IPSec VPN 解决方案华为3com技术有限公司目录1. 概述31.1VPN 定义 31.2VPN 的类型 41.3VPN 的优点 51.4隧道技术51.5加密技术81.6身份认证技术92. 建设方案112.1基本建设思路112.2组网方案112.3可靠性方案173. IPSec VPN 管理系统213.1 轻松部署安全网络213.2 直观展示VPN拓扑223.3 全方位监控网络性能223.4 快速定位网络故障243.5 BIMS 分支智能管理系统24附件:iNode客户端软件介绍261. 概述随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛， 合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸 现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以 适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表 现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以 其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的 运行与维护，而更多地致力于企业的商业目标的实现。11 VPN定义利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN，Virtual Private Network)，用于构建VPN的公共网络包括I nternet、帧中继、ATM等。在公共网络 上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接， 传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供 的公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接 它们的远地办事机构、出差工作人员以及业务合作伙伴，如图1所示。远端用户图1 VPN应用示意图由图可知，企业内部资源享用者只需连入本地ISP的POP (Point Of Presence，接入服务提供点)，即可相互通信；而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有 本地ISP的上网权限就可以访问企业内部资源；如果接入服务器的用户身份认证 服务器支持漫游的话，甚至不必拥有本地ISP的上网权限。这对于流动性很大的 出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服 务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。1.2 VPN的类型VPN分为三种类型：远程访问虚拟网(Access VPN )、企业内部虚拟网 (Intranet VPN)和企业扩展虚拟网(ExtranetVPN)，这三种类型的 VPN分 别与传统的远程访问网络、企业内部的In trane t以及企业网和相关合作伙伴的企 业网所构成的Ext rane t相对应。2.4.1 Access VPN随着当前移动办公的日益增多，远程用户需要及时地访问Int ranet和Extranet。对于出差流动员工、远程办公人员和远程小办公室，Access VPN通过 公用网络与企业的Intranet和Extranet建立私有的网络连接。在Access VPN的应 用中，利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传 输私有网络数据。Access VPN的结构有两种类型，一种是用户发起(Client-initiated)的 VPN连接，另一种是接入服务器发起(NAS-initiated)的VPN连接。用户发起的V PN连接指的是以下这种情况：首先，远程用户通过服务提供点 (POP )拨入In terne t,接着，用户通过网络隧道协议与企业网建立一条的隧道 (可加密)连接从而访问企业网内部资源。在这种情况下，用户端必须维护与管 理发起隧道连接的有关协议和软件。在接入服务器发起的VPN连接应用中，用户通过本地号码或免费号码拨入 ISP，然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下，所 建立的VPN连接对远端用户是透明的，构建VPN所需的协议及软件均由ISP负责管 理和维护。2.4.2 Intranet VPNInt ranet VPN通过公用网络进行企业各个分布点互联，是传统的专线网或 其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧 道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSec、GRE 等。结合服务商提供的QoS机制，可以有效而且可靠地使用网络资源，保证了网 络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量，但 其不足是互联区域有较大的局限性。而另一方面，基于Int erne t构建VPN是最为 经济的方式，但服务质量难以保证。企业在规划VPN建设时应根据自身的需求对 以上的各种公用网络方案进行权衡。1.2.3 Extranet VPNExtranet VPN是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线 构建方式下，Extranet通过专线互联实现，网络管理与访问控制需要维护，甚至 还需要在Ext rane t的用户侧安装兼容的网络设备；虽然可以通过拨号方式构建 Extranet,但此时需要为不同的Extranet用户进行设置，而同样降低不了复杂度。 因合作伙伴与客户的分布广泛，这样的Ext rane t建设与维护是非常昂贵的。