vpn设计.docx
《vpn设计.docx》由会员分享,可在线阅读,更多相关《vpn设计.docx(37页珍藏版)》请在冰点文库上搜索。
vpn设计
1VPN设计
1.1概要
伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。
VPN(VirtualPrivateNetwork,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。
“虚拟”主要指这种网络是一种逻辑上的网络。
VPN技术按照不同的角度,可以分为多种类型。
具体分类角度包括:
1.按组网模型
根据组网模型的不同,VPN可以分为虚拟专用拨号网络VPDN(VirtualPrivateDialNetwork)和虚拟专线VPN。
虚拟专线VPN又包括虚拟专用路由网VPRN(VirtualPrivateRoutingNetwork)、虚拟专用LAN网段VPLS(VirtualPrivateLANSegment)、虚拟租用线VLL(VirtualLeasedLine)。
2.按业务用途
根据业务用途不同,VPN可分为企业内部虚拟专网IntranetVPN、扩展的企业内部虚拟专网ExtranetVPN、远程访问虚拟专网AccessVPN三种。
3.按运营模式
根据运营模式的不同,VPN可分为由用户控制的CPE-basedVPN(CustomerPremisesEquipmentbasedVPN)、由ISP控制的Network-basedVPN(NBIP-VPN)两种。
4.按实现层次
根据实现层次的不同,VPN可分为L3VPN(Layer3VPN)、L2VPN(Layer2VPN)和VPDN。
目前Huawei-3Com公司支持L2TP、IPSec、BGP/MPLSVPN、VPWS/VLL(Martini、Kompella、CCC)、VPLS、DVPN、VPDN、SSLVPN等所有主流VPN技术。
1.2VPN技术的选择
在实际VPN应用中,由于L2TP由于扩展性差、隧道转发效率低很少使用,VPLS由于标准和扩展性问题没有得到很好的解决也没有得到广泛应用。
经常采用的VPN技术是IPSecVPN、BGP/MPLSVPN和MPLSVPWS/VLLVPN。
其中IPSecVPN和BGP/MPLSVPN同属于三层VPN;而BGP/MPLSVPN和MPLSVPWS/VLLVPN又都是应用MPLS技术的VPN实现,下面对这几种VPN分别进行比较:
IPSecVPN和BGP/MPLSVPN对比列表
方案
BGP/MPLSVPN
IPSec
隔离层次
三层
三层
适用范围
广域网,城域网
广域网,城域网
适用拓扑
全连接
点到点
作用位置
网络侧设备
用户侧设备
技术/标准成熟度
成熟
成熟
设备实现
较复杂
较复杂
设备性能要求
高(要求较强的路由处理能力)
高(数据加密耗费大量的CPU资源)
QoS支持
好(DiffServ,DiffServ-awareMPLSTE)
同IPQOS
互通性
好
差
安全性
好
好
可扩展性
好(网络隔离层次清晰,不存在配置N平方问题)
差(单点配置复杂且存在配置N平方问题)
BGP/MPLSVPN和MPLSVPWS/VLLVPN对比列表
方案
BGP/MPLSVPN
MPLSVPWS/VLLVPN
隔离层次
三层
二层
适用范围
广域网,城域网
广域网,城域网
适用拓扑
全连接
点到点
作用位置
网络侧设备
用户侧设备
技术/标准成熟度
成熟
一般
设备实现
较复杂
简单
设备性能要求
高(要求较强的路由处理能力)
低
QoS支持
好(DiffServ,DiffServ-awareMPLSTE)
同IPQOS
互通性
好
差
安全性
好
好
可扩展性
很好
差
在实际应用中,主要结合用户的具体需求,选择出满足用户要求的VPN技术。
1.3VPN技术简介
1.3.1L2TP原理简介
L2TPVPN技术将整个PPP帧封装在二层隧道中进行数据传输,属于二层隧道技术。
L2TPVPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式,在下图中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备,LAC一般就是一个网络接入服务器NAS(NetworkAccessServer),它通过PSTN/ISDN为用户提供网络接入服务;LNS表示L2TP网络服务器(L2TPNetworkServer),是用于处理L2TP协议服务器端的软件。
L2TPVPN服务具有如下几个优点:
1.灵活的身份验证机制以及高度的安全性。
