毕业设计（论文）-VPN5：VPN构建技术及其应用.doc

高等函授毕业论文报告毕 业 设 计设计题目：vpn构建技术及其应用 入学年月 姓 名 学 号 专 业 所属总站 指导教师 完成日期 年 月 日摘 要vpn(virtal private network)即虚拟专用网，是一条穿过公用网络的安全的、稳定的通道。通过对网络数据的封包和加密传输，在因特网（也可以是其他网络）建立一条临时的、安全的、稳定的连接，从而实现在公网上安全地传输私有数据。通常，vpn是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。vpn可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。关键词：虚拟专用网，网络，遂道，安全abstractvpn(virtual private network) is a kind of safe and steady channel work through the public network. by encapsulate and encryption of data, a temporary, secure and steady link can be set up on which the private data can be transfferd safely. usually, vpn is an extension to the enterprise inner network, from which the remote users, filiales, bussiness companies and various providers able to connect to the company inner network and transfer data safely. vpn can be used to provide mobile user to access internet globlely, and can be used as virtual private link from enterprise to enterprise, and also can be used to economical secure links from enterprise to bussiness partners.keyword: vpn, network, tunnel, safety3目 录第1章 vpn技术的基本概念.5 1.1 vpn概述5 1.2 vpn的优势6 1.3 vpn的几种常见类型7第2章、vpn技术详解102.1 vpn的基本组网应用102.2 vpn原理102.3 vpn隧道112.4 vpn隧道协议142.5 实现vpn的qos技术202.6 vpn用户的管理、认证和计费242.7 vpn的安全问题25第3章、vpn的构建263.1 构建vpn的要求.263.2 vpn的安全解决办法283.3 构建vpn的步骤.28第4章、vpn技术目前在电信网中的应用举例314.1 池州市电信分公司内部网络vpdn组网方案.314.2 池州市司法系统vpdn组网方案.33结束语. 35第1章vpn技术的基本概念1.1 vpn概述vpn（虚拟专用网）定义为通过一个公用网络（通常是因特网）建立的一个临时的、稳定的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。它是对企业内部网的扩展,是依靠internet服务提供商isp（internet service provider）和网络服务提供商nsp（network service provider），在公共网络中建立的虚拟专用通信网络。图1.1 vpn定义如图1.1，通过vpn可以帮助出差员工、公司异地办事处、合作伙伴及分支机构同公司的总部建立可信的安全连接，并保证数据的安全传输。vpn可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到合作伙伴和用户的安全外联网。虚拟专用网至少应能提供以下3项功能：1、加密数据。以确保通过公网传输的信息的安全性，即便被别人截获也不至于泄露。2、信息认证和身份认证。以保证信息的完整性、合法性，并能鉴别用户的身份。3、提供访问控制。这样可对不同的用户提供不同的访问权限。虚拟专用网还应具有以下2个特性：1、专用性（private）：对于vpn用户，使用vpn与使用传统专网没有区别。一方面，vpn与底层承载网络之间保持资源独立，即，一般情况下，vpn资源不被网络中其它vpn或非该vpn用户所使用；另一方面，vpn提供足够的安全保证，确保vpn内部信息不受外部侵扰。