VPNVPNVPNVPN技术技术技术技术学习指导学习指导学习指导学习指导华华华华为为为为技技技技术术术术有有有有限限限限公公公公司司司司版权所有版权所有版权所有版权所有侵侵侵侵权权权权必必必必究究究究i第一章第一章第一章第一章VPN概概概概述述述述1.1VPN综述VPN--虚拟专用网VirtualPrivateNetwork是专用网络在公共网络如Internet上的扩展VPN通过私有隧道技术在公共网络上仿真一条点到点的专线从而达到安全的数据传输目的单纯仿真一条点到点的连接数据只要经过封装再加上一个提供路由信息的报头就可以了而如果要仿真一条专线为保证传输数据的安全通常还要对数据进行加密处理VPN连接必须同时包含数据封装和加密两方面VPN技术学习指导华为技术1有了VPN用户在家里或在路途中也可以利用Internet或其他公共网络对企业服务器进行远程访问从用户的角度来看VPN就是在用户计算机即VPN客户机和企业服务器即VPN服务器之间点到点的连接由于数据通过一条仿真专线传输用户感觉不到公共网络的实际存在能够像在专线上一样处理企业内部信息换言之虚拟专用网不是真正的专用网络但却能够实现专用网络的功能VPN可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立快捷安全可靠的信息通信这种连接方式在概念上等同于传统广域网WAN的运作VPN技术的出现使企业不再依赖于昂贵的长途拨号以及长途专线服务而代之以本地ISP提供的VPN服务从企业中心站点铺设至当地ISP的专线要比传统WAN解决方案中的长途专线短得多因而成本也低廉得多VPN技术学习指导华为技术2第二章第二章第二章第二章VPN分类介绍分类介绍分类介绍分类介绍按功能位置CPE-basedVPNNetwork-basedVPN按业务构成AccessVPNIntranetVPNExtranetVPN按实现层次应用层VPN网络层VPN二层VPN按组网模型VPDNVPRNVPLSVLL2.1CPE-basedVPNNetwork-basedVPN根据是由企业客户还是由服务提供商实施VPN分为两类1.CPE-basedVPN基于客户端设备的VPN2.Network-basedVPN基于网络的VPN对于CPE-basedVPN基于客户端设备的VPN的特点是业务扩展能力弱设备价格昂贵组网复杂度高对于Network-basedVPN基于网络的VPN的特点是便于管理和维护降低用户投资业务扩展能力强支持网络管理运营商与用户实现双赢VPN技术学习指导华为技术3Network-basedVPN基于网络的VPNCPE-basedvsNetwork-basedVPN关键数据实时话音和图象数据业务类型多种提供在线修改网络资源的特性非常有限如增加远程接入用户用户控制没有限制局限于几百条连接可扩展性多CoS,综合SLAs覆盖每个CoSSLAs局限于网络时延和可用性不支持CoSQoS,CoS与SLAsNetwork-basedVPNCPE-basedVPNFeature2.2AccessVPNIntranetVPNExtranetVPN用户可以根据自己的情况进行选择远程访问虚拟网AccessVPN企业内部虚拟网IntranetVPN和企业扩展虚拟网ExtranetVPN这三种类型的VPN分别与传统的远程访问网络企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应VPN技术学习指导华为技术42.2.1远程访问虚拟网AccessVPNAccessVPN通过一个拥有与专用网络相同策略的共享基础设施提供对企业内部网或外部网的远程访问AccessVPN能使用户随时随地以其所需的方式访问企业资源AccessVPN包括模拟拨号ISDN数字用户线路(xDSL)移动IP和电缆技术能够安全地连接移动用户远程工作者或分支机构如图所示AceessVPN结构图AccessVPN最适用于公司内部经常有流动人员远程办公的情况出差员