2.L2TP支持内部地址分配,LNS可以放置于企业网的防火墙之后,它可以对于远端用户的地址进行动态的分配和管理,可以支持DHCP和私有地址应用等方案。
3.能够实现网络计费的灵活性,可以在LAC和LNS两处同时计费,即ISP处(用于产生账单)及企业处(用于付费及审记)。
4.L2TP具有较高的可靠性,可以支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。
和任何一种技术一样,L2TPVPN也存在着一定的的缺点:
L2TP的缺点是封装层次多,在数据包上依次封装了PPP->UDP->IP三层,因而效率较低。
将不安全的IP包封装在安全的IP包内,它们用IP包在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的地身份就不再需要,这样可能带来问题。
它不对两个节点间的信息传输进行监视或控制。
端点用户需要在连接前手工建立加密信道。
认证和加密受到限制,没有强加密和认证支持。
1.3.2GRE原理简介
GRE(通用路由协议封装)是由Cisco和Net-smiths等公司于1994年提交给IETF的,标号为RFC1701和RFC1702。
目前有多数厂商的网络设备均支持GRE隧道协议。
GRE规定了如何用一种网络协议去封装另一种网络协议的方法,GREVPN技术属于三层隧道VPN技术。
GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。
通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址。
GRE只提供了数据包的封装,并没有加密功能来防止网络侦听和攻击,所以在实际环境中无法给用户提供更好的安全性。
GRE协议的主要用途有两个:
企业内部协议封装和私有地址封装。
在国内,由于企业网几乎全部采用的是TCP/IP协议,因此在中国建立隧道时没有对企业内部协议封装的市场需求。
企业使用GRE的唯一理由应该是对内部地址的封装。
当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。
基于GRE的VPN技术具有如下的优点:
1.多协议的本地网可以通过单一协议的骨干网实现传输;
2.将一些不能连续的子网连接起来,用于组建VPN;
3.扩大了网络的工作范围,包括那些路由网关有限的协议。
如IPX包最多可以转发16次(即经过16个路由器),而在一个隧道连接中看上去只经过一个路由器。
4.与其他厂家设备之间的互通性容易实现;
5.对现有IP网络骨干设备基本不做任何修改
基于GRE的VPN技术具有如下的缺点:
1.不提供数据的加密功能,安全性较差;
2.不提供QOS功能,需另外协议支持;
3.对于组建大型VPN较复杂。
1.3.3IPSec/VPN原理简介
IPSecVPN技术属于三层隧道VPN技术。
IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括:
●网络安全协议:
AuthenticationHeader(AH)协议,提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。
AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
EncapsulatingSecurityPayload(ESP)协议,通过对数据包的全部数据和加载内容进行全加密,进而提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。
与AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。
在IPsec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。
大部分的应用案例都采用了ESP或同时使用ESP和AH。
●密钥管理协议:
InternetKeyExchange(IKE)协议,实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等,这些安全参数的总体称之为安全联盟(SA)。
●验证及加密的算法:
认证算法,HMAC-MD5、HMAC-SHA-1;加密算法,DES、3DES。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。
IPSec协议是一个应用广泛、开放的VPN安全协议。
