中石化vpn解决方案

IPSecVPN解决方案华为3com技术名目\l“_TOC_250017“概述 3\l“_TOC_250016“VPN定义 3\l“_TOC_250015“VPN的类型 4\l“_TOC_250014“VPN的优点 5\l“_TOC_250013“隧道技术 5\l“_TOC_250012“加密技术 8\l“_TOC_250011“身份认证技术 9\l“_TOC_250010“建设方案 11\l“_TOC_250009“根本建设思路 11\l“_TOC_250008“组网方案 11\l“_TOC_250007“牢靠性方案 17\l“_TOC_250006“IPSecVPN治理系统 21\l“_TOC_250005“轻松部署安全网络 21\l“_TOC_250004“直观展现VPN拓扑 22\l“_TOC_250003“全方位监控网络性能 22\l“_TOC_250002“快速定位网络故障 24\l“_TOC_250001“BIMS分支智能治理系统 24\l“_TOC_250000“附件:iNode客户端软件介绍 26概述随着网络，尤其是网络经济的进展，企业日益扩张，客户分布日益广泛，现在网络的敏捷性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以运行与维护，而更多地致力于企业的商业目标的实现。VPN定义Network〕，用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样供给安全性、牢靠性和可治理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，VPN是利用效劳供给商所供给的公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的本钱连接它们的远地办事机构、出差工作人员以及业务合作伙伴，如图1所示。PSTN/ISDNPCPOPInternetISPFrameIPRelayPOPATMPOP内部效劳器图1VPN应用示意图由图可知，企业内部资源享用者只需连入本地ISP的POP〔PointOfPresence，接入效劳供给点〕WAN组建技术，彼此之间要有本地ISP效劳器支持漫游的话，甚至不必拥有本地ISP的上网权限。这对于流淌性很大的VPN效劳所需的设备很少，只需在资源共享处放置一台VPN效劳器就可以了。VPN的类型VPN分为三种类型：远程访问虚拟网〔AccessVPN〕、企业内部虚拟网〔IntranetVPN〕和企业扩展虚拟网〔ExtranetVPN〕，这三种类型的VPN分Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。AccessVPN随着当前移动办公的日益增多，远程用户需要准时地访问Intranet和和ExtranetAccessVPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道〔Tunnel〕连接来传输私有网络数据。AccessVPN的构造有两种类型，一种是用户发起〔Client-initiated〕的VPN连接，另一种是接入效劳器发起〔NAS-initiated〕的VPN连接。用户发起的VPN连接指的是以下这种状况：首先，远程用户通过效劳供给点〔POP〕拨入Internet，接着，用户通过网络隧道协议与企业网建立一条的隧道〔可加密发起隧道连接的有关协议和软件。VPN连接应用中，用户通过本地号码或免费号码拨入ISP，然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种状况下，所建立的VPN连接对远端用户是透亮的，构建VPN所需的协议及软件均由ISP负责治理和维护。IntranetVPNIntranetVPN通过公用网络进展企业各个分布点互联，是传统的专线网或其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSec、GRE等。结合效劳商供给的QoS机制，可以有效而且牢靠地使用网络资源，保证了网ATM或帧中继的虚电路技术构建的VPN其缺乏是互联区域有较大的局限性。而另一方面，基于Internet构建VPN是最为经济的方式，但效劳质量难以保证。企业在规划VPN建设时应依据自身的需求对以上的各种公用网络方案进展权衡。