【正文】 yer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）。IPSec有隧道和傳輸兩種工作方式。IKE的精髓在于它永遠(yuǎn)不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過一系列數(shù)據(jù)的交換，通信雙方最終計(jì)算出共享的密鑰。公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，簡(jiǎn)稱PKI）是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系，它是一套軟硬件系統(tǒng)和安全策略的集合，提供了一整套安全機(jī)制。 IKE協(xié)商可以采用預(yù)共享密鑰的方式，也可以采用CA認(rèn)證的方式進(jìn)行。 單純的IPSec封裝，對(duì)于帶寬資源消耗較?。?IPSec over GRE VPN方式組網(wǎng)特點(diǎn)：252。252。 對(duì)業(yè)務(wù)流量，諸如路由協(xié)議、語(yǔ)音、視頻等數(shù)據(jù)先進(jìn)行GRE封裝，然后再對(duì)封裝后的報(bào)文進(jìn)行IPSec的加密處理。 分支設(shè)備的用戶端不能由LNS分配地址，必須由用戶手工配置地址，而且需要保證與LNS的VT地址在同一網(wǎng)段，否則OSPF路由不同互通。Client在DVPN Server注冊(cè)成功后，會(huì)與其建立Session（會(huì)話隧道），通過Session完成Client的私有網(wǎng)絡(luò)和DVPN Server的私有網(wǎng)絡(luò)的互聯(lián)，Client成功加入到一個(gè)DVPN域；Sever會(huì)保存所有登錄到DVPN域中的Client信息。衡量可靠性設(shè)計(jì)優(yōu)劣的標(biāo)準(zhǔn)就是網(wǎng)絡(luò)異常業(yè)務(wù)流量中斷時(shí)間。當(dāng)主網(wǎng)關(guān)或其鏈路出現(xiàn)異常時(shí)，VRRP能夠保證在3~4秒內(nèi)完成主備網(wǎng)關(guān)的切換。l timeout：等待DPD應(yīng)答報(bào)文超時(shí)時(shí)間。同時(shí)用戶也可指定某個(gè)設(shè)備的特殊配置，方便用戶操作。傳統(tǒng)網(wǎng)管主要通過SNMP、Telnet等協(xié)議來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，這要求網(wǎng)管側(cè)知道被管設(shè)備的IP地址，并且可以主動(dòng)向設(shè)備發(fā)起請(qǐng)求并建立連接。INode軟件配置方便，靈活，支持多個(gè)配置，并且支持配置文件的導(dǎo)入。支持廣泛INode軟件支持主流的個(gè)人計(jì)算機(jī)操作系統(tǒng)，對(duì)于windows2000/2003/XP，INode軟件都能夠提供很好的支持。使用INode軟件必須是在internet網(wǎng)絡(luò)上，能夠正常的訪問internet資源。當(dāng)主LNS服務(wù)器因故障不能使用，INode軟件自動(dòng)向備份LNS服務(wù)器發(fā)起協(xié)商。當(dāng)用戶通過INode軟件和網(wǎng)關(guān)建立VPN隧道之后，.*.*。INode軟件通過支持IPSec提供數(shù)據(jù)加密，數(shù)據(jù)完整性驗(yàn)證，數(shù)據(jù)身份驗(yàn)證，以及防重放功能。附件:iNode客戶端軟件介紹Huawei3Com INode（以下簡(jiǎn)稱INode）是華為3Com公司自行設(shè)計(jì)開發(fā)的應(yīng)用在PC上的VPN客戶端軟件。當(dāng)Quidview IPSec VPN性能監(jiān)視模塊進(jìn)行VPN設(shè)備閾值監(jiān)控時(shí)，如果發(fā)現(xiàn)閾值超過指標(biāo)會(huì)向故障模塊發(fā)送告警，故障模塊會(huì)迅速做出反應(yīng)，以聲光告警、Email、短信等方式及時(shí)通知到管理人員。數(shù)據(jù)結(jié)構(gòu)DPD數(shù)據(jù)結(jié)構(gòu)（簡(jiǎn)稱為DPD結(jié)構(gòu)）用于配置DPD查詢參數(shù)，包括DPD查詢時(shí)間間隔及等待DPD應(yīng)答報(bào)文超時(shí)時(shí)間間隔。從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。為了提高設(shè)備的使用，DVPN允許在一臺(tái)DVPN設(shè)備上支持多個(gè)VPN域。 對(duì)于L2TP用戶認(rèn)證計(jì)費(fèi)采用遠(yuǎn)端Radius（CAMS）進(jìn)行252。如果使用LAC同時(shí)作為客戶端，那么用戶與LAC之間的連接就不受限于PPP連接，而只要是一個(gè)IP連接就可以了，這樣LAC能夠?qū)⒂脩舻腎P報(bào)文轉(zhuǎn)發(fā)到LNS。 GRE是基于路由的，而IPSec是基于策略。如果企業(yè)網(wǎng)內(nèi)部分流量需要IPSec保護(hù)，而另一部分不需要。方案特點(diǎn) 252。 網(wǎng)絡(luò)拓?fù)漕愋鸵訦ubSpoke為主，PartialMash方式下客戶端互訪流量通過Server轉(zhuǎn)發(fā)，此時(shí)流量不超過20％，否則會(huì)加重Server負(fù)擔(dān)，這種情況下，路由的設(shè)計(jì)是重點(diǎn)關(guān)注的問題。驗(yàn)證字是驗(yàn)證雙方身份的關(guān)鍵。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中結(jié)點(diǎn)增多時(shí)，手工配置將非常困難，而且難以保證安全性。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：? 私有性 － ；? 完整性 － IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；? 