【正文】 根據(jù)服務(wù)類型，VPN業(yè)務(wù)大致分為這三類：接入VPN（Access VPN）、外聯(lián)網(wǎng)VPN（Extranet VPN）和內(nèi)聯(lián)網(wǎng)VPN(Intranet VPN)。（1）接入VPN：這是企業(yè)員工出差或企業(yè)的分支機構(gòu)通過公網(wǎng)遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的VPN方式。這邊說到的接入VPN不同于前面的撥號VPN，因為遠(yuǎn)程接入VPN可以是專線方式接入的，也可以是撥號方式接入的。（3）內(nèi)聯(lián)網(wǎng)VPN：這一般是企業(yè)的總部與分支機構(gòu)之間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)，這是一種以對等的方式連接起來網(wǎng)絡(luò)到網(wǎng)絡(luò)所組成的VPN。（1）虛擬專用路由網(wǎng)（VPRN）業(yè)務(wù)：這是對第三層IP路由網(wǎng)絡(luò)的一種仿真。（3）撥號VPN業(yè)務(wù)（VPDN）：這個是按接入方式劃分的，因為很難明確VPDN究竟屬于哪一層。 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則（1）先進性組網(wǎng)方案設(shè)計應(yīng)適應(yīng)技術(shù)發(fā)展的潮流，在兼顧技術(shù)上的成熟性同時也要盡量做到技術(shù)的先進性。（3）可靠性對于企業(yè)網(wǎng)來說，穩(wěn)定就是其最重要的要求。（4）完整性一個好的網(wǎng)絡(luò)設(shè)計在做到實現(xiàn)基本功能后，對于其他各方面都應(yīng)該考慮周全，盡量使得整個網(wǎng)絡(luò)完善強健。 采用VPN的理由相對于企業(yè)對網(wǎng)絡(luò)設(shè)計的要求，最好使用VPN，有以下理由：（1）與向運營商租用專線或者搭建專線對比，使用VPN是可以達到專線效果但比專線節(jié)省大量費用的一種最優(yōu)技術(shù)手段；（2）專線的使用很大程度地制約了網(wǎng)絡(luò)的靈活性，而使用VPN可以很好的彌補這一點；（3）使用QoS的VPN服務(wù)通過配置隊列的優(yōu)先級可以控制不同類型的數(shù)據(jù)流量，對于服務(wù)質(zhì)量可以有很大的改善，對企業(yè)內(nèi)部的管理有很大的幫助。下面我們分別來介紹一下這兩種VPN技術(shù)。了解MPLS VPN前必須來先了解一笑它相關(guān)的一些術(shù)語。P網(wǎng)絡(luò)——由ISP控制的核心路由器組成的內(nèi)部網(wǎng)絡(luò)。VRF表——與客戶相關(guān)的路由表實例。RT——是VPNV4 BGP路由的附加屬性，用以指示VPN的成員關(guān)系。CE路由器不需要支持MPLS，也不屬于MPLS體系架構(gòu)的組成部分，只用來負(fù)責(zé)發(fā)送和接收客戶的路由信息。 PE路由器架構(gòu)PE路由器是比較高端的設(shè)備，可同時接入和并發(fā)比較龐大的數(shù)據(jù)流量而不會產(chǎn)生鏈路堵塞。骨干網(wǎng)核心路由器P負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，其不與CE直接相連。其中的Layer3 MPLS VPN遵循RFC2547bis標(biāo)準(zhǔn)，使用MPLS技術(shù)在VPN站點之間傳送數(shù)據(jù)，使用MBGP在PE路由器之間分發(fā)路由信息，因而又稱為BGP/MPLS VPN。RD具有惟一性，通過將8比特的RD作為IPv4地址前綴的擴展項，可以使不惟一的IPv4地址轉(zhuǎn)化為惟一確定的VPNv4地址。PE的對等體之間發(fā)布是基于VPNv4地址族的路由條目，而且通常是通過MPBGP實現(xiàn)的。RT使用了BGP中擴展團體屬性來用于路由信息的分發(fā)，同時其具有全局惟一性，同一個RT只能被一個VPN所使用，它分成Import RT和Export RT，分別用于路由信息的導(dǎo)入策略和導(dǎo)出策略。Forwarding)，VRF為每個site維護邏輯上分離出來的路由表，每個VRF都有Import RT和Export RT兩種屬性。當(dāng)PE路由器收到VPNv4路由條目時，只有當(dāng)所帶RT標(biāo)記與VRF表中任意一個Import RT路由相符時才會被導(dǎo)入到VRF表中，從而形成不同的VPN，實現(xiàn)VPN的互訪與隔離的效果。 