1.2.3ExtranetVPNExtranetVPN是指利用VPN将企业网延长至合作伙伴与客户。在传统的专线还需要在Extranet的用户侧安装兼容的网络设备；虽然可以通过拨号方式构建ExtraneExtranet因合作伙伴与客户的分布广泛，这样的Extranet建设与维护是格外昂贵的。因Extranet，结果使得企业间的商业交易程序简单化，商业效率被迫降低。ExtranetVPN以其易于构建与治理为解决以上问题供给了有效的手段，其实现技术与AccessVPN和IntranetVPN一样。Extranet用户对于ExtranetVPN的访问权限可以通过防火墙等手段来设置与治理。VPN的优点利用公用网络构建VPN是个型的网络概念，对于企业而言，利用InternetInternet60～80％，这无疑是格外有吸引力的；VPNVPN用户的网络地址可以由企业内部进展统一安排、VPN组网的敏捷便利等特性简化了企业的网络治理，另外，在VPN应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。隧道技术对于构建VPN来说，网络隧道(Tunneling)技术是个关键技术。网络隧道技议的承载协议和隧道协议所承载的被承载协议。它主要应用于构建AccessVPN和ExtranetVPN；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建IntranetVPN和ExtranetVPN。二层隧道协议二层隧道协议主要有三种：PPTP〔PointtoPointTunnelingProtocol，点对点隧道协议〕、L2F〔Layer2Forwarding，二层转发协议〕和L2TP〔Layer2TunnelingProtocol，二层隧道协议〕。其中L2TP结合了前两个协议的优点，VPN二层隧道协议。应用L2TP构建的典型VPN效劳的构造如以下图所示：远端用户远端用户PCLACInternet骨干网LNSPSTN/ISDNL2TP通道接入效劳器远地分支机构内部效劳器典型拨号VPN业务示意图三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很的技术，早已消灭的RFC1701GenericRoutingEncapsulation〔GRE〕协议就是一个三层隧道协议，此外还有IETF的IPSec协议。GRE与IPinIP、IPXoverIP等封装形式很相像，但比他们更通用。在GREY”应用，而是一种最根本的封装形式。在最简洁的状况下，路由器接收到一个需要封装和路由的原始数据报文〔Payload〕，这个报文首先被GRE封装而成GRE报文，接着被封装在IP协议中，然后完全由IP层负责此报文的转发。原始报文的协议被称之为乘客协议，GRE被称之为封装协议，而负责转发的IP协议被称之为传递〔Delivery〕协议或传输〔Transport〕协议。留意到在以上的流程中不用关心乘客协议的具体格式或内容。整个被封装的报文具有以下图所示格式：DeliveryDeliveryHeader(TransportProtocol)GREHeaderProtocol)PayloadPacket(PassengerProtocol)通过GRE传输报文形式IPSecIPSec〔IPSecurity〕IP层InternetIPSec通过AH〔AuthenticationHeader〕和ESP〔Encapsulating它Internet影响其它局部的实现。IPSec供给以下几种网络安全效劳：IPSec在传输数据包之前将其加密.以保证数据的私有性；IPSec没有被修改；IPSec端要验证全部受IPSec保护的数据包；IPSec绝老的或重复的数据包，它通过报文的序列号实现。〔SecurityAssociation〕进展数等属性。IPSec在转发加密数据时产生的AH和/或ESP附加报头，用于保证IP数据包的安全性。IPSec有隧道和传输两种工作方式。在隧道方式中，用户的整个IP来计算附加报头，附加报头和被加密的传输层数据被放置在原IP报头后面。AH报头用以保证数据包的完整性和真实性，防止黑客截断数据包或向网络AHAH在IP包中的位置如图5所示〔隧道方式〕：IPTCPIPTCPDataIP2AHIPTCPData图5AH处理示意图IPTCPDataIP2IPTCPDataIP2ESPIPTCPDataTrailerAuth图6ESP处理示意图AH和ESP可以单独使用，也可以同时使用。