiàn)。如果備份組內(nèi)的Master路由器壞掉，Backup路由器將會通過選舉策略選出