作者:王达
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
华为VPN学习指南(ICT认证系列丛书)试读:
前言
经过数月、数十位编写、审核人员的辛勤创作和一次又一次的修改,本书终于完稿了,大家也都从这本书内容的专业性和实用性中感受到巨大的成就感。真心希望本书能给大家带来一些实际的帮助,得到大家一如既往的支持与喜爱,更诚挚欢迎、接受大家的批评与指正。
本书特色
本书在编写过程中,聚集了多位专家老师的智慧和专业技能,也权衡了各位专家老师在图书定位、内容编排、整书框架部署、以及具体的知识点写作等方面的建议。使得本书具有了许多以下鲜明特色。(1)华为安全HCNP技能学习、培训的指定教材
本书由华为技术有限公司官方直接授权创作,在具体编写过程中既充分考虑了普通读者系统学习VPN技术及功能配置与管理方法的需求,同时也考虑到了参加华为安全HCNP认证考试的学习需求。本书是国内第一本、也是唯一一权威的华为网络安全领域VPN技术自学、培训教材。(2)内容全面、系统、深入,一册无忧
本书是专门针对华为设备各种IP VPN(包括IPSec VPN、L2TP VPN、GRE VPN、DSVPN和SSL VPN)方案进行内容编排的,不仅介绍了各种VPN方案所涉及的各方面技术原理,还全面介绍了各种VPN在不同场景下的配置与管理方法。真正的“一册在手,别无所求”。(3)通俗原理剖析与完善配置思路结合
为了帮助大家真正理解和掌握各种VPN方案的实现原理,在本书中笔者结合了近20年的工作和学习经验,对各种VPN方案所涉及的许多比较高深、复杂的技术原理进行了深入、通俗化地剖析,许多纯是经验之谈,其他渠道很难获取。另外,为了帮助大家对各种VPN方案在不同场景下的配置思路和方法有一个清晰的认识,笔者在内容编排上采取了分门别类的方式进行讲解,使大家可以非常快捷地找到对应场景下的完整配置思路和方法。(4)大量配置示例和故障排除方法结合
为了增强本书的实用性,在介绍完每一种相关功能配置后都列举了大量的不同场景下的配置示例,以加深大家对前面所学技术原理和具体配置与管理方法的理解。许多配置示例完全可直接应用于不同现实场景。另外,为了使大家能在部署VPN方案时对所遇到的各种故障迅速地进行排除,在大部分章的最后都介绍了针对一些典型故障现象的排除方法,使得本书具有非常高的专业性和实用性。
适用读者对象
本书具备极高的系统性、专业性和实用性,适合于各层次的读者,具体如下。
使用华为AR系列路由器、USG系列防火墙产品的用户(华为S系列交换机支持部分功能);
华为培训合作伙伴、华为网络学院的学员;
高等院校的计算机网络专业学生;
希望从零开始系统学习华为设备VPN技术的读者;
希望有一本可在平时工作中查阅的华为设备VPN技术手册的读者。
本书主要内容
本书是国内图书市场中第一本专门介绍华为VPN技术原理及配置与管理方法的工具图书,也是华为ICT认证系列培训教材。全书共9章,以华为AR系列路由器(部分VPN方案也适用于华为S系列交换机,其中的技术原理及大多数配置方法同样适用于华为USG系列防火墙)所支持的各种IP VPN(基于MPLS的VPN将在《华为MPLS学习指南》一书中介绍)方案为主线全面、系统、深入地介绍了IPSec VPN、L2TP VPN、GRE VPN、DSVPN和SSL VPN的各方面技术原理及各项功能的配置与管理方法。各章的基本内容如下。
第1章 VPN基础:从宏观角度,比较全面介绍了IP VPN技术的一些基础知识,包括VPN的定义、分类、各种隧道协议(PPTP、L2TP、GRE、IPSec、MPLS),以及各种安全技术原理,包括PAP、CHAP身份认证原理,数据加密、数字签名、数字信封、数字证书技术原理,MD5、SHA、SM3、AES、DES等认证或加密算法原理。
第2章 IPSec基础及手工方式IPSec VPN配置与管理:本章首先全面、系统地介绍了IPSec相关的基础知识和技术原理,包括IPSec的安全机制、封装模式、AH和ESP报头格式,IPSec保护数据流定义方式,以及IPSec隧道建立原理和IKEv1/v2密钥交换原理。然后专门介绍采用基于ACL定义保护数据流的手工方式建立IPSec隧道的配置与管理方法。在最后介绍了在采用手工方式建立IPSec隧道过程中可能出现的一些典型故障的排除方法。
第3章 IKE动态协商方式建立IPSec VPN的配置与管理:本章专门介绍了在采用基于ACL定义保护数据流的IKE协议动态协商方式建立IPSec隧道的配置与管理方法。本章有大量针对不同应用场景下的配置示例,并在最后也专门介绍了在采用IKE协议动态协商建立IPSec隧道的过程中可能出现的一些典型故障的排除方法。
第4章 基于Tunnel接口和Efficient VPN策略的IPSec VPN配置与管理:本章介绍了基于Tunnel接口定义保护数据流和基于Efficient VPN策略建立IPSec隧道的配置与管理方法。基于隧道接口方式的主要特点是无需通过ACL来定义数据流,凡是通过Tunnel接口转的数据流都将被IPSec保护;基于Efficient VPN策略方式可以使远程终端的配置极为简单,更适合采用动态IP公网接入的移动办公用户远程接入企业网络。