IPSec适应向IPv6迁移,它提供所有在网络层上的数据保护,进行透明的安全通信。
IPSec提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制。
IPSec工作在网络层,在参加IPSec的设备(如路由器)之间为数据的传输提供保护,主要是对数据的加密和数据收发方的身份认证。
IPsec是主要用于在网络层实现VPN的技术。
根据用户对在内部网络中传输数据的安全性和处理速度要求的情况,可采用IPsec技术组建企业VPN。
它比较适用于对网络数据保密要求高的用户。
IPSec的实现是靠两个IPSec的对端维系的,因此它实际上是一种端到端的安全实现,从技术的角度上说,在端到端客户的路由器上实现是最安全合理的方式,中间任何一个路由器都不需要做相应设置。
因此,它的实现是一种与接入网络无关的VPN技术。
但这并不等于说它就是与网络服务提供商无关的,我们可以作为网络服务维护者的角度,帮助客户建立并维护VPN网络,使得用户不必投入人力资源去维护一个VPN网络。
IPSec的特点是较为适用于各分支机构之间的互联,对于IP地址要求做较为完善的规划,在一定程度上制约了IPSec的应用范围。
针对这个问题,目前华为3Com已经支持野蛮模式,所谓野蛮模式就是通过实现注册的用户名来进行IKE协商,优点避免了解决方案中必须是固定IP地址的困惑,可以是分支上网自动获取IP地址,然后与总部进行协商,极大的增强了IPsec的功能。
1.3.4BGP/MPLSVPN原理简介
在MPLS/BGPVPN的模型中,网络由运营商的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。
但是必须遵循如下规则:
两个Site之间只有至少同时属于一个VPN定义的Site集合,才具有IP连通性。
基于BGP扩展实现的L3MPLSVPN所包含的基本组件:
●PE:
ProviderEdgeRouter,骨干网边缘路由器,存储VRF(VirtualRoutingForwardingInstance),处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。
●CE:
CustomEdgeRouter,用户网边缘路由器,分布用户网络路由。
●Prouter:
ProviderRouter,骨干网核心路由器,负责MPLS转发。
●VPN用户站点(site):
是VPN中的一个孤立的IP网络,一般来说,不通过骨干网不具有连通性,公司总部、分支机构都是site的具体例子。
CE路由器通常是VPNSite中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备上。
用户接入MPLSVPN的方式是每个site提供一个或多个CE,同骨干网的PE连接。
在PE上为这个site配置VRF,将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上,但不可以是多跳的3层连接。
BGP扩展实现的MPLSVPN扩展的了BGPNLRI中的IPv4地址,在其前增加了一个8字节的RD(RouteDistinguisher)。
RD时用来标识VPN的成员---即Site的。
VPN的成员关系是通过路由所携带的routetarget属性来获得的,每个VRF配置了一些策略,规定一个VPN可以接收哪些Site来的路由信息,可以向外发布哪些Site的路由信息。
每个PE根据BGP扩展发布的信息进行路由计算,生成每个相关VPN的路由表。
PE-CE之间要交换路由信息一般是通过静态路由,也可以通过RIP、OSPF、BGP、IS-IS等。
PE-CE之间采用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网BGP路由产生震荡,影响骨干网的稳定性。
PE与PE之间需要运行iBGP协议,存在可扩展性问题,但采用路由反射器RR可以显著地减少IBGP连接的数量。
MPLS/BGPVPN提供了灵活的地址管理。
由于采用了单独的路由表,允许每个VPN使用单独的地址空间中,称为VPN-IPv4地址空间,RD加上IPv4地址就构成了VPN-IPv4地址。
很多采用私有地址的用户不必再进行地址转换NAT。
NAT只有在两个有冲突地址的用户需要建立Extranet进行通信时才需要。
在MPLS/BGPVPN中,属于同一的VPN的两个site之间转发报文使用两层标签来解决,在入口PE上为报文打上两层标签,第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着LSP到达对端PE,这时候就需要使用第二层(内层)标签,这层标签指示了报文应该到达哪个site,或者更具体一些,到达哪一个CE,这样,根据内层标签,就可以找到转发的接口。
