07VPN操作NE40.docx

07VPN操作NE40.docx

《07VPN操作NE40.docx》由会员分享，可在线阅读，更多相关《07VPN操作NE40.docx（18页珍藏版）》请在冰豆网上搜索。

07VPN操作NE40

第1章VPN概述

1.1VPN简介

虚拟私有网简称VPN（VirtualPrivateNetwork），是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，用以实现在公用网络上构建私人专用网络。

“虚拟”主要指这种网络是一种逻辑上的网络。

伴随企业和公司的不断扩张，员工出差日趋频繁，驻外机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。

1.VPN的特点

●VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。

●VPN只为特定的企业或用户群体所专用。

从VPN用户角度看来，使用VPN与传统专网没有区别。

VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。

●VPN不是一种简单的高层业务。

该业务建立专网用户之间的网络互联，包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等，因此VPN技术就比各种普通的点对点的应用机制要复杂得多。

2.VPN的优势

●在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。

这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。

●利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率，有助于增加ISP（InternetServiceProvider）的收益。

●只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。

这使得VPN的应用具有很大灵活性。

●支持驻外VPN用户在任何时间、任何地点的移动接入，这将满足不断增长的移动业务需求。

●构建具有服务质量保证的VPN（如MPLSVPN），可为VPN用户提供不同等级的服务质量保证，通过收取不同的业务使用费用可获得更多的利润。

有关MPLSVPN的原理及相关介绍请参见MPLS配置。

1.2VPN的基本技术

1.VPN基本组网应用

以某企业为例，通过VPN建立的企业内部网如图1-1所示：

图1-1VPN组网示意图

从上图可以看出，企业内部资源享用者通过PSTN/ISDN网或局域网就可以连入本地ISP的POP（PointofPresence）服务器，从而访问公司内部资源。

而利用传统的WAN组建技术，相互之间要有专线相连才可以达到同样的目的。

虚拟网组成后，远端用户和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源，这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。

企业开设VPN业务所需的设备很少，只需在资源共享处放置一台支持VPN的服务器（如一台WindowsNT服务器或支持VPN的路由器）就可以了。

资源享用者通过PSTN/ISDN网或局域网连入本地POP服务器后，直接呼叫企业的远程服务器（VPN服务器），呼叫接续过程由ISP的接入服务器（AccessServer）与VPN服务器共同完成。

2.VPN的原理

图1-1VPN接入示意图

如上图所示，VPN用户通过PSTN/ISDN网拨入ISP的NAS（NetworkAccessServer）服务器，NAS服务器通过用户名或接入号码识别出该用户为VPN用户后，就和用户的目的VPN服务器建立一条连接，称为隧道（Tunnel），然后将用户数据包封装成IP报文后通过该隧道传送给VPN服务器，VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。

反向的处理也一样。

隧道两侧可以对报文进行加密处理，使Internet上的其它用户无法读取，因而是安全可靠的。

对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，操作起来和实际物理链路相同。

隧道可以通过隧道协议来实现。

根据是在OSI模型的第二层还是第三层实现隧道，隧道协议分为第二层隧道协议和第三层隧道协议。

（2）第二层隧道协议

第二层隧道协议是将整个PPP帧封装在内部隧道中。

现有的第二层隧道协议有：

●PPTP（Point-to-PointTunnelingProtocol）：

点到点隧道协议，由微软、Ascend和3COM等公司支持，在WindowsNT4.0以上版本中支持。

该协议支持点到点PPP协议在IP网络上的隧道封装，PPTP作为一个呼叫控制和管理协议，使用一种增强的通用路由封装GRE（GenericRoutingEncapsulation）技术为传输的PPP报文提供流控和拥塞控制的封装服务。

