VPN技术分析与实现.docx

1、VPN技术分析与实现摘要随着社会的发展，企业对网络的要求越来越高，在不同区域间数据的传输量也越来越大，这便促使一种新技术的诞生，安全、低成本、易于管理，这便是VPN（虚拟专用网络），本论文主介绍了虚拟专用网技术及其实现，通过分析虚拟专用网不同技术以及实现过程，如何在低成本高效率高安全的情况下，利用VPN技术为企业各级单位间信息安全的传输。本文首先讲述了VPN产生背景，优点以及发展过程；其次主要分析VPN中所用到的技术，对每种技术的进行深刻分析，详细解释了其工作原理；最后阐述了VPN的实现过程以及在企业中如何运用。关键词虚拟专用网技术 实现AbstractWith the development

2、 of society, enterprises increasingly high demand on the network, data transmission amount in different areas is more and more big, the birth of this has prompted a new technology, safety, low cost, easy management, this is the VPN (virtual private network), this paper introduces the virtual private

3、 network technology and its realization, through the analysis of different VPN technology and implementation process, how to low cost and high efficiency and high safety, transmission using VPN technology for information security of enterprises at all levels between units. This paper firstly introdu

4、ces VPN background, the advantages and the development process; secondly, the main analysis of the use of VPN technology, the profound analysis each kind of technology, a detailed explanation of its working principle; finally, the realizing process of VPN in enterprises and how to use.KEY WORDvirtua

5、l private networktechnologyactualize目录第一章 VPN概述 7第一节VPN产生背景 8第二节VPN基本原理 8第三节VPN分类 12第二章 VPN技术 12第一节隧道技术 14第二节L2TP技术 14第三节 MPLS技术 17第四节 GRE技术 19第三章VPN实现 22第一节 VPN实现模式 22第二节 VPN实现过程 23第四章 VPN方案设计 25第一节需求分析 25第二节典型解决方案 27结束语 29谢辞 29参考文献 29第一章 VPN概述第一节 VPN产生背景随着社会的发展，IT技术越来越多地影响现代企业的业务流程，如企业资源规划、基于IP的语音

6、、基于网络的会议和教学活动等IT技术，为企业的自动化办公和信息的获取提供了构架。随着网络经济的发展，越来越多的企业的分布范围日益扩大，合作伙伴日益增多，公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构，组成自己的企业网，同时移动办公人员能在企业以外的地方很方便地访问企业内部网络。最初，电信运营商是以租赁专线（Leased Line）的方式为企业提供二层链路，这种方式的主要缺点是： 建设时间长 价格昂贵 难于管理此后，随着ATM（Asynchronous Transfer Mode）和帧中继（Frame Relay）技术的兴起，电信运营商转而使用虚电路方式为

7、客户提供点到点的二层连接，客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比，运营商提供服务的时间短、价格低，能在不同专网之间共享运营商的网络结构。这种传统专网的不足在于： 依赖于专用的介质（如ATM或FR）：为提供基于ATM的VPN服务，运营商需要建立覆盖全部服务范围的ATM网络；为提供基于FR的VPN服务，又需要建立覆盖全部服务范围的FR网络。在网络建设上造成浪费。 其速率较慢，达不到当前Internet中已实现的速率。 部署复杂，尤其是向已有的私有网络加入新的站点时，需要同时修改所有接入此站点的边缘节点的配置。第二节VPN基本原理虚拟专用网络是指在公用网络上建立专

8、用的网络技术，在任意两个节点并没有传统的端到端物理线路，而是架构在公用网络服务上所提供的网络平台，采用VPN的专用和虚拟的特征，可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络的应用可以是千变万化的：可以用在解决企业内部互连、政府的相同或不同办事部门的互连；也可以用来提供新的业务，如为IP电话业务专门开辟一个VPN，以此解决IP网络地址不足、QoS保证、以及开展新业务等问题。在解决企业互连和提供各种新业务方面，VPN，尤其是MPLS（Multiprotocol Label Switching）VPN，越来越被运营商看好，成为运营商在IP网络提供增值业务的重要手段。第三节VPN分类