数据就可以在公网上安全传输，而不必担忧数据被监视、修改或伪造。IPSec供给了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。在两个端点之间可以建立多个安全联盟，并结合访问掌握列表〔access-list〕，IPSec可以对不同的数据流实施不同的保护策略，到达不同〔单向〕。通常在两个端点之间存在四个安全联盟，每个端点两个，一个用于数据发送，一个用于数据接收。IPSec的安全联盟可以通过手工配置的方式建立，但是当网络中结点增多时，手工配置将格外困难，而且难以保证安全性。这时就要使用IKE自动地进展安全联盟建立与密钥交换的过程。加密技术钥。IKE定义了通信双方进展身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE的精华在于它永久不在担忧全的网络上直接传送密钥，而是通过一系列数据的交换，通信双方最终计算出共享的密钥。其中的核心技术就是DH经证明，破解DH交换的计算简单度格外高从而是不行实现的。所以，DH交换技的全部交换数据，也缺乏以计算出真正的密钥。在身份验证方面，IKE供给了共享验证字〔Pre-sharedKey〕、公钥加密验中心的支持来实现。IKE1建立ISAKMPSA，有主模式〔MainMode〕和激进模式〔AggressiveMode〕两种；阶段2在阶段1ISAKMPSA的保护〔QuickMode〕。IPSecSA用于最终的IP数据安全传送。〔InformationalExchange〕和建立DH组的组交换〔DHGroupExchange〕。身份认证技术IPSec隧道建立的前提是双方的身份的得到了认证，这就是所谓的身份验证。身份验证确认通信双方的身份。目前有两种方式：一种是域共享密钥〔pre-sharedkey〕验证方法，验证字用来作为一个输明文字符串，很简洁泄漏。另一种是PKI(rsa-signature)验证方法。这种方法通过数字证书对身份进展认证，安全级别很高，是目前最先进的身份认证方式。公钥根底设施〔PublicKeyInfrastructure，简称PKI〕是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系，它是一套软硬件系统和安全策略的集合，供给了一整套安全机制。PKI标识信息捆绑在一起，以在网上验证用户的身份。PKI为用户建立起一个安全的改；数据的有效性是指数据不能被否认。PKI应用PKI应用数字证书认证机构注册机构PKI存储库PKI组成框图其中，认证机构用于签发并治理证书；注册机构用于个人身份审核、证书废除列表治理等；PKI存储库用于对证书和日志等信息进展存储和治理，并供给PKIPKI证书又称为公共密钥证书PKC〔PublicKeyCertificate〕，是基于公共密钥技可以在证书的有效期到来前撤消证书，完毕证书的生命期。建设方案根本建设思路在VPN接入网的建设过程中，需要从以下几个方面来考虑：设备选型，需要重点关心设备的VPN加密性能和转发性能IP地址；企业总部承受固定IP地址，分支机构可以选择ADSL或者FE专线接入Internet。网络拓扑类型以Hub-Spoke为主，Partial-Mash方式下客户端互访流量通过由的设计是重点关注的问题。IPSEC供给在IP层的加密认证等安全效劳。IKE协商可以承受预共享密钥的方式，也可以承受CA认证的方式进展。在企业总部每2台VPNServer互为备份组作为VPN接入效劳器,假设用户增加,可以通过增加效劳器备份组的方法接入更多用户。网络的部署监控配置维护承受VPNMANAGER和BIMS协作进展组网方案Internet边界防火墙后面配置一台VPNInternet边界防火墙后面配置一台专用VPNVPNVPN客户端设备可以承受静态或动态申请的IP地址和总部网关建立VPN链接。依据其业务的需求，有必要的话，可以在分支节点用设备进展冷备份。H3Csecpath系列VPN网关强大的VPN处理性能，高端专用VPN网关通过专业350MbpsVPN网关通过专业的硬件加密处理器可以供给标准加密算法下60Mbps以上的加密吞吐量；VPNVPNClient分支构造局域网ADSL企业网络VPNManagerVPNClient分支构造局域网LANVPNServerCAMS/RadiusADSLMail效劳器VPNClientOA应用效劳器分支构造局域网IPSecVPN方式组网特点：部署要点VPNIPSec配置泄VPN客户端口承受静态地址。