2、虚拟性（virtual）：vpn用户内部的通信是通过一个公共网络进行的，而这个公共网络同时也被其他非vpn用户使用。即，vpn用户获得的是一个逻辑意义上的专网。1.2 vpn的优势与传统的数据专网相比，vpn具有以下5项优势：1 、在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。2、利用公共网络进行信息通讯，一方面可使企业用更低的成本连接远地的办事机构、出差人员或业务伙伴，另一方面可以提高网络资源利用率，有助于增加isp的收益。3、vpn的调整和维护基于软件实现，可提高应用的灵活性。通过软件配置，不需要改动硬件设施就可以实现增加、删除vpn用户。在应用上灵活性很大。4、支持用户实时、异地接入。驻外vpn用户在任何时间、任何地点都可以方便接入，能够满足不断增长的移动业务需求。5、 支持qos功能。构建具有服务质量保证的vpn（如mpls vpn），可为vpn用户提供不同等级的服务质量保证。1.3 vpn的几种常见类型vpn的分类，不同的生产厂家根据其产品的角度来做出了不同的划分方式。不同的isp在推出vpn业务时也从业务开展的不同角度来做出了不同的分类方式。l 按用户的接入方式划分用户的不同接入方式对用户和运营商来说是关系最密切的。通常，根据用户的具体需要，用户可能是专线上（因特）网的，也可能是拨号上网的。建立在ip网上的vpn也就对应的有两种接入方式：专线接入方式和拨号接入方式。1、专线vpn，是通过固定的线路连接到isp，为已经通过专线接入isp边缘路由器的用户提供了vpn的解决方案。这是一种“永远在线”的vpn，可以节省用户的长途专线费用，如ddn、帧中继等都是专线连接。2、拨号vpn简称vpdn，它是向利用拨号用户pstn或isdn接入isp的用户提供的vpn业务。这是一种“按需连接”的vpn，可以节省用户的长途电话费用。需要指出的是，因为用户一般是漫游用户，是“按需连接的，因此vpdn通常需要做身份认证（如利用chap和radius）拨号接入vpn简称vpdn，使用拨号连接（如模拟电话、isdn和adsl等）连接到isp，是典型的按需连接方式。这是种非固定线路的vpn。l 按协议实现类型划分这是vpn厂商和isp最为关心的划分方式。按隧道协议的网络分层，vpn可划分为第2层隧道协议和第3层隧道协议.1、第二层隧道vpn：这包括点到点隧道协议（pptp）、第二层转发协议（l2f），第二层隧道协议（l2tp）、多协议标记交换（mpls）等。2、第三层隧道vpn：这包括通用路由封装协议（gre）、ip安全（ipsec），这是目前最流行的两种三层协议。第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装，其中gre、ipsec和mpls主要用于实现专线vpn业务，l2tp主要用于实现拨号vpn业务（但也可以用于实现专线vpn业务），vpn的实现往往将第2层和第3层协议配合使用，如l2tp/ipsec。第2层和第3层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第2层隧道协议可以支持多种路由协议，如ip、ipx和appletalk，也可以支持多种广域网技术，如帧中继、atm、x.25或sdh/sonet，还可以支持任意局域网技术，如以太网、令牌环网和fddi网等。l 按vpn的发起方式划分vpn业务可以是客户独立自主实现的，也可以是由isp提供的。1、客户发起：在客户端安装vpn相关软件，vpn连接由用户首先发起。2、网络服务器发起：主要为isp提供全面管理的vpn服务，服务提供的起始点和终止点是isp的pop，其内部构成、实施和管理对vpn客户完全透明。目前mpls只能用于服务器发起的vpn方式。l 按承载主体划分营运vpn业务的企业；既可以自行建设他们的vpn网络，也可以把此业务外包给vpn商。这是客户和isp最关心的问题。1、自建vpn：企业自行安装vpn相关软件，独立地建设自己的vpn网络而不需要isp的支持。这样企业可以直接控制vpn网络，但这样的组网方式成本很高，也很难保证网络质量。2、外包vpn：企业将vpn服务外包给isp，isp根据用户要求提供vpn业务并对它进行维护。这样企业可以降低组建和运维vpn成本，且能得到相应的qos保障。l 按vpn的服务类型划分根据服务类型，vpn业务大致分为三类：1、内联网vpn（intranet vpn）：这是企业内部各个分布点之间通过公用网络进行互联，是传统的专线网或其它企业网的扩展或替代形式，通常情况下内联网vpn是专线vpn. 2、外联网vpn（extranet vpn）：将不同企业间或及企业与供应商、企业与合作伙伴之间通过公网来构筑vpn网络。3、接入vpn（access vpn）：这是企业的远程办公人员或企业的远程分支机构通过公网与企业的intranet和extranet建立私有的网络连接。