9、随着网络技术的发展，VPN技术得到了广泛的应用，同时也得到了很大的发展，涌现了许多VPN新技术。按照不同的角度，VPN可以分为多种类型。具体分类角度包括： 按组网模型 按业务用途 按实现层次3.1按组网模型根据组网模型的不同，VPN可以分为： VPDN（Virtual Private Dial Network） VPRN（Virtual Private Routing Network） VPWS（Virtual Leased Line Service） VPLS（Virtual Private LAN Service）3.1.1VPDNVPDN利用公共网络的拨号功能及接入网，为企业、小型ISP

10、和移动办公人员提供接入服务。VPDN也可以使用私有IP地址等VPN所特有的一些特性，接入范围可遍及PSTN（Public Switched Telephone Network）、ISDN（Integrated Services Digital Network）的覆盖区域，网络建设投资少、周期短，网络运行费用低。主要采用点到点的连接方式。通过L2TP（Layer 2 Tunneling Protocol）、PPTP（Point-to Point Tunneling Protocol）等协议实现。下图是VPDN的例子。远程用户（如企业驻外机构或出差人员）可以通过ISDN或PSTN网络接入Inter

11、net，并在网络接入服务器和企业网关之间虚拟隧道，从而接入到企业内部。3.1.2VPRNVPRN是总部、分支机构和远端办公室之间通过网络管理虚拟路由器互连。VPRN与其他类型的VPN相比，其主要区别在于VPRN数据包的转发是在网络层实现的。公网的每个VPN节点需要为每个VPN建立专用路由转发表，包含网络层可达性信息。数据流在公网的VPN节点之间的转发以及VPN节点和用户站点之间的转发都是基于这些专用路由转发表。VPRN的实现方式包括两种：一是使用传统VPN协议，如IPSec（Internet Protocol SECurity extensions）、GRE（Generic Routing E

12、ncapsulation）等，另一种是使用MPLS。3.1.3VPWSVPWS（Virtual Private Wire Service）是对传统租用线业务的仿真，使用IP网络模拟租用线，提供非对称、低成本的“DDN（Digital Data Network）”业务。从虚拟租用线两端的用户来看，该虚拟租用线近似于传统的租用线。VPWS也兼容传统专网（如ATM、FR），运营商可以从ATM、FR等传统专网向VPWS平滑升级。VPWS作为一种虚拟租用线路的实现方法，主要是在接入层和汇聚层使用。VPWS又分为CCC（Circuit Cross-Connect）、SVC（Static Virtual C

13、ircuit）、Martini和Kompella等方式。PWE3也是一种端到端的二层业务承载技术，是对Martini方式VPWS的一种扩展。VPWS模型适合星型连接的VPN，对于需要全连接的VPN，推荐采用VPRN。3.1.4VPLS虚拟专用局域网业务VPLS是局域网之间通过虚拟专用网段互连，是局域网在IP公共网络上的延伸。VPLS也称为透明局域网服务TLS（Transparent LAN Service）。不同于普通L2VPN的点到点业务，利用VPLS技术，服务提供商可以通过MPLS骨干网向用户提供基于以太网的多点业务。以太网技术由于其灵活的VLAN逻辑接口定义，高带宽/成本比等优势，越来越

14、广泛地被使用。VPRN和VPWS也能提供局域网服务，但传统以太网技术的局限性依然存在： 无法限制未知MAC的广播泛滥。 生成树协议STP（Spanning Tree Protocol）扩展受限。 VLAN地址空间有限。3.2按业务用途根据业务用途不同，VPN可分为三种： 企业内部虚拟专网Intranet VPN 扩展的企业内部虚拟专网Extranet VPN 远程访问虚拟专网Access VPN3.2.1 Intranet VPNIntranet VPN通过公用网络进行企业内部的互联，是传统专网或其它企业网的扩展或替代形式。使用Intranet VPN，企事业机构的总部、分支机构、办事处或移动

