【正文】 P路由器上不運(yùn)行 BGP，也不區(qū)分不同的 VPN。 MPLS 工作過程 MPLS VPN 模式支持網(wǎng)內(nèi)所有地點(diǎn)之間的全互連通信。 MPiBGP 在鄰居間傳遞 VPN 用戶路由時(shí)會(huì)將 IPv4 地址打上 RD前綴，這樣 VPN 用戶傳來的 IPv4 路由就轉(zhuǎn)變?yōu)?VPNv4 路由，從而保證 VPN 用戶的路由到了對(duì)端的 PE 上以后，即使存在地址空間重疊，對(duì)端 PE也能夠區(qū)分開分屬不同 VPN 的用戶路由。但這些修補(bǔ)并不能完全解決目前互聯(lián)網(wǎng)所面臨的問題。 由于 IPSEC VPN 主要提供基于 IP 的應(yīng)用，所以用戶通過 IPSEC 連到內(nèi)網(wǎng)后就沒辦法控制，他們就具有較高的權(quán)限，因此，內(nèi)部網(wǎng)絡(luò)對(duì)于 IPSec VPN 的使用者來說是透明的，只要是通過了 IPSEC VPN 網(wǎng)關(guān)，就可以任意訪問內(nèi)網(wǎng)中的資源。這樣，使用零客戶端的 SSL VPN 遠(yuǎn)程訪問的用戶可以為遠(yuǎn)程員工、客戶、合作伙伴及供應(yīng)商等，通過 SSL VPN,客戶端可以在任何時(shí)間任何地點(diǎn)對(duì)應(yīng)用資源進(jìn)行訪問，而 IPSec VPN 只允許已經(jīng)定義好的客戶端進(jìn)行訪問，所以它更適用于企業(yè)內(nèi)部。 用戶端隨機(jī)產(chǎn)生一個(gè)用于后面通訊的“對(duì)稱密碼”，然后用服務(wù)器的公鑰（服務(wù)器的公鑰從步驟②中的服務(wù)器的證書中獲得）對(duì)其加密，然后將加密后的“預(yù)主密碼”傳給服務(wù)器。隧道模式等同于 IPSEC，主要是基于 IP 的應(yīng)用。 Phase2 在上述安全通道上協(xié)商 IPSec 參數(shù) ，主要有快速模式 。 平面網(wǎng)狀結(jié)構(gòu)需要更多的準(zhǔn)備開銷，與基于 VC的 VPN 具有相同的問題，就是在大型 VPN 上會(huì)引起 N的平方問題。 Tunnel 是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，可以看成僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路，使封裝的數(shù)據(jù)報(bào)能夠在這個(gè)通路上傳輸，并在一個(gè) Tunnel 的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。 6． Scalability on a Single Site （對(duì)于單個(gè)站點(diǎn)的可伸縮性） 可以支持 LAC和 LNS之間的多個(gè)隧道的負(fù)載均衡。其中 IPSEC包頭到包尾之間都是通過 ESP或者 AH協(xié)議加密過。 L2TP擴(kuò)展了 PPP連接，在傳統(tǒng)方式中用戶通過模擬電話線或 ISDN/ADSL與網(wǎng)絡(luò)訪問服務(wù)器 (NAS)建立一個(gè)第 2層的連接，并在其上運(yùn)行 PPP，第 2層連接的終結(jié)點(diǎn)和 PPP會(huì)話的終結(jié)點(diǎn)在同一個(gè)設(shè)備上 (如 NAS)。另外，雖然撥號(hào)用戶是通過 PSTN或 ISDN公網(wǎng)撥入 VPN的，但是 VPN所屬用戶仍與外界隔離，有較好的安全保證。從 CE的角度看 PE，它是一個(gè) IP路由器。 VPN 技術(shù)的出現(xiàn)，使企業(yè)不再依賴于昂貴的長途撥號(hào)以及長途專線服務(wù)，而代之以本地 ISP 提供的 VPN 服務(wù)。所以在網(wǎng)絡(luò)安全上需要良好的設(shè)計(jì)，尤其在經(jīng)過公網(wǎng)的數(shù)據(jù)傳輸。 時(shí)下，充斥著多種 VPN 技術(shù)。 分類號(hào)： U D C： D10621408(2020)21130 密 級(jí)：公 開 編 號(hào)： 2020201100 某集團(tuán)的 VPN網(wǎng)絡(luò)方案設(shè)計(jì)與分析 論文作者姓名： 項(xiàng) 洋 申請(qǐng)學(xué)位專業(yè)： 網(wǎng) 絡(luò) 工 程 申請(qǐng)學(xué)位類別： 工 學(xué) 學(xué) 士 指導(dǎo)教師姓名（職稱）： 秦 智 （ 講 師 ） 論文提交日期： 2020 年 6 月 7 日 某集團(tuán)的 VPN網(wǎng)絡(luò)方案設(shè)計(jì)與分析 摘 要 先進(jìn)的網(wǎng)絡(luò)系統(tǒng)對(duì)于企業(yè)加強(qiáng)管理、提高工作效率和增加市場(chǎng)競(jìng)爭(zhēng)力是至關(guān)重要的。