●L2F（Layer2Forwarding）协议：

二层转发协议，由Cisco和北方电信等公司支持。

L2F协议支持对更高级协议链路层的隧道封装，实现了拨号服务器和拨号协议连接在物理位置上的分离。

●L2TP（Layer2TunnelingProtocol）：

二层隧道协议，由IETF起草，微软等公司参与，结合了上述两个协议的优点，为众多公司所接受，并且已经成为标准RFC。

L2TP既可用于实现拨号VPN业务，也可用于实现专线VPN业务。

（3）第三层隧道协议

第三层隧道协议的起点与终点均在ISP内，PPP会话终止在NAS处，隧道内只携带第三层报文。

现有的第三层隧道协议主要有：

●GRE（GenericRoutingEncapsulation）协议：

这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。

●IPSec（IPSecurity）协议：

IPSec协议不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等协议。

GRE和IPSec主要用于实现专线VPN业务。

（4）第二、三层隧道协议之间的异同

第三层隧道与第二层隧道相比，优势在于它的安全性、可扩展性与可靠性。

从安全性的角度看，由于第二层隧道一般终止在用户侧设备上，对用户网的安全及防火墙技术提出十分严峻的挑战；而第三层隧道一般终止在ISP网关上，因此一般情况下不会对用户网的安全技术提出较高要求。

从扩展性的角度看，第二层隧道内封装了整个PPP帧，这可能产生传输效率问题。

其次，PPP会话贯穿整个隧道并终止在用户侧设备上，导致用户侧网关必须要保存大量PPP会话状态与信息，这将对系统负荷产生较大的影响，也会影响到系统的扩展性。

此外，由于PPP的LCP及NCP协商都对时间非常敏感，这样隧道的效率降低会造成PPP对话超时等等一系列问题。

相反，第三层隧道终止在ISP的网关内，PPP会话终止在NAS处，用户侧网关无需管理和维护每个PPP对话的状态，从而减轻了系统负荷。

一般地，第二层隧道协议和第三层隧道协议都是独立使用的，如果合理地将这两层协议结合起来使用，将可能为用户提供更好的安全性（如将L2TP和IPSec协议配合使用）和更佳的性能。

1.3VPN的分类

IPVPN是指利用IP设施（包括公用的Internet或专用的IP骨干网）实现WAN设备专线业务（如远程拨号、DDN等）的仿真。

IPVPN可有以下几种分类方法：

1.按运营模式划分

（1）CPE-basedVPN（CustomerPremisesEquipmentbasedVPN）

用户不但要安装价格昂贵的设备及专门认证工具，还要负责繁杂的VPN维护（如通道维护、带宽管理等）。

这种方式组网复杂度高、业务扩展能力弱。

（2）Network-basedVPN（NBIP-VPN）

将VPN的维护等外包给ISP实施（也允许用户在一定程度上进行业务管理和控制），并且将其功能特性集中在网络侧设备处实现，这样可以降低用户投资、增加业务灵活性和扩展性，同时也可为运营商带来新的收入。

2.按业务用途划分

（1）IntranetVPN（企业内部虚拟专网）

IntranetVPN通过公用网络进行企业内部各个分布点互联，是传统的专线网或其它企业网的扩展或替代形式。

（2）AccessVPN（远程访问虚拟专网）

AccessVPN向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的Intranet和Extranet建立私有的网络连接。

AccessVPN的结构有两种类型，一种是用户发起（Client-initiated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。

（3）ExtranetVPN（扩展的企业内部虚拟专网）

ExtranetVPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处，使不同企业间通过公网来构筑VPN。

3.按组网模型划分

（1）虚拟租用线（VLL）

VLL（VirtualLeasedLine）是对传统租用线业务的仿真，通过使用IP网络对租用线进行模拟，提供非对称、低成本的“DDN”业务。

从虚拟租用线两端的用户来看，该虚拟租用线近似于过去的租用线。

（2）虚拟专用拨号网络（VPDN）

VPDN（VirtualPrivateDialNetwork）是指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。

（3）虚拟专用LAN网段（VPLS）业务

VPLS（VirtualPrivateLANSegment）借助IP公共网络实现LAN之间通过虚拟专用网段互连，是局域网在IP公共网络上的延伸。

（4）虚拟专用路由网（VPRN）业务

VPRN（VirtualPrivateRoutingNetwork）借助IP公共网络实现总部、分支机构和远端办公室之间通过网络管理虚拟路由器进行互连，业务实现包括两类：

