VPN扩展.docx
- 文档编号:30720207
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:81
- 大小:376.52KB
VPN扩展.docx
《VPN扩展.docx》由会员分享,可在线阅读,更多相关《VPN扩展.docx(81页珍藏版)》请在冰豆网上搜索。
VPN扩展
VPN简介
伴随企业和公司的不断扩张,员工出差日趋频繁,驻外机构及客户群分布日
益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet
资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN
的应用奠定了广阔市场。
VPN(VirtualPrivateNetwork,虚拟私有网)是近年来随着Internet的广泛
应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。
“虚拟”主要指这种网络是一种逻辑上的网络。
VPN的特点
VPN有别于传统网络,它并不实际存在,而是利用现有公共网络,通过
资源配置而成的虚拟网络,是一种逻辑上的网络。
VPN只为特定的企业或用户群体所专用。
从VPN用户角度看来,使用
VPN与传统专网没有区别。
VPN作为私有专网,一方面与底层承载网
络之间保持资源独立性,即在一般情况下,VPN资源不会被承载网络中
的其它VPN或非该VPN用户的网络成员所使用;另一方面,VPN提供
足够安全性,确保VPN内部信息不受外部的侵扰。
VPN不是一种简单的高层业务。
该业务建立专网用户之间的网络互联,
包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等,因
此VPN技术就比各种普通的点对点的应用机制要复杂得多。
VPN的优势
在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的
安全连接,保证数据传输的安全性。
这一优势对于实现电子商务或金融
网络与通讯网络的融合将有特别重要的意义。
利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地
办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利
用率,有助于增加ISP(InternetServiceProvider,Internet服务提供商)
的收益。
只需要通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。
这使得VPN的应用具有很大灵活性。
支持驻外VPN用户在任何时间、任何地点的移动接入,这将满足不断
增长的移动业务需求。
构建具有服务质量保证的VPN(如MPLSVPN),可为VPN用户提供
不同等级的服务质量保证,通过收取不同的业务使用费用可获得超额利
润。
VPN基本组网应用
以某企业为例,通过VPN建立的企业内部网如下图所示:
从上图可以看出,企业内部资源享用者通过PSTN/ISDN网或局域网就可以连
入本地ISP的POP(PointofPresence)服务器,从而访问公司内部资源。
而利用传统的WAN组建技术,相互之间要有专线相连才可以达到同样的目
的。
虚拟网组成后,远端用户和外地客户甚至不必拥有本地ISP的上网权限
就可以访问企业内部资源,这对于流动性很大的出差员工和分布广泛的客户
来说是很有意义的。
企业开设VPN业务所需增加的设备很少,只需在资源共享处放置一台支持
VPN的服务器(如一台WindowsNT服务器或支持VPN的路由器)就可以
了。
资源享用者通过PSTN/ISDN网或局域网连入本地POP服务器后,直接
呼叫企业的远程服务器(VPN服务器),呼叫接续过程由ISP的接入服务器
(AccessServer)与VPN服务器共同完成。
VPN的分类
IPVPN是指利用IP设施(包括公用的Internet或专用的IP骨干网)实现
WAN设备专线业务(如远程拨号、DDN等)的仿真。
IPVPN可有以下几种
分类方法:
1.按运营模式划分
(1)CPE-basedVPN(用户自己组建VPN网络)
用户不但要安装价格昂贵的设备及专门认证工具,还要负责繁杂的VPN维护
(如隧道维护、带宽管理等)。
这种方式组网复杂度高、业务扩展能力弱。
(2)Network-basedVPN(NBIP-VPN)委托ISP做的VPN
将VPN的维护等外包给ISP实施(也允许用户在一定程度上进行业务管理和
