【正文】 能夠讓撥號用戶使用 IPSEC/IKE加密。握 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 8 手機(jī)制能夠增加安全性，防止身份冒充。如果一定時(shí)間收不到握手，網(wǎng)關(guān)側(cè)設(shè)備認(rèn)為對端已經(jīng)離線，自動將狀態(tài)設(shè)置為斷開。當(dāng)用戶需要使用 SecPoint軟件 和網(wǎng)關(guān)側(cè)設(shè)備建立 VPN隧道時(shí)，在驗(yàn)證碼一欄輸入 RSA SecuID動態(tài)密鑰 ， SecPoint軟件 和對端網(wǎng)關(guān)側(cè)設(shè)備將就此密碼進(jìn)行協(xié)商，可以防止非授權(quán)用戶使用此 VPN網(wǎng)絡(luò)，為 VPN隧道的安全又增加了一道屏障 SecPoint軟件支持與 網(wǎng)關(guān)側(cè)設(shè)備 的握手機(jī)制 。 SecPoint軟件 和 RSA SecuID動態(tài)密鑰 配合使用，可以更安全的驗(yàn)證用戶的身份。它可以完全地對原始 IP數(shù)據(jù)報(bào)進(jìn)行驗(yàn)證和加密；此外，可以使用 IPSEC對等體的 IP地址來隱藏客戶機(jī)的 IP地址。 SecPoint軟件 通過支持 IPSEC提供 數(shù)據(jù)加密 ， 數(shù)據(jù)完整性驗(yàn)證 ， 數(shù)據(jù)身份驗(yàn)證 ，以及 防重放功能 。 同時(shí) SecPoint軟件 支持 IPSEC/IKE加密。 同時(shí)， SecPoint軟件 可以通過 PPP協(xié)商向 VPN申請 IP地址。這時(shí)可 能需要管理員手動修改路由配置。 這樣，這個(gè)非對稱路由問題就得到了解決。 因?yàn)闆]法通過動態(tài)路由協(xié)議獲取路由信息，總部的 用戶交換機(jī)只能設(shè)置靜態(tài)路由 ，假設(shè)指向第一個(gè) peer的內(nèi)網(wǎng)接口地址 。在總部和分支機(jī)構(gòu)的 SECPATH上設(shè)置 IKE Keepalive，一旦分支機(jī)構(gòu) SECPATH10發(fā)現(xiàn)第一個(gè) peer的IKE keepalive沒有響應(yīng)的時(shí)候，會自動 把 IPSEC通道 切換到第二個(gè) Peer。請參考圖 5。如果要通過動態(tài)路由協(xié)議實(shí)現(xiàn)云南分公司 總部兩臺 SECPATH 100 VPN網(wǎng)關(guān)的高可靠性， 必須按照 ，使分支機(jī)構(gòu)的 SECPATH10和總部的兩個(gè) SECPATH100網(wǎng)關(guān)分別建立一條 IPSEC VPN通道，然后在 IPSEC VPN上承載 GRE通道，并運(yùn)行 OSPF 動態(tài)路由協(xié)議，實(shí)現(xiàn)通過動態(tài)路由協(xié)議自動選路。 主鏈路和備份鏈路都是 VPN通道 如圖 4所示。 5. 如果分支機(jī)構(gòu)路由器內(nèi)網(wǎng)接口發(fā)生故障，則在 VRRP作用下，用戶流量自動流向SECPATH100的內(nèi)網(wǎng)接口。 3. 如果主鏈路發(fā)生中斷，則分支機(jī)構(gòu)路由器到石化總部的下一跳變成 SECPATH100，流量方向?yàn)? 用戶計(jì)算機(jī)－ 分支路由器－ 備份鏈路－ SECPATH100— GRE tunnel（ over IPSEC VPN） — SECPATH1000— 石化總部。 從主鏈路到 VPN通道的 切換過程如下： 1. 在 VRRP的作用下，從分支機(jī)構(gòu)到石化總部的流量首先流到分支路由器的內(nèi)網(wǎng)接口上。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 4 圖 3 VRRP協(xié)議的應(yīng)用 在 圖 3中， 分支機(jī)構(gòu)的內(nèi)網(wǎng)交換機(jī) 不支持動態(tài)路由協(xié)議，這時(shí)分支機(jī)構(gòu)的 路由器和SECPATH100之間運(yùn)行 VRRP協(xié)議形成冗余網(wǎng)關(guān) 。 