第5章 L2TP VPN配置与管理:本章专门介绍了L2TP VPN这种二层VPN解决方案所涉及的各方面基础知识、技术原理和具体功能配置与管理方法。在基础方面主要包括L2TP VPN体系架构、L2TP协议报文格式,L2TP隧道模式;在技术原理方面主要涉及L2TP报文的封装和传输原理、各种L2TP隧道模式的隧道建立流程。在本章最后列举了多个不适用不同场景下的L2TP VPN配置示例,介绍了在L2TP VPN部署中可能出现的一些典型故障的排除方法。
第6章 GRE VPN配置与管理:本章专门介绍了GRE VPN解决方案所涉及的各方面基础知识、技术原理和具体功能配置与管理方法。主要包括GRE协议报文格式、GRE报文的封装和解封装原理、GRE安全机制和GRE隧道配置与管理方法。在本章最后列举了多个不适用不同场景下的GRE VPN配置示例,介绍了在GRE VPN部署中可能出现的一些典型故障的排除方法。
第7章 DSVPN配置与管理:本书专门介绍了DSVPN解决方案所涉及的各方面基础知识、技术原理和具体功能配置与管理方法。主要包括m GRE协议报文的封装和解封装原理、NHRP协议工作原理、shortcut和非shortcut场景的DSVPN工作原理、DSVPN NAT穿越和IPSec保护原理,以及shortcut和非shortcut场景下DSVPN隧道配置与管理方法。在本章最后列举了多个不适用不同场景、不同路由方式下的DSVPN配置示例,介绍了在DSVPN部署中可能出现的一些典型故障的排除方法。
第8章 PKI配置与管理:本章是为第9章介绍SSL VPN打基础,其目的是为设备申请本地数字证书,因为在SSL VPN部署中要用到数字证书进行身份认证。本章主要围绕本地数字证书的申请、下载、安装、更新介绍了PKI各方面的基础知识、技术原理和具体功能配置与管理方法。在基础知识和技术原理方面包括PKI体系架构、数字证书结构和分类、PKI工作机制。在本章最后列举了多个采用不同方式申请本地证书的配置示例,介绍了在本地证书申请过程中可能出现的一些典型故障的排除方法。
第9章 SSL VPN配置与管理:本章围绕SSL VPN部署过程中除了PKI数字证书以外的SSL策略、HTTPS服务器、SSL VPN这三个方面的功能与管理方法进行介绍。部署SSL VPN首先要把网关设备配置为HTTPS服务器,以供远程用户可以通过浏览器以Web方式进行访问。在HTTPS服务器的配置过程中需要配置SSL服务器策略,而在创建SSL服务器策略时又要用到设备的本地证书。最后把设备配置为SSL VPN网关,为远程用户提供访问企业内网资源的Web页面。同样,在本章最后也列举了多个基于不同业务类型的SSL VPN配置示例。
阅读注意地方
在阅读本书时,请注意以下几个地方。
书中是以华为最新一代AR G3系列路由器、V200R006及以后版本VRP系统的配置为主线进行介绍。
在配置命令代码介绍中,粗体字部分是命令本身或关键字选项部分,是不可变的;斜体字部分是命令或者关键字的参数部分,是可变的。
在介绍各种VPN技术及功能配置说明过程中,对于一些需要特别注意的地方均以粗体字格式加以强调,以便读者在阅读学习时引起特别注意。
为了使书中内容具有更广的适用性,在介绍具体的配置步骤过程中,对一些命令在不同VRP系统版本中的支持情况做了具体说明。第1章VPN基础
1.1 VPN的起源、定义与优势
1.2 VPN方案的分类
1.3 VPN隧道技术
1.4 VPN身份认证技术
1.5 加密、数字信封、数字签名和数字证书原理
1.6 MD5认证算法原理
1.7 SHA认证算法原理
1.8 SM3认证算法原理
1.9 AES加密算法原理
1.10 DES加密算法原理
本章作为本书开篇,将对本书后续各章所涉及的一些公用技术基础知识和技术原理进行介绍。其中主要包括VPN定义(这对理解什么是VPN很重要)、VPN的分类,以及各种VPN隧道技术(如PPTP、L2TP、IPSec、GRE、MPLS等)、VPN身份认证技术(如PAP、CHAP、AH、ESP)、认证算法(如MD5、SHA、SM3)和加密算法(如AES、DES、3DES等),以及加密、数字签名和数字信封技术原理,为本书后续各章的学习打下基础。因为本书的重点是后续各章将要介绍华为AR G3系列路由器中所支持的各种VPN解决方案的具体配置与管理方法,所以对于一些复杂的认证算法和加密算法的具体运算原理无需有太深入的了解。1.1 VPN的起源、定义与优势
任何技术的诞生都有其特定的应用需求背景,即是由需求驱动产生的。在计算机网络发展初期,各企业的局域网基本上都处于同一地点,无分机构网络,也就无需进行远程连接。但随着经济的发展,计算机网络应用的普及和发展日趋完善,越来越多的企业开始在全国,甚至全球建立分支机构,全国乃至全球的合作伙伴也日益增多,同时公司员工对移动访问公司网络的需求也不断增加。这一切都涉及到一个非常现实的重要问题,那就是如何通过安全、便捷的方式把这些分支机构的内部网络进行互联,实现资源共享;如何使合作伙伴、公司移动办公员工可以方便、快捷地访问公司内部网络。这就是VPN (Virtual Private Network,虚拟专用网)技术诞生的最初背景需求,但最初解决这类需求的方案还不是VPN,这将在1.1.1节具体介绍。