在本設(shè)計(jì)中，針對(duì)園區(qū)的特殊需要，詳細(xì)分析比較了各種 VPN 技術(shù)的利弊，以及相應(yīng)的實(shí)驗(yàn)驗(yàn)證，得出了較好的解決方案。 4. 維護(hù)簡單 該信息系統(tǒng)建成后能保證不需要復(fù)雜的維護(hù)就能保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，發(fā)生故障時(shí)能快速恢復(fù)。從企業(yè)中心站點(diǎn)鋪設(shè)至當(dāng)?shù)?ISP 的專線要比傳統(tǒng) WAN 解決方案中的長途專線短得多，因而成本也低廉得多。在三層 VPN中， SP也參與 VPN的管理并提供 VPN，用戶也可在其 VPN范圍內(nèi)對(duì)其進(jìn)行管理。 VPDN也可以使用 IP專用地址等 VPN所特有的一些特性，接入范圍可遍及PSTN、 ISDN的覆蓋區(qū)域，網(wǎng)絡(luò)建設(shè)投資少、周期短，網(wǎng)絡(luò)運(yùn)行費(fèi)用低。 L2TP作為 PPP 擴(kuò)展提供更強(qiáng)大的功能，包括第 2層連接的終結(jié)點(diǎn)和PPP會(huì)話的終結(jié)點(diǎn)可以是不同的設(shè)備。 a. L2TP封裝 初始 PPP有效載荷如 IP數(shù)據(jù)報(bào)、 IPX數(shù)據(jù)報(bào)或 NetBEUI幀等首先經(jīng)過 PPP報(bào)頭和L2TP報(bào)頭的封裝。 第 10 頁 共 43 頁 7． Address Management （地址管理） LNS可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對(duì)于遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)的分配和管理，可以支持 DHCP 和私有地址應(yīng)用。 GRE 在包頭中包含了協(xié)議類型，這用于標(biāo)明乘客協(xié)議的類型；校驗(yàn)和包括了GRE 的包頭和 完整的乘客協(xié)議與數(shù)據(jù)；密鑰用于接收端驗(yàn)證接收的數(shù)據(jù)；序列 號(hào)用于接收端數(shù)據(jù)包的排序和差錯(cuò)控制；路由用于本數(shù)據(jù)包的路由。所以不適合大型網(wǎng)絡(luò)的拓展。 IKE 原理如圖 15 所示： 第 16 頁 共 43 頁 圖 17 IKE 協(xié)議簇 圖 18 IKE 原理 圖 19 IKE 階段 1 第 17 頁 共 43 頁 圖 20 IKE 階段 2 IKE階段 2協(xié)商 IPSEC 安全關(guān)聯(lián)（ SA）， SA由 SPD (security policy database)和 SAD(SA database)組成。 SSL VPN 原理 SSL（安全套接層）協(xié)議是一種在 Inter 上保證發(fā)送信息安全的通用協(xié)議。 如果服務(wù)器要求客戶的身份認(rèn)證（在握手過程中為可選），用戶可以建立一個(gè)隨機(jī) 數(shù)然后對(duì)其進(jìn)行數(shù)據(jù)簽名，將這個(gè)含有簽名的隨機(jī)數(shù)和客戶自己的證書以及加密過的“預(yù)主密碼”一起傳給服務(wù)器。 SSL VPN 的客戶端屬于即插即用的安裝模式，不需要任何附加的客戶端軟件和硬件 ,即便是瘦客戶端模式，由于是用自動(dòng)下載的模式，所以對(duì)用戶來講仍然是透明的；相對(duì)而言， IPSec VPN 通常需要長時(shí)間的配置，并必須有相應(yīng)的軟硬件才可使用，用戶需要支付軟硬件費(fèi)用以及配置、技術(shù)支持的費(fèi)用也就比較高。因此， IPSEC VPN 的目標(biāo)是建立起來一個(gè)虛擬的 IP 網(wǎng)，而無法保護(hù)內(nèi)部數(shù)據(jù)的全面安全。 IP 和 ATM 曾經(jīng)是兩個(gè)互相對(duì)立的技術(shù)，各個(gè) IP 設(shè)備制造商和 ATM 設(shè)備制造商都曾努力想消滅對(duì)方，想一種技術(shù)存世。 