VPN原理及技术特点

VPN原理及技术特点VPN产品与解决方案6/2/20241VPN概念VPN即虚拟专用网(VirtalPrivateNetwork)，是一条穿过混乱的公用网络的平安、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络〔通常是因特网〕建立一个临时的、平安的连接，从而实现在公网上传输私有数据、到达私有网络的平安级别，如果接入方式为拨号方式，那么称之为VPDN。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供给商同公司的内部网建立可信的平安连接，并保证数据的平安传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现平安连接；可用于实现企业网站之间平安通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的平安外联网虚拟专用网。6/2/202426/2/20243上面的拓扑图中可以看到县防疫站的VPN网关是一台双网卡主机，而基层防疫站的VPN网关那么只是在一台单网卡终端上安装安联VPN系统软件，这样的配置方法可以实现网关作用基于B/S或C/S结构的网络应用效劳，如：网络OA、财务、ERP系统等；多媒体效劳，如：VoIP、视讯会议系统等；基于NetBIOS协议的网络应用效劳，如：网络文件共享、网络打印共享；数据库效劳，如：远程数据采集、数据查询、数据备份等6/2/20244VPN工作原理

VPN通过公众IP网络建立了私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担，节省费用开支，并且提供了平安的端到端的数据通讯。用户连接VPN的形式：

常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP〔点对点协议〕数据包流是通过专用线路传输的。在VPN中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么，如何形成VPN隧道呢6/2/20245建立隧道有两种主要的方式：客户启动〔Client－Initiated〕或客户透明〔Client-Transparent〕。客户启动要求客户和隧道效劳器〔或网关〕都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道效劳器中止隧道，ISP可以不必支持隧道。客户和隧道效劳器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入效劳器以及可能需要的路由器。客户首先拨号进入效劳器，效劳器必须能识别这一连接要与某一特定的远程点建立隧道，然后效劳器与隧道效劳器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道效劳器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问效劳器6/2/20246VPN主要采用四项技术：一、隧道技术(Tunneling)；二、加解密技术(Encryption&Decryption)；三、密钥管理技术(KeyManagement)；四、使用者与设备身份认证技术(Authentication〕6/2/20247VPN的应用

目前，用于企业内部自建VPN的主要有两种技术——IPSecVPN和SSLVPN，IPSecVPN和SSLVPN主要解决的是基于互联网的远程接入和互联，虽然在技术上来说，它们也可以部署在其它的网络上(如专线)，但那样就失去了其应用的灵活性，它们更适用于商业客户等对价格特别敏感的客户。目前企业应用最广泛的是IPSecVPNIPSecVPN比较适合中小企业，其拥有较多的分支机构，并通过VPN隧道进行站点之间的连接，交换大容量的数据。企业有一定的规模，并且在IT建设、管理和维护方面拥有一定经验的员工。企业的数据比较敏感，要求平安级别较高。企业员工不能随便通过任意一台电脑就访问企业内部信息，移动办公员工的笔记本或电脑要配置防火墙和杀毒软件6/2/20248SSLVPN更适合那些需要很强灵活性的企业，员工需要在不同地点都可以轻易的访问公司内部资源，并可能通过各种移动终端或设备。企业的IT维护水平较低，员工对IT技术了解甚少，并且IT方面的投资不多。SSLVPN三大好处：

