开展VPN服务的几种方式.docx
《开展VPN服务的几种方式.docx》由会员分享,可在线阅读,更多相关《开展VPN服务的几种方式.docx(20页珍藏版)》请在冰点文库上搜索。
开展VPN服务的几种方式
开展VPN服务的几种方式
开展VPN服务的几种方式
宽带网络建成后,整个ChinaNET已经可以提供如下几种接入Internet的方式:
拨号(模拟、ISDN方式)、专线(DDN、FR等方式)、宽带(ADSL、以太网方式)。
接入速度从几十KBPS到1000MBPS,能充分满足各种层次的用户接入Internet的需求。
除了能提供这些基本接入服务外,现有的网络还可以开展多种增值服务,如VPN接入服务。
在国外,VPN已经迅速发展起来,2001年全球VPN市场将达到120亿美元。
在中国,虽然人们对VPN的定义还有些模糊不清,对VPN的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的VPN市场将逐渐热起来。
对国内的用户来说,VPN(虚拟专用网,VirtualPrivateNetwork)最大的吸引力在哪里?
是价格。
据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。
一、VPN介绍
现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?
顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
IETF草案理解基于IP的VPN为:
"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是FrameRelay或ATM等提供虚拟固定线路(PVC)服务的网络。
以IP为主要通讯协议的VPN,也可称之为IP-VPN。
由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。
这就是VPN价格低廉的原因。
1.1VPN的特点
在实际应用中,用户需要的是什么样的VPN呢?
一般情况下,一个高效、成功的VPN应具备以下几个特点:
1.安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。
所有以上网络应用均要求网络根据需要提供不同等级的服务质量。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。
虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。
所以,一个完善的VPN管理系统是必不可少的。
VPN管理的目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
1.2VPN安全技术
由于VPN在公网上传输的是私有信息,VPN用户对数据的安全性都比较关心。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
1.隧道技术是VPN的基本技术
类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
隧道是由隧道协议形成的,分为第二、三层隧道协议。
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。
这种双层封装方法形成的数据包靠第二层协议进行传输。
第二层隧道协议有L2F、PPTP、L2TP等。
L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
第三层隧道协议有VTP、IPSec等。
IPSec(IPSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术
它的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4.身份认证技术
最常用的是使用者名称与密码或卡片式认证等方式。
二、VPN的种类及其实现方式
常用的VPN有Client-LAN(Access)型、LAN-LAN型,他们的介绍及在网络中的实现方式如下。
2.1Client-LAN(Access)型
这种类型的VPN与传统的远程访问网络相对应。
如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用AccessVPN。
AccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。
AccessVPN能使用户随时、随地以其所需的方式访问企业资源。
AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
如图1所示。
图1AceessVPN结构图
AccessVPN工作时,远程客户通过拨号线路连接到ISP的NAS服务器上,经过身份认证后,通过公网跟公司内部的VPN网关之间建立一个隧道,利用这个隧道对数据进行加密传输。