15、办公人员可以通过公有网络组成企业内部网络。VPN也用来构建银行、政府等机构的Intranet。典型的Intranet例子就是连锁超市、仓储物流公司、加油站等具有连锁性质的机构。3.2.2 Extranet VPNExtranet利用VPN将企业网延伸至供应商、合作伙伴与客户处，在具有共同利益的不同企业间通过公网构筑VPN，使部分资源能够在不同VPN用户间共享。在传统的专线构建方式下，Extranet通过专线互联实现，需要维护网络管理与访问控制，甚至还需要在用户侧安装兼容的网络设备。虽然可以通过拨号方式构建Extranet，但此时需要为不同的Extranet用户进行设置，同样降低不了复杂度。因合

16、作伙伴与客户的分布广泛，拨号方式的Extranet需要昂贵的建设与维护费用。因此，企业常常放弃构建Extranet，使得企业间的商业交易程序复杂化，商业效率被迫降低。3.2.3 Access VPNAccess VPN使出差流动员工、家庭办公人员和远程小办公室可以通过廉价的拨号介质接入企业内部服务器，与企业的Intranet和Extranet建立私有网络连接。Access VPN也叫做VPDN。Access VPN有两种类型：一种是用户发起（Client-initiated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。3.3按实现层次根据实现层次的不同，VP

17、N可分为L3VPN（Layer 3 VPN）、L2VPN（Layer 2 VPN）和VPDN。3.3.1 L3VPN也就是VPRN。包括多种类型，例如IPSec VPN、GRE VPN、基于RFC2547的BGP/MPLS VPN、以IPSec或GRE作为隧道的BGP/MPLS VPN。其中MPLS/BGP VPN主要应用在主干转发层，IPSec VPN、GRE VPN在接入层被普遍采用。3.3.2 L2VPN随着网络技术的发展，运营商网络越来越复杂，迫切希望出现新的技术，将传统的交换网（如ATM、FR）与IP或MPLS网络融合。L2VPN因此而诞生。L2VPN包括前述的VPWS和VPLS。V

18、PWS适合较大的企业通过WAN互连，而VPLS适合小企业通过城域网互连。VPLS中存在广播风暴问题，同时，PE设备要进行私网设备的MAC（Medium Access Control）地址学习，协议、存储开销大。由于二层VPN只使用SP网络的二层链路，从而为支持三层多协议创造条件，L3VPN也能支持多协议，但不如L2VPN灵活，有一定限制。3.3.3 VPDN严格来说，VPDN也属于二层VPN，但其网络构成和协议设计与其他L2VPN有很大不同。在对IP报文进行封装时，VPDN方式需要封装多次，第一次封装使用隧道协议L2TP，第二次封装使用UDP（User Datagram Protocol）。第

19、二章 VPN技术第一节隧道技术1.1概念隧道的功能就是在两个网络节点之间提供一条通路，使数据报能够在这个通路上透明传输。VPN隧道一般是指在PSN（Packet Switched Network）骨干网的VPN节点（一般指边缘设备PE）之间建立的用来传输VPN数据的虚拟连接。隧道是构建VPN不可或缺的部分，用于把VPN数据从一个VPN节点透明传送到另一个上。隧道协议通过在隧道的一端给数据加上隧道协议头，即进行封装，使这些被封装的数据能都在某网络中传输；并在隧道的另一端去掉该数据携带的隧道协议头，即进行解封装。报文在隧道中传输前后都要通过封装和解封装两个过程。1.2隧道技术1.2.1 LSP在M

20、PLS网络中，边缘路由器对报文打上MPLS标签，网络内部路由器根据标签对报文进行转发。标签报文所经过的路径称为标签交换路径LSP（Label Switched Path）。RFC2547中使用的隧道类型为LSP。如果核心网只提供纯IP功能，而网络边缘的PE路由器具备MPLS功能，可以通过GRE或IPSec替代LSP，在核心网提供三层或二层VPN解决方案。1.2.2 GRE隧道GRE隧道使用GRE协议封装原始数据报文，基于公共IP网络实现数据的透明传输。GRE隧道不能配置二层信息，但可以配置IP地址。利用为隧道指定的实际物理接口完成转发。转发过程可以简单描述如下： 所有去往远端VPN的报文先发送