一种是使用传统VPN协议（如IPSec、GRE等）实现的VPRN，另外一种是MPLS方式的VPRN。

第2章GRE协议配置

2.1GRE协议简介

1.协议简介

GRE（GenericRoutingEncapsulation，通用路由封装）协议是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。

GRE是VPN（VirtualPrivateNetwork）的第三层隧道协议，在协议层之间采用了一种被称之为Tunnel（隧道）的技术。

Tunnel是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个Tunnel的两端分别对数据报进行封装及解封装。

一个报文要想在Tunnel中传输，必须要经过加封装与解封装两个过程，下面以图2-1的网络为例说明这两个过程：

图2-1IPX网络通过GRE隧道互连

（2）加封装过程

连接Novellgroup1的接口收到IPX数据报后首先交由IPX协议处理，IPX协议检查IPX报头中的目的地址域来确定如何路由此包。

若报文的目的地址被发现要路由经过网号为1f的网络（Tunnel的虚拟网号），则将此报文发给网号为1f的tunnel端口。

Tunnel口收到此包后进行GRE封装，封装完成后交给IP模块处理，在封装IP报文头后，根据此包的目的地址及路由表交由相应的网络接口处理。

（3）解封装的过程

解封装过程和加封装的过程相反。

从Tunnel接口收到的IP报文，通过检查目的地址，当发现目的地就是此路由器时，系统剥掉此报文的IP报头，交给GRE协议模块处理（进行检验密钥、检查校验和及报文的序列号等）；GRE协议模块完成相应的处理后，剥掉GRE报头，再交由IPX协议模块处理，IPX协议模块象对待一般数据报一样对此数据报进行处理。

系统收到一个需要封装和路由的数据报，称之为净荷（Payload），这个净荷首先被加上GRE封装，成为GRE报文；再被封装在IP报文中，这样就可完全由IP层负责此报文的向前传输（Forwarded）。

人们常把这个负责向前传输IP协议称为传输协议（DeliveryProtocol或者TransportProtocol）。

封装好的报文的形式如下图所示：

图2-1封装好的Tunnel报文格式

举例来说，一个封装在IPTunnel中的IPX传输报文的格式如下：

图2-2Tunnel中传输报文的格式

2.应用范围

GRE主要能实现以下几种服务类型：

（1）多协议的本地网通过单一协议的骨干网传输

图2-1多协议本地网通过单一协议骨干网传输

上图中，Group1和Group2是运行NovellIPX协议的本地网，Term1和Term2是运行IP协议的本地网。

通过在RouterA和RouterB之间采用GRE协议封装的隧道（Tunnel），Group1和Group2、Team1和Team2可以互不影响地进行通信。

（2）扩大了步跳数受限协议（如IPX）的网络的工作范围

图2-1扩大网络工作范围

若上图中的两台终端之间的步跳数超过15，它们将无法通信。

而通过在网络中使用隧道（Tunnel）可以隐藏一部分步跳，从而扩大网络的工作范围。

（3）将一些不能连续的子网连接起来，用于组建VPN

图2-1Tunnel连接不连续子网

运行NovellIPX协议的两个子网group1和group2分别在不同的城市，通过使用隧道可以实现跨越广域网的VPN。

（4）与IPSec结合使用，弥补IPSec不能保护组播数据的缺陷

图2-1GRE-IPSec隧道应用

上图中，GRE可以封装组播数据并在GRE隧道中传输。

而协议规定，IPSec目前只能对单播数据进行加密保护，因此对于诸如路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况，可以通过建立GRE隧道，并对组播数据进行GRE封装，然后再对封装后的报文进行IPSec的加密处理，就实现了组播数据在IPSec隧道中的加密传输。

另外，GRE还支持由用户选择记录Tunnel接口的识别关键字，和对封装的报文进行端到端校验。

由于GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就导致使用GRE会造成路由器数据转发效率有一定程度的下降。