整個MPLS VPN體系結(jié)構(gòu)可以分成數(shù)據(jù)面和控制面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，而數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。CEPE路由器之間通過采用靜態(tài)/默認(rèn)路由或采用ICP(RIPvOSPF)等動態(tài)路由協(xié)議。除了路由協(xié)議外，在控制層面工作的協(xié)議還有LDP，它在整個MPLS網(wǎng)絡(luò)中進行分發(fā)標(biāo)簽，從而形成了數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。當(dāng)VPN傳輸數(shù)據(jù)的分組由CE路由器發(fā)給PE路由器的入口后，PE路由器開始查找該子接口相對應(yīng)的VRF表，從VRF表中得到所需的VPN標(biāo)簽、初始外層標(biāo)簽和到出口PE路由器的輸出接口。在出口PE路由器之前的最后一個P路由器上，外層標(biāo)簽會被彈出去，P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器上。以上就是MPLS VPN路由傳送的原理。包含在VPN中的所有地點都要定義VPN類型。任意兩個這樣的地點組合在一起就可以確定VPN的類型。 Ipsec的功能特性數(shù)據(jù)完整性：確保數(shù)據(jù)在通過Ipsec VPN進行傳送的時不被修改，保證其完整性。數(shù)據(jù)源驗證：驗證Ipsec vpn的數(shù)據(jù)源。 防重放: 這個是利用數(shù)據(jù)包中的序列號和接受端滑動窗口確保VPN中的數(shù)據(jù)沒有被復(fù)制。以下是IPSEC ESP可以使用的加密方法。3DES(3重數(shù)據(jù)加密標(biāo)準(zhǔn)) (2) AH是一種為IPSEC 提供數(shù)據(jù)源驗證、完整性、防重放功能的體系架構(gòu)，但是它不提供機密性，所以它無法保證數(shù)據(jù)在傳輸?shù)倪^程中是否被偷窺，因此現(xiàn)在很少單獨的使用AH，一般都是和ESP配合使用。 IPSEC模式 Ipsec 定義了隧道模式和傳送模式兩種的運行模式，它們對原始的IP包提供不同的保護能力。所以在傳送模式中，原始IP頭部暴露在外面，沒有得到保護。隧道模式中，包括原始IP 頭部在內(nèi)，整個數(shù)據(jù)包都可以得到保護，隧道模式會產(chǎn)生一個全新的隧道端點IP地址，這樣原來的IP地址就不會暴露在外面，這樣IP數(shù)據(jù)包就能夠得到更好的保護。所以數(shù)據(jù)在傳送之前必須驗證IPSEC VPN的端點。數(shù)據(jù)證書——它是由第三方CA給設(shè)備發(fā)數(shù)字證書。預(yù)共享密鑰——在每個對等體預(yù)先設(shè)置一個密鑰，這樣可以保證信息的絕對的安全。生物測定——是通過分析人的物理特征例如語音、指紋和臉部的特征來驗證。同時，IPSEC可以在兩個IPSEC端點之間自動建立起來SA（安全關(guān)聯(lián)），SA是兩個對等體之間事先協(xié)商好的一個參數(shù)。階段2也是一個強制的IKE階段，它是利用階段1協(xié)商同意的參數(shù)在兩個端點之間建立單向的SA。 加密算法所謂加密，就是將密鑰和數(shù)學(xué)加密算法運用到數(shù)據(jù)上面的一種表現(xiàn)形式。加密算法一般可以分為兩種：同步加密和異步加密。它注重的是保護密鑰的安全性，否則任何人獲得了密鑰都可以對數(shù)據(jù)進行解密，從而獲取到數(shù)據(jù)，這樣存在不安全性。同步加密通常是用于大批量的加密需求。AES：它是唯一一個被國家安全局用在絕密網(wǎng)絡(luò)的中的同步加密算法。DES :密鑰有56bit，破解的話使用現(xiàn)代計算機只要24個小時左右可以破解，安全性不高。這個加密方法只是在理論上純在缺陷，但是到目前還沒有被攻破掉。公鑰可以廣泛的發(fā)出，但是私鑰就必須的保密的。6. 企業(yè)VPN網(wǎng)絡(luò)構(gòu)建的分析與實現(xiàn) 方案應(yīng)用領(lǐng)域目前，比較大規(guī)模的公司一般都有自己的子公司，如何搭建起子公司同公司總部安全、多用途、高效率、低成本的網(wǎng)絡(luò)鏈接，這是每個企業(yè)都十分關(guān)注的問題。不過這些問題如果使用VPN技術(shù)，這些難題迎刃而解。 組網(wǎng)需求分析（1）公司總部與旗下分公司之間不僅要有穩(wěn)定的網(wǎng)絡(luò)連接支持，而且對于服務(wù)質(zhì)量的要求也相對較高。（3）企業(yè)網(wǎng)絡(luò)在進行規(guī)劃設(shè)計時要注重考慮網(wǎng)絡(luò)的整體性價比，在考慮網(wǎng)絡(luò)的強度的同時要盡量節(jié)省公司資源，實現(xiàn)低成本，高效益的目的。