AccessVPN最适用于公司内部经常有流动人员远程办公的情况。
出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。
RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。
AccessVPN对用户的吸引力在于:
*减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络;
*实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用;
*极大的可扩展性,简便地对加入网络的新用户进行调度;
*远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务;
*将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。
AccessVPN的核心技术是第二层隧道技术。
所谓“隧道”就是这样一种封装技术,它利用一种网络传输协议,将其他协议产生的数据报文封装在它自己的报文中,在网络中传输。
第二层隧道就是将第二层(数据链路层)帧封装在网络层报文中,形成IP报文,在Internet中传输。
在已问世的第二层隧道解决方案中,以PPTP协议和L2TP协议最为成熟。
第二层隧道协议具有简单易行的优点,但是它们的可扩展性都不好。
更重要的是,它们都没有提供内在的安全机制,它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求,因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网Extranet的概念。
Extranet需要对隧道进行加密并需要相应的密钥管理机制。
2.2Client-LAN(Access)型的实现方式
Client-LAN型的VPN在实现时有两种方式:
客户机驱动连接或网络接入服务器(NAS)驱动的连接。
1.客户驱动的连接
使用客户驱动的连接,用户可以从他们的客户端开始,通过ISP的公共网络,到企业网络VPN网关建立一条加密的IP隧道。
这条隧道起始于远程用户的计算机,终结于企业网内的VPN网关。
这种方式一般使用PPTP协议。
Microsoft和Ascend公司在PPP协议基础上开发的PPTP协议就是支持Client-LAN型隧道VPN实现的一种隧道传送方案。
PPTP对PPP协议本身并没有做任何修改,只是将用户的PPP帧(对应于OSI协议体系结构中的七层协议,PPP协议为第二层即数据链路层规范)基于GRE封装成IP报文,在Internet中经隧道传送。
建立PPTP连接,首先需要建立客户端与本地ISP的PPP连接,这时远程用户可以直接访问企业网内的VPN网关。
一旦成功地接入Internet,下一步就是建立到VPN网关的PPTP连接,连接建立后,远程用户就好像在企业网内部一样,远程用户经由Internet访问企业的网络和应用,而不再需要直接拨号至企业的网络。
这样大大减小了建立和维护专用远程线路的费用。
且为企业提供比较充分的安全保证。
利用这种体系结构,用户并不需要 ISP提供与VPN应用相关的附加值服务。
ISP也感知不到用户在使用VPN服务。
2.网络接入服务器(NAS)驱动的连接
远程接入VPN的另一种体系结构定义了由NAS驱动的通道。
在这种情况下,远端用户首先拨号到ISP的拨号服务器NAS。
NAS在对用户进行身份验证时得知用户是一个VPN用户,然后NAS建立一条安全的、加密的隧道连接到企业网络的VPN网关。
这条隧道起始于NAS,终结于企业网内的VPN网关。
利用由NAS驱动的体系结构,服务供应商对用户的身份进行验证,使他们能够初步接入到企业网络中;然而,企业仍保留有控制他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。
使用这种体系结构需要服务供应商支持,而且存在一个问题——远端用户接入服务供应商的营业点之前的数据是未经加密的。
这种方式一般使用L2TP协议。
L2TP协议通过“虚拟拨号”业务将初始拨号服务器的地点和拨号协议所连接的终点分离开来。
当“虚拟拨号”客户开始接入时,远程用户和它们的ISP的NAS之间就建立了一个PPP链路。
ISP接着对端系统或用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务,一旦确定需要,那么此用户名就会和VPN网络中心服务器联系起来。
然后,NAS将检查有没有至VPN网关的L2TP连接存在,如果没有,那么L2TP协议就会在NAS端启动一个到VPN中心服务器的L2TP隧道协商。
如果协商成功,那么在NAS和VPN中心服务器之间就建立了一条L2TP隧道,并建立了用户和VPN网关端到端的连接。
L2TP协议还定义了一些隧道的管理与维护操作,如定期发送Hello报文以判断隧道的连通性,利用协议提供的发送序号(Ns)域和接收序号(Nr)域进行隧道的流量控制和拥塞控制等。