RT 使用了BGP 中擴(kuò)展團(tuán)體屬性，用于路由信息的分發(fā)，具有全局惟一性，同一個(gè) RT 只能被一個(gè) VPN 使用，它分成 Import RT 和 Export RT，分別用于路由信息的導(dǎo)入和導(dǎo)出策略。當(dāng)多個(gè)用戶共享同一個(gè) IP 骨 干 網(wǎng) 時(shí) ， 可 以 通 過 使 用 邊 界 網(wǎng) 關(guān) 協(xié) 議 BGP 的 歸 屬 群 體(munityofinterest)屬性來指定屬于同一個(gè) VPN 的路由器。 第四，在達(dá)到目的端 PE之前的最后一個(gè) P路由器時(shí)，該 P 路由器將數(shù)據(jù)包的外層標(biāo)記去掉，讀取內(nèi)層標(biāo)記 (VPN 標(biāo)記 )，從而確定數(shù)據(jù) 包所屬的 VPN，隨之將該數(shù)據(jù)包送至相關(guān)的接口上，進(jìn)而將數(shù)據(jù)包傳送到 VPN 的目的地址處。 第三，在骨干網(wǎng)中，初始 PE 之后的所有 P均只讀取數(shù)據(jù)包中的外層標(biāo)記的信息來決定下一跳，因此在骨干網(wǎng)中 P路由器只是作簡單的標(biāo)記交換。出口 PE 路由 器根據(jù)內(nèi)層標(biāo)簽查找對(duì)應(yīng)的輸出接口，在彈出 VPN 標(biāo)簽后通過該接口將 VPN 分組發(fā)送給正確的 CE 路由器，從而實(shí)現(xiàn)了整個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)過程。正常的 BGP4 能只傳遞 IPv4 的路由， MPBGP 在 BGP 的基礎(chǔ)上定義了新的屬性。如何提高轉(zhuǎn)發(fā)效率，各個(gè)路由器生產(chǎn)廠家做了大量的 改進(jìn)工作，如 Cisco 在路由器上提供 CEF（ Cisco Express Forwarding）功能、修改路由表搜索算法等等。在電子商務(wù)和電子政務(wù)日益發(fā)展的今天，企業(yè)的各種應(yīng)用日益復(fù)雜，需要訪問內(nèi)部網(wǎng)絡(luò)人員的身份 也多種多樣，對(duì)內(nèi)網(wǎng)資源的權(quán)限也有不同的級(jí)別。有 Web 瀏覽器的地方的就有 SSL，所以預(yù)先安裝了 Web 瀏覽器的客戶機(jī)可以隨時(shí)作為 SSL VPN 的客戶端。如果合法性驗(yàn)證沒有通過，通訊將斷開；如果合法性驗(yàn)證通過，將繼續(xù)進(jìn)行第四步。客戶端模式就是基于 web 的簡單應(yīng)用，瘦客戶就是需要增加一個(gè)客戶端，也就是一個(gè) Java插件，這個(gè)插件很小，簡稱瘦客戶，主要能實(shí)現(xiàn)一些擴(kuò)展的應(yīng)用，比如 TCP 端口轉(zhuǎn)發(fā)， ， tel， SSH 等。 Phase1 主要 對(duì)通信雙方進(jìn)行身份認(rèn)證，并在兩端之 間建立一條安全的通道 ，主要有主模式和積極模式 。 缺點(diǎn)： 通信只局限在服務(wù)商的網(wǎng)絡(luò)中，很大程度上依賴服務(wù)商提供的網(wǎng)絡(luò)。 GRE 可以作為 VPN 的第三層隧道協(xié)議，在協(xié)議層之間采用隧道（ Tunnel）技術(shù)。 不同的設(shè)備對(duì)鏈接 會(huì)話的支持可能不一樣。 Datelink header IP Header UDP Header L2TP Header PPP Header PPP Payload Datelink Trailer 圖 5 L2TP數(shù)據(jù)包格式 若是封裝在 IPSEC等數(shù)據(jù)包中這要加上 IPSEC 包頭和包尾。 L2TP 還解決了多個(gè) PPP鏈路的捆綁問題， PPP鏈路捆綁要求其成員均指向同一個(gè) NAS， L2TP可以使物理上連接到不同 NAS的 PPP鏈路，在邏輯上的終結(jié)點(diǎn)為同一個(gè)物理設(shè)備。 