access vpn的远程接入可以是专线方式接入的，也可以是拨号方式接入的。第2章vpn技术详解2.1 vpn 基本组网应用以某公司为例，通过vpn 建立的企业内部网如图2.1所示： internet远端用户内部服务器公司总部pstn/isdnpoppoppop合作伙伴图2.1 vpn 组网示意图从图2.1可以看出，公司内部资源享用者通过pstn/isdn 网或局域网就可以连入本地isp 的pop（point of presence）服务器，从而访问公司内部资源。而利用传统的wan 组网技术，相互之间要有专线相连才可以达到同样的目的。虚拟网组成后，远端用户和外地客户甚至不必拥有本地isp 的上网权限就可以访问企业内部资源，这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。企业开设vpn 业务所需的设备很少，只需在资源共享处放置一台支持vpn的服务器就可以了。资源享用者通过pstn/isdn 网或局域网连入本地pop 服务器后，直接呼叫企业的远程服务器（vpn 服务器），呼叫接续过程由isp 的接入服务器（access server）与vpn 服务器共同完成。2.2 vpn原理vpn的基本原理是利用隧道技术，把vpn报文封装在隧道中，利用vpn骨干网建立专用数据传输通道，实现报文的透明传输。如图2.2，用户通过pstn/isdn 网拨入isp 的nas（network access server）服务器，nas 服务器通过用户名或接入号码识别出该用户为vpn 用户后，就和用户的目的vpn 服务器建立一条连接，称为隧道（tunnel），然后将用户数据包封装成ip 报文后通过该隧道传送给vpn 服务器，vpn 服务器收到数据包并拆封后就可以读到真正有意义的报文了。反向的处理也一样。隧道两侧可以对报文进行加密处理，使internet 上的其它用户无法读取，因而是安全可靠的。对用户来说，隧道是其pstn/isdn 链路的逻辑延伸，操作起来和实际物理链路相同。internet远端用户内部服务器nas用户端vpn设备pstn/isdntunnel图2.2 vpn接入示意图2.3 vpn隧道 如图2.3，隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。对用户来说，隧道是其pstn/isdn链路的逻辑延伸，在使用上与实际物理链路相同。隧道技术支持各种接入形式，与接入方式无关，它可以拨号方式接入、cable modem方式、xdsl以及isdn方式、e1专线和无线接入方式等。internettunnelip包头加密后的数据包vpn设备未加密的数据包解密后的数据包图2.3 vpn隧道vpn隧道需要完成的功能包括：1、封装原始数据2、实现隧道两端的点到点连通3、定时检测vpn隧道的连通性4、vpn隧道的安全性5、vpn隧道的qos特性评价和选择隧道技术也主要是根据上述几个方面进行。下面介绍常见的隧道：l gre隧道gre隧道使用gre协议封装原始数据报文，基于公网实现数据的透明传输。gre隧道不能配置二层信息，但可以配置ip地址。利用为隧道指定的实际物理接口完成转发，转发过程可以简单描述如下：所有去往远端vpn的报文先发送到tunnel源端。在tunnel源端进行gre封装，填写tunnel建立时所确定的tunnel源ip和目的ip。通过公网转发到远端vpn网络。l ipsec隧道ipsec是ietf制定的一个框架协议，用于保证在internet上传送数据的安全保密性。ipsec提供传输模式和隧道模式两种操作模式，隧道模式的封装过程为：首先为需要通信的两个私有网络地址定义一个ip流，流的建立可以使用ip层以上某个协议的端口。定义ipsec隧道的源和目的地址信息，这个源和目的地址是公网信息。配置缺省路由，下一跳指向ipsec隧道源地址所在链路的对端地址。在进行vpn通信时，所有去往对端vpn的报文在出接口时进行ipsec封装，到对端后拆封装，然后再进行转发。l l2tp隧道l2tp有v2和v3两个版本，提供对l2tpv2的支持，其封装形式如图2.4所示：图2.4 l2tpv2的报文封装格式l2tpv2支持ppp方式的二层封装，通过udp承载。l2tpv2应用于vpdn，只要实现l2tp就可以完成vpdn的功能。l2tp隧道支持拥塞控制和隧道端点验证。在l2tp隧道两端建立ipsec安全机制可以保证vpdn的安全性。l lsp 在mpls网络中，边缘路由器对报文打上mpls标签，网络内部路由器根据标签对报文进行转发。标签报文所经过的路径称为标签交换路径lsp（label switched path）。