控制),并且将其功能特性集中在网络侧设备处实现,这样可以降低用户投
资、增加业务灵活性和扩展性,同时也可为运营商带来新的收入。
2.按隧道所属的层次划分
根据是在OSI模型的第二层还是第三层实现隧道,隧道协议分为第二层隧道
协议和第三层隧道协议。
(1)第二层隧道协议
第二层隧道协议是将整个PPP帧封装在内部隧道中。
现有的第二层隧道协议
有:
(以下内容参考RFC)
PPTP(Point-to-PointTunnelingProtocol):
点到点隧道协议,由微软、
朗讯、3COM等公司支持,在WindowsNT4.0以上版本中支持。
该协
议支持点到点PPP协议在IP网络上的隧道封装,PPTP作为一个呼叫
控制和管理协议,使用一种增强的GRE(GenericRouting
Encapsulation)技术为传输的PPP报文提供流控和拥塞控制的封装服
务。
L2F(Layer2Forwarding)协议:
二层转发协议,由北方电信等公司支
持。
支持对更高级协议链路层的隧道封装,实现了拨号服务器和拨号协
议连接在物理位置上的分离。
L2TP(Layer2TunnelingProtocol):
二层隧道协议,由IETF起草,
微软等公司参与,结合了上述两个协议的优点,为众多公司所接受。
并
且已经成为标准RFC。
L2TP既可用于实现拨号VPN业务(VPDN接
入),也可用于实现专线VPN业务。
(2)第三层隧道协议
第三层隧道协议的起点与终点均在ISP内,PPP会话终止在NAS处,隧道内
只携带第三层报文。
现有的第三层隧道协议主要有:
GRE(GenericRoutingEncapsulation)协议:
这是通用路由封装协议,
用于实现任意一种网络层协议在另一种网络层协议上的封装。
IPSec(IPSecurity)协议:
IPSec协议不是一个单独的协议,它给出了
IP网络上数据安全的一整套体系结构。
包括AH(Authentication
Header)、ESP(EncapsulatingSecurityPayload)、IKE(InternetKey
Exchange)等协议。
GRE和IPSec主要用于实现专线VPN业务。
(要同远程接入的拔号个人访问VPN区别开)
第二、三层隧道协议之间的异同
第三层隧道与第二层隧道相比,优势在于它的安全性、可扩展性与可靠性。
从安全性的角度看,由于第二层隧道一般终止在用户侧设备上,对用户网的
安全及防火墙技术提出十分严峻的挑战;而第三层隧道一般终止在ISP网关
上,因此不会对用户网的安全构成威胁。
从扩展性的角度看,第二层IP隧道内封装了整个PPP帧,这可能产生传输
效率问题。
其次,PPP会话贯穿整个隧道并终止在用户侧设备上,导致用户
侧网关必须要保存大量PPP会话状态与信息,这将对系统负荷产生较大的影
响,也会影响到系统的扩展性。
此外,由于PPP的LCP及NCP协商都对时
间非常敏感,这样IP隧道的效率会造成PPP对话超时等等一系列问题。
相
反,第三层隧道终止在ISP的网关内,PPP会话终止在NAS处,用户侧网关
无需管理和维护每个PPP对话的状态,从而减轻了系统负荷。
一般地,第二层隧道协议和第三层隧道协议都是独立使用的,如果合理地将
这两层协议结合起来使用,将可能为用户提供更好的安全性(如将L2TP和
IPSec协议配合使用)和更佳的性能。
3.按业务用途划分
(1)IntranetVPN(企业内部虚拟专网)
IntranetVPN通过公用网络进行企业内部各个分布点互联,是传统的专线网
或其它企业网的扩展或替代形式。
(2)AccessVPN(远程访问虚拟专网)
AccessVPN向出差流动员工、远程办公人员和远程小办公室提供了通过公用
网络与企业的Intranet和Extranet建立私有的网络连接。
AccessVPN的结构
有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入
服务器发起(NAS-initiated)的VPN连接。
(3)ExtranetVPN(扩展的企业内部虚拟专网)
ExtranetVPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处,使
不同企业间通过公网来构筑VPN。
L2TP配置
讲到L2TP必须先说明一下VPDN
VPDN概述
1.VPDN简介
VPDN(VirtualPrivateDialupNetwork,虚拟私有拨号网)是指利用公共网
络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,为企业、小