因 此，诸多的企业常常是放弃构建Extranet,结果使得企业间的商业交易程序复杂 化，商业效率被迫降低。Ex trane t VPN以其易于构建与管理为解决以上问题提供了有效的手段，其 实现技术与Access VPN和Intranet VPN相同。Extranet用户对于Extranet VPN 的访问权限可以通过防火墙等手段来设置与管理。1.3 VPN的优点利用公用网络构建VPN是个新型的网络概念，对于企业而言，利用Int ernet 组建私有网，将大笔的专线费用缩减为少量的市话费用和In terne t费用。据报道, 局域网互联费用可降低2040%,而远程接入费用更可减少6080%，这无疑是 非常有吸引力的；VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内 部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理，另外，在 VPN应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传 输的私有数据的安全性。1.4 隧道技术对于构建VPN来说，网络隧道(Tunneling)技术是个关键技术。网络隧道技 术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议，网络隧道协议、支撑隧道协 议的承载协议和隧道协议所承载的被承载协议。现有两种类型的隧道协议：一种是二层隧道协议，用于传输二层网络协议 它主要应用于构建Access VPN和Extranet VPN；另一种是三层隧道协议，用于传 输三层网络协议，它主要应用于构建In tranet VPN和Ext ranet VPN。2.4.1 二层隧道协议二层隧道协议主要有三种：PPTP （Point to Point Tunneling Protocol， 点对点隧道协议）、L2F（Layer 2 Forwarding，二层转发协议）和L2TP （Layer 2 Tunneling Protocol,二层隧道协议）。其中L2TP结合了前两个协议的优点， 具有更优越的特性，得到了越来越多的组织和公司的支持，将是使用最广泛的VPN 二层隧道协议。应用L2TP构建的典型VPN服务的结构如下图所示：典型拨号V PN业务示意图2.4.2 三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是 一种很新的技术，早已出现的RFC 1701 Generic Routing Encapsulation（GRE） 协议就是一个三层隧道协议，此外还有IETF的IPSec协议。GRE与IP in IP、IPX over IP等封装形式很相似，但比他们更通用。在GRE 的处理中，很多协议的细微差异都被忽略，这使得GRE不限于某个特定的“Xover Y”应用，而是一种最基本的封装形式。在最简单的情况下，路由器接收到一个需要封装和路由的原始数据报文(Payload)，这个报文首先被GRE封装而成GRE报文，接着被封装在IP协议中， 然后完全由IP层负责此报文的转发。原始报文的协议被称之为乘客协议，GRE 被称之为封装协议，而负责转发的IP协议被称之为传递(Delivery)协议或传 输(Transpor t)协议。注意到在以上的流程中不用关心乘客协议的具体格式或 内容。整个被封装的报文具有下图所示格式：Delivery Header(Tra nsport Protocol)GRE Header(En capsulati on Protocol)Payload Packet(Passe nger Protocol)通过GRE传输报文形式IPSecIPSec (IP Security)是一组开放协议的总称，特定的通信方之间在IP层 通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性 和真实性。IPSec 通过 AH ( Aut hen tica tion Header)和 ESP ( Encapsula ting Security Payload)这两个安全协议来实现。而且此实现不会对用户、主机或其 它In terne t组件造成影响，用户还可以选择不同的硬件和软件加密算法，而不会 影响其它部分的实现。IPSec提供以下几种网络安全服务：私有性一IPSec在传输数据包之前将其加密.以保证数据的私有性； 完整性一IPSec在目的地要验证数据包，以保证该数据包在传输过程中 没有被修改；真实性一IPSec端要验证所有受IPSec保护的数据包； 防重放一IPSec防止了数据包被捕捉并重新投放到网上，即目的地会拒 绝老的或重复的数据包，它通过报文的序列号实现。IPSec在两个端点之间通过建立安全联盟(Security Association)进行数 据传输。安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。IPSec在转发加密数据时产生新的AH和/或ESP附加报头，用于保证IP数 据包的安全性。IPSec有隧道和传输两种工作方式。在隧道方式中，用户的整个 IP数据包被用来计算附加报头，且被加密，附加报头和加密用户数据被封装在一 个新的IP数据包中；在传输方式中，只是传输层（如TCP、UDP、ICMP）数据被用 来计算附加报头，附加报头和被加密的传输层数据被放置在原IP报头后面。AH报头用以保证数据包的完整性和真实性，防止黑客截断数据包或向网络 中插入伪造的数据包。考虑到计算效率，AH没有采用数字签名，而是采用了安全 哈希算法来对数据包进行保护。AH没有对用户数据进行加密。AH在IP包中的位置 如图5所示（隧道方式）：IP2AHIPTCPDataIP | TCP | DatT| ；：图5 AH处理示意图ESP将需要保护的用户数据进行加密后再封装到IP包中，ESP可以保证数据的完整性、真实性和私有性。ESP头在IP包中的位置如下（隧道方式）：IPTCPDataIP2ESPIPTCPDataTrailerAuth图6 ESP处理