VPN是一类技术的统称,随着技术的发展,产生了多种可以实现以上目的的VPN解决方案,如本书后续各章所介绍的IPSec VPN、GRE VPN、L2TP VPN、DSVPN和SSL VPN等。但这些VPN解决方案都有两个共同的基本特点:(1)主要应用于通过公共的Internet进行远程网络连接,满足了远程网络连接的便捷性;(2)不是直接通过公共的Internet来传输远程网络互联通信中的数据,而是会采取各种安全保密技术(或称“隧道”技术),使得人们担心的安全问题也随之得到解决。1.1.1 VPN的起源
最初,为了解决企业网络远程连接的问题,电信运营商采用的是租赁线路(Leased Line)的方式为客户提供远程网络的专线连接,但这并不是我们现在所说的真正意义上的VPN,两者只是功能类似。
这种专线方式是为企业用户提供物理的二层链路,即以二层的方式为企业用户实现远程网络的连接。这种专线方式有其明显的缺点:网络建设时间长、价格昂贵,不适宜太远距离的连接,因为都需要专门为每一个用户架设物理线路,而且一条物理线路只为一个用户专用,线路利用率低。对用户来说,租用专线的费用的确非常高,不仅限制了用户的使用,同时也阻碍了远程网络连接技术的应用和发展。这不符合我们前面所说到的VPN所具有的便捷、安全这些基本特性。
为了解决租赁专线方案的建设成本、企业用户接入费用昂贵问题,随着 ATM (Asynchronous Transfer Mode,异步传输模式)和FR(Frame Relay,帧中继)技术的兴起,电信运营商转而使用虚电路方式[参见笔者最新著作《深入理解计算机网络(新版)》],利用运营商现有的ATM网络,或FR网络为客户提供点到点的二层网络的远程连接,客户再在其上建立自己的三层网络以承载IP等数据流。
在虚电路方式下可以在一条物理线路中构建多条虚拟通道,而且也是在现有的ATM或FR网络基础上建立的,所以这种解决方案与以前的租赁专线方案相比,最大的优势就是运营商网络建设时间短、网络建设成本也得到了大大降低。因为这种解决方案不再需要为每个企业用户专门架设物理线路,而是直接在原物理线路基础上构建一条虚拟通道即可。但这种传统专网也存在以下诸多不足:
依赖于专用的传输介质:为提供基于ATM的VPN服务,运营商需要建立覆盖全部服务范围的ATM网络;为提供基于FR的VPN服务,又需要建立覆盖全部服务范围的FR网络,网络建设成本高,也与飞速发展的IP网络背景不协调(ATM网络和FR网络正慢慢被淘汰)。
安全性较差:在虚电路中传输的数据没有足够的安全技术进行加密保护,仍存在较大的安全隐患。
速率较慢:利用ATM和FR技术进行远距离网络连接时的连接速率通常是只有几十Mb/s,不能满足当前Internet应用在速率方面的要求。
部署复杂:向已有的私有网络加入新的站点时,需要同时修改所有接入此站点的边缘节点的配置,缺乏足够的灵活性和便捷性。
由此可见,以上两种传统专网都难以满足企业对网络灵活性、安全性、经济性、扩展性等方面的要求。这就促使了一种新的替代方案的产生,即在现有IP网络上模拟传统专网的VPN方案。1.1.2 VPN的通俗理解
现在所说的VPN是指依靠ISP(Internet Service Provider,Internet服务提供商)和NSP(Network Service Provider,网络服务提供商)在公共网络(Internet或者企业公共网络)中建立的虚拟专用通信网络。它的基本原理是利用隧道技术,把要传输的原始协议数据包文封装在隧道协议中进行透明(与底层的公共网络无关)远程传输。
说明
隧道技术是一项使用一种协议封装另外一种协议报文的技术,而封装协议本身也可以被其他封装协议所封装或承载,即一个协议的报文可以被其他协议多次封装。封装其他协议的目的就是为了协议报文能够在其他协议对应的链路上识别并传输。常用的隧道协议有L2TP(Layer 2 Tunneling Protocol,二层隧道协议)、PPTP(Point-to-Point Tunneling Protocol,点对点隧道协议)、GRE(Generic Routing Encapsulation,通用路由封装)、IPSec(Internet Protocol Security,Internet协议安全)、MPLS(Multi-Protocol Label Switching,多协议标签交换)等。本章后续将具体介绍。
如果通俗地来形容VPN的话,可以由这样一个类比来说明。
如图1-1是一个现实的普通公路交通图,假设各个进/出口都连接了一个城镇(分别用A、B、C、D、E来代表)。从图中可以看出各城镇的进/出口之间已是相互连接的,形成一个小型的公路网(以此类比VPN所要利用的公共网络——Internet),各进/出口之间可选择通行的路径也不止一条。正常情况下,每条公路上行驶的车辆也是不受限制的通行,也就是各城镇之间的人们可以自由通行。就像我们平时访问Internet一样,只要接入了Internet,不管你走的是哪条通信路径,访问一些公共资源基本上是不受限制的。图1-1 进行VPN类似的交通公路网
现假设要对A、B进/出口所连接的城镇之间人们的通行进行管制,在A、B两进/出口之间通过增加一些交通设施,把这条原来为普通的公路改为高速公路(假设为了节省成本,不新建高速公路。中间也可以还经过其他进/出口,就相当于在Internet连接中要经过许多三层设备一样),使得这两个城镇之间人们的通行只能沿着图中所画的那条路径进行。这里主要是出于通行的便捷、安全性考虑,防止其他无关车辆妨碍这两个城镇之间人们的出行。这样一来,A、B进/出口所连接的城镇之间的出行就只能走这条受保护的“高速公路”了,而不能通过其他路径,这就类似我们这里所讲的VPN了。
