某集团的vpn网络方案设计与分析

某集团的vpn网络方案设计与分析内容摘要：

分类模型 VPLS是用 Inter设施仿真 LAN网段。 VPLS可用于提供所谓的透明 LAN服务(TLS)。 TLS可用于以协议透明方式互连多个支干 CE节点 (如桥或路由器 )。 VPLS在 IP上仿真 LAN网段，类似于 LANE在 ATM上仿真 LAN网段。 它的主要优点是协议完全 透明，这在多协议传送和传送管理上是很重要的。 常用 VPN分析 L2TP VPN L2TP 介绍 L2TP可以让用户从客户端或访问服务器端发起 VPN连接。 L2TP是把链路层 PPP帧封装在公共网络 设施如 IP、 ATM、帧中继中进行隧道传输的封装协议。 Cisco、 Ascend、 Microsoft 和 RedBack 公司的专家们在修改了十几个版本后，终于在 1999 年 8月公布了 L2TP 的标准 RFC2661。 目前用户拨号访问 Inter时，必须使用 IP协议，并且其动态得到 的 IP地址也是合法的。 L2TP的好处就在于支持多种协议， 用户可以保 留原有的 IPX、Appletalk 等协议或公司原有的 IP地址。 L2TP 还解决了多个 PPP链路的捆绑问题， PPP链路捆绑要求其成员均指向同一个 NAS， L2TP可以使物理上连接到不同 NAS的 PPP链路，在逻辑上的终结点为同一个物理设备。 L2TP扩展了 PPP连接，在传统方式中用户通过模拟电话线或 ISDN/ADSL与网络访问服务器 (NAS)建立一个第 2层的连接，并在其上运行 PPP，第 2层连接的终结点和 PPP会话的终结点在同一个设备上 (如 NAS)。 L2TP作为 PPP 扩展提供更强大的功能，包括第 2层连接的终结点和PPP会话的终结点可以是不同的设备。 第 8 页 共 43 页 L2TP主要由 LAC(L2TP Access Concentrator)和 LNS(L2TPNetworkServer)构成， LAC(L2TP访问集中器 )支持客户端的 L2TP，他用于发起呼叫，接收呼叫和建立隧道； LNS(L2TP网络服务器 )是所有隧道的终点。 在传统的 PPP连接中，用户拨号连接的终点是 LAC， L2TP使得 PPP协议的终点延伸到 LNS。 CISCO说 的 LNS就是工作在以 PPP为终端的平台上， LNS处理服务器端的 L2TP协议。 LNS初始化发出呼叫和接收呼叫。 L2TP 协议结构 PPP 数据帧 L2TP 数据消息 L2TP 控制消息 L2TP 数据通道 L2TP 控制通道 包传输通道 图 4 L2TP协议结构 上 图所示 L2TP协议结构描述了 PPP帧和控制通道和数据通道之间的关系。 PPP帧首先被封装 L2TP头部并在不可靠数据通道上进行传输，然后进行 UDP、 Frame Relay、 ATM等包传输过程。 控制消息在可靠的 L2TP控制通道内传输。 通常 L2TP以 UDP报文的形式发送。 L2TP注册了 UDP 1701端口，但是这个端口仅用于初始的隧道建立过程中。 L2TP隧道发起方任选一个空闲的端口（未必是1701）向接收方的 1701端口发送报文；接收方收到报文后，也任选一个空闲的端口（未必是 1701），给发送方的指定端口回送报文。 至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。 L2TP 包封装 L2TP用户传输数据的隧道化过程采用多层封装的方法。 图 5中表示了封装后在隧道中传输 L2TP数据包格式。 Datelink header IP Header UDP Header L2TP Header PPP Header PPP Payload Datelink Trailer 图 5 L2TP数据包格式 若是封装在 IPSEC等数据包中这要加上 IPSEC 包头和包尾。 其中 IPSEC包头到包尾之间都是通过 ESP或者 AH协议加密过。 a. L2TP封装 初始 PPP有效载荷如 IP数据报、 IPX数据报或 NetBEUI帧等首先经过 PPP报头和L2TP报头的封装。 b. UDP封装 L2TP帧进一步添加 UDP报头进行 UDP封装，在 UDP报头中，源端和目的端端口号均设置为 1701。 