型ISP、移动办公人员提供接入服务。
VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟
专网。
企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道
实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧
道访问企业网内部的资源。
VPDN系统主要由NAS(NetworkAccessServer,网络接入服务器)、用户侧设备和管理工具组成。
(1)接入服务器NAS由电信部门或大型ISP提供,(此处的NAS是指拔号用户端的第一次拔号即拔通当地的ISP)其作用是作为VPDN的接入服务器,提供广域网接口,负责与PSTN或ISDN的连接,并支持各种LAN协议,支持安全管理和认证,支持隧道及相关技术。
(2)用户侧设备位于企业总部,根据网络功能的不同,可以是NAS、路由器
或防火墙等提供相关功能的设备来担任。
(3)管理工具对VPDN设备和用户进行管理,包括网管系统、用户认证、授
权、计费(AAA)等。
远程拨号用户通过本地PSTN或ISDN拨号接入到本地的ISP接入服务器NAS。
利用本地ISP的连接,采用适当的隧道协议封装上层协议,建立一个
位于NAS和对端网关之间的虚拟专网。
2.VPDN的工作原理
VPDN隧道协议可采用PPTP、L2F和L2TP三种,目前使用最广泛的是L2TP。
采用L2TP协议构建VPDN应用时,典型组网如下图所示:
其中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属
在交换网络上的具有PPP端系统和L2TP协议处理能力的设备,LAC一般是
一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入
服务。
(即ISP)LNS表示L2TP网络服务器(L2TPNetworkServer),是PPP端系
统上用于处理L2TP协议服务器端部分的设备。
(即公司的VPN接入服务器通常是一个路由器)
3.VPDN的实现方式
可以通过以下两种方式实现VPDN:
(1)NAS发起方式:
(即用ISP的VPN设备以点对点形式接到远程企业VPN路由器上)
NAS通过隧道协议与VPDN网关建立隧道。
将客户的
PPP连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP。
这种方式的好处在于:
对用户是透明的,用户只需要登录一次就可以接
入企业网络,由企业网进行用户认证和内部地址分配(而不占用公共地
址),可由LNS或LAC侧的AAA完成对拨号用户的计费。
用户可使用
各种平台上网。
这种方式需要NAS支持VPDN协议,需要认证系统支
持VPDN属性,网关一般使用路由器或VPN专用服务器。
(2)Client发起方式:
用户端客户机与VPDN网关建立隧道。
由客户机先建
立与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP)
与企业网关建立隧道连接。
这种方式的好处在于:
用户上网的方式和地
点没有限制,不需ISP介入,只能由LNS侧的AAA对拨号用户进行计费。
这种方式的缺点是:
用户需要安装专用的软件(一般都是Win2000
平台),限制了用户使用的平台。
注意:
L2TP以UDP报文的形式发送。
L2TP注册了UDP1701端口,但是这个端口
仅用于初始的隧道建立过程中。
L2TP隧道发起方任选一个空闲的端口(未必
是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个
空闲的端口(未必是1701),给发送方的指定端口回送报文。
至此,双方的
端口选定,并在隧道保持连通的时间段内不再改变。
PPP帧传给L2TP后,由L2TP加上L2TP报头,然后再封装成UDP报文,
在TCP/IP网络上传输。
L2TP隧道的呼叫建立流程(可选)
L2TP隧道的呼叫建立流程可如下图所示:
L2TP隧道的呼叫建立流程过程为:
(1)用户端PC机发起呼叫连接请求;
(2)PC机和LAC端(RouterA)进行PPPLCP协商;
(3)LAC对PC机提供的用户信息进行PAP或CHAP认证;
(4)LAC将认证信息(用户名、密码)发送给RADIUS服务器进行认证;
(5)RADIUS服务器认证该用户,如果认证通过则返回该用户对应的LNS
地址等相关信息,并且LAC准备发起Tunnel连接请求;
(6)LAC端向指定LNS发起Tunnel连接请求;