同时，这样也便于VPNManager的配置治理功能。方案特点组网简洁，易于部署；由。封装，对于带宽资源消耗较小；IPSecoverGREVPN方式组网特点：IPSec保护，另一局部业务流量不需要IPSec保护，仅需要GRE隧道完成VPN功能。内部需要建立统一的OSPF路由域。部署要点VPNGREIPSecGRE隧道接口上从而建立IPSec隧道，进展数据封装、加密和传输；OSPF；方案特点GRE可以承载多种协议，扩展性强。IPSecIPIP协议，不能使用。保护，而另一局部不需要。建议使用IPSecoverGRE的方式。不需要配置大量的静态路由，配置简洁。接口的识别关键字，和对封装的报文进展端到端校验；GREGRE会造成路由器肯定的负担；GREoverIPSecVPN方式组网特点：GRETunnelGRETunnelIPSecTunnelCorporateintranetInternetRemoteofficenetworkRouterA RouterBVPN内部需要建立统一的OSPF路由域。MPLS、IPX等非IP协议的网络。部署要点VPNLoopbackGREIPSec策略应WanIPSec隧道，进展数据封装、加密和传输；方案特点GRE的特点是可以承载多种协议，而IPSec只能承载IP协议。假设企业网IP协议，然后才能IPSecGRE报文。GRE是基于路由的，而IPSec是基于策略。假设需要在企业网内统一规划路由方案，GREoverIPSecIPSec的策略是针对GREGREVPN内的路由是统一的。对业务流量，诸如路由协议、语音、视频等数据先进展GRE封装，然后再对封装后的报文进展IPSec的加密处理。不必配置大量的静态路由，配置简洁。Tunnel接口的识别关键字，和对封装的报文进展端到端校验；影响，这就导致使用GRE会造成路由器数据转发效率有肯定程度的下降；L2TPoverIPSecVPN方式组网特点：LACLACLNS私有网络 Internet网络10.2.0.03.3.3.2私有网络10.1.0.0

RouterBIPSec隧道保护RouterA和RouterB之间的公网链路。对于分支设备的安全要求较高，在IPSec认证之外，还需要对分支设备进展L2TP的认证。通常状况下，L2TP的客户端是拨号连接到LAC的用户主机。此时用户与LAC的连接总是PPPLACLACPPPIPLACIPLNSLACLACPPPLNS保持一个常连接。其它全部实IPLNS的；部署方式LACVT模拟用户，配置地址、验证方式、用户名、密码等信息；分支设备的用户端不能由LNS安排地址，必需由用户手工配置地址，而且LNSVTOSPF路由不同互通。假设没有部署OSPF等动态路由协议，必需在LAC上需要配置一条静态路VPNVT接口。方案特点中心网关可以对分支设备进展认证和计费，提高系统安全性。L2TP收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影L2TP会造成路由器数据转发效率有肯定程度的下降；移动用户IPSecVPN接入方式组网特点部署要点iNode多链路形式接入企业内部VPN使用L2TP+IPSEC完成用户身份认证和报文加密认证方式可以承受SeckeyIKE协商使用预共享密钥的方式进展对于L2TP用户认证计费承受远端Radius〔CAMS〕进展效劳器侧可以考虑使用单台设备，也可以考虑使用双VPN效劳器备份方案特点敏捷、安全动态VPN〔DVPN〕接入方式DVPN承受了Client和Server的方式，Client设备〔DVPN应用中，作为ClientDVPNDVPNServer〔DVPNServer接入DVPN域的设备〕进展注册。DVPN域中一台DVPN接入设备作为Server，其Session〔会话隧道〕，通过SessionClientDVPNServer的私有网络的互联，ClientDVPN；SeverDVPNClientDVPNServerServerClient起端。ClientRedirectClientClient间建立一条的直连的Session，后续Client之间的数据不需要通过DVPNServer进展转发，可以通过直连的Session进展数据通信。