21、到隧道（Tunnel）源端。 在Tunnel源端进行GRE封装，填写Tunnel建立时确定的隧道源地址和目的地址。 通过公共IP网络发送到隧道目的端。 在隧道目的端GRE解封装，根据普通IP转发流程将报文转发到远端VPN网络。目前的GRE隧道方案存在以下弊端： 组网及配置复杂。GRE隧道技术采用的是点到点的隧道方案，当接入点数量为N，需要建立一个全连接的VPN时，整个网络需要手工配置N(N1)2个点到点的连接。 可维护性及可扩展性差。对于一个已经组建好的VPN网络，若需要增加节点或修改某个节点的配置，那么其他所有节点都必须针对这个节点修改本地配置，维护成本较高。 无法穿透NAT（Network

22、 Address Translation）网关。采用GRE方式建立隧道，如果出口有NAT网关，那么需要一个公网地址对应一个私网地址来解决，需要大量的公网IP地址，这导致了GRE不能应用于NAT网关内部。1.2.3 IPSec隧道IPSec是IETF制定的一个框架协议，用于保证在Internet上传送数据的安全保密性。IPSec提供传输模式和隧道模式两种操作模式，隧道模式的封装过程为： 首先为需要通信的两个私有网络地址定义一个IP流，流的建立可以使用IP层以上某个协议的端口； 定义IPSec隧道的源和目的地址信息，这个源和目的地址是公网信息； 配置缺省路由，下一跳指向IPSec隧道源地址所在链路

23、的对端地址。在进行VPN通信时，所有去往对端VPN的报文在出接口进行IPSec封装，到对端解封装，然后再进行转发。1.2.4 L2TP图一L2TPv2支持PPP方式的二层封装，通过UDP承载。L2TPv2应用于VPDN，只要实现L2TP就可以完成VPDN的功能。L2TP隧道支持拥塞控制和隧道端点验证。各种类型隧道也可以混合使用，如建立GRE隧道时使用IPSec安全机制可以提高数据的安全性；在L2TP隧道两端建立IPSec安全机制可以保证VPDN的安全性。第二节L2TP技术2.1概念L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。L

24、2TP协议提供了对PPP链路层数据包的隧道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并采用包交换技术进行信息交互，从而扩展了PPP模型。L2TP功能可以简单描述为在非点对点的网络上建立点对点的PPP会话连接。L2TP协议结合了L2F协议和PPTP协议的优点，成为IETF有关二层隧道协议的工业标准。2.2L2TP技术2.2.1L2TP协议结构图二上图描述了PPP帧和控制通道以及数据通道之间的关系：PPP帧在不可靠的L2TP数据通道内传输，控制消息在可靠的L2TP控制通道内传输。L2TP数据报文和控制报文全部以UDP报文形式发送。数据消息不重发，不能保证可靠性；控制

25、消息使用流控和重发机制，能保证可靠传输。L2TP注册了UDP端口1701，这个端口号仅用于初始隧道建立过程。L2TP隧道发起方任选一个空闲端口（未必是1701）向接收方的1701端口发送报文；接收方收到报文后，也任选一个空闲端口（未必是1701），给发送方的指定端口回送报文。至此，双方的端口选定，并在隧道连通的时间内不再改变。2.2.2L2TP报文头L2TP的控制消息和数据消息使用相同的报文头。图三L2TP报文头中标记为可选（opt）的字段，是指在数据消息中可选，在控制消息中则是必选的。2.2.3会话建立过程控制连接的建立和拆除期间包含以下过程： 控制连接的建立 会话连接的建立 控制连接的维持

26、 会话连接的拆除 控制连接的拆除2.2.4控制连接的建立控制连接的建立先于会话连接。只有控制连接建立起来了，会话连接才可能建立起来。L2TP的控制连接建立过程如图。图四LAC和LNS之间路由相互可达后，LAC端设置相应AVP，向LNS端发出SCCRQ报文，请求建立控制连接。LNS收到来自LAC的SCCRQ。根据其中的AVP，如果同意建立隧道，便发送SCCRP报文给LAC。LAC对接收到的SCCRP报文进行检查，从中取出隧道信息，并向LNS发送SCCCN报文，表示控制连接建立成功。当消息队列中没有消息时，LNS发送ZLB给对端。2.2.5会话连接的建立控制连接成功建立之后，一旦检测到用户呼叫，就