工利用当地ISP提供的VPN服务就可以和公司的VPN网关建立私有的隧道连接RADIUS服务器可对员工进行验证和授权保证连接的安全同时负担的电话费用大大降低2.2.2企业内部虚拟网IntranetVPN越来越多的企业需要在全国乃至世界范围内建立各种办事机构分公司研究所等各个分公司之间传统的网络连接方式一般是租用专线显然在分公司增多业务开展越来越广泛时网络结构趋于复杂费用昂贵利用VPN特性可以在Internet上组建世界范围内的IntranetVPN利用Internet的线路保证网络的互联性而利用隧道加密等VPN特性可以保证信息在整个IntranetVPN上安全传输IntranetVPN通过一个使用专用连接的共享基础设施连接企业总部远程办事处和分支机构企业拥有与专用网络的相同政策包括安全服务质量(QoS)可管理性和可靠性如图所示VPN技术学习指导华为技术5IntranetVPN结构图2.2.3企业扩展虚拟网ExtranetVPN各个企业越来越重视各种信息的处理希望可以提供给客户最快捷方便的信息服务通过各种方式了解客户的需要同时各个企业之间的合作关系也越来越多信息交换日益频繁Internet为这样的一种发展趋势提供了良好的基础而如何利用Internet进行有效的信息管理是企业发展中不可避免的一个关键问题利用VPN技术可以组建安全的Extranet既可以向客户合作伙伴提供有效的信息服务又可以保证自身的内部网络的安全ExtranetVPN通过一个使用专用连接的共享基础设施将客户供应商合作伙伴或兴趣群体连接到企业内部网企业拥有与专用网络的相同政策包括安全服务质量(QoS)可管理性和可靠性如图所示ExtranetVPN结构图ExtranetVPN对用户的吸引力在于能容易地对外部网进行部署和管理外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署主要的不同是接入许可外部网的用户被许可只有一次机会连接到其合作人的网络VPN技术学习指导华为技术62.3网络层VPN二层VPN2.3.1二层VPN二层VPN服务的主要特征是根据用户数据包的二层地址如MAC地址帧中继的DLCIATM的PVC等在网络的第二层对数据包进行转发和发送服务提供商的网络负责提供CE之间的二层连接这包括用MAC地址(例如LAN仿真)点到点的链路层连接(ATM帧中继MPLS)多点到点(用MPLS多点到点的LSP)和点到多点(例如ATMVCC)而三层的连接例如选路由等由用户负责PE设备可以是路由器或交换机从支持二层连接的角度看交换机更合适一些VLL及局域网仿真服务VPLS就属于二层VPN二层二层二层二层VPN的主要特征的主要特征的主要特征的主要特征通过链路层地址必要时也可用链路端口号转发用户数据包SP服务供应商主要提供CE之间的链路层连接一般SP不对IPVPN管理而只对链路的连接进行管理SP负责二层链路的连接而三层的连接例如选路由等由用户负责由于VPN是建立在链路层基础上的SP仅提供链路层连接所以实际上IPVPN是由用户借助于SP的链路建立的当然SP为VPN打下基础它提供用户的链路应该是可靠的也有较好的安全性(主要是指所提供的链路的专用性它与公用部分及其他VPN的链路是相互隔离的不会有用户数据包传送至公网或其他VPN域内)2.3.2三层VPN三层VPN服务的主要特征是PE转发用户数据包是以其IP地址为依据的VPRN就属于三层VPN通常用户网络使用专用的IP地址所以PE要了解用户的专用IP地址空间从CE的角度看PE它是一个IP路由器在三层VPN中SP也参与VPN的管理并提供VPN用户也可在其VPN范围内对其进行管理2.3.3二层VPN与三层VPN应用的主要特点CE与与与与PE之间的接入链路之间的接入链路之间的接入链路之间的接入链路VPN技术学习指导华为技术7对于二层VPNCE的接入链路要求统一例如都是帧中继;而对于三层VPNCE的接入链路可以不同例如某些CE可用帧中继而另一些CE可用ATM等对对对对CE的要求的要