【正文】 織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。現(xiàn)有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡協(xié)議，它主要應用于構(gòu)建Access VPN和Extranet VPN；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡協(xié)議，它主要應用于構(gòu)建Intranet VPN和Extranet VPN。網(wǎng)絡隧道技術指的是利用一種網(wǎng)絡協(xié)議來傳輸另一種網(wǎng)絡協(xié)議，它主要利用網(wǎng)絡隧道協(xié)議來實現(xiàn)這種功能。據(jù)報道，局域網(wǎng)互聯(lián)費用可降低20～40％，而遠程接入費用更可減少60～80％，這無疑是非常有吸引力的；VPN大大降低了網(wǎng)絡復雜度、VPN用戶的網(wǎng)絡地址可以由企業(yè)內(nèi)部進行統(tǒng)一分配、VPN組網(wǎng)的靈活方便等特性簡化了企業(yè)的網(wǎng)絡管理，另外，在VPN應用中，通過遠端用戶驗證以及隧道數(shù)據(jù)加密等技術保證了通過公用網(wǎng)絡傳輸?shù)乃接袛?shù)據(jù)的安全性。Extranet用戶對于Extranet VPN的訪問權限可以通過防火墻等手段來設置與管理。 因此，諸多的企業(yè)常常是放棄構(gòu)建Extranet，結(jié)果使得企業(yè)間的商業(yè)交易程序復雜化，商業(yè)效率被迫降低。在傳統(tǒng)的專線構(gòu)建方式下，Extranet通過專線互聯(lián)實現(xiàn)，網(wǎng)絡管理與訪問控制需要維護，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡設備；雖然可以通過撥號方式構(gòu)建Extranet，但此時需要為不同的Extranet用戶進行設置，而同樣降低不了復雜度。企業(yè)在規(guī)劃VPN建設時應根據(jù)自身的需求對以上的各種公用網(wǎng)絡方案進行權衡?；贏TM或幀中繼的虛電路技術構(gòu)建的VPN也可實現(xiàn)可靠的網(wǎng)絡質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。利用IP網(wǎng)絡構(gòu)建VPN的實質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術有IPSec、GRE等。在這種情況下，所建立的VPN連接對遠端用戶是透明的，構(gòu)建VPN所需的協(xié)議及軟件均由ISP負責管理和維護。在這種情況下，用戶端必須維護與管理發(fā)起隧道連接的有關協(xié)議和軟件。Access VPN的結(jié)構(gòu)有兩種類型，一種是用戶發(fā)起（Clientinitiated）的VPN連接，另一種是接入服務器發(fā)起（NASinitiated）的VPN連接。對于出差流動員工、遠程辦公人員和遠程小辦公室，Access VPN通過公用網(wǎng)絡與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡連接。 VPN的類型VPN分為三種類型：遠程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN），這三種類型的 VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。圖1 VPN應用示意圖由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務提供點），即可相互通信；而利用傳統(tǒng)的WAN組建技術，彼此之間要有專線相連才可以達到同樣的目的。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程撥號連接來實現(xiàn)的，而VPN是利用服務提供商所提供的公共網(wǎng)絡來實現(xiàn)遠程的廣域連接。在公共網(wǎng)絡上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡一樣提供安全性、可靠性和可管理性等。在這樣的背景下，VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關注網(wǎng)絡的運行與維護，而更多地致力于企業(yè)的商業(yè)目標的實現(xiàn)。IPSec VPN解決方案 華為3技術有限公司目錄1. 概述 3 VPN定義 3 VPN的類型 4 VPN的優(yōu)點 5 隧道技術 5 加密技術 8 身份認證技術 92. 建設方案 11 基本建設思路 11 組網(wǎng)方案 11 可靠性方案 173. IPSec VPN管理系統(tǒng) 21 輕松部署安全網(wǎng)絡 21 直觀展示VPN拓撲 22 全方位監(jiān)控網(wǎng)絡性能 22 快速定位網(wǎng)絡故障 24 BIMS分支智能管理系統(tǒng) 24附件:iNode客戶端軟件介紹 261. 