l vpn隧道技术的比较表2.1对常用的vpn隧道技术进行了比较：表2.1 隧道技术比较greipsecl2tpv2lsp参与构成vpn的形式可独立构成vpn；可与ipsec构成安全性很强的ip vpn；可作为rfc2547下lsp隧道的替代隧道可独立构成vpn；可作为rfc2547下lsp隧道的替代隧道可构成vpdn可作为l2vpn或l3vpn的隧道可承载报文类型ip、ipx、mplsippppmpls标签报文拓扑连接access接入不支持不支持支持不支持site-to-site支持支持不支持支持ip地址私有性以纯粹gre构建的l3 vpn不能保证以纯粹ipsec构建的l3 vpn 不能保证可以保证可以保证隧道连通性不能保证。可以通过到对端的路由来检测连通性不能保证。可以通过ike的生存时间来检测连通性可以保证不能保证。需要通过路由来检测连通性安全性非常弱。可以通过gre over ipsec（传输模式）来增强其安全性很强的安全性，可以静态配置，也可以通过ike配置简单的隧道身份认证机制。可以和ipsec结合无qos特性本身没有，可以使用ip qos特性本身没有，可以使用ip qos特性有简单的滑动窗口机制，可进行拥塞和流量控制；不能保证带宽与rsvp-te一起使用，有很强的qos特性2.4 vpn隧道协议 隧道可通过隧道协议来实现，根据在osi模型的第二层还是第三层实现隧道，隧道协议可分为第二层隧道协议（如pptp、l2f、l2tp）和第三层隧道协议（如gre、ipsec）。其中gre和ipsec主要用于实现专线vpn业务，l2tp主要用于实现拨号vpn业务，也可用于实现专线vpn业务。2.4.1 第二层隧道协议第二层隧道协议是将整个ppp帧封装在内部隧道中，以下介绍现有的第二层隧道协议： 1、pptp（point-to-point tunneling protocol）:点到点隧道协议点到点隧道协议，由microsoft、ascend 和3com 等公司支持，在windows nt 4.0 以上版本已经包括了pptp客户机和服务器的功能。通过该协议，远程客户可以采用拨号方式通过装有点对点协议的系统接入公共的ip网。拨号客户首先用常规方式拨号到isp的接入服务器（nas），建立ppp连接；在此基础上，用户再进行二次拨号建立到pptp服务器的连接，该连接称为pptp隧道，实质上是基于ip协议的另一个ppp连接。对于直接连接到ip网的客户则不需要第一次的ppp拨号连接，可以直接与pptp服务器建立虚拟通路，安全访问公司网络。该协议支持点到点ppp 协议在ip 网络上的隧道封装，是ppp协议的一种扩展协议,pptp 作为一个呼叫控制和管理协议，使用一种增强的gre（generic routing encapsulation，通用路由封装）技术为传输的ppp 报文。这项技术为在隧道中传输的数据提供低层拥塞控制和流量控制，且这种机制允许高效使用隧道可用带宽，并能避免不必要的重发和缓冲区溢出。pptp把建立隧道的主动权交给了客户，但客户需要在其pc机上配置pptp，这样做既会增加用户的工作量，又会造成网络的安全隐患。另外，pptp仅工作于ip，不具有隧道终点的验证功能，需要依赖用户的验证。2、l2f(layer 2 forwarding)：二层转发协议l2f是由思科公司提出的，它支持对更高级协议链路层的隧道封装，这样便可实现拨号服务器和拨号协议连接在物理位置上的分离。可用于建立跨越公网的安全隧道，将isp pop连接到企业内部网关，即提供了一个远程用户与企业总部网络之间虚拟的点对点连接。l2f远端用户能够通过任何拨号方式接入公共ip网络。首先，按常规方式拨号到isp的接人服务器（nas），建立ppp连接；nas根据用户名等信息发起第二次连接，呼叫用户网络的服务器。这种方式下，隧道的配置和建立对用户是完全透明的。3、l2tp(layer 2 tunneling protocol):二层隧道协议该协议是一种工业标准的internet隧道协议，ietf起草，微软等公司参与，结合了pptp和l2f的优点。l2tp 既可用于实现拨号vpn 业务，也可用于实现专线vpn 业务，目前在电信网络中得到大量应用。（1）、运用l2tp协议组建的vpdn典型使用l2tp协议构建的vpdn应用的典型组网如图2.5所示：图2.5 l2tp协议构建的vpdnl2tp主要由lac（l2tp access concentrator）和lns（l2tp network server）构成。lac是附属在网络上具有ppp端系统和l2tp协议处理能力的设备。lac 一般是一个网络接入服务器nas，主要用于通过pstn/isdn 网络为用户提供接入服务。lns是ppp端系统上用于处理l2tp协议服务器端的软件。lac 位于lns 和远端系统（远地用户和远地分支机构）之间，用于在lns和远端系统之间传递信息包，把从远端系统收到的信息包按照l2tp 协议进行封装并送往lns，将从lns 收到的信息包进行解封装并送往远端系统。