通过以上类比,我们可以得出VPN所具有的几方面特性。
在没有建立专门的隧道前,VPN两端的设备已可通过公共网络连接,即VPN两端的网关设备必须已成功接入到公共网络中,就像前面类比中A、B两进/出口已连接到公路网中一样。这也是我们在后续各章介绍具体VPN配置示例时要求先要确保两端网关设备必须已通过公网路由互通的原因。
VPN隧道是在现有公共网络(如Internet)的通信路径上建立的,无需另外建立专门的网络连接,这是VPN隧道之所以可以很快捷地完成建立、价格也不昂贵的根本原因,从而区别于专线连接。
VPN隧道虽说是虚拟的(不是真实的隧道),但隧道中的通信路径不是虚拟的,也是公共网络中真实的物理通信路径,必须依靠公共网络中实际的路由路径进行一级级的数据包转发,而不是真的可以从隧道一端直达另一端的。
VPN隧道是专用的,不是什么数据都可以通过隧道进行传输的。虽然多路VPN用户的隧道可以共享同一个公共网络,但对每一路VPN用户来说,使用的都是专用通道,如图1-2所示,互不干扰。VPN与底层承载的公共网络之间也保持资源独立,即一个VPN通道的资源不会被网络中非该VPN的用户所使用。图1-2 多路VPN用户共享同一个公共网络的示意
VPN隧道并不都是点对点建立的,中间也可以有其他三层设备,但这些三层设备对VPN隧道中传输的数据是作透明传输的(NAT设备除外,此时需要开启NAT穿越功能),因为路径中间的普通三层设备只负责根据IP报头的地址信息查找路由表进行转发,而不会对数据包进行处理(不能识别隧道协议报头内容,只有VPN端点的网关设备才会对到达隧道端点的数据进行处理)。
隧道中传输的数据是经过一定安全保护的,因为在一些VPN方案中,隧道是采用身份认证、加密保护措施的,所以传输的数据也往往有各种加密、数据完整性检查等安全措施,如IPSec VPN。就像专用的高速公路车道会有许多不同于普通公路的一些交通法规和设施一样。1.1.3 VPN的主要优势
通过VPN可将远程用户、公司分支机构、合作伙伴与公司总部的网络建立可信的安全连接,从而实现数据的安全传输。利用VPN的专用和虚拟的特征,可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富:可以用在解决企业不同部门或分支机构间的互连;也可以用来提供新的业务,如为IP电话业务专门开辟一个VPN,就可以解决IP网络地址不足、Qo S保证,以及开展新的增值服务等问题。
在解决企业互连和提供各种新业务方面,VPN,尤其是MPLS VPN(将在《华为MPLS学习指南》一书中具体介绍),越来越被运营商看好,成为运营商在IP网络提供增值业务的重要手段。
从客户角度看,VPN和传统的数据专网相比具有以下优势:
安全连接:通过一系列的安全技术,可确保在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠、安全的网络连接,保证数据传输的安全性,比直接通过公共网络通信安全。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
经济可行:利用广泛使用、廉价的公共网络进行远程网络互联,企业可以用更低的成本(许多VPN方案分支机构或远程终端可以采用廉价的动态IP地址的Internet接入方式)连接远程办事机构、出差人员和业务伙伴网络,轻松实现原来想都不敢想的意愿。
支持移动业务:支持驻外VPN用户在任何时间和地点通过目前已非常普及的各种廉价Internet接入方式连接到远程的公司内部网络(当然,不同VPN方案对移动接入的支持程度会有所不同,如GRE VPN就不支持),能够满足不断增长的移动业务需求。
服务质量保证:构建具有服务质量保证的VPN(如MPLS VPN),可为VPN用户提供不同等级的服务质量保证。
从运营商角度看,VPN具有以下优势:
提高资源利用率:因为VPN是利用已有的公共网络来建立,所以这样可以提高运营商的公共网络资源利用率,有助于增加ISP的收益。
方便、快捷:这种无需专门构建专线连接的VPN方案,通过软件配置就可以方便、快捷地增加、删除VPN用户,修改用户的VPN方案配置,无需改动硬件设施。在实际的VPN方案部署和应用上都具有很大的灵活性。
多业务支持:通过为用户部署VPN方案,服务提供商(NSP)在为用户提供VPN互连的基础上,还可以承揽用户的网络外包、业务外包、客户化专业服务的多业务经营,进一步增加运营商的营收。
VPN以其独具特色的优势赢得了越来越多企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业商业目标的实现。另外,运营商可以只管理和运行一个公共网络,并在这个公共网络上同时提供多种服务,如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。VPN在保证网络的安全性、可靠性、可管理性的同时,还可为用户提供更强的扩展性和灵活性。1.2 VPN方案的分类