(7)LAC端向指定LNS发送SCCRQ(Start-Control-Connection-Request)
消息,其中包含LAC侧的CHAPchallenge信息;
(8)LNS回送SCCRP(Start-Control-Connection-Reply)消息给LAC端,
其中包括对接收到的LAC侧challenge的响应消息CHAPresponse,
和LNS侧的CHAPchallenge;
(9)LAC端向该LNS发送SCCCN(Start-Control-Connection-Connect)
消息,通知LNS隧道验证通过,其中包括对LNS侧challenge的响应
消息CHAPresponse;
(10)LNS通知LAC端隧道验证通过;
(11)LAC端将用户CHAPresponse、responseidentifier和PPP协商参数
传送给LNS;
(12)LNS将接入请求信息发送给RADIUS服务器进行认证;
(13)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;
(14)若用户在LNS侧配置强制本端CHAP认证,则LNS对用户进行认证,
发送CHAPchallenge;
(15)用户侧回应CHAPresponse;
(16)LNS再次将接入请求信息发送给RADIUS服务器进行认证;
(17)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;
(18)验证通过,用户访问企业内部资源。
L2TP协议的特点
灵活的身份验证机制以及高度的安全性
L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比
如CHAP、PAP等),因此具有PPP所具有的所有安全特性。
L2TP可与IPsec
结合起来实现数据安全,这使得通过L2TP所传输的数据难以被攻击。
L2TP
还可根据特定的网络安全要求在L2TP之上采用隧道加密技术、端对端数据加
密或应用层数据加密等方案来提高数据的安全性。
多协议传输
L2TP传输PPP数据包,这样就可以在PPP数据包内封装多种协议。
支持RADIUS服务器的验证
LAC端通过用户名和密码向RADIUS服务器要求验证,RADIUS服务器负责
接收用户的验证请求,完成验证,并把建立连接所需的配置信息返回给LAC。
支持内部地址分配
LNS可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分
配和管理,可支持私有地址应用(RFC1918)。
远端用户所分配的地址不是
Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安
全性。
网络计费的灵活性
可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用
于付费及审计)。
L2TP能够提供数据传输的连接的起始、结束时间等计费数
据,可根据这些数据方便地进行网络计费。
可靠性
L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份
LNS建立连接,这样增加了VPN服务的可靠性和容错性。
L2TP的配置
第一部分:
LAC侧的基本配置(即我们做为ISP为某企业实现VPN业务)
LAC侧的基本配置包括:
启用L2TP
创建L2TP组
配置发起L2TP连接请求及LNS地址
配置AAA认证和本地用户
1、启用L2TPl2tpenable
禁止L2TPundol2tpenable
缺省情况下,L2TP功能是被禁止的。
2、创建L2TP组
为了进行VPDN的相关参数配置,还需要增加L2TP组,这不仅可以让VPDN
功能可以灵活的被配置在路由器上,而且方便地实现了LAC和LNS之间一对
一、一对多、多对一、多对多的组网应用。
L2TP组在LAC和LNS上独立编
号,只需要保证LAC和LNS之间关联的L2TP组的相关配置(如接收的隧道
对端名称、发起L2TP连接请求及LNS地址等)保持对应关系即可。
在创建L2TP组后,就可以在L2TP组视图下进行与该L2TP组相关的其它配
置了,如本端名称、发起L2TP连接请求及LNS地址等。
L2TP组1作为缺
省的L2TP组。
创建L2TP组l2tp-groupgroup-number
删除L2TP组undol2tp-groupgroup-number
缺省情况下,未创建任何L2TP组。
3、配置发起L2TP连接请求及LNS地址
当拨入用户通过VPN用户的验证后,由LAC负责向某LNS发起建立隧道的