可以认为,内层标签代表了通过骨干网相连的两个CE之间的一个隧道。
L3MPLSVPN通过和Internet路由之间配置一些静态路由的方式,可以实现VPN的Internet上网服务,还可以为跨不同地域的、属于同一个AS但是没有自己的骨干网的运营商提供VPN互连,即提供“运营商的运营商”模式的VPN网络互连。
(MPLSVPN访问Internet及Carrier'sCarrier解决方案将在后面章节详细描述)
MPLS/MBGPVPN可以简化对用户端设备的需求和用户管理、维护Intranet/Extranet的复杂性,每个CE仅需要维持一个到PE的路由交换协议,CE间的路由交换、传输控制、路由策略由运营商根据VPN用户的需求来实施。
由于BGP的策略控制能力很强,随之而来的是VPN用户路由策略控制的灵活性。
1.3.5MPLSVPWS/VLLVPN原理简介
MPLSL2VPN提供基于MPLS网络的二层VPN服务。
使用基于MPLS的L2VPN解决方案,运营商可以在统一的MPLS网络上提供不同基于媒介的二层VPN服务,包括ATM、FR、VLAN、Ethernet、PPP等。
同时,这个MPLS网络仍然可以提供通常的IP、三层VPN、流量工程和QOS等其他服务,极大地节省网络建设的投资。
简单来说,MPLSL2VPN就是在MPLS网络上透明传递用户的二层数据。
从用户的角度来看,这个MPLS网络就是一个二层的交换网络,通过这个网络,可以在不同站点之间建立二层的连接。
以ATM为例,每一个用户边缘设备(CE)配置一个ATM虚电路,通过MPLS网络与远端的另一个CE设备相连,与通过ATM网络实现互联是完全一样的。
对于MPLS二层VPN,网络运营商负责提供给二层VPN用户提供二层的连通性,不需要参与VPN用户的路由计算。
在提供全连接的二层VPN时,和传统的二层VPN一样(如ATMPVC提供的VPN),存在N方问题,每个VPN的CE到其它的CE都需要在CE与PE之间分配一条连接。
对于PE设备来说。
在一个VPN有N个Site的时候,CE-PE必需有需要N-1个物理或逻辑端口连接。
由于MPLSl2VPN中,PE设备不参与用户的路由处理,因此它的可扩展性比L3VPN要好得多,MPLSL2VPN的可扩展性只与PE能连接的VPN用户数目相关。
但是,作为代价,L2VPN的灵活性要差一些,无法实现Extranet。
当前MPLSL2VPN还没有形成正式的标准。
IETF的PPVPN(Provider-provisionedVirtualPrivateNetwork)工作组制订了多个框架草案,其中最主要的两种称为Martini草案和Kompella草案。
Martini草案是通过LDP扩展实现MPLSL2VPN的,而Kompella草案则是是通过MP-BGP扩展实现的,两者草案分别是:
draft-martini-l2circuit-trans-mpls
draft-kompella-ppvpn-l2vpn
两种二层VPN采用的封装协议都是:
Draft-martini-l2circuit-encap-mpls。
Martini方式
Martini草案定义了通过建立点到点的链路来实现L2VPN的方法。
它以LDP为信令协议来传递双方的VC标记,因此这种方式又被称为LDP方式的L2VPN。
LDP扩展实现的二层VPN只需要对LDP进行简单扩展,实现简单。
LDP扩展实现的二层VPN可以承载ATM、帧中继、以太网/VLAN、PPP等,但这种实现要求VPN的每一个Site的链路层协议是相同的,即只有当所有Site都是Eithernet或ATM等的时候才可以共同组成一个二层VPN。
相对于BGP扩展它的缺点是只能建立点到点的VPN二层连接,没有VPN的自动发现机制。
LDP方式的L2VPN着重于解决“怎么在两个CE之间建立VC(VirtualCircuit)”的问题。
它采用VC-TYPE+VC-ID来识别一个VC。
VC-TYPE表明这个VC的类型是ATM、VLAN还是PPP;VC-ID则用于唯一标志一个VC。
同一个VC-TYPE的所有VC中,其VC-ID必须在整个SP网络中唯一。
连接两个CE的PE通过LDP交换VC标记,并通过VC-ID将对应的CE绑定起来。
当连接两个PE的LSP建立成功,双方的标记交换和绑定完成后,一个VC就建立起来了,两个CE就可以通过这个VC传递二层数据。
为了在PE之间交换VC标记,Martini草案对LDP进行了扩展,增加了VCFEC的FEC类型。