lac 与远端系统之间可以采用本地连接或ppp 链路，vpdn 应用中通常为ppp 链路。lns 作为l2tp 隧道的另一侧端点，是lac 的对端设备，是被lac 进行隧道传输的ppp 会话的逻辑终止端点。（2）、l2tp协议详解l l2tp的协议结构：ppp 帧l2tp 数据消息l2tp 数据通道（不可靠）l2tp 控制消息l2tp控制通道（可靠）包传输网络（udp,）图2.6 l2tp协议结构l2tp 协议结构描述了ppp 帧和控制通道以及数据通道之间的关系。由于l2tp仅仅定义了控制包的加密传输方式，对传输中的数据并不加密，ppp 帧在不可靠的l2tp 数据通道上进行传输，控制消息在可靠的l2tp控制通道内传输。通常l2tp 数据以udp 报文的形式发送。l2tp 注册了udp 1701 端口，但是这个端口仅用于初始的隧道建立过程中。l2tp 隧道发起方任选一个空闲的端口（未必是1701）向接收方的1701 端口发送报文；接收方收到报文后，也任选一个空闲的端口（未必是1701），给发送方的指定端口回送报文。至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。l 隧道（tunnel）和会话（session）在一对lac 和lns之间存在着两种类型的连接:tunnel连接和session连接。tunnel连接定义了一个lac和lns 对；session连接复用在隧道连接之上，用于表示承载在隧道连接中的每个ppp 会话过程。在同一对lac 和lns 之间可以建立多个l2tp 隧道，隧道由一个控制连接和一个或多个会话（session）组成。会话连接必须在隧道建立成功之后进行，每个会话连接对应于lac 和lns 之间的一个ppp 数据流。控制消息和ppp数据报文都在隧道上传输。l2tp 使用hello 报文来检测隧道的连通性。lac 和lns 定时向对端发送hello 报文，若在一段时间内未收到hello 报文的应答，该会话将被清除。l 控制消息和数据消息的概念l2tp 定义了控制消息和数据消息这两种消息。控制消息用于隧道和会话连接的建立、维护以及传输控制；数据消息则用于封装ppp 帧并在隧道上传输。控制消息的传输是可靠传输，并且支持对控制消息的流量控制和拥塞控制；而数据消息的传输是不可靠传输，若数据报文丢失，不予重传，不支持对数据消息的流量控制和拥塞控制。控制消息和数据消息共享相同的报文头。l2tp 报文头中包含隧道标识符（tunnel id）和会话标识符（session id）信息，用来标识不同的tunnel和session。隧道标识相同、会话标识不同的报文将被复用在一个隧道上，报文头中的隧道标识符与会话标识符由对端分配。（3）、两种典型的l2tp隧道模式一种是由远程拨号用户发起。远程用户通过pstn/isdn 拨入lac，由lac通过internet 向lns 发起建立通道连接请求。拨号用户地址由lns 分配；对远程拨号用户的验证与计费既可由lac完成，也可由lns侧完成。如图2.7中的tunnel 1。另一种是直接由lac 客户（指可在本地支持l2tp 协议的用户）发起。此时lac客户可直接向lns 发起通道连接请求，无需再经过一个单独的lac 设备。这种方式中lac 客户地址的分配由lns 来完成。如图2.7中的tunnel 2。图2.7 两种典型的l2tp隧道模式（4）、l2tp隧道会话的建立过程图2.8 l2tp隧道会话的建立过程l2tp 通道的呼叫建立流程如图2.8所示：vpn用户拨入lac，与lac通过ppp lcp协商后，lac向用户发送chap(或是pap)认证挑战，用户响应后进入隧道验证阶段，首先由lac发送sccrq消息向lns发送认证请求，lns响应（此消息等同于lns的认证请求）后lac再附上认证的密码，通过验证后lac再ppp已经协商好的参数发给lns，至此隧道建立。也可以进行第二次的可选认证。在以上基础上（即第一次隧道认证后）由lns向远端用户发送认证请求，用户正确响应后通过验证。（5）、l2tp协议的特点l 灵活的身份验证机制以及高度的安全性l2tp 协议本身并不提供连接的安全性保证，但它可依赖于ppp 提供的认证（如chap、pap 等），因此具有ppp 所具有的所有安全特性。l2tp 可与ipsec 结合起来实现数据安全，这使得通过l2tp 所传输的数据更难被攻击。l2tp 还可根据特定的网络安全要求在l2tp 之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。l 多协议传输l2tp 传输ppp 数据包，这样就可以在ppp 数据包内封装多种协议。l 支持radius 服务器的验证/本地认证lac 端可将用户名和密码发往radius 服务器进行验证申请，radius 服务器负责接收用户的验证请求，完成验证。