（1）B公司與旗下分公司之間使用MPLS VPN技術(shù)，實現(xiàn)總公司與子公司之間進行通信的目的，加以防火墻以保證數(shù)據(jù)的安全性。 組網(wǎng)設(shè)備選型及實驗地址規(guī)劃本實驗采用的是小凡模擬器來模擬真實的環(huán)境，在實驗中用到的路由的主要設(shè)備是cisco 3640系列的路由器。1. 選擇路由器數(shù)量、設(shè)備類型、ios文件，如圖64所示。圖65 計算idle值圖66 計算出idle值3. 確定好生成文件輸出目錄。圖68配置路由器5. 將各個路由器進行連接，點擊生成BAT文件。69 實現(xiàn)拓?fù)涞幕ヂ?lián)圖610 SecureCRT配置界面路由器接口的基礎(chǔ)配置：B:RouterenRouter conf t Router(config)hostname B **/修改路由器的名字B( config )no ip do lo **/關(guān)閉動態(tài)的域名解析，這樣在敲錯命令的時候會很快的恢復(fù)B(config)line console 0 B(configline)exectimeout 0 0 **/關(guān)閉控制臺空閑會話超時，不會被路由器自動踢除B(configline)logging synchronous **/關(guān)閉日志同步，阻止自動彈出提示信息B(configline)exitB(config)int s0/0 **/進入接口B(configif)ip add **/添加IP地址B(configif)no shut **/啟用接口B (config)int lo0 **/創(chuàng)建一個環(huán)回口 B (configif)ip add 圖611 B路由接口配置信息BZ:RouterenRouter conf tRouter(config)hostname BZBZ ( config )no ip do lo BZ (config)line console 0BZ (configline)exectimeout 0 0BZ (configline)logging synchronousBZ (configline)exitBZ (config)int s0/1BZ(configif)ip add BZ(configif)no shutBZ(configif)exitBZ(config)int lo0BZ (configif)ip BZ(configif)exit圖612 BZ路由接口配置信息C:RouterenRouter conf tRouter(config)hostname CC ( config )no ip do loC (config)line console 0C (configline)exectimeout 0 0C (configline)logging synchronousC (configline)exitC (config)int s0/2C(configif)ip add C(configif)no shutC(configif)exitC(config)int lo0C(configif)ip add C(configif)exit圖613 C路由接口配置信息CZ:RouterenRouter conf tCZ (config)hostname CZCZ ( config )no ip do lo CZ (config)line console 0CZ(configline)exectimeout 0 0CZ (configline)logging synchronousCZ (configline)exitCZ (config)int s0/2CZ (configif)ip add CZ(configif)no shutCZ(configif)exitCZ(config)int lo0CZ(configif)ip add CZ(configif)exit圖614 CZ路由接口配置信息B_PE: RouterenRouter conf tRouter(config)hostname B_PEB_PE ( config )no ip do loB_PE (config)line console 0B_PE (configline)exectimeout 0 0B_PE(configline)logging synchronousB_PE (configline)exitB_PE(config)int s0/0B_PE(configif)ip add B_PE (configif)no shutB_PE (config)int s0/1B_PE (configif)ip add B_PE (configif)no shutB_PE (config)int s0/2B_PE (configif)ip a