随着网络技术的发展,VPN技术得到了广泛的应用,同时也得到了很大的发展,基于各种软硬件平台涌现了许多不同的VPN解决方案。按照不同的角度,VPN方案可以分为多种类型。1.2.1 按VPN的应用平台分类
根据VPN的应用平台可分为:软件平台和硬件平台两类。
1.软件平台VPN
当对数据连接速率要求不高,对性能和安全性要求不强时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能,如Open VPN、Green VPN、天行VPN等。甚至可以不需要另外购置软件,仅依靠Windows和Linux服务器、客户端操作系统就可以实现纯软件平台的VPN连接。
这类VPN网络一般性能较差,数据传输速率较低,同时在安全性方面也比较低,一般仅适用于连接用户较少的小型企业和个人用户。
2.硬件平台VPN
使用硬件平台的VPN功能可以满足企业和个人用户对高数据安全及通信性能的需求。在硬件平台VPN中,有专门的VPN设备,如网康VPN、深信服VPN及品牌的VPN网关设备,但更多是集成在交换机、路由器或防火墙设备中的,如华为、思科和华三等三层交换机(交换机仅支持少数VPN方案)、路由器和防火墙中就自带有一些VPN功能。本书专门介绍华为交换机、路由器中的VPN解决方案。
其实,硬件平台VPN也并不是仅需要硬件设备,对于一些移动接入用户也还是需要借助一些软件系统来实现的。通常是需要在用户主机上安装VPN客户端软件,如HUAWEI VPN Client等。1.2.2 按组网模型分
在华为设备所支持的VPN解决方案中,按组网模型也即组网方式分,目前主要有VPDN(Virtual Private Dial Network,虚拟专用拨号网络)、VPRN(Virtual Private Routing Network,虚拟专用路由网络)、VLL(Virtual Leased Line,虚拟租用线路)和VPLS(Virtual Private LAN Service,虚拟专用局域网业务)等几种VPN解决方案。
1.VPDN方案
随着企业的发展和业务的不断拓展,在不同地域成立的分支机构和出差的员工往往也需要和公司总部网络建立快速、安全和可靠的网络连接,以实现资源共享。传统的拨号网络需要租用ISP的电话线路,申请公共的号码或IP地址,不仅产生高额的费用,而且无法为远程用户尤其是出差员工提供便利的接入服务。为了更好的利用拨号网络,方便远程用户的接入,产生了基于拨号网络的VPN,即VPDN。通过VPDN技术,远程用户和企业总部网关之间建立了一条端到端虚拟链路。
在VPDN类型中,又根据所采用的隧道技术的不同而分为以下几种VPN方案。(1)PPTP(Point-to-Point Tunneling Protocol,点对点隧道协议) VPN
PPTP协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议VPN,可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、直接连接Internet或其他网络安全地访问企业网。主要应用于直接通过各种Windows、Linux操作系统构建VPN网络的应用场景。
这种PPTP VPN有以下不足:只支持IP网络(不支持ATM、FR、X.25网络),只能在两端之间构建一条VPN隧道、不支持隧道验证,报文封装时的额外开销大等,目前比较少用,华为设备也不支持。(2)L2F(Layer 2 Forwarding,二层转发)VPN
L2F协议最初是由Cisco开发并专用,于1998年提交给IETF,成为RFC2341,是基于PPP或SLIP(Serial Line Internet Protocol,串行线路网际协议)协议的一种扩展应用,可以基于PPP或SLIP拨号网络在公共的IP、ATM、FR等网络基础上构建一条虚拟隧道,但这种协议不支持数据加密标准,所以这个协议已经很少用了。(3)L2TP(Layer 2 Tunneling Protocol,二层隧道协议)VPN
L2TP协议可以说是L2F协议的改进版,同时也结合了PPTP协议的一些优点,所以它也是PPP协议的一种扩展应用。它不仅支持多种公共网络协议(如IP、ATM、FR等),还支持隧道验证功能,支持在两个端点间构建多条VPN隧道,是目前应用最广泛的一种二层隧道协议。但它的安全保护措施仍然不是很好,与PPTP、L2F协议一样,既不支持对隧道中传输的数据进行加密保护,也不能对所接收的数据进行完全性验性和身份检查。所以如果想要部署更安全的L2TP VPN,通常还是要与IPSec结构,构建L2TP over IPSec VPN,具体将在本书后续章节介绍。
VPDN利用公共网络的拨号功能及接入网,为企业、小型ISP和移动办公人员提供拨号VPN远程接入服务。VPDN方案中,用户可以使用私有IP地址,接入技术也可使用广泛使用的PSTN(Public Switched Telephone Network,公共交换电话网络)、ISDN (Integrated Services Digital Network,综合业务数字网)、x DSL,甚至像L2TP还支持光纤以太网接入方式,使得用户在进行VPN方案建设时投资少、周期短,网络运行费用低。