也可在本地认证。l 支持内部地址分配lns 可放置于企业网的防火墙之后，它可以对远端用户的地址进行动态的分配和管理，可支持私有地址应用。为远端用户所分配的地址不是公网地址而是企业内部的私网地址。l 网络计费的灵活性可在lac 和lns 两处同时计费，即isp 处（用于产生帐单）及企业网关（用于付费及审计）。l2tp 能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据，可根据这些数据方便地进行网络计费。l 可靠性l2tp 协议支持备份lns，当一个主lns 不可达之后，lac 可以重新与备份lns 建立连接，这样增加了vpn 服务的可靠性和容错性。2.4.2 第三层隧道协议1、ipsec(ip security protocol)利用隧道方式来实现vpn时，除了要充分考虑隧道的建立及其工作过程之外，另外一个重要的问题是隧道的安全。第二层隧道协议只能保证在隧道发生端及终止端进行认证及加密，而隧道在公网的传输过程中并不能完全保证安全。ipsec加密技术则是在隧道外面再封装，保证了隧道在传输过程中的安全性。ipsec支持信息通过ip公网的安全传输。ipsec可有效保护ip数据包的安全，所采取的具体保护形式包括：数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等。ipsec可用两种方式对数据流进行加密：隧道方式和传输方式。隧道方式对整个ip包进行加密，使用一个新的ipsec包打包。这种隧道协议是在ip上进行的，因此不支持多协议。传输方式时ip包的地址部分不处理，仅对数据净荷进行加密。ipsec支持的组网方式包括：主机之间、主机与网关、网关之间的组网。ipsec还支持对远程访问用户的支持。ipsec可以和l2tp、gre等隧道协议一起使用，给用户提供更大的灵活性和可靠性。2、 gre（generic routing encapsulation）：通用路由封装(1)gre协议简介gre是由cisco和netsmiths等公司1994年提交给ietf的。gre规定了如何用一种网络协议去封装另一种网络协议的方法，使这些被封装的数据报能够在另一个网络层协议（如ip和ipx）中传输。gre可以作为vpn（virtual private network）的第三层隧道协议，在协议层之间采用隧道（tunnel）技术。tunnel是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个tunnel的两端分别对数据报进行封装及解封装。（2）报文封装及解封装报文在tunnel中传输经过加封装与解封装两个过程，下面以图2.9的网络为例说明这两个过程。tunnelnovell ipx 协议 group1路由器ainternet路由器bnovell ipx 协议 group2图2.9 ipx网络通过gre隧道互连l 加封装过程连接novell group1的接口收到ipx数据报后，首先交由ipx协议处理。ipx协议检查ipx报头中的目的地址域来确定如何路由此包。如果报文的目的地址被发现要路由经过网号为1f的网络（tunnel的虚拟网号），则将此报文发给网号为1f的tunnel接口。tunnel接口收到此包后进行gre封装，封装完成后交给ip模块处理，在封装ip报文头后，根据目的地址及路由表交由相应的网络接口处理。l 解封装的过程解封装过程和加封装的过程相反。从tunnel接口收到的ip报文，通过检查目的地址，当发现目的地就是此路由器时，系统剥掉此报文的ip报头，交给gre协议模块处理（进行检验密钥、检查校验和以及报文的序列号等）。gre协议模块完成相应的处理后，剥掉gre报头，再交由ipx协议模块处理，ipx协议模块好像对待一般数据报一样对此数据报进行处理。如图2.10所求，系统收到一个需要封装和路由的数据报，称之为净荷（payload）。这个净荷首先被加上本网的协议头，如ipx（即乘客协议）；然后再进行gre封装，成为gre报文（封装协议）；再被封装在ip报文中，这样就可完全由ip层负责此报文的向前传输，通常把这个负责向前传输ip协议称为传输协议。ip/ipxgreip链路层协议乘客协议封装协议传输协议gre协议ip/ipxgrepayload(净荷)ip链路层隧道接口的报文格式图2.10 gre封装过程及封装好的报文形式（3）应用范围gre主要能实现以下几种服务类型：l 多协议的本地网通过单一协议的骨干网传输 tunnelnovell ipx 协议 group1路由器ainternet路由器bnovell ipx 协议 group2ip 协议term1ip 协议term22.11 多协议本地网通过单一协议骨干网传输如图2.11所示，group1和group2是运行novell ipx协议的本地网，term1和term2是运行ip协议的本地网。