1、使用方便，不需要配置，可以立即安装和使用；

2、无需客户端，直接使用内嵌的SSL协议，而且几乎所有的浏览器都支持SSL协议。

3、兼容性好，支持电脑、PDA、智能、3G等一系列终端设备及大量移动用户接入的应用。

SSL

VPN缺点

只适合Site-to-LAN〔点对网〕的连接，无法解决LANtoLANVPN需求。6/2/20249VPN方案远程访问虚拟网〔AccessVPN〕、企业内部虚拟网〔IntranetVPN〕和企业扩展虚拟网〔ExtranetVPN〕，这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。1.如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的平安访问效劳，就可以考虑使用AccessVPN.AccessVPN通过一个拥有与专用网络相同策略的共享根底设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路〔xDSL〕、移动IP和电缆技术，能够平安地连接移动用户、远程工作者或分支机构。如图1所示。6/2/2024106/2/202411AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN效劳，就可以和公司的VPN网关建立私有的隧道连接。RADIUS效劳器可对员工进行验证和授权，保证连接的平安，同时负担的费用大大降低AccessVPN对用户的吸引力在于：*减少用于相关的调制解调器和终端效劳设备的资金及费用，简化网络；*实现本地拨号接入的功能来取代远距离接入或800接入，这样能显著降低远距离通信的费用；*极大的可扩展性，简便地对参加网络的新用户进行调度；*远端验证拨入用户效劳〔RADIUS〕基于标准，基于策略功能的平安效劳；*将工作重心从管理和保存运作拨号网络的工作人员转到公司的核心业务上来。2.如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好的方式。6/2/202412越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN.利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上平安传输。IntranetVPN通过一个使用专用连接的共享根底设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括平安、效劳质量〔QoS〕、可管理性和可靠性6/2/2024136/2/202414IntranetVPN对用户的吸引力在于：*减少WAN带宽的费用；*能使用灵活的拓扑结构，包括全网络连接；*新的站点能更快、更容易地被连接；*通过设备供给商WAN的连接冗余，可以延长网络的可用时间。3.如果是提供B2B之间的平安访问效劳，那么可以考虑ExtranetVPN6/2/202415随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息效劳，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种开展趋势提供了良好的根底，而如何利用Internet进行有效的信息管理，是企业开展中不可防止的一个关键问题。利用VPN技术可以组建平安的Extranet，既可以向客户、合作伙伴提供有效的信息效劳，又可以保证自身的内部网络的平安。ExtranetVPN通过一个使用专用连接的共享根底设施，将客户、供给商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括平安、效劳质量〔QoS〕、可管理性和可靠性6/2/2024166/2/202417VPN解决方案Cisco公司与路由器集成的VPN解决方案是一种较为常见的基于硬件的构建策略。各种用户，从电信运营商、小型分支机构到家庭和小型办公环境，都可以找到适合自己需求的解决方案。其中7100系列VPN路由器是一款集成了高性能路由和VPN效劳功能的产品，其硬件配置特别针对VPN应用及拓扑结构作了全面优化，内置有适应不同连接要求的多种网络端口，并具有VPN隧道交换、数据加密、平安效劳，防火墙、带宽管理等多种功能和效劳。6/2/2024187100系列VPN路由器，用户能够将VPN效劳扩展至远程访问、远程办公、Extranet连接及公共数据效劳网络。借助7100的VPN解决方案的周边平安机制、侵入检测及先进的带宽管理和效劳身份确认等功能，还有先进的带宽管理性能，可以保证用户的实时交易数据等高优先级数据流优先通过，满足了电子商务等活动的需要。对于用户要求的平安性能，7100系列VPN路由器那么提供了身份验证、完整性检验及实时检测等多种防护措施；对远程访问用户，也可以实行身份验证、授权访问资源及账号等"aaa"〔authentication、authorization及accounting〕控制。6/2/2024196/2/202420案例--中国网通MPLSVPN是一种基于MPLS(MultiprotocolLabelSwitching,多协议标记交换)技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络〔IPVPN〕，可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

中国网通以高速宽带互联网CNCnet为根底推出的MPLSVPN效劳，可使用户实现全国范围内的内部网络高速互连,使Intranet真正进入了宽带时代。

6/2/202421网络结构

中国网通MPLSVPN是构建于CNCnet主干网以及CNC在各地区的城域网之上的全程全网的、端到端的宽带MPLSVPN效劳。CNCnet是基于IPoverDWDM先进技术的全光纤、纯IP宽带网络，骨干网带宽到达40G。在国内与各网络通过各大城市中的NAP点分别以155M相连，同时在一些重要节点还有与各大型网络的光纤直连。CNCnet拥有国际海缆和路缆，国际出口资源非常丰富,可以提供高质量的Internet接入效劳。CNCnet在2000年的第一期建设中覆盖了京广线和沿海的整个中国中、东部地区，并在北京、上海、广州、深圳四个城市提供城域网的接入效劳，以丰富的接口类型，全面的MPLSVPN技术支持为客户提供高速的VPN业务。其网络结构6/2/2024226/2/202423关键技术

MPLS是一个网络层包转发的新兴标准，它主要基于IETF提交的一系列信令协议。在这些协议里，最主要的有标记分配协议(LDP)、资源预留协议(RSVP)以及限制路由的标签分配协议(CR_LDP)三种。这些协议都应用在分配标签和转发MPLS数据流上。6/2/202424MPLS技术是一个可以在多种第二层协议上进行标签交换的网络技术，并且不用改变现有的路由协议。目前第二层的协议有ATM、FR(帧中继)、Ethernet以及PPP。这一技术综合了第二层的交换和第三层路由的功能，将第二层的快速交换和第三层的路由有机地结合起来，第三层的路由在网络的边缘实施，而在MPLS的网络核心采用第二层交换。这样各层协议可以互相补充，充分发挥第二层良好的流量设计管理以及第三层"Hop-By-Hop"路由的灵活性，实现端到端的QoS保证。