目前中国电信推出的VPDN服务就是采用这种方式。
这种方式仅仅需要NAS、认证系统、计费系统的支持就可以工作了。
2.3LAN-LAN(IntranetVPN和ExtranetVPN)型
如果要进行企业内部各分支机构的互连或者企业的合作者互连,使用LAN-LANVPN是很好的方式。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。
显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。
利用VPN特性可以在Internet上组建世界范围内的LAN-LANVPN。
利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个LAN-LANVPN上安全传输。
LAN-LANVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
如图2所示。
图2LAN-LANVPN结构图
LAN-LANVPN对用户的吸引力在于:
*减少WAN带宽的费用;
*能使用灵活的拓扑结构,包括全网络连接;
*新的站点能更快、更容易地被连接;
*通过设备供应商WAN的连接冗余,可以延长网络的可用时间。
LAN-LANVPN主要使用IPSec协议来建立加密传输数据的隧道。
IntranetVPN主要用于一个企业内部互连使用,ExtranetVPN主要用于企业和企业的合作者互连使用。
他们的区别在于ExtranetVPN往往结合PKI使用。
具体实现时,有如下几种方式:
1.VLAN方式
这种方式严格上不能算作VPN。
这种方式仅仅适合在一个市内使用,通过在局域网交换机上划分VLAN将客户的多个LAN连接起来,通过市内的宽带网主干提供高速的通信。
优点:
在现有的网络上,不需要增加设备即可工作,而且能提供高带宽的通道。
缺点:
只能在小范围内使用。
2.MPLSVPN方式
通过使用支持MPLS的网络设备,可以建立大规模的VPN。
如上图的网络中,PE、P是ISP的路由器,支持MPLS交换方式。
CE是客户端的路由器,并不需要支持MPLS。
通过在PE上将连接CE的接口设置使用不同的VRF(根据RD区分),使得对不同VPN的数据包进行相应的转发。
这些数据包被完全限制在自己的VPN内,而且不会影响其他的VPN。
这种方式是目前ISP实现大规模VPN最好的方式,唯一的要求是需要在主干上支持MPLS,并在主干的边界上使用支持MPLSVPN的设备。
优点:
适合大规模的VPN。
MPLSVPN在设计时就考虑了扩展性的需求。
缺点:
主干的设备需要支持MPLS,另外需要设置支持MPLSVPN的PE路由器。
3.IPSecVPN方式
常见的实现LAN-LANVPN的方式。
在ISP提供的不安全IP传输通道上,用户通过设置VPN网关,将多个地方的LAN连接起来,并保证相关的安全性。
使用这种方式,跟ISP相关的主要是管理和价格问题。
管理上要解决如何让用户限制在安徽省内部,不能占用宝贵的安徽省网络的出口带宽。
价格上要解决如何保证这种方式能提供比租用专线更优的价格。
三、目前能开展的VPN业务及其实现方式
综上所述,目前的网络上可以开展如下类型的VPN业务:
3.1VPDN业务
对象是企业网的远程拨号用户。
跟VPDN业务相关的是拨号接入服务器、拨号认证系统、拨号计费系统等。
而企业网的VPN网关可以位于Internet上任意地方,包括城域网上。
这种方式的VPN业务,企业网的VPN网关可以放置在城域网上,以便充分发挥城域网带宽高的优势。
实现这种方式的VPN并不需要在城域网上进行特别的设置。
在使用时VPN网关就像普通的网络节点一样。
3.2VLAN业务
对象是单个城市内的高速局域网互连用户。
跟VLAN业务相关的是城域网上的交换机。
用户可以通过城域网作为传输平台,将两个或多个局域网高速的连接起来。
VLAN业务的网络用户要求必须都连接在同一个城市内的城域网上,具体的可以分为两类:
1.同一个交换机下的VLAN业务
这种方式最简单,对于连接在Cisco6509交换机上的用户,只要如下设置就可以了:
#创建一个VLAN,编号是VLAN_NUMBER,名字是VLAN_NAME
setvlanVLAN_NUMBERnameVLAN_NAME
#依次将属于该VLAN的端口加入VLAN
setvlanVLAN_NUMBERMOD1/PORT1
setvlanVLAN_NUMBERMOD1/PORT1
对于连接在Summit48i交换机上的用户,只要如下设置就可以了:
#创建一个VLAN,名字是VLAN_NAME
createvlanVLAN_NAME
#依次将属于该VLAN的端口加入VLAN
configVLAN_NAMEaddportport1untagged
configVLAN_NAMEaddportport2untagged
2.不同交换机下的VLAN业务