2.2GRE配置

在各项配置中，必须先创建虚拟Tunnel接口，才能在虚拟Tunnel接口上进行其它功能特性的配置。

当删除虚拟Tunnel接口后，该接口上的所有配置也将被删除。

GRE主要配置包括：

●创建虚拟Tunnel接口（必选）

●设置Tunnel接口报文的封装模式（可选）

●指定Tunnel的源端（必选）

●指定Tunnel的目的端（必选）

●设置Tunnel接口的网络地址（必选）

●设置Tunnel两端进行端到端校验（可选）

●设置Tunnel接口的识别关键字（可选）

●配置通过Tunnel的路由（可选）

2.2.1创建虚拟Tunnel接口

创建虚拟Tunnel接口，从而在该接口上进行GRE其它参数的配置。

这些配置在Tunnel两端必须配置。

请在系统视图下进行下列配置。

表2-1创建虚拟Tunnel接口

操作

命令

创建虚拟Tunnel接口

interfacetunnel{slot/card/port}

删除虚拟Tunnel接口

undointerfacetunnel{slot/card/port}

缺省情况下，不创建虚拟Tunnel接口。

设备为分布式结构，接口采用三维化表示：

slot表示指定的通用接口单元所在槽位号；card为相应的卡号，取值为1或0；port为设定的接口号，范围0～1023，但实际可建的Tunnel数目将受到接口总数及内存状况的限制。

创建Tunnel接口时，建议参数slot要与Tunnel的source设置的源端接口所在槽位保持一致，即slot指定的槽位号就是发出GRE报文的实际接口的槽位号，这样可以提高转发效率。

