【正文】 種工作方式。注意到在以上的流程中不用關(guān)心乘客協(xié)議的具體格式或內(nèi)容。 二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP（Point to Point Tunneling Protocol，點對點隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）。Extranet VPN以其易于構(gòu)建與管理為解決以上問題提供了有效的手段，其實現(xiàn)技術(shù)與Access VPN和Intranet VPN相同。結(jié)合服務商提供的QoS機制，可以有效而且可靠地使用網(wǎng)絡資源，保證了網(wǎng)絡質(zhì)量。在Access VPN的應用中，利用了二層網(wǎng)絡隧道技術(shù)在公用網(wǎng)絡上建立VPN隧道（Tunnel）連接來傳輸私有網(wǎng)絡數(shù)據(jù)。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠地辦事機構(gòu)、出差工作人員以及業(yè)務合作伙伴，如圖1所示。IPSec VPN解決方案 華為3技術(shù)有限公司目錄1. 概述 3 VPN定義 3 VPN的類型 4 VPN的優(yōu)點 5 隧道技術(shù) 5 加密技術(shù) 8 身份認證技術(shù) 92. 建設方案 11 基本建設思路 11 組網(wǎng)方案 11 可靠性方案 173. IPSec VPN管理系統(tǒng) 21 輕松部署安全網(wǎng)絡 21 直觀展示VPN拓撲 22 全方位監(jiān)控網(wǎng)絡性能 22 快速定位網(wǎng)絡故障 24 BIMS分支智能管理系統(tǒng) 24附件:iNode客戶端軟件介紹 261. 概述隨著網(wǎng)絡，尤其是網(wǎng)絡經(jīng)濟的發(fā)展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應現(xiàn)代企業(yè)的需求。圖1 VPN應用示意圖由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務提供點），即可相互通信；而利用傳統(tǒng)的WAN組建技術(shù)，彼此之間要有專線相連才可以達到同樣的目的。Access VPN的結(jié)構(gòu)有兩種類型，一種是用戶發(fā)起（Clientinitiated）的VPN連接，另一種是接入服務器發(fā)起（NASinitiated）的VPN連接。基于ATM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實現(xiàn)可靠的網(wǎng)絡質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。Extranet用戶對于Extranet VPN的訪問權(quán)限可以通過防火墻等手段來設置與管理。其中L2TP結(jié)合了前兩個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。整個被封裝的報文具有下圖所示格式： 通過GRE傳輸報文形式IPSecIPSec（IP Security）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。在隧道方式中，用戶的整個IP數(shù)據(jù)包被用來計算附加報頭，且被加密，附加報頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計算附加報頭，附加報頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報頭后面。在兩個端點之間可以建立多個安全聯(lián)盟，并結(jié)合訪問控制列表（accesslist）， IPSec可以對不同的數(shù)據(jù)流實施不同的保護策略，達到不同的保護效果。其中的核心技術(shù)就是DH（Diffie Hellman）交換技術(shù)。 身份認證技術(shù)IPSec隧道建立的前提是雙方的身份的得到了認證，這就是所謂的身份驗證。PKI采用證書進行公鑰管理，通過第三方的可信任機構(gòu)，把用戶的公鑰和用戶的其他標識信息捆綁在一起，以在網(wǎng)上驗證用戶的身份。 設備選型，需要重點關(guān)心設備的VPN加密性能和轉(zhuǎn)發(fā)性能216。216。部署要點252。 部分業(yè)務流量需要IPSec保護，另一部分業(yè)務流量不需要IPSec保護，僅需要GRE隧道完成VPN功能。 IPSec只適用于IP協(xié)議，所以對于企業(yè)網(wǎng)內(nèi)非IP協(xié)議，不能使用。 GRE還支持由用戶選擇記錄Tunnel接口的識別關(guān)鍵字，和對封裝的報文進行端到端校驗；252。 