所以一台合法的ServerDVPNDVPNServerDVPN实现了对全部的掌握报文的安全保护，对通过公有网络传输的私密的〔DES、3DES、AES〕DVPNIPSecDVPNIPSecDVPNClientDVPNServerClient向DVPNServer进展注册过程中，Client可以依据配置需要对DVPNServer的身份使用preshared-keyClient接入一个合法的DVPNServerAAADVPNClientClientDVPNDVPNIPSecIPSec的功能特点，例如私密性、合法性、防重放等。DVPNDVPNServerIPSecSASessionIPSecDVPN允许在一台DVPN设备上支持多个VPN域。在一台DVPN设备上最多可以支持200个DVPN域的Server。大大提高了组网的敏捷性，多个企业可以使用一台削减了实际的设备投资。牢靠性方案H3CIPSecVPN高牢靠性设计的核心理念就是增大网络冗余性的同时做到负载分担。衡量牢靠性设计优劣的标准就是网络特别业务流量中断时间。图1牢靠性设计组网Server的双机备份、负载分担和特别快速切换3个方面。双机备份缺省路由〔如以下图所示，10.100.10.1〕，这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA，从而实现了主机与外部网络的RouterARouterA为缺省路由下一跳的主机将断掉与外部的通信。NetworkRouterA 10.100.10.1Ethernet10.100.10.1

10.100.10.1 LAN1Host1 Host2 Host3局域网组网方案VRRP就是为解决上述问题而提出的，它为具有多播或播送力量的局域网〔包括一个Master即活动路由器和假设干个Backup即备份路由器组织成一个虚拟路由器，称之为一个备份组。Network10.100.10.2 10.100.10.3RouerAMaster

VirtualIPAddress10.100.10.1

RouterBBackupEthernet10.100.10.1 10.100.10.1 10.100.10.1 LAN1Host1 Host2 Host3VRRP组网示意图组内的某个路由器的接口地址一样备份组内的路由器也有自己的IP〔主机仅仅知道这个虚拟路由器的IP地址10.100.10.1，而并不知道具体的Master己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进展通信。假设备份组内的MasterBackupMaster路由网络进展通信。快速切换网络特别的状况有很多种。假设不考虑运营商的网络特别，VPN的特别主要。在网络消灭特别时，如何保证业务流量能够尽快恢复？能够保证在3~4秒内完成主备网关的切换。而且为了保证网关切换后，网关内外VRRP组，并将这一对VRRPVRRPVRRP能发起同步切换。IPSec隧道快速切换，这一切换由IPSecDPD实现。IPSecDPD〔IPSecDeadPeerDetectionon-demand〕为按需型IPSec/IKE安全隧道对端状态探测功能。向对端发送恳求报文，对IKEPeer是否存在进展检测。与IPSec中原有的周期性功能相比，DPD具有产生数据流量小、检测准时、隧道恢复快的优点。IPSecDPD〔IPSecDeadPeerDetectionon-demand〕为按需型IPSec/IKE安全隧道对端状态探测功能。启动DPD功能后，当接收端长时间收不到对端的报文时，能够触发DPD查询，主动向对端发送恳求报文，对IKEPeer是否存在进展检测。与IPSec中原有的周期性Keepalive功能相比，DPD具有产生数据流量小、检测准时、隧道恢复快的优点。在路由器与VRRP备份组的虚地址之间建立ISAKMPSADPD功VRRPVRRP备份IPSecIPSec协议的强健性。数据构造DPD数据构造〔简称为DPD构造〕用于配置DPD查询参数，包括DPD查询时间间隔及等待DPD应答报文超时时间间隔。该数据构造可以被多个IKEPeer引用，这样用户不必针对接口一一进展重复配置。定时器IPSecDPDDPD报文中使用了两个定时器：intervaltime和timeout。intervaltime：触发DPD查询的间隔时间，该时间指明隔多久没有收到对端IPSec报文时触发DPD查询。timeout：等待DPD应答报文超时时间。