VPDN还具有灵活的身份认证机制和网络计费方式(利用AAA功能),以及较高的安全性,并支持动态IP地址分配。此外,VPDN虽然采用的是二层隧道协议,但像L2F、L2TP一样都能支持多种三层网络协议。
2.VPRN方案
VPRN是总部、分支机构和远端办公室内部网络之间通过公共网络管理虚拟设备互连,属于站点到站点(Site-to-Site)的远程网络连接。VPRN数据包的转发是在网络层实现的,公共网络的每个VPN节点需要为每个VPN建立专用路由转发表,包含网络层可达性信息。数据流在公共网络的VPN节点之间的转发以及VPN节点和用户站点之间的转发都是基于这些专用路由转发表。
根据所使用的隧道协议的不同,VPRN方案包括多种VPN类型,例如GRE VPN、IPSec VPN、DSVPN(Dynamic Smart VPN,动态智能VPN)、SSL(Secure Sockets Layer,安全套接字层)VPN、MPLS L3VPN(三层VPN)等。
在本书后续章节将对GRE VPN、IPSec VPN、DSVPN和SSL VPN进行具体介绍, MPLS L3VPN将在《华为MPLS学习指南》中介绍。
3.VLL方案
传统的二层隧道是通过二层的交换技术来实现的,比如X.25、FR、ATM网络,通过对应二层设备来完成用户节点间二层隧道的建立。由于使用了不同的二层协议,因此不同种二层网络是隔离的。MPLS标签技术的产生,为建立统一兼容的二层交换网络提供了可能。可以把MPLS理解成为一个特殊的二层协议,也就是说在原有的各种二层封装基础上再进行MPLS封装。
VLL技术就是一种建立在MPLS技术上的二层隧道技术,是对传统租用专线业务的仿真,使用IP网络模拟租用线,提供非对称、低成本的DDN(Digital Data Network,数字数据网络)业务。从虚拟租用线两端的用户来看,该虚拟租用线近似于传统的租用线,能够支持几乎所有的链路层协议,解决了不同网络介质不能相互通信的问题,主要是在接入层和汇聚层使用。但它不能直接在服务商处进行多点间的业务交换。
4.VPLS方案
VPLS是公共网络中提供的一种点到多点的L2VPN(二层VPN)业务,使地域上隔离的用户站点能通过LAN/WAN相连,并且使各个站点间的连接效果像在一个LAN中一样。
VPLS也是一种基于以太网和MPLS标签交换的二层VPN技术,结合了以太网技术和MPLS技术的优势,是对传统LAN全部功能的仿真,可以实现多点通信。
说明
VLL和VPLS这两种二层VPN方案因为涉及MPLS技术,所以本书不作具体介绍,将在《华为MPLS学习指南》一书中介绍。1.2.3 按业务用途分
根据VPN应用的业务类型来分,VPN方案可分为:Intranet VPN、Access VPN与Extranet VPN三类,但更多情况下是需要同时用到这三种VPN网络类型,特别是对于大型企业,因为在这类用户中不仅有站点到站点的网络互联需求,也有移动用户的端到端(End-to-End)或者端到站点(End-to-Site)的接入需求。(1)Access VPN(远程访问虚拟专网)
Access VPN(远程访问虚拟专网)又称为拨号VPN(即前面介绍的VPDN),是指企业员工或企业的小分支机构通过公共网络远程拨号的方式构建的虚拟专用网。如果企业的内部人员有移动办公需要,或者商家要提供B2C(企业到客户)的安全访问服务,就可以考虑使用Access VPN。
Access VPN能使用户随时随地以按需方式访问企业资源,可充分节省接入费用。Access VPN包括能随时使用传统电话网络Modem拨号、ISDN拨号、数字用户线路(xDSL)拨号、无线接入和有线电视电缆等拨号技术,安全地连接移动用户、远程工作者或分支机构。Access VPN具有灵活的身份认证机制和网络计费方式,以及高度的安全性,并支持动态地址分配。
Access VPN是一类二层VPN技术,包括前面提到的PPTP VPN、L2F VPN和L2TP VPN这几种,可以实现点对点(如两主机的远程互联)、端到站点(如移动办公主机与公司网络互联),甚至站点到站点(分支机构与公司总部网络的互联)的远程连接。其典型网络结构,如图1-3所示。图1-3 Access VPN典型网络结构
Access VPN方式对于需要移动办公的企业来说不失为一种经济安全、灵活自由的好方式,所以这种方式通常也被许多中小型企业常用。但这种VPN模式的连接性能较低,不适用于大量用户或者高负载应用。(2)Intranet VPN(企业内部虚拟专网)
Intranet VPN(企业内部虚拟专网)通过公共网络进行企业集团内部多个分支机构与公司总部网络的互联,是传统专网或其他企业网的扩展或替代形式。随着企业的跨地区工作,国际化经营,这是绝大多数大中型企业所必需的,如要进行企业内部各分支机构的互联,那么使用Intranet VPN是很好的方式。
Intranet VPN是通过公用Internet或者第三方专用网络进行连接的,有条件的企业可以采用光纤作为传输介质,所实现的基本上都是站点到站点的网络互联。可以实现的Intranet VPN的方案比较多,如L2TP VPN可以,GRE VPN、IPSec VPN、SSL VPN和DSVPN也可以。它的主要特点就是容易建立连接、连接速度快,并可为各分支机构提供了相应的网络访问权限。如图1-4是Intranet VPN的典型网络结构。图1-4 Intranet VPN典型网络结构