GRE的特點是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。252。252。252。 使用L2TP+IPSEC完成用戶身份認證和報文加密252。如果Client訪問其他Client下面的私有網(wǎng)絡，首先通過DVPN Server進行數(shù)據(jù)轉(zhuǎn)發(fā)，完成網(wǎng)絡的訪問。DVPN對所有的轉(zhuǎn)發(fā)數(shù)據(jù)報文采用IPSec進行保護處理，繼承了所有的IPSec的功能特點，例如私密性、合法性、防重放等。圖1 可靠性設計組網(wǎng)圖2中，可靠性設計重點體現(xiàn)在VPN Server的雙機備份、負載分擔和異?？焖偾袚Q3個方面。VRRP組網(wǎng)示意圖（這個IP地址可以和備份組內(nèi)的某個路由器的接口地址相同），備份組內(nèi)的路由器也有自己的IP地址（，）。而且為了保證網(wǎng)關(guān)切換后，網(wǎng)關(guān)內(nèi)外的流量能同時切換到新的網(wǎng)關(guān)上，需要在網(wǎng)關(guān)內(nèi)外都設置VRRP組，并將這一對VRRP組關(guān)聯(lián)起來。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測及時、隧道恢復快的優(yōu)點。運行機制發(fā)送端：當啟動了DPD功能以后，如在intervaltime定時器指定的時間間隔內(nèi)沒有收到對端的IPSec報文，且本端欲向?qū)Χ税l(fā)送IPSec報文時，DPD向?qū)Χ税l(fā)送DPD請求，并等待應答報文。可以查詢VPN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。如果設備的IP地址不固定，就增加了主動管理的難度；如果設備位于NAT網(wǎng)關(guān)后面，基本上沒有什么有效的管理手段。設備側(cè)和管理中心側(cè)采用協(xié)議進行通信，BIMS管理中心側(cè)作為 Server，設備側(cè)作為 Client，設備通過定期訪問管理中心側(cè)來實現(xiàn)相互通信并完成設備的管理。配置文件的導入能夠極大的減輕維護工作量。由于此IP地址的分配是由VPN隧道對端分配的，其保密性更高，被攻擊的可能性也更小。INode軟件支持局域網(wǎng)用戶，同時也支持撥號用戶。注意：網(wǎng)關(guān)側(cè)設備也需要支持IKE協(xié)商Aggressive模式。當建立VPN隧道之后，用戶可以繼續(xù)訪問internet資源，而不會因為建立隧道之后，喪失原有的功能。軟件通過在IPSEC報文前增加一層UDP報文頭的方式，使NAT設備不需要修改報文內(nèi)容，從而解決了IPSEC支持NAT穿越的問題，NAT設備只修改封裝的UDP頭，但是沒有影響IPSEC數(shù)據(jù)報文的內(nèi)容，即使經(jīng)過NAT轉(zhuǎn)換，仍然可以正常建立IPSEC隧道連接。INode軟件支持備份LNS服務器。INode軟件支持NAT穿越。在實際應用中，VPN隧道對端即公司本部組網(wǎng)中包含很多網(wǎng)段，例如，.*.*，.*.*，.*.*。為保證數(shù)據(jù)安全，建立VPN隧道時使用IKE協(xié)商為IPSEC提供密鑰供IPSEC加密使用。IPSec為IP協(xié)議棧提供在IP層實施的一系列安全服務,為IP及其上層提供保護。相應的，為了能夠訪問VPN，每個訪問此VPN的人員都需要對客戶端軟件進行相應的配置。設備主動訪問BIMS管理中心時，上報設備當前的配置文件、設備軟件的特征信息，由BIMS管理中心來判斷是否需要對設備進行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點。BIMS采用一種被動的方式對設備進行管理，即網(wǎng)管作為Server，設備作為Client，依靠設備周期性的主動訪問網(wǎng)管來實現(xiàn)對設備的管理。故障管理模塊能夠與Quidview IPSec VPN其他組件密切配合，幫助用戶快速定位網(wǎng)絡故障。IPSec VPN Manager配置界面 直觀展示VPN拓撲Quidview IPSec VPN軟件能夠自動發(fā)現(xiàn)和構(gòu)建VPN拓撲，用戶在拓撲上可以直觀查看VPN通道狀態(tài)、通道流量情況、VPN設備的運行情況等。同時，提供了預定義配置參數(shù)功能，方便高級用戶設置高級選項，重用配置信息。當失敗事件達到3次時，刪除ISAKMP SA 和相應的IPSec SA。解決了VRRP備份組主備切換使安全隧道通信中斷的問題，擴展了IPSec的應用范圍，提高了IPSec協(xié)議的健壯性。IPSec隧道快速切換，這一切換由IPSec DPD實現(xiàn)。如果備份組內(nèi)的Master路由器壞掉，Backup路由器將會通過選舉策略選出