第 9 页 共 43 页 c. IP封装 在 UDP数据报外再添加 IP报头进行 IP封装， IP报头中包含 VPN客户机和服务器的源端和目的端 IP地址。 数据链路层封装是 L2TP帧多层封装的的最后一层，依据不同的外发物理网络再添加相应的数据链路层报头和报尾。 例如，如果 L2TP帧将在以太网上传输，则用以太网报头和报尾对 L2TP帧进行数据链路层封装；如果 L2TP帧将在点 点 WAN上传输，如模拟电话网或 ISDN等，则用 PPP报头和报尾对 L2TP帧进行数据链路层封装。 在接收到 L2TP帧后， L2TP客户机或 服务器将做如下解封装处理： 处理并去除数据链路层报头和报尾；处理并去除 IP报头；处理 UDP报头并将数据报提交给 L2TP协议； L2TP协议依据 L2TP报头中 Tunnel ID和 Call ID分解出某条特定的 L2TP隧道；依据 PPP报头分解出 PPP有效载荷，并将它转发至相关的协议驱动程序做进一步处理。 L2TP 的优势 1． AAA Support (认证，审计，受权支持 ) L2TP是基于 PPP协议的，因此它除继承了 PPP 的所有安全特性外， 还可以对隧道端点进行验证，这使得通过 L2TP 所传 输的数据更加难以被攻击。 而且根据特定的 网络安全 要求，还可以方便地在 L2TP 之上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。 2. Encryption(加密 ) 支持如 IPSec and DES 加密 (40 and 56 bits are supported today, with plans for168bit support)。 3. Quality of Service(QOS支持 ) 利用 IP优先级，保证能为企业提供不同的隧道提供不同的带宽，能为企业提供各种不同的服务类型，以及相应核心业务的保证。 4. Reliability（可靠性支持） 基于多个备份的 LNS，所以能配置多个隧道组。 若连接到一个主 LNS链路出现故障， LAC将会重新连接备份的 LNS。 加强的 VPN可靠性和容错能力能确保企业的应用保证以及相关的服务级别。 5. Scalability on a Single LNS（对于单个 LNS的可伸缩性） L2TP支持无限制的 LAC会话和支持超过 2020个单 LNS的会话。 不同的设备对链接 会话的支持可能不一样。 6． Scalability on a Single Site （对于单个站点的可伸缩性） 可以支持 LAC和 LNS之间的多个隧道的负载均衡。 第 10 页 共 43 页 7． Address Management （地址管理） LNS可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持 DHCP 和私有地址应用。 远端用户所分配的地址不是Inter地址而是企业内部的私有地址，这样方便了地址的管理并可以增加 安全性。 8． Network Management（网络管理） 可以统一地采用 SNMP 网络管理方案进行方便的网络维护与管理，同时支持SYSLOG，方便排错和审计。 9．网络计费的灵活性 可以在 LAC和 LNS两处同时计费，即 ISP处（用于产生帐单）及企业处（用于付费及审记）。 L2TP 能够提供数据传输的出入包数，字节数及连接的起始、结束时间等计费数据，可以根据这些数据方便地进行网络计费。 L2TP会话建立过程 流程图如下： 图 6 L2TP 隧道建立流程图 ISDN 拨号至本地的接入服务器 LAC； LAC 接收呼叫并进行基本的辨别，这一过程可以采用几种标准，如域名或用户名、呼叫线路识别 CLID) 或拨 ID业务 (DNIS)等。 第 11 页 共 43 页 ，就建立一个通向 LNS 的拨号 VPN 隧道。 RADIUS 鉴定拨号用户。 与远程用户交换 PPP 信息，分配 IP 地址。 LNS 可采用企业专用地址 (未注册的 IP 地址 )或服务提 供商提供的地址空间分配 IP 地址。 因为内部源 IP 地址 与 目 的 地 IP 地址实际上都通过服务提供商的 IP 网络在 PPP 信息包内传送，企业专用地址对提供者的网 络是透明的。 LNS。 