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵,而利用Intranet VPN特性可以经济地在Internet上组建世界范围内的Intranet VPN。使用Intranet VPN,企事业机构的总部、分支机构、办事处或移动办公人员可以通过公共网络组成企业内部网络,也可用来构建银行、政府等机构的Intranet。典型的Intranet VPN例子就是连锁超市、仓储物流公司、加油站等具有连锁性质的机构。(3)Extranet VPN
Extranet VPN即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网络通过公共网络来构建的虚拟网。Extranet VPN的基本网络结构与Intranet VPN一样,当然所连接的对象也会有所不一样,其典型结构如图1-5所示。
如果是需要提供B2B(企业到企业)电子商务之间的安全访问服务,则可以考虑选用Extranet VPN。Extranet利用VPN将企业网延伸至供应商、合作伙伴与客户处,在具有共同利益的不同企业间通过公共网络构建VPN,使部分资源能够在不同VPN用户间共享。图1-5 Extranet VPN典型网络结构
Extranet类型VPN也可使用那些支持站点到站点网络连接的VPN解决方案(如前面提到的L2TP VPN、GRE VPN、IPSec VPN、SSL VPN和DSVPN等),只是在VPN用户对网络资源的访问权限配置上有所区别而已。访问权限的限制主是网络内部服务器上进行配置的,在SSL VPN方案中还可在SSL VPN虚拟网关上进行配置,具体将在本书第9章介绍。1.2.4 按实现层次分
按VPN隧道连接实现所对应的计算机网络体系结构层次,可把VPN方案分为L2VPN、L3VPN和VPDN这三种。
1.L2VPN
在华为设备所支持的L2VPN方案比较多,包括前面所提到的VLL、VPLS和PW3 (Pseudo-Wire Emulation Edge to Edge,端到端伪线仿真),都属于MPLS L2VPN类型,以上这些会在《华为MPLS学习指南》一书中介绍。VLL适合较大的企业通过WAN互连,而VPLS适合小企业通过城域网互连。
PWE3是一种端到端的MPLS L2VPN技术,在PSN(Packet Switched Network,分组交换网络)中尽可能真实地模仿ATM、FR、以太网、低速TDM(Time Division Multiplexing,时分复用)电路和SONET(Synchronous Optical Network,同步光网络)/SDH(Synchronous Digital Hierarchy,同步数字体系)等业务的基本行为和特征,可实现远程网络的互联。
2.L3VPN
L3VPN也就是前面介绍的VPRN,是在计算机网络体系结构中第三层(网络层)实现的。在华为设备所支持的VPN方案中又包括多种类型,例如MPLS L3VPN、IPSec VPN、SSL VPN、GRE VPN、DSVPN等。其中MPLS L3VPN主要应用在骨干网转发层, IPSec VPN、SSL VPN、GRE VPN、DSVPN在接入层被普遍采用。
L2VPN与L3VPN的对比如表1-1所示。表1-1 L2VPN与L3VPN的对比
3.VPDN
VPDN也就是前面提到的Access VPN,包括PPTP VPN、L2F VPN和L2TP VPN这些VPN方案。严格来说,VPDN也属于L2VPN,但其网络构成和协议设计与前面提到的像VLL、VPLS之类的MPLS L2VPN有很大不同。有关VPDN,本书仅介绍应用最广泛,华为设备支持的L2TP VPN,具体内容将在本书第5章介绍。1.2.5 按运营模式分
如果按运营模式来分,上面介绍的这些VPN方案又可分为:由用户控制的CPE-based VPN和由ISP控制的Network-based VPN两类。
1.由用户控制的CPE-based VPN
在CPE-based VPN模式下,由用户控制VPN的构建、管理和维护,依靠用户侧的网络设备发起VPN连接,不需要运营商提供特殊的支持就可以实现VPN。用户设备需要安装相关的VPN隧道协议,如IPSec VPN、GRE VPN、L2TPVPN、SSLVPN和DSVPN等,都是基于客户端实施的VPN方案。本书后续各章所介绍的各种VPN方案均属于此类。
传统的利用公共IP网络构建的VPN(如IPSec VPN、GRE VPN等)均属于CPE-based VPN。其实质是在各个私有设备之间建立VPN安全隧道来传输用户的私有数据。Internet是典型的公共IP网络。使用Internet构建的VPN是最为经济的方式,但服务质量难以保证。企业在规划IP VPN建设时应根据自身的需求对各种公用IP网络进行权衡。
CPE-based VPN方式复杂度高、业务扩展能力弱,主要应用于接入层。
2.由ISP控制的Network-based VPN