27、请求建立会话连接。与控制连接不同的是，会话连接的建立具有方向性。图五2.2.6控制连接的维持L2TP使用Hello报文检测隧道的连通性。LAC和LNS定时向对端发送Hello报文，若在一段时间内未收到Hello报文的应答，则重复发送Hello报文。如果重复发送报文的次数超过3次，则认为L2TP隧道已经断开，该PPP会话将被清除。此时需要重新建立隧道。LNS和LAC侧可以设置不同的Hello报文时间间隔。2.2.7会话连接的拆除会话连接拆除的发起端可以是LAC或LNS。发起端通过发送CDN消息报文到对端来通知对端拆除会话连接。对端收到后发送ZLB ACK消息作为回应。下图是LAC侧发起会话连接拆

28、除的过程。图六2.2.8控制连接的拆除控制连接拆除的发起端可以是LAC或LNS。发起端通过发送StopCCN消息报文到对端来通知对端拆除控制连接。对端收到后发送ZLB ACK消息作为回应，同时在一定时间内保持控制连接以防止ZLB ACK消息丢失。第三节MPLS技术 3.1概念MPLS（Muxtiprotocol Label Switch）多协议标签转换，MPLS报文转发是基于标签的。IP包在进入MPLS网络时，MPLS入口的边缘路由器分析IP包的内容并且为这些IP包选择合适的标签，然后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。当该IP包最终离开MPLS网络时，标签被出口的边

29、缘路由器分离。MPLS协议的关键是引入了标签（Label）的概念。它是一种短的易于处理的、不包含拓扑信息、只具有局部意义的信息内容。Label短是为了易于处理，通常可以用索引直接引用。只具有局部意义是为了便于分配。熟识ATM的人可能很自然地想到ATM中的VPI/VCI。可以这么说ATM中的VPI/VCI就是一种标签。所以说ATM实际上就是一种标签交换。3.2 MPLS技术3.2.1概念标签（Label），是一个比较短的，定长的，非结构化，通常只具有局部意义的标识，这些标签通常位于数据链路层的数据链路层封装头和三层数据包之间，用来提高数据分组的转发性能。FEC：Forwarding Equiva

30、lence Class，FEC（转发等价类），是在转发过程中以等价的方式处理的一组数据分组，例如目的地址前缀相同的数据分组。通常对一个FEC分配相同的标签。NHLFE：Next Hop Label Forwarding Entry，在LSP沿途的LSR上都已建立了输入/输出标签的映射表，该表的元素叫下一跳标签转发条目，简称NHLFE。对于接收到的标签分组，LSR只需根据标签从表中找到相应的NHLFE，并用新的标签来替换原来的标签，然后对标签分组进行转发。NHLFE内容至少包含了输入/输出标签和下一跳。相当于IP网络中的路由表。数据分组在进入MPLS时，首先被归类为不同的FEC，然后就是把这些F

31、EC同NHLFE相映射，进入到达利用标签切换来转发数据分组的目的，FEC同NHLFE的映射关系有两种，FEC到NHFLE映射（FTN）和入标签映射（Incoming Label Map, ILM），前者用来转发未标签化的分组（Edge LSR，LER），但在转发后，分组也已经标签化了。后者用来转发已经标签化了的分组（Core LSR）。3.2.2 工作原理图七当一个IP报文进入到MPLS域时，入口LER会分析报文。一般根据IP地址前缀或者主机地址来划分FEC，入口LER将其映射到NHLFE，向IP报文头中插入一个标签L1，通过ethernet1 将其转发到LSR B。图八LSRB 接收到如标签为L1的报文后，查找NHLFE，将入标签L1交换为L2。图九LSRC的操作过程与LSRB的过程类似。图十出接口的LSR收到标签L3后，首先弹出标签，根据目的IP地址查找路由表，进行传统的IP 转发。实际上对于出口LER，收到的标签L3对其转发来讲已经没有意义。如果出口LER只进行IP报文的转发而不在分析标签，转发的效率会提高。Penultimate Hop Popping：倒数第二跳弹出。标签在倒数第二个LSR弹出，而不是在LSP的出口LSR弹出，这样做的目的是允许边缘节点不支持MPLS或是降低对边缘节点处理能力的要求。使用