真實(shí)性 － IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包；? 防重放 － IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報(bào)文的序列號(hào)實(shí)現(xiàn)。 隧道技術(shù)對(duì)于構(gòu)建VPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個(gè)關(guān)鍵技術(shù)。在接入服務(wù)器發(fā)起的VPN連接應(yīng)用中，用戶通過本地號(hào)碼或免費(fèi)號(hào)碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。 VPN定義利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)（VPN，Virtual Private Network），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。 VPN的類型VPN分為三種類型：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類型的 VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。在傳統(tǒng)的專線構(gòu)建方式下，Extranet通過專線互聯(lián)實(shí)現(xiàn)，網(wǎng)絡(luò)管理與訪問控制需要維護(hù)，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡(luò)設(shè)備；雖然可以通過撥號(hào)方式構(gòu)建Extranet，但此時(shí)需要為不同的Extranet用戶進(jìn)行設(shè)置，而同樣降低不了復(fù)雜度。在GRE的處理中，很多協(xié)議的細(xì)微差異都被忽略，這使得GRE不限于某個(gè)特定的“X over Y”應(yīng)用，而是一種最基本的封裝形式。AH在IP包中的位置如圖5所示（隧道方式）：圖5 AH處理示意圖ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，ESP可以保證數(shù)據(jù)的完整性、真實(shí)性和私有性。后兩種方法通過對(duì)CA（Certificate Authority）中心的支持來實(shí)現(xiàn)。PKI組成框圖其中，認(rèn)證機(jī)構(gòu)用于簽發(fā)并管理證書；注冊(cè)機(jī)構(gòu)用于個(gè)人身份審核、證書廢除列表管理等；PKI存儲(chǔ)庫(kù)用于對(duì)證書和日志等信息進(jìn)行存儲(chǔ)和管理，并提供一定的查詢功能；數(shù)字證書是PKI應(yīng)用信任的基礎(chǔ)，是PKI系統(tǒng)的安全憑據(jù)。VPN客戶端設(shè)備可以采用靜態(tài)或動(dòng)態(tài)申請(qǐng)的IP地址和總部網(wǎng)關(guān)建立VPN鏈接。 兩端的VPN網(wǎng)關(guān)的之間建立GRE隧道，然后將IPSec策略應(yīng)用到GRE隧道接口上從而建立IPSec隧道，進(jìn)行數(shù)據(jù)封裝、加密和傳輸；252。 VPN內(nèi)部可以支持MPLS、IPX等非IP協(xié)議的網(wǎng)絡(luò)。 GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用GRE會(huì)造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降； L2TP over IPSec VPN方式組網(wǎng)特點(diǎn)：252。L2TP收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用L2TP會(huì)造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降； 移動(dòng)用戶IPSec VPN接入方式組網(wǎng)特點(diǎn)252。DVPN實(shí)現(xiàn)了對(duì)所有的控制報(bào)文的安全保護(hù)，對(duì)通過公有網(wǎng)絡(luò)傳輸?shù)乃矫艿淖?cè)協(xié)商報(bào)文和會(huì)話協(xié)商報(bào)文，都可以使用通用的加密算法（支持DES、3DES、AES算法）進(jìn)行加密保護(hù)。當(dāng)路由器RouterA壞掉時(shí)，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信。啟動(dòng)DPD功能后，當(dāng)接收端長(zhǎng)時(shí)間收不到對(duì)端的報(bào)文時(shí)，能夠觸發(fā)DPD查詢，主動(dòng)向?qū)Χ税l(fā)送請(qǐng)求報(bào)文，對(duì)IKE Peer是否存在進(jìn)行檢測(cè)。切換時(shí)間的長(zhǎng)短與timeout定時(shí)器的設(shè)置有關(guān)，定時(shí)器設(shè)定的超時(shí)時(shí)間越短，通信中斷時(shí)間越短（注意：超時(shí)時(shí)間過短會(huì)增加網(wǎng)絡(luò)開銷，一般情況下采用缺省值即可）。IPSec VPN Manager顯示拓?fù)?全方位監(jiān)控網(wǎng)絡(luò)性能基于Quidview網(wǎng)絡(luò)管理框架的性能管理模塊，IPSec VPN軟件提供了豐富的VPN設(shè)備的性能管理功能，可以對(duì)VPN網(wǎng)絡(luò)中的各項(xiàng)重要性能指標(biāo)進(jìn)行監(jiān)視，幫助用戶全方位的監(jiān)控VPN網(wǎng)絡(luò)的運(yùn)行狀態(tài)。網(wǎng)管通過一個(gè)固定的、全網(wǎng)唯一的ID來識(shí)別設(shè)備，而不再依賴于設(shè)備的IP地址，所以設(shè)備擁有公網(wǎng)或私網(wǎng)IP地址或IP地址經(jīng)常變化都不會(huì)影響網(wǎng)管對(duì)設(shè)備的識(shí)別。需要訪問VPN的時(shí)候，只需要輸入個(gè)人專用用戶名和密碼，就可以輕松訪問VP