6/2/202425CNCnet以CiscoGSR核心路由器组建的骨干网为核心，采用CISCO7513/CISCO7507向用户提供CISCO的BGP/MPLSVPN解决方案，同时采用GSR或CISCO7507提供虚拟专线业务；形成比较完整的基于MPLS的IPVPN解决方案。

6/2/202426中国网通MPLSVPN适用范围

中国网通MPLSVPN适用于各类大中型企业，尤其适用于商务活动频繁，数据通信量大，对网络依靠程度较高，有分支机构的企业与组织，如网络公司、IT公司、金融业、贸易行业、新闻机构等。

--金融业：银行，证券等。可以为其各网点间提供平安的宽带连接。

--多分支企业：这些企业具有如下特点：在不同位置有多个分支机构；在海外有分支机构或者本身是海外的分支机构。网通MPLSVPN为这类企业的各分支之间提供所需的连接，在其上可以运行企业的各种内部应用，并且可以融合各种不同业务和应用6/2/202427合作伙伴：有些公司与商业伙伴〔供给商或者大客户〕之间有经常性的联系，或者有大量的B2B业务需求。网通MPLSVPN为商业伙伴之间提供了平安的连接，也使B2B的商业模式有了更高的平安可靠保障。教育科研机构、政府部门或者团体组织之间也能够利用其建立连接。

--ICP&xSP：为其提供虚拟的专用骨干网；与大客户之间的连接。

--VoIP运营商：提供国际间业务的连接。

6/2/202428华为公司在网络操作系统VRP和相关网络产品的根底上推出了MPLSVPN，包括MPLS/BGPVPN、KompellaMPLSL2VPN(MPLS网络上透明地传递用户的二层数据)方案，为用户提供商用的MPLSVPN业务。如下图，华为MPLSVPN采用城域网核心层设备做为P设备，采用城域网会聚层设备做为PE设备，用户CE设备通过城域网接入层接入PE，全面实现MPLSVPN业务的运营。MPLSVPN有三种类型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客户端路由器，为用户提供到PE路由器的连接；PE路由器是运营商边缘路由器，也就是MPLS网络中的标签边缘路由器〔LER〕，它根据存放的路由信息将来自CE路由器或标签交换路径〔LSP〕的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息；P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交换路由器〔LSR〕，它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。BGP(BorderGatewayProtocol)种在自治系统之间动态交换路由信息的路由协议6/2/2024296/2/202430对于MPLSBGPVPN组网方式而言，由于CE、PE设备之间不能间隔其他三层设备，因此，在IP城域网组网时必须注意：对于通过L2+L3接入PE的LAN用户，可通过VLAN透传将CE的数据流终结到PE设备；对于采用路由器+L2建设的城域网，可通过GRE+策略路由的方式将VPN用户接入PE设备；对于使用综合方式接入的用户，可在PE设备终结PVC来实现VPN业务。

通过MPLSVPN技术，华为IP城域网方案可以提供企业内部互连〔Intranet〕、外部互连〔Extranet〕、Internet访问、跨AS域支持、网管和记费等效劳。6/2/202431企业内部互连与外部互连

实现企业内部跨区域互连或企业间跨区域互连是MPLSVPN的主要应用之一，根据企业用户的实际业务需求，可以通过VRF中Target属性〔Import、Export〕的灵活配置来实现。

企业跨区域内部互连需求

许多跨区域的大中型企业，希望将分布在各地区的子公司通过网络连接起来，图2和图3是华为提出的两种典型的实现方案。

6/2/2024326/2/202433各PEVRF中的Target属性相同，这种配置可以实现总部与分公司，分公司与分公司之间的互访，图3所示的方案可以实现总部与各分公司之间的互访，而各分公司之间不能互访。当然，通过对Target的不同配置，还可以实现更多的应用需求，如实现局部站点互访的需求6/2/202434企业间互连需求

许多企业为了方便与供给商、客户或合作伙伴进行联系，往往采用跨企业的网络实现互连，这就是所谓的Extranet。如果企业之间准许实现完全互访，那么通过简单地配置Target属性即可实现，但实际上大多数企业更倾向于企业间的受限访问方案。例如，企业希望合作企业只能访问到某些相关的数据库，图4所示的HUB-SPOKE方案可以实现这种需求。

6/2/2024356/2/202436两个SPOKE分别对应两个企业的Site。为了实现受限互通的目的，首先将两个Site中的路由通过IN接口导入CE设备的路由器中，CE设备采用策略路由等路由过滤机制，当然也可以在SPOKE处首先进行路由出过滤，然后从OUT出口将过滤后的路由发布到SPOKE上，实现企业之间的受限访问。6/2/202437Internet访问