在实际应用中， LAC 将拨号用户的 PPP 帧封装后，传送到 LNS， LNS 去掉封装包头，得到 PPP 帧，再去掉 PPP 帧头得到网络层数据包。 GRE VPN GRE 概述 通用路由封装 GRE（ Generic Routing Encapsulation）是对某些网络层协议（如 IP 和 IPX）的报文进行封装，使这些被封装的报文能够在另一网络层协议（如 IP）中传输，并支持全部的路由协议如 RIP、 OSPF、 IGRP、 EIGRP。 GRE 可以作为 VPN 的第三层隧道协议，在协议层之间采用隧道（ Tunnel）技术。 Tunnel 是一个虚拟的点对点的连接，可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路，使封装的数据报能够在这个通路上传输，并在一个 Tunnel 的两端分别对数据报进行封装及解封装。 GRE 在包头中包含了协议类型，这用于标明乘客协议的类型；校验和包括了GRE 的包头和 完整的乘客协议与数据；密钥用于接收端验证接收的数据；序列 号用于接收端数据包的排序和差错控制；路由用于本数据包的路由。 GRE 只提供了数据包的封装，它并没有加密功能来防止网络侦听和攻击。 所以在实际环境中它常和 IPSec 在一起使用，由 IPSec 提供用户数据的加密，从而给用户提供更好的安全性。 GRE 结构 报文的传输： 图 7 多协议本地网通过单一骨干网 第 12 页 共 43 页 报文的传输包括封装和解封装的过程：  加封装过程 连接 Novell group1 的接口收到 IPX 数据报后，首先交由 IPX 协议处理。 IPX 协议检查 IPX 报头中的目的地址域来确定如何路由此包。 如果发现报文的目的地址要经过网号为 1f 的网络（ Tunnel 的虚拟网号），则将此报文发给网号为 1f 的 Tunnel 接口 ， Tunnel 接口收到此报文后进行 GRE 封装，封装完成后交给 IP 模块处理，在封装 IP 报文头后，根据报文目的地址及路由表交由相应的网络接口处理。  解封装过程 解封装过程和加封装过程相反。 从 Tunnel 接口收到 IP 报文，检查目的地址，当发现目的地就是此路由器时，系统去掉此报文的 IP 报头，交给 GRE 协议模块处理； GRE 协议模块完成相应的处理后，去掉 GRE 报头，再交由 IPX 协议模块处理， IPX 协议模块象对待一般数据报一样对此数据报进行处理。 如图 8 所示 ， IPX 封装在 IP Tunnel 中。 图 8 IPX 封装在 IP Tunnel 封装好的格式如图 9所示。 Delivery header GRE Header Payload packet 图 9 GRE 封装格式 GRE VPN 特点 优点： 加密为可选的，不象 IPSec 中加密是必须的，而加密方法是可选，所以大幅度减低了芯片的工作量，提高了系统 性能。 更细化的 QoS 服务能力，包含应用层 QoS。 第 13 页 共 43 页 IP 层的可见性使得对应用层的带宽管理成为可能。 能封装非 IP 协议，如 IPX 和 DEC。 缺点： 通信只局限在服务商的网络中，很大程度上依赖服务商提供的网络。 平面网状结构需要更多的准备开销，与基于 VC的 VPN 具有相同的问题，就是在大型 VPN 上会引起 N的平方问题。 所以不适合大型网络的拓展。 准备与管理的开销相对昂贵。 IPSEC VPN IPSEC VPN 的种类：  The seamless connection of two private works to form one bined virtual private work（无缝连接两个私有网络）  The extension of a private work to allow remoteaccess users (also known as road warriors) to bee part of the trusted work（允许远程用户接入）  LANtoLAN IPSec implementations (also known as sitetosite VPNs)(点到点 VPN)  Remoteaccess client IPSec implementations （客户端工具接入） IPSEC 概述 IPSec 是一种开放标准的框架结构，在。