通过在router a和router b之间采用gre协议封装的隧道（tunnel），group1和group2、team1和team2可以互不影响地进行通信。l 扩大了步跳数受限协议（如ipx）的网络的工作范围tunnel路由器 ip networkip networkip network终端1终端 2路由器 路由器 路由器 图2.12 扩大网络工作范围若图2.12中的两台终端之间的步跳数超过15，它们将无法通信。而通过在网络中使用隧道（tunnel）可以隐藏一部分步跳，从而扩大网络的工作范围。l 将一些不能连续的子网连接起来组建vpn内网1内网2路由器路由器internetvlan透传 tunnel图2.13 tunnel连接不连续子网运行novell ipx协议的两个子网group1和group2分别在不同的城市，如图2.13，通过使用隧道可以实现跨越广域网的vpn。l 与ip sec结合使用ger只提供了数据包的封装，并没有加密功能来防止网络侦听和攻击，所以在实际环境中经常与ipsec在一起使用以弥补ipsec不能保护组播数据的缺陷。内网1内网2路由器路由器internetip sec tunnelgre tunnel图2.14 gre-ipsec隧道应用图2.14中，gre可以封装组播数据并在gre隧道中传输。而协议规定，ipsec目前只能对单播数据进行加密保护。因此对诸如路由协议、语音、视频等组播数据需要在ipsec隧道中传输的情况，可以通过建立gre隧道，并对组播数据进行gre封装，然后再对封装后的报文进行ipsec的加密处理，实现组播数据在ipsec隧道中的加密传输。另外，gre还支持由用户选择记录tunnel接口的识别关键字，和对封装的报文进行端到端校验。2.5 实现vpn的qos技术通过隧道技术及一些加密技术，已经可以建立起一个具有安全性、互操作性的vpn。但是广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。vpn想成为用户真正的选择，必须能够保证一定的带宽、可靠性和安全性，网络需要根据不同的需要分配不同的带宽，从而避免网络拥塞的发生。因此，实现vpn技术要有一定的qos保障。一般地，二层和三层的qos提供以下功能： 1、流分类：根据不同的用户、应用、服务器或url地址等对数据流进行分类，然后再在不同的数据流上实施不同的qos策略。流分类是实现带宽管理以及其他qos功能的基础。acl就是常用的流分类的手段之一。2、流量整形与监管：流量整形是指根据数据流的优先级，在流量高峰时尽量先保证优先级高的数据流的传送，而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时传送，使网络上的流量趋于稳定；流量监管是指限制带宽大的路由器出口的发送速率，从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包，消除网络瓶颈。3、拥塞管理与带宽分配：根据一定的比例给不同的优先级的数据流分配不同的带宽资源，并对网络上的流量进行预测，在流量达到上限之前丢弃若干数据包，避免过多的数据包因发送失败同时进行重传而引起更严重的资源紧张，进而提高网络的总体流量。2.6 vpn用户的管理、认证和计费为确保vpn对接入用户的可操作性，要对接入vpn的用户进行身份管理及认证、计费工作。1、采用二次拨号方式接入vpn：当远程办公人员要接入公司总部网络时，先通过拨号方式接入当地的isp，在此基础上，进行第二次拨号与vpn 服务器的连接，建立起vpn隧道。这种方式需要由isp提供公网的接入管理、认证及费，而vpn服务器要为用户的第二次拨入提供认证、分配么网地址并进行计费。 2、采用radius认证及计费，由企业网关为用户分配ip。2.7 vpn的安全问题vpn直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必需要确保其vpn上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。extranet vpn将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。 vpn的安全措施包括以下方面： 1、隧道与加密：隧道能实现多协议封装，增加vpn应用的灵活性，可以在无连接的ip网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。 2、数据验证：在不安全的网络上，特别是构建vpn的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。采用数据验证可以使接收方识别这种篡改，保证了数据的完整性。 