如果石化總部 或者 分支機(jī)構(gòu)的內(nèi)網(wǎng)交換機(jī)不支持動態(tài)路由 協(xié)議 ，那么內(nèi)網(wǎng)交換機(jī)就無法動態(tài)獲得 正確的 路由 信息，這時(shí)必須使用靜態(tài)路由 （ 這里我們假設(shè)分支結(jié)構(gòu)的內(nèi)網(wǎng)交換機(jī)不支持動態(tài)路由協(xié)議 ） 。在圖 2中，如果石化總部和分支機(jī)構(gòu)的內(nèi)網(wǎng)交換機(jī)都支持動態(tài)路由協(xié)議，那么路由的變動對最終的用戶來講是透明 的。 當(dāng)主鏈路中斷時(shí)，動態(tài)路由協(xié)議使得 流量會自動切換到 IPSEC VPN通道上面。 在石化總部的 SECPATH1000上配置 loopback接口，假設(shè)為 loopback1；在分支機(jī)構(gòu)的SECPATH100上配置 loopback接口，假設(shè)為 loopback2；配置 GRE通道，使得其一端為loopback1，另外一端為 loopback2，并且承載在 IPSEC VPN通道上。 VPN策略配置在 SECPATH1000和 SECPATH100各自的外網(wǎng)接口上。 請參考圖 2。因此，我們必須借助 GRE隧道 來 實(shí)現(xiàn) OSPF穿越 IPSEC隧道。 為了保證主鏈路發(fā)生故障時(shí)，流量能夠自動切換到 VPN通道上，我們必須充分利用動態(tài)路由協(xié)議的智能性。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 2 圖 VPN通道作為備份鏈路的示意拓?fù)? 在圖 1中，我們可以看到中石化總部和 各個(gè)分支機(jī)構(gòu)之間 已經(jīng)通 路由器和傳統(tǒng)的 SDH/DDN鏈路進(jìn)行互聯(lián)，路由器通過運(yùn)行動態(tài)路由協(xié)議維持對全網(wǎng)拓?fù)湫畔⒌膭討B(tài)感知并自動選路。 技術(shù)建議 和分析 在本節(jié)里，我們將根據(jù) 在第一節(jié)里提到 三種基本需求 具體 描述一下華為 3Com的 技術(shù)方案 ，并對相應(yīng)的技術(shù)方案進(jìn)行詳細(xì)的分析。 ? 主鏈路和備份鏈路都是 VPN通道： 這種情況的建 網(wǎng)模式通常在總部放置兩個(gè) VPN網(wǎng)關(guān)，在分支機(jī)構(gòu)放置一個(gè) VPN網(wǎng)關(guān)， 并和總部的兩個(gè) VPN網(wǎng)關(guān) 分別 形成兩個(gè)互為備份 VPN通道，保證 通道的 高可靠性。 XX企業(yè) VPN建設(shè) 技術(shù)方案 華為 3Com技術(shù)有限公司 2020年 8月 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 1 1 概述 和需求分析 由于各種類型企業(yè)的業(yè)務(wù)模式和網(wǎng)絡(luò)現(xiàn)狀的不同，他們對 VPN系統(tǒng)的 需求也不盡相同。經(jīng)過總結(jié)，可以把 VPN需求歸結(jié)為 3類： ? VPN通道作為主鏈路的備份鏈路： 這種情況包括 石化總部和各個(gè)分支結(jié)構(gòu)的 VPN通道， 這種情況的建網(wǎng)模式通常是在總部和分支機(jī)構(gòu) 各 放一個(gè) VPN網(wǎng)關(guān)設(shè)備，通過 Inter形成 VPN通道，對原來 連接傳統(tǒng) 路由設(shè)備的 DDN/SDH線路形成備份。 ? 遠(yuǎn)程接入 VPN： 這種需求 通過在員工的客戶機(jī)上安裝 VPN客戶端軟件， 為企業(yè)員工提供移動辦公的手段。 VPN通道作為主鏈路的備份鏈路 具體的拓?fù)淙鐖D 1所示。在這種情況下， VPN通道是作為傳統(tǒng) SDH/DDN鏈路的備份鏈路而引進(jìn)的。但是由于協(xié)議的局限性，動態(tài)路由協(xié)議，如 OSPF協(xié)議，是沒法把 IPSEC隧道感知成一個(gè)“鏈路”的 。也就是 說，這里實(shí)現(xiàn)的技術(shù)模式 是 OSPF over GRE over IPSEC。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 3 圖 2 OSPF over GRE over IPSEC實(shí)現(xiàn)動態(tài)路由協(xié)議穿越 IPSEC隧道 在圖 2中，分支機(jī)構(gòu)的 SECPATH100作為 VPN網(wǎng)關(guān)和石化總部的 SECPATH1000 VPN網(wǎng)關(guān)形成 IPSEC VPN通道。