求的要求的要求根据应用的需求不同二层VPN的CE可为路由器也可以为网桥三层VPN则通常以CE为路由器CE的邻居的邻居的邻居的邻居当CE为路由器时三层VPN的CE只需与其相连的PE维持邻居关系而二层VPN的CE需与其他的CE维持邻居关系从而增加路由复杂度规模受限支持第三层多协议能力支持第三层多协议能力支持第三层多协议能力支持第三层多协议能力由于二层VPN只使用SP网络的二层链路从而为支持三层多协议创造条件三层VPN也能支持多协议但不如前者灵活且有一定限制同理在支持VPLS方面二层VPN更合适但如果VPN用户只传送IP包此特点就不明显支持组播能力支持组播能力支持组播能力支持组播能力二层VPN与三层VPN都支持组播但二层VPN是依靠CE实施组播的而三层VPN则依靠PE因而三层VPN实施组播较简单同时它还可以充分利用SP网络有关组播方面的能力支持组播而二层VPN则无法使用SP网络的有关组播方面的能力网络管理网络管理网络管理网络管理VPN服务提供商与用户VPN的管理部门都可进行网络管理但侧重面不同对于三层VPN服务提供商可参与三层的管理而二层VPN服务提供商只能对所提供的链路进行管理无法对三层进行管理无论是二层VPN还是三层VPN用户都可以对所属的VPN进行管理2.4VPDNVPRNVPLSVLLIPVPN-Framework-RFC2764中定义了如下VPN类型VPDNVirtualPrivateDialNetworksVPRNVirtualPrivateRoutedNetworksVPLSVirtualPrivateLANSegmentVLLVirtualLeasedLinesVPN技术学习指导华为技术8客户发起客户发起客户发起客户发起客户发起客户发起客户发起客户发起VPNVPN拨号拨号拨号拨号拨号拨号拨号拨号VPNVPN感知感知感知感知感知感知感知感知的网络的网络的网络的网络的网络的网络的网络的网络虚电路虚电路虚电路虚电路虚电路虚电路虚电路虚电路FRFRATMATM专用专用专用专用专用专用专用专用MPLSVPNCPE-BasedNetwork-BasedIPIPIPIPIPIPIPIP隧道隧道隧道隧道隧道隧道隧道隧道NASNAS发起发起发起发起发起发起发起发起安全装置用户预定设备利用BGP4路由协议自动生成隧道采用标签交换技术IPVPNVLLVPRNVPDNVPLSVLL:VirtualLeasedLinesVPRN:VirtualPrivateRoutedNetworksVPDN:VirtualPrivateDialNetworksVPLS:VirtualPrivateLANSegment2.4.1VPDN(VirtualPrivateDialNetwork)虚拟拨号专网VPDN的基本特点是除VPN的总部网络中心采用专线接入VPN服务提供商的网络外其余的VPN用户通过PSTN或ISDN拨号线路接入网络另外虽然拨号用户是通过PSTN或ISDN公网拨入VPN的但是VPN所属用户仍与外界隔离有较好的安全保证VPDN也可以使用IP专用地址等VPN所特有的一些特性接入范围可遍及PSTNISDN的覆盖区域网络建设投资少周期短网络运行费用低VPDN有两种设备配置形式从而导致有两种遂道建立方式必备必备必备必备(Compulsory)遂道遂道遂道遂道VPN技术学习指导华为技术9必备遂道的基本结构如图所示该遂道存在于网络访问服务器(NAS/BAS)与网关之间通常必备遂道都采用L2TP遂道协议进行实施所以该遂道又称为L2TP遂道必备遂道对特定的VPDN是专用的即一个VPN有一个或多个专用遂道主机与网关之间建立的PPP会话也是建立在该专用的L2TP遂道上的由于必备遂道采用L2TP协议所以NAS/BAS与网关都要实施L2TP协议此时NAS/BAS要执行L2TP协议的接入控制器功能(LAC)网关要执行L2TP网络服务器(LNS)功能由于LAC和LNS功能可以由多种设备实施所以存在有多种具体的解决方案网关实施网络接入功能及LNS功能必要时网