3、用户验证：vpn可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过aaa，路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于access vpn和extranet vpn具有尤为重要的意义。 4、防火墙与攻击检测： 防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话链接，并产生非法访问记录。第3章vpn的构建虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的公用网络上，一个企业的虚拟专用网将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。要实现这些功能需要我们构建一个合理的vpn方案。3.1 构建vpn的要求由于vpn是为企业用户服务的，关系到企业正常的运转，所以我们从用户角度赤分析对vpn的几点要求。一、vpn的可用性即建立的vpn网络要满足用户的业务要求。在进行企业的业务性质及流量进行分析后，根据用户的业务类型建造一个合适的vpn网络。数据业务，可以全部采用非面向连接的ip技术；如果同时有话音业务，可以采用面向连接的fr/atm技术或者ip vpn与voip的结合方案；如果还有视频业务，可采用面向连接技术，同时还应该在带宽方面有一定要求及计算规则。在设计中还应考虑vpn的冗余备份及系统可以支持的最大最小容量及网络管理最大最小数量。 二、vpn的安全性如有了pvc的安全性、加密的安全性作为保证，还要有赖于上层网络应用的认证系统，用户授权系统等保证。 在网络中要对系统中分布的不同系统、不同信息区别对待以保证信息的安全。单一局域网内部的网段或子网之间可按应用业务和功能进行逻辑隔离，以实现对信息访问控制。涉密信息服务器不与非涉密信息服务器放在同一网段或子网内，涉及重大秘密的信息必须单独存放，且与公共网络无直接物理连接。另外还要注意用户身份认证与访问控制。对于网间、网内各个用户的网络访问，需根据用户的身份和权限进行控制，在保证为合法用户提供服务的同时，禁止未授权用户的访问。确认身份与访问控制的集中性、灵活性和可审性。三、vpn的可扩展性首先是在物理网络上的扩展，即增加新的节点时，在技术角度和资金角度对全网的影响程度及扩展可实施性。其次是在功能上的扩展，包括支持internet内部数据应用，外部extranet数据处理，远程接入，甚至于移动ip方式的应用。最后是在提供的应用业务上的扩展，即vpn的增值服务：ip fax、办公自动化系统、财务系统等。 四、vpn的可管理性对于不同业务模式和技术结合的网络有不同的vpn管理内容。基于nsp（网络服务提供商）提供的面向连接技术的vpn，vpn的管理内容应该基本等同于nsp自身的业务网络。因为nsp提供透明通道对vpn网络的管理信息和用户网络状况不予干涉。基于企业用户自行布置的网络，由于只是在客户端进行配置和控制，在网络传输部分是不被nsp所知和保障的，所以可管理性受nsp限制。 五、vpn的建设及运营维护成本vpn的成本主要分为两部分：l 初期网络建设费用主要为设备及初装费用。l 网络扩展及运营维护费用。其中初期网络建设及扩展费用可以较容易计算，并且大多数情况下和实际出入不大，而运营维护费用的多少和企业用户的网络规模、对网络性能的要求、不同的业务模式、公司的it技术力量和对网络管理的要求程度都有很大关系。3.2 vpn的安全解决办法为了实现网络信息系统的安全目标，保证内部网与公网之间信息安全传输，实现不同层级互方的加密保护、访问控制和安全身份认证等安全措施，需要为vpn网络设计安全解决方案。为了实现vpn的授权用户与企业局域网资源的自由连接、不同分支机构之间的资源共享，并且能够确保企业数据在公网或企业内部网上传输时安全性不受到破坏，可行的vpn方案必须满足以下所有要求：用户验证。vpn方案必须能够验证用户身份并严格控制只有授权用户才能访问vpn。另外，方案还必须能够提供审计和计费功能，显示何人在何时访问了何种信息。地址管理。vpn方案必须能够为用户分配专用网络上的地址并确保地址的安全性。数据加密。对通过公网传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。密钥管理。vpn方案必须能够生成并更新客户端和服务器的加密密钥。多协议支持。vpn方案必须支持公共互联网络上普遍使用的基本协议，包括ip等。3.3 构建vpn的步骤一、规划vpn1、建立vpn网络之前，应首先考虑整个vpn架构，是实现远程局域网互联，还是提供远程用户访问，还是两者兼有。针对不同的要求，vpn有三种解决方案：远程访问虚拟网（access vpn）、企业内部虚拟网（intrane