这种方式稍微复杂,除了对Cisco6509交换机设置外,如果用户还连接到了Summit48i交换机上,还要对Summit48i交换机进行设置:
对6509-2进行如下设置:
#创建一个VLAN,编号是VLAN_NUMBER,名字是VLAN_NAME
setvlanVLAN_NUMBERnameVLAN_NAME
settrunkMOD/PORT_to_6509-3desirableislVLAN_NUMBER
#如果用户直接连接到6509-2上,需要如下设置,否则不要
setvlanVLAN_NUMBEMOD1/PORT1
#如果用户有连接到Summit48i上,需要如下设置,否则不要
settrunkMOD/PORT_to_Summit48iondot1QVLAN_NUMBER
对6509-3进行如下设置:
settrunkMOD/PORT_to_6509-2desirableislVLAN_NUMBER
#如果用户直接连接到6509-3上,需要如下设置,否则不要
setvlanVLAN_NUMBEMOD1/PORT1
#如果用户有连接到Summit48i上,需要如下设置,否则不要
settrunkMOD/PORT_to_Summit48iondot1QVLAN_NUMBER
如果用户连接到了Summit48i上,需要如下设置:
createvlanVLAN_NAMEtagVLAN_NUMBER
configVLAN_NAMEaddport49tagged
configVLAN_NAMEaddport50tagged
#依次将属于该VLAN的端口加入VLAN
configVLAN_NAMEaddportport1untagged
configVLAN_NAMEaddportport2untagged
3.3LAN-LANMPLSVPN业务
如果稍微对主干的GSR设备进行设置,让其支持MPLS协议。
并在接入层增加支持MPLSVPN的PE路由器,就可以开展VPN业务。
在使用时,VPN数据在一个地市的城域网内部通过VLAN接入到PE路由器,然后通过163主干传输到另一个地市的城域网。
1.主干路由器(P路由器)的设置
主干路由器必须要设置成支持MPLS工作方式。
由于现有的主干路由器已经设置好了OSPF路由协议,因此设置相对比较简单:
1.全局配置模式下使用命令:
ipcef(如果系统支持,最好使用ipcefdistributed以达到最高性能)
2.依次对互连接口,在接口配置子模式下使用命令:
mplsip(或在旧的IOS中使用tag-switchingip)使能各个接口的MPLS协议
例如:
系统中有接口POS3/0POS4/0,只要输入如下命令:
conft
ipcefdistributed
intPOS3/0
mplsip
intPOS4/0
mplsip
2.边界路由器(PE路由器)的设置
PE路由器是ISP对外提供服务的边界,VPN就终结到这里。
连接PE的客户的CE路由器只要使用普通的路由器就可以了,并不需要支持MPLS功能。
MPLSVPN中PE路由器的设置稍微复杂。
对PE路由器的配置有如下步骤:
1.确保PE路由器已经象P路由器那样设置了OSPF、ipcef(或ipcefdistributed)、各个互连接口使用了mplsip(或tag-switchingip)。
2.对跟该PE路由器直接相连的每个VPN创建VRF(VPNRoutingandForwardingInstance),每个VRF由唯一的RouteDistinguisher识别。
命令格式为:
ipvrfVRF名字
rdRD标识
route-target[export|import|both]VPNextendedcommunity
一般情况下,VRF名字是VPN的名字,RD标识唯一识别了该VPN,VPNextendedcommunity跟RD标识一致,是BGP协议交换VPN信息的community。
3.对连接到CE的接口,使用如下命令将该接口分配到一个VPN中:
ipvrfforwardingVRF名字
其中VRF名字是前面定义的。
然后还要设置仅对该VPN可见的IP地址。
4.必要的话,设置各个VPN的路由协议。
可以使用静态路由,也可以使用RIPv2、OSPF、BGP等动态路由协议。
5.配置MP-BGP。
为了提高系统的扩展性,可以象普通的BGP4一样设置routereflector。
这里以最简单的例子说明。
配置MP-BGP有以下几步:
6.声明各个BGP邻居。
一般来说,MPLSVPN中的BGP连接都是IBGP,IBGP需要全连接,因此最好配置routereflector,关于routereflector的配置跟普通的BGP4一样。
7.对跟该PE路由器直接相连的每个VPN配置BGP协议,这一步可以包括路由信息的重分布,必要的话包括激活跟CE路由器的BGP连接。
命令格式为
address-familyipv4rvfVRF名字
……
exit-address-family
8.激活vpnv4的BGP,这一步包括激活BGP邻居、指明必须使用扩展community。
命令格式为:
address-familyvpnv4
升级会员 