运行机制内没有收到对端的IPSec报文，且本端欲向对端发送IPSec报文时，DPD向对端发送DPDtimeout定时器设定的超时时间仍旧未收记录失败大事13ISAKMP和相应的IPSecSA。对于路由器与VRRP备份组虚地址之间建立的IPSecSA，连续3次失败后，安全隧道同样会被删除，但是当有符合安全策略的报文重触发安全联盟协商时，会重建立起安全隧道。切换时间的长短与timeout定时器的设置有关，定时器〔一般状况下承受缺省值即可〕。接收端：收到恳求报文后，发送响应报文。IPSecVPN治理系统VPNManager的VSM和VDM模块主要应用于IPSec主模VPNVPN图形化的治理界面，简化配置治理，同时便于实时监控VPN状态；轻松部署安全网络QuidviewIPSecVPN软件供给配置向导功能，指导用户构建VPN网络，不必通过简单的手工执行命令行来部署IPSecVPN网络，减轻了部署难度，也降低了IPSecVPN网络。IPSecVPN业务。同时，供给了预定义配置参数功能，便利高级用户设置高级选项，重IPSecVPN网络配置以网络域为配置单位，对网络一样配置部署。同时用户也可指定某个设备的特别配置，便利用户操作。IPSecVPNManager配置界面直观展现VPN拓扑QuidviewIPSecVPN软件能够自动觉察和构建VPN拓扑，用户在拓扑上可以直观查看VPN通道状态、通道流量状况、VPN设备的运行状况等。IPSecVPNManager显示拓扑全方位监控网络性能，IPSecVPN软件供给了丰富的VPNVPN用户全方位的监控VPN网络的运行状态。支持对IPSecVPN设备CPU利用率等关键指标的监视；、IKE隧道的监视；支持对协商过程的监视；供给折线图、直方图、饼图等多种显示方式直观的把VPN性能数据显示给用户；隐患供给保障；能告警，使网络治理人员准时觉察和消退网络中的隐患。IPSecVPNManager监控网络快速定位网络故障利用QuidviewIPSecVPN软件的故障治理模块可以实时接收IPSecVPN设备VPN链路的通断历史，诊断VPN链路的稳定性。故障治理模块能够与QuidviewIPSecVPN其他组件亲热协作，帮助用户快IPSecVPN性能监视模块进展VPN设备阈值监控时，VPN拓扑图将马上刷以反映最的网络状态。图2IPSecVPNManager定位故障BIMS分支智能治理系统BIMS〔QuidView组件〕分支智能治理系统实现从网络治理中心来集中对网络设备的治理，如配置文件下发、设备软件升级等。传统网管主要通过SNMP、Telnet等协议来实现对网络设备的治理，这要求网管侧知道被管设备的IP地址，IPNATManagementSystem〕就是要解决上述问题，实现对动态猎取IP地址的设备或位于NAT网关后面的分支网点设备的集中、有效的监控治理时，BIMS会极大提高治理的效率，大大节约治理本钱。BIMSServer，设备作为IP私网内，也可穿透NAT建立连接。网管通过一个固定的、全网唯一的ID来识别设IPIP地址或IP地址常常BIMS网管侧与设备侧之间通过协议进展扩展。同时，为了保证通讯安全，BIMS对传输的消息数据进展加密处理。BIMS治理解决方案分两局部，分支网点设备侧和治理中心侧，分支网点设AR系列接入路由器等，治理中心协议进展通信，治理中心侧作为Server，设备侧作为Client，设备通过定期访问协议进展动访问BIMSBIMS和易于治理的特点。附件:iNode客户端软件介绍Huawei-3ComINode〔以下简称INode〕是华为3Com公司自行设计开发的应用在PC上的VPN客户端软件。通过安装本软件，可以使PC机能够通过多种方式与〔如路由器及Secpath系列网关设备等进展VPN现远端PC能够安全、快捷地通过Internet访问相应企业总部VPN的目的.操作便利一个成熟的VPNINode软件承受PC成软件配置，登录并访问VPN资源。INode软件配置便利，敏捷，支持多个配置，并且支持配置文件的导入。配置文件的导入能够极大的减轻维护工作量。系统治理员配置VPN网关的时候，为了实现较高的安全性，需要配置简单的安全策略。相应的，为了能够访问VPN，每个访问此VPNINode软件无需如INode需要访问VPN的时候，只需要输入个人专用用户名和密码，就可以轻松访问VPN资源。安全保密INode软件具有高保密性，高安全性。层建立隧道，更安全。同时，INode软件可以通过PPP协商向VPN申请IP地址。由于此I