请求。
本配置除指定LNS侧的IP地址外,LAC侧提供了三种用户的验证方
式:
即根据用户全名(fullusername)验证、根据带特定域名的用户(domain)
验证、根据被叫号码(dnis)验证。
LNS的IP地址最多可以配置五个,根据
用户配置的IP地址的先后顺序查找。
请在L2TP组视图下进行下列配置。
配置鉴别用户是否是VPN用户的方
式,并配置对应的LNS的IP地址
startl2tp{ipip-address[ip
ip-address…]}{domaindomain-name|
dnisdialed-number|fullusername
user-name}
取消连接请求配置undostartl2tp[ipip-address]
没有缺省值,必须配置一种触发条件。
以上配置的意思是如果客户的帐号属于验证三种方法当中的一种时,即触发本端LAC连接远端LNS
【举例】
#在L2TP组1上,根据域名来判断VPN用户,对应的总部LNS
的IP地址为202.38.168.1。
[Quidway-l2tp1]startl2tpip202.38.168.1domain
4、配置AAA认证和本地用户
在LAC侧配置AAA认证时,如果选择了local(本地认证)方式,则需要在
LAC侧配置本地用户名和口令。
LAC通过检查远程拨入用户名与口令是否与本地注册用户名/口令相符合来进
行用户身份验证,以检查用户是否为合法VPN用户。
验证通过后才能发起建
立隧道连接的请求,否则将该用户转入其它类型的服务。
使能AAAaaa-enable
配置PPP用户的认证方法表aaaauthentication-schemeppp{default|list-name}{method1}[method2...]
配置计费选择开关aaaaccounting-schemeoptional
配置对用户进行验证pppauthentication-mode{pap|chap}
配置用户名及密码local-userusernamepassword{simple|
cipher}password
取消配置的用户及密码undolocal-userusername
如果LAC侧采用域名方式验证VPN用户,则LAC侧配置的本地用户名
username采用“用户全名@域名”形式。
由于L2TP不是RADIUS协议的标准属性。
所以设置用RADIUS的时候要在RADIUS一端做好设置。
一般的RADIUS服务不支持。
第二部分:
LNS侧的基本配置
启用L2TP
创建L2TP组
创建虚接口模板
配置接收呼叫的隧道对端名称
配置本地VPN用户
其中前两步与LAC侧相同
3、创建虚拟接口模板(说白了就是创建一个用于接收L2TP客户发送数据的逻辑接口)
说明:
(1)在L2TP中使用虚模版时,必须为虚模板配置自己的IP地址,不能借用
其它接口的地址。
(2)用户端不能使用固定IP地址,应该使用由LNS分配的协商地址。
(3)当使用ippool命令配置分配给对端的地址时,应确保虚模板地址与地址
池地址属于同一网段。
创建虚接口模板interfacevirtual-templatevirtual-template-number
删除虚接口模板undointerfacevirtual-templatevirtual-template-number
4、配置接收呼叫的隧道对端名称
LNS可以使用不同的虚拟接口模板接收不同LAC的创建隧道请求。
在接收到
LAC发来的创建隧道(Tunnel)请求后,LNS需要检查LAC的名称是否与隧
道对端名称相符合,从而决定是否允许隧道对方进行Tunnel的创建。
配置隧道对端的名称allowl2tpvirtual-templatevirtual-template-number[remoteremote-name]
取消隧道对端的名称undoallow
当L2TP组号为1时(缺省的L2TP组号),可以不指定隧道对端名
remote-name。
如果在L2TP组1的视图下,仍指定对端名称,则L2TP组1
不作为缺省的L2TP组。
说明:
(1)只有组号为1的L2TP组才可以配置成缺省的组。
(2)同一个L2TP组,命令startl2tp和命令allowl2tp是互斥的,即一个L2TP
组不能同时作为LAC和LNS。
【举例】
#在L2TP组2上接受名称为AS8010的对端(LAC)发起L2TP隧道连接请
求,并在virtual-template1上创建virtual-access接口。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 扩展