此外,由于交换VC标记的两个PE可能不是直接相连的,所以LDP必须使用remotepeer来建立session,并在这个session上传递VCFEC和VC标记。
Kompella方式
Kompella草案则定义了怎样在MPLS网络上以端到端(CE到CE)的方式建立L2VPN。
目前它采用BGP为信令协议来散发二层可达信息和VC标记,因此这种方式又被称为BGP方式的L2VPN。
通过MP-BGP扩展实现的二层VPN,顾名思义需要有BGP扩展的支持,MPLS信令也是必须的。
当链路层承载的都是IP时,容许使用不同的链路层协议的Site组成同一个VPN。
与LDP方式的L2VPN不同,BGP方式的L2VPN不是直接对CE与CE之间的连接进行操作,而是在整个SP网络中划分不同的VPN,在VPN内部对CE进行编号。
要建立两个CE之间的连接时,只需在PE上设置本地CE和远程CE的CEID,并指定本地CE为这个连接分配的CircuitID(例如ATM的VPI/VCI)。
有VPN拓扑的概念,通过BGP进行自动拓扑发现,适用于全连接网络(相对LDP方式),当然也适应于半网状或星型网络。
与BGP/MPLSVPN相同,BGP方式的L2VPN也使用routetarget来区分不同的VPN,这使得VPN组网具备了极大的灵活性。
Kompella方式的MPLSL2VPN也存在跨域的问题,解决方法同MPLSL3VPN。
在标记分配方面,BGP方式L2VPN采取标记块的方式,一次为多个连接分配标记。
用户可以指定一个本地CE的范围(CErange),CErange表明这个CE能与多少个CE建立连接。
系统会一次为这个CE分配一个标记块,标记块的大小等于CErange。
这种方式允许用户为VPN分配一些额外的标记,留待以后使用。
这样会造成标记资源的浪费,但是同时带来一个很大的好处:
减少VPN部署和扩容时的配置工作量。
假设一个企业的VPN包括10个CE,但是考虑到企业会扩展业务,将来可能会有20个CE。
这样可以把每个CE的CErange设置为20,系统会预先为未来的10个CE分配标记。
以后VPN添加CE节点时,配置的修改仅限于与新CE直接相连的PE,其他PE不需要作任何修改。
这使得VPN的扩容变得非常简单。
1.3.6VPLSVPN原理简介
VPLS是一种可以在以太网上提供上述诸多服务的解决方案。
它利用以太网和MPLS的组合,来满足运营商和用户的需求。
VPLS使分散在不同地理位置上的用户网络可以相互通信,就像它们直接相互连接在一起一样,即广域网变成对所有用户位置是透明的。
这种功能是由MPLS2层VPN解决方案实现的。
在VPLS网络中,每个用户位置连接在MPLS网络上的一个节点上。
对于每一个用户或虚拟专用网来说,由逻辑的点对点连接构成的完整网络是在骨干MPLS网络上建立的。
这使一个用户位置可以直接看到属于这位用户的其他所有位置。
惟一的MPLS标记用于将一位用户的传输流与另一位用户的传输流隔离,并且用于将一项服务与另一项服务相分离。
这种分割使用户可以从提供商那里获得多种服务,而每一个服务都是为最终应用定制的。
例如,某位用户的服务集合可以由VoIP、Internet接入以及可能两个或更多的VPN服务构成。
第一个VPN服务可以在所有企业位置之间提供“宽数据”连接性并可为所有雇员所使用。
而第二个VPN服务可以被限制在一个位置子集合之间进行的某些金融交易上。
所有这些服务都是通过VPLS惟一配置的,因此使它们具有独特的质量保障和安全属性。
在VPLS网络中,在各个PE(运营商网络边缘)之间建立全网状的MPLSLSP(标记交换路径),将二层以太网帧通过MPLS进行封装,通过MPLS交换将用户以太网流量在各个PE之间进行转发,并与CE(用户边缘设备)连接,从而建立一个点对多点的以太网VPN。
PE设备将客户的以太网帧封装到MPLS包内,MPLS包头包含两层标记,其中外层标记TunnelLabel标识用来承载MPLSLSP,内层标记VCLabel则代表不同虚拟电路,也就是不同的VPLS流量,这是一种伪线的封装格式。
因此在目的端PE(提供商边缘路由器)设备终结LSP并弹出外层标记之后,将会根据内层VCLabel来确定是属于哪个VPLS实例的流量。
对于运营商来说,将以太网和MPLS组合在一起的好处多多。
他们可以马上从部署以太网基础设施更低的资本开支中受益。
但是,简单的以太网交换网络在服务可伸缩性(由于V局域网ID的限制)和可靠性(生成树不能很好地扩展)上存在局限性。
这些限制性被MPLS所解决。
MPLS提供多种解决方案,这些解决方案不仅提供大规模的可伸缩性和多种可靠性选择,而
升级会员 