在Network-based VPN模式下,VPN的构建、管理和维护由ISP控制,允许用户在一定程度上进行业务管理和控制,是基于运营商实施的VPN方案。在此模式的VPN中,功能特性集中在运营商网络侧设备处实现,用户网络设备只需要支持网络互联,无需特殊的VPN功能,如各种基于MPLS的VPN都属于Network-based VPN。
Network-based VPN方式可以降低用户投资、增加业务灵活性和扩展性,也为运营商带来新的收益。MPLS VPN由于在灵活性、扩展性和Qo S方面的优势,逐渐成为最主要的IP-VPN技术,在电信运营网和企业网中都获得了广泛的应用。
MPLS VPN主要运用于骨干核心网及汇聚层,是对大客户互连及3G、NGN等业务系统进行隔离的重要技术。MPLS VPN对于城域网同样重要:城域网内部署MPLS VPN技术,成为提升IP城域网的价值、为运营商提供更高收益的重要技术。
CPE-based VPN与Network-based VPN的对比如表1-2所示。表1-2 CPE-based VPN与Network-based VPN的对比
将CPE-based VPN和Network-based VPN混合部署可以给用户提供更可靠、更安全、更丰富的VPN业务,也可以为各类VPN用户提供更加灵活、经济的接入方式。1.3 VPN隧道技术
目前VPN主要采用以下四项技术来保证通信安全:隧道技术(Tunneling)、加/解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。本节首先具体介绍一些常见的隧道技术。1.3.1 VPN隧道技术综述“隧道”可以看成是从源端到目的端(统称“隧道端点”)通过公共网络的线路上专门建立的一条虚拟、专用通道,但通道所采用的线路仍是公共网络中实际的线路。如图1-6所示的是在Internet上构建VPN隧道的示意图。图1-6 VPN隧道示意
说明
不同VPN方案的VPN隧道起始、终结端点有所不同,有的隧道端点就是两端的用户主机,而有些隧道端点是两端网络的交换机、路由器、防火墙或应用层网关等设备。
VPN隧道是在公共网络的物理通信线路上建立的,所以它的构建需要相应的技术来建立。当然,不同的VPN方案所采用的隧道技术不一样。
目前主要有两类隧道协议:一种是二层隧道协议,主要应用于构建远程访问虚拟专网(Access VPN,也即前面介绍的VPDN),如PPTP VPN中采用的PPTP协议,L2TP VPN中采用的L2TP协议都属于二层隧道技术。本章前面介绍的VLL、VPLS、PW3使用的二层隧道技术——MPLS L2VPN。
另一种是三层隧道协议,主要应用于构建企业内部虚拟专网(即Intranet VPN)和扩展的企业内部虚拟专网(即Extranet VPN),如IPSec VPN中采用的IPSec协议,GRE VPN 中采用的 GRE 协议,DSVPN 中采用的 m GRE(multipoint Generic Routing Encapsulation,多点通用路由封装)协议,以及MPLS L3VPN中采用的MPLS L3VPN协议。这些隧道技术具体将在本节后续章节进行介绍。
以上这些隧道技术都可看成各种通过使用Internet的基础设施在网络之间私密传递数据的方式。使用隧道传递的数据(或负载)可以是与物理线路上运行的不同协议的数据帧或数据包(如通过VPN隧道可以在IP网络中传输ATM、FR数据帧,或IPX、Apple Talk数据包),隧道协议将这些其他协议的数据帧或数据包通过加装隧道协议头重新封装后发送。
隧道协议的头部提供了路由信息,从而使封装的负载数据能够通过IP网络传递。隧道协议头与其原始协议数据包一起传输,在到达目的地后原始协议数据包就会与隧道协议头分离,对目的地有用的原始协议数据包就继续传输到目的地址,而仅起到了一个标识信息的隧道协议头将被丢弃,这样它也就完成了它整个数据包传送使命。1.3.2 PPTP协议
PPTP最初是由包括微软和当时的3Com等公司组成的PPTP论坛开发的一种点对点二层隧道协,用于Windows系统构建PPTP VPN隧道,后来IETF以RFC 2637正式发布,成为国际上通用的一种协议标准,可以构建端到端,或者站点到站点的VPN远程连接,如图1-7所示。
PPTP定义的呼叫控制和管理协议,允许服务器能够控制来自PSTN或ISDN电路交换拨号的拨入访问,或者发起带外的电路交换连接。PPTP协议是将PPP数据帧通过使用增强的GRE机制封装进IP数据包中,通过IP网络(如Internet或其他企业专用Intranet等)发送。
PPTP协议允许PPP协议将原有的NAS(Network Access Server,网络访问服务器)功能独立出来,采用C/S(客户端/服务器)架构。PPTP服务器即PNS(PPTP Network Server,PPTP网络服务器),PPTP客户端即PAC(PPTP Access Concentrator,接入集中器)。
目前除了Windows系统主机可以发起PPTP VPN通信外,有些品版硬件设备,如TP-Link的一些路由器产品也可以发起PPTP VPN通信,故PAC可以是一台用户主机,也可以是路由器,但华为交换机和路由器不支持发起PPTP VPN通信,故本书不介绍PPTP VPN的详细技术。但基本上所有品牌设备均支持PPTP数据包的透明传输功能。
试读结束[说明:试读内容隐藏了图片]