概述隨著網(wǎng)絡，尤其是網(wǎng)絡經(jīng)濟的發(fā)展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡建設提出了更高的需求，主要表現(xiàn)在網(wǎng)絡的靈活性、安全性、經(jīng)濟性、擴展性等方面。 VPN定義利用公共網(wǎng)絡來構(gòu)建的私人專用網(wǎng)絡稱為虛擬私有網(wǎng)絡（VPN，Virtual Private Network），用于構(gòu)建VPN的公共網(wǎng)絡包括Internet、幀中繼、ATM等。“虛擬”的概念是相對傳統(tǒng)私有網(wǎng)絡的構(gòu)建方式而言的。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠地辦事機構(gòu)、出差工作人員以及業(yè)務合作伙伴，如圖1所示。虛擬網(wǎng)組成后，出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權限就可以訪問企業(yè)內(nèi)部資源； 如果接入服務器的用戶身份認證服務器支持漫游的話，甚至不必擁有本地ISP的上網(wǎng)權限。并且企業(yè)開設VPN服務所需的設備很少，只需在資源共享處放置一臺VPN服務器就可以了。 Access VPN隨著當前移動辦公的日益增多，遠程用戶需要及時地訪問Intranet和Extranet。在Access VPN的應用中，利用了二層網(wǎng)絡隧道技術在公用網(wǎng)絡上建立VPN隧道（Tunnel）連接來傳輸私有網(wǎng)絡數(shù)據(jù)。用戶發(fā)起的VPN連接指的是以下這種情況：首先，遠程用戶通過服務提供點（POP）撥入Internet，接著，用戶通過網(wǎng)絡隧道協(xié)議與企業(yè)網(wǎng)建立一條的隧道（可加密）連接從而訪問企業(yè)網(wǎng)內(nèi)部資源。在接入服務器發(fā)起的VPN連接應用中，用戶通過本地號碼或免費號碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。 Intranet VPNIntranet VPN通過公用網(wǎng)絡進行企業(yè)各個分布點互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴展或替代形式。結(jié)合服務商提供的QoS機制，可以有效而且可靠地使用網(wǎng)絡資源，保證了網(wǎng)絡質(zhì)量。而另一方面，基于Internet構(gòu)建VPN是最為經(jīng)濟的方式，但服務質(zhì)量難以保證。 Extranet VPNExtranet VPN是指利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶。 因合作伙伴與客戶的分布廣泛，這樣的Extranet建設與維護是非常昂貴的。Extranet VPN以其易于構(gòu)建與管理為解決以上問題提供了有效的手段，其實現(xiàn)技術與Access VPN和Intranet VPN相同。 VPN的優(yōu)點利用公用網(wǎng)絡構(gòu)建VPN是個新型的網(wǎng)絡概念，對于企業(yè)而言，利用Internet組建私有網(wǎng)，將大筆的專線費用縮減為少量的市話費用和Internet費用。 隧道技術對于構(gòu)建VPN來說，網(wǎng)絡隧道(Tunneling)技術是個關鍵技術。網(wǎng)絡隧道技術涉及了三種網(wǎng)絡協(xié)議，網(wǎng)絡隧道協(xié)議、支撐隧道協(xié)議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。 二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP（Point to Point Tunneling Protocol，點對點隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）。應用L2TP構(gòu)建的典型VPN服務的結(jié)構(gòu)如下圖所示：典型撥號VPN業(yè)務示意圖 三層隧道協(xié)議用于傳輸三層網(wǎng)絡協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。GRE與IP in IP、IPX over IP等封裝形式很相似，但比他們更通用。在最簡單的情況下，路由器接收到一個需要封裝和路由的原始數(shù)據(jù)報文（Payload），這個報文首先被GRE封裝而成GRE報文，接著被封裝在IP協(xié)議中，然后完全由IP 層負責此報文的轉(zhuǎn)發(fā)。注意到在以上的流程中不用關心乘客協(xié)議的具體格式或內(nèi)容。IPSec通過AH （Authentication Header）和ESP （Encapsulating Security Payload）這兩個安全協(xié)議來實現(xiàn)。IPSec提供以下幾種網(wǎng)絡安全服務：? 私有性 － ；? 完整性 － IPSec在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；? 真實性 － IPSec