這里只需 要總部的 SECPATH1000具有固定 Inter地址，而分支機(jī)構(gòu)的 SECPATH無論 是靜態(tài)的 Inter IP， 還 是動態(tài)的 Inter IP，都不影 響 VPN通道的建立。在 GRE通道接口上啟動OSPF協(xié)議，這樣 SECPATH1000和 SECPATH100可以通過 GRE通道交換動態(tài)路由協(xié)議。 這里 需要注意的石化總部和分支機(jī)構(gòu)內(nèi)網(wǎng)路由的部署。 用戶計(jì)算機(jī)只需將網(wǎng)關(guān)指 向 內(nèi)網(wǎng)交換機(jī)，交換機(jī) 會 通過 動態(tài) 路由協(xié)議選擇正確的下一跳 ，并將用戶的流量路由到正確的鏈路上。 如圖 3所示。 SECPATH和 路由器之間增加一條備份鏈路 ，提高了鏈路的可用性 。 2. 在主鏈路保持暢通的情況下，流量經(jīng)過主鏈路從分支機(jī)構(gòu)流向石化總部。 4. 如果主鏈路恢復(fù)，這鏈路自動切換回主鏈路。同樣完成了自動切換。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 5 圖 VPN同時(shí)作為主鏈路和備份鏈路組網(wǎng)方案一 在圖 4中， 云南分公司總部放置了兩臺 SECPATH100 VPN網(wǎng)關(guān)，分支機(jī)構(gòu) 2各放置了一臺 SECPATH 10 VPN網(wǎng)關(guān)。 另外一個(gè)解決方案可以不運(yùn)行動態(tài)路由協(xié)議，實(shí)現(xiàn)云南分公司總部兩臺 SECPATH100 VPN網(wǎng)關(guān)的高可靠性。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 6 圖 5 通過 IKE KeepAlive和 NAT實(shí)現(xiàn)中心兩個(gè) SECPATH的高可靠性 在這個(gè)解決方案里， 分支機(jī)構(gòu)的 SECPATH10的 IPSEC VPN策略設(shè)置了兩個(gè)對端（ peer），分別指向總部的兩個(gè) SECPATH100，缺省情況下，策略中的第一個(gè) peer是 Active的。 這里有一個(gè) 分支機(jī)構(gòu)訪問總部的 返回流量的路由問題 ，即非對稱路由問題 。為了使 分支機(jī)構(gòu)到總部的 IPSEC通道切換到第二個(gè) peer后，返回流量能夠正確地流向第二個(gè) Peer的內(nèi)網(wǎng)接口，我們可以把解包后的流量進(jìn)行 NAT，使 IP報(bào)文源地址變成第二個(gè) peer的內(nèi)網(wǎng)接口地址，這樣返回流量就會自動流向第二個(gè) Peer的內(nèi)網(wǎng)接口，然后再經(jīng)過活動的 IPSEC通道流向分支機(jī)構(gòu)。 但是這個(gè)方案有一定的局限性， 那就是分支機(jī)構(gòu)到總部的 IPSEC通道切換到第二個(gè) peer后，總部主動發(fā)起的到分支機(jī)構(gòu)的流量仍然沒法找到正確路由。 遠(yuǎn)程接入 VPN 遠(yuǎn)程接入 VPN的組網(wǎng)如圖 6所示， 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 7 圖 遠(yuǎn)程接入 VPN 在企業(yè)總部放兩臺 SECPATH設(shè)備，用戶在自己計(jì)算機(jī)上安裝 SecPoint軟件 ，通過 PPP、L2TP協(xié)議和公司本部建立 VPN隧道， 在 鏈路層建立隧道，更安全。由于此 IP地址的分配是由 VPN隧道對端分配的，其保密性更高，被攻擊的可能性也更小。 IPSEC為 IP協(xié)議棧提供在 IP層實(shí)施的一系列安 全服務(wù) ,為 IP及其上層提供保護(hù) 。 SecPoint軟件 支持 IPSEC隧道模式和傳輸模式， 從安全性來講，隧道模式優(yōu)于傳輸模式。為了更加安全，鼓勵(lì)用戶都使用隧道模式。 RSA SecuID動態(tài)密鑰 的特點(diǎn)是每分鐘更換一次密碼， 并且此密碼和 VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備的密碼能夠保持一致。