2.2.2设置Tunnel接口报文的封装模式

设置Tunnel接口的封装协议和传输协议。

这些配置在Tunnel两端为可选配置，如果配置则必须确保Tunnel两端的封装模式相同（目前只支持GRE封装模式）。

请在Tunnel接口视图下进行下列配置。

表2-1设置Tunnel接口报文的封装模式

操作

命令

设置Tunnel接口报文的封装模式

tunnel-protocolgre

删除Tunnel接口报文的封装模式

undotunnel-protocol

缺省情况下，Tunnel接口报文的封装模式为：

封装协议为GRE，传输协议为IP。

2.2.3指定Tunnel的源端

在创建Tunnel接口后，还要指明Tunnel通道的源端地址，即发出GRE报文的实际物理接口地址。

Tunnel的源端地址与目的端地址唯一标识了一个通道。

这些配置在Tunnel两端必须配置，且两端地址互为源地址和目的地址。

请在Tunnel接口视图下进行下列配置。

表2-1设置Tunnel接口的源端地址

操作

命令

设置Tunnel接口的源端地址

source{X.X.X.X|interfacename}

删除Tunnel接口的源端地址

undosource

说明：

（1）不能对两个或两个以上使用同种封装协议的Tunnel接口配置完全相同的源地址和目的地址。

（2）使用命令source设置的是实际的物理接口地址或实际物理接口，为支持动态路由协议，还需要设置Tunnel接口的网络地址。

在Tunnel接口视图下通过命令ipaddress可完成这一设置。

2.2.4指定Tunnel的目的端

在创建Tunnel接口后，还要指明Tunnel通道的目的端地址，即接收GRE报文的实际物理接口的IP地址。

Tunnel的源端地址与目的端地址唯一标识了一个通道。

这些配置在Tunnel两端必须配置，且两端地址互为源地址和目的地址。

请在Tunnel接口视图下进行下列配置。

表2-1设置Tunnel接口的目的端地址

操作

命令

设置Tunnel接口的目的端地址

destinationX.X.X.X

删除Tunnel接口的目的端地址

undodestination

说明：

使用命令destination设置的是实际的物理接口的IP地址，为支持动态路由协议，还需要设置tunnel接口的网络地址。

2.2.5设置Tunnel接口的网络地址

为使Tunnel通道支持动态路由协议，还要配置Tunnel接口的网络地址。

Tunnel接口的网络地址可以不是申请得到的网络地址。

用户设置通道两端的网络地址应该位于同一网段上。

这些配置在Tunnel两端都必须配置，并且确保地址在同一网段。

请在Tunnel接口视图下进行下列设置。

表2-1设置Tunnel接口的网络地址

操作

命令

设置Tunnel接口的IP地址

ipaddressX.X.X.Xmask

删除Tunnel接口的IP地址

undoipaddress

缺省情况下，未设置Tunnel接口的网络地址。

2.2.6设置Tunnel两端进行端到端校验

在RFC1701中规定：

若GRE报文头中的Checksum位置位，则校验和有效。

发送方将根据GRE头及payload信息计算校验和，并将包含校验和的报文发送给对端。

接收方对接收到的报文计算校验和，并与报文中的校验和比较，如果一致则对报文进一步处理，否则丢弃。

隧道两端可以根据实际需要选择是否配置校验和，从而决定是否触发校验功能。

如果本端配置了校验和而对端没有配置，则本端将不会对接收到的报文进行校验和检查；相反本端没有配置校验和而对端已配置，本端将对从对端发来的报文进行校验和检查。

请在Tunnel接口视图下进行下列配置。

表2-1设置Tunnel两端进行端到端校验

操作

命令

设置Tunnel两端进行端到端校验

grechecksum

禁止Tunnel两端进行端到端校验

undogrechecksum

缺省情况下，禁止Tunnel两端进行端到端校验。

2.2.7设置Tunnel接口的识别关键字

在RFC1701中规定：

若GRE报文头中的KEY字段置位，则收发双方将进行通道识别关键字的验证，只有Tunnel两端设置的识别关键字完全一致时才能通过验证，否则将报文丢弃。

请在Tunnel接口视图下进行配置。

表2-1设置Tunnel接口的识别关键字

操作

命令

设置Tunnel接口的识别关键字

grekeykey-number

删除Tunnel接口的识别关键字

undogrekey

key-number可取值0～4294967295之间的整数。

缺省情况下，Tunnel不使用KEY。

2.2.8配置通过Tunnel的路由

在源端路由器和目的端路由器上都必须存在经过Tunnel转发的路由，这样需要进行GRE封装的报文才能正确转发。

可以配置静态路由，也可以配置动态路由。

1.静态路由配置

可以手工配置一条到达目的地址（不是Tunnel的目的端地址，而是未进行GRE封装的报文的目的地址）的路由，下一跳是对端Tunnel接口的地址。

在Tunnel的两端都要进行此项配置。

配置的详细情况请参见本手册的路由协议模块中的“静态路由配置”章节，配置命令的详细解释请参见与相应的命令参考。

2.动态路由配置

如果路由器上运行了动态路由协议，只需在Tunnel接口上和与私网相连的路由器接口上使能该动态路由协议即可，在Tunnel的两端都必须进行此项配置。

配置的详细情况请参见操作手册的路由协议模块中的各个动态路由协议配置章节，命令的详细解释请参见命令手册。

2.3GRE显示和调试

在完成上述配置后，在所有视图下执行display命令可以显示配置后GRE的运行情况，通过查看显示信息验证配置的效果。

在用户视图下，执行debugging命令可对GRE进行调试。

GRE除了提供针对Tunnel的查询和调试命令，还提供了查询GRE隧道的命令。

表2-1GRE的显示和调试

操作

命令

显示Tunnel接口的工作状态

displayinterfacetunnel[slot/card/port]

打开Tunnel调试信息

debuggingtunnel

2.4GRE典型配置举例

1.组网需求

运行IP协议的两个子网Group1和Group2，通过在路由器Quidway1和路由器Quidway2之间使用三层隧道协议GRE实现互联。

2.组网图

图2-1GRE应用组网图

3.配置步骤

（1）配置路由器Quidway1

#配置接口Ethernet0/0/0。

[Quidway1]interfaceethernet0/0/0

[Quidway1-Ethernet0/0/0]ipaddress10.1.1.1255.255.255.0

[Quidway1-Ethernet0/0/0]quit

#配置接口Serial1/0/0（隧道的实际物理接口）。

[Quidway1]interfaceserial1/0/0

[Quidway1-Serial1/0/0]ipaddress192.13.2.1255.