按組網(wǎng)模型 IP VPNFrameworkRFC2764中定義了 VPN類型 ， 如 圖 3所示： VPDN： Virtual Private Dial Networks VPRN： Virtual Private Routed Networks VPLS： Virtual Private LAN Segment VLL： Virtual Leased Lines VPDN的基本特點(diǎn)是：除 VPN的總部網(wǎng)絡(luò)中心采用專線接入 VPN服務(wù)提供商的網(wǎng)絡(luò)外，其余的 VPN用戶通過 PSTN或 ISDN撥號(hào)線路接入網(wǎng)絡(luò)。通常用戶網(wǎng)絡(luò)使用專用的 IP地址，所以 PE要了解用戶的專用 IP地址空間。這種連接方式在概念上等同于傳統(tǒng)廣域網(wǎng) WAN的運(yùn)作。 3. 安全性 該集團(tuán)的業(yè)務(wù)涉及到國家的穩(wěn)定，社會(huì)的長治久安，所以該集團(tuán)要面對(duì)一切可能的威脅，所以網(wǎng)絡(luò)安全尤為重要，尤其在遠(yuǎn)程的數(shù)據(jù)傳輸方面，更要保證不被竊聽，篡改，偽造 等。于是，各種遠(yuǎn)程互聯(lián)技術(shù)應(yīng)運(yùn)而生，對(duì)于各種解決方案，其中的建設(shè)費(fèi)用，以及相應(yīng)的維護(hù)，改造，擴(kuò)展等費(fèi)用，以及不穩(wěn)定性，不安全，不能保證特殊服務(wù)，所以產(chǎn)生了一種綜合的應(yīng)用解決方案—— VPN 技術(shù)。企業(yè)網(wǎng)絡(luò)采用的技術(shù)必須先進(jìn)、成熟、穩(wěn)定、可靠的網(wǎng)絡(luò)系統(tǒng)，同時(shí)，對(duì)于身處異地的分支機(jī)構(gòu)或者分公司，辦事處，或者在外出差的企業(yè)員工，需要為其提供高效，實(shí)時(shí)的內(nèi)網(wǎng)訪問，保證相關(guān)業(yè)務(wù)的準(zhǔn)確高效，同時(shí)，在遠(yuǎn)距離傳輸過程中要保證數(shù)據(jù)不被竊聽和篡改。 2 集團(tuán)介紹 集團(tuán)背景介紹 XX 集團(tuán)是一個(gè)以生產(chǎn)農(nóng)產(chǎn)品和加工、開發(fā)石油為主，兼營化工、金融等行業(yè)的綜合性集團(tuán)公司。且維護(hù)人員也不需要專業(yè)的知識(shí)。 VPN 分類介紹 按功能位置： CPEbased VPN 、 Networkbased VPN 按業(yè)務(wù)構(gòu)成： Access VPN 、 Intra VPN 、 Extra VPN 按實(shí)現(xiàn)層次：應(yīng)用層 VPN、網(wǎng)絡(luò)層 VPN 、二層 VPN 按組網(wǎng)模型： VPDN、 VPRN、 VPLS、 VLL 第一類：按照功能位置 根據(jù)是由企業(yè)客戶還是由服務(wù)提供商實(shí)施， VPN分為兩類： 1. CPEbased VPN 基于客戶端設(shè)備的 VPN 2. Networkbased VPN 基于網(wǎng)絡(luò)的 VPN 對(duì)于 CPEbased VPN 基于客戶 端設(shè)備的 VPN的特點(diǎn)是：業(yè)務(wù)擴(kuò)展能力弱、設(shè)備價(jià)格昂貴、組網(wǎng)復(fù)雜度高，不易維護(hù)。 三層 VPN主要有： IPSEC,GRE,SSL。 VPRN定義為：用 IP設(shè)施仿真出一個(gè)專用多站點(diǎn)廣域路由網(wǎng)。 第 8 頁 共 43 頁 L2TP主要由 LAC(L2TP Access Concentrator)和 LNS(L2TPNetworkServer)構(gòu)成， LAC(L2TP訪問集中器 )支持客戶端的 L2TP，他用于發(fā)起呼叫，接收呼叫和建立隧道； LNS(L2TP網(wǎng)絡(luò)服務(wù)器 )是所有隧道的終點(diǎn)。 b. UDP封裝 L2TP幀進(jìn)一步添加 UDP報(bào)頭進(jìn)行 UDP封裝，在 UDP報(bào)頭中，源端和目的端端口號(hào)均設(shè)置為 1701。遠(yuǎn)端用戶所分配的地址不是Inter地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加 安全性。 GRE 只提供了數(shù)據(jù)包的封裝，它并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊。 準(zhǔn)備與管理的開銷相對(duì)昂貴。 SPD,SAD 區(qū)別如下： 圖 21 SPD,SAP 關(guān)系圖 SSL VPN SSL VPN 概述 圖 22 SSL VPN 描述圖 在