當(dāng) VPN隧道建立之后， SecPoint軟件 會根據(jù)用戶配置，定時(shí)向網(wǎng)關(guān)側(cè)設(shè)備發(fā)送握手。如果用戶需要再 使用 VPN隧道資源，需要重新認(rèn)證。 SecPoint軟件 支持局域網(wǎng)用戶，同時(shí)也支持撥號用戶。 為保證數(shù)據(jù)安全， 建立 VPN隧道時(shí) 使用 IKE協(xié)商為 IPSEC提供密鑰供 IPSEC加密使用 。但是，由于使用 VPN`客戶端軟件的用戶經(jīng)常處于撥號上網(wǎng)的狀態(tài)，而每次 上網(wǎng)時(shí) 其 IP地址 是 不固定 的 ， 如果要求 VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備每次都 修改 對端 IP地址， 其維護(hù)量就可想而知了。 這樣 當(dāng)撥號用戶 使用動態(tài) IP地址， 只要正確的配置對端 name，而網(wǎng)關(guān)側(cè)設(shè)備也接受次 name，就可以進(jìn)行 IKE協(xié)商。 注意：網(wǎng)關(guān)側(cè)設(shè)備也需要 支持 IKE協(xié)商Aggressive模式 。在實(shí)際應(yīng)用中， VPN隧道對端即公司本部組網(wǎng)中包含 很多網(wǎng)段，例如，公司所有的服務(wù)器的 IP為 .*.*，研發(fā)部門的 IP為.*.*，財(cái)務(wù)部門的 IP為 .*.*。如果用戶需要訪問公司的內(nèi)部 DNS服務(wù)器， IP為 ，由于用戶計(jì)算機(jī)上沒有針對 DNS服務(wù)器的路由，所以用戶無法訪問 DNS服務(wù)器。配置的界面如 圖 7所示 ： 圖 7 SecPoint軟件 支持 NAT穿越。包括從 IP地址， IP數(shù)據(jù)頭，協(xié)議端口號， VPN隧道兩端都有加密和防篡改 , 否則對端接收后不 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 9 能正確解密 。 NAT的基本原理在與修改報(bào)文的 IP地址和端口信息，這樣，一旦報(bào)文 經(jīng)過 NAT設(shè)備 ， VPN隧道兩端就 不 可 能建立 IPSEC隧道連接。軟件 通過在 IPSEC報(bào)文前增加一層 UDP報(bào)文頭的方式 ，使 NAT設(shè)備不需要修改報(bào)文內(nèi)容，從而 解決了 IPSEC支持 NAT穿越的問題， NAT設(shè)備只修改封裝的 UDP頭，但是沒有影響 IPSEC數(shù)據(jù)報(bào)文的內(nèi)容，即使經(jīng)過 NAT轉(zhuǎn)換，仍然可以正常建立 IPSEC隧道連接。 SecPoint軟件 支持備份 LNS服務(wù)器 。這樣降低故障對于整體網(wǎng)絡(luò)資源 的影響。 同時(shí)為了保證最大的可靠性，可以為企業(yè)準(zhǔn)備一個(gè)撥號服務(wù)器，在 VPN網(wǎng)關(guān)或者 Inter不可用時(shí)，允許用戶通過撥號訪問 內(nèi)網(wǎng) 。 2 相關(guān) 案例介紹 陜西省電信公司 應(yīng)用 組網(wǎng)圖： 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 10 圖 8 陜西電信 VPN組網(wǎng)圖 組網(wǎng)說明： SECPATH 1000同時(shí)作為防火墻和 VPN網(wǎng)關(guān)應(yīng)用。借助報(bào)文中優(yōu)先級、 TOS、 UDP或 TCP端口等信息作為過濾參考，通過在接口輸入或輸出方向上使用標(biāo)準(zhǔn)或擴(kuò)展訪問控制規(guī)則，可以實(shí)現(xiàn)對數(shù)據(jù)包的過濾。 支持應(yīng)用層報(bào)文過濾 ASPF（ Application Specific Packet Filter），也稱為狀態(tài) 防火墻。 VPN網(wǎng)關(guān)應(yīng)用：支持 L2TP，支持 IPSEC VPN，支持野蠻模式，支持 NAT穿越。 防火墻應(yīng)用： 支持 包過濾技術(shù) 。還可以按照時(shí)間段進(jìn)行過濾。 雙機(jī)備份 :此應(yīng)用中使用 DVPN+IPSEC+OSPF+firewall實(shí)現(xiàn)負(fù)責(zé)分擔(dān)，雙機(jī)備份，動態(tài)選