Internet访问是MPLS效劳提供商为企业用户提供的重要业务，华为在综合考虑地址重叠、访问控制和平安因素等根底上，提供以下三种解决方案。

■企业内部访问控制方式

如图5所示，这种方式在每个企业的VPN内部对Internet访问设置NAT和防火墙处理，将平安机制放于企业的统一出口处〔CE2〕。VPN内部各Site访问Internet的数据流，首先到该VPN的某一Site中〔一般为公司总部Site〕，在该Site进行NAT和防火墙处理后进入公网。这种方式只要求在客户端进行配置，而对于运营商一侧，网络没有配置要求，但对运营商来说，这种方式无法对客户访问Internet进行统一管理。6/2/2024386/2/202439集中访问控制方式

如下图，这种方式的控制集中放置在效劳提供商的Internet出口处〔PE〕，为了解决各VPN重叠保存地址的问题，必须为每个VPN配置一个防火墙，各VPN用户通过属于自己的防火墙实现Internet访问。这种方法要求运营商为每个VPN配置一个访问Internet的VPN，在客户端需要配置一条访问InternetVPN的缺省路由，由于该方法要求运营商进行配置，而且每个VPN都需要一个防火墙，因此当VPN用户较多时网络投资较大，但这种方法允许运营商对VPN用户访问Internet进行有效的管理。6/2/2024406/2/202441二级控制方式

如下图，这种控制方式首先在企业内部进行Internet访问控制，然后在效劳提供商处再进行一次访问控制，即两级访问控制。这种方式的优点在于，它可使企业对内部用户的访问进行控制，同时运营商也可对用户访问Internet进行统一控制，这种方式与第二钟方式不同，它不需要增加太多的投资。当然这种方式的缺陷也是显然的，一是配置复杂，二是效率低于前两种。

6/2/2024426/2/202443对跨AS域的支持

对于大型MPLS骨干网来说，必须支持跨域业务，华为NE设备支持三种跨域方式。

VRF-to-VRF(VPNRouting/ForwardingInstance路由转发实例VPN-instance)

图所示，这种方式要求两个域的ASBR(AutonomousSystemBoundyRouter，自治系统边界路由器)能够完成PE功能，两个AS域各自运行自己的VPN。对于每个需要跨域的VPN，必须在本端跨域的PE设备上配置对应于该VPN的VRF，将对端的PE设备做为本域VPN的CE，PE-CE之间运行EBGP协议，携带对端的VPN路由信息。这个方法的优点是在于，ASBR之间不需要运行MPLS，但缺点是每个跨域的VPN需要与一个子接口绑定，子接口的数量至少要和跨域的VPN的数量相当。跨域的PE路由器需要维护跨域VPN的路由，因而存在扩展问题。

6/2/2024446/2/202445MP-EBGP

如下图，这种方式通过直连的ASBR传播VPN路由，并为相应的VPN路由分配一个标签，其优点是不需要在ASBR处为每个VPN的用户站点分配一个子接口，缺点是需要在ASBR处维护VPN路由，从PE入口到PE出口需要一条完整的LSP，ASBR之间需要互相信任。

6/2/2024466/2/202447Multi-HopMP-EBG

如下图，这种方式首先路由扩散在入口与出口之间，通过LDP或MP-BGP+LDP方式建立LSP，然后不同AS域之间的PE通过EBGP方式传播VPN路由信息。这种方式的可扩展性能较好，不需要在ASBR上维护具体用户的VPN路由信息。

6/2/2024486/2/202449华为的VPN解决方案华为的VPN解决方案包括AccessVPN、IntranetVPN、ExtranetVPN及结合防火墙的VPN解决方案。各方案中，Quidway系列路由器具有VPN网关功能，是组建VPN的重要设备。因为Quidway系列路由器支持各种VPN技术，包括隧道技术、IPsec、密钥交换技术、防火墙技术、QoS与配置管理等，并可继续开展，支持越来越多的先进技术，所以为用户提供了很好的选择和性价比。6/2/202450网际先进〔InternetAppliance〕公司的VPN解决方案利用网际先进公司的VPN产品，用户能够自己建立和发起VPN，其灵活性和平安性完全由用户自己掌握。因为网际先进的VPN产品是CPE端设备，也就是说不依赖于ISP提供VPN效劳。这些产品可以提供目前国际上加密位数最高的三重DES〔168位〕加密算法，其动态变换会话密钥的功能允许管理者定义多长时间必须修改一次会话密钥〔sessionkey〕，完全保证了用户的数据的平安性6/2/202451国产品牌深信服科技IPSecVPNM5100M5400M5600M5800S5100P51