企业虚拟专用网络构建方案的设计.doc

企业虚拟专用网络构建方案的设计 第1章 VPN技术理论概述 1.1 VPN 技术理论概述 虚拟专用网VPN(Virtual Private Network)是一种利用公共网络构建的专用网络技术，“虚拟”的概念是相对传统私网络的构建方式而言的，VPN通过公网实现远程广域连接，以低廉的成本连接企业远程分支机构，或者在公共骨干网络承载不同的专网。下面我们从技术层面和业务层面对VPN技术进行分析，因为所有的技术都是因为有了应用才变得有分析和研究的意义。VPN是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中利用隧道、加密等技术，构建一个专门给企业使用的虚拟网络。该虚拟专用网负责将地理上分布的用户的各个网络结点连接起来。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。通过虚拟专用网络的连接，用户可以根据自己的意愿，分配各个结点上的地址空间，可以自己安排各个结点之间的路由关系，它给用户一种直接连接到私人局域网的感觉。因此虚拟专用网，顾名思义，不是真的专用网络，但却能够实现专用网络的功能。从网络空间来看，虚拟专用网络在中间，用户的网络结点在边缘。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。与虚拟专用网相对应的，传统专用线路(如DDN)的高昂成本和长期的使用费用，使企业承担了很大的负担，很多企业无法利用这种方式来建立自己的专网。 越来越多的用户认识到，Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换的速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流，不但带来了网络的复杂性，而且还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP技术的、难以管理的国际互联网络，因此，基于Internet的商务活动就面临着信息威胁和安全隐患。还有一类用户，随着自身的发展壮大，以及跨国企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门，在连接分支机构方面也感到日益棘手。虚拟专用网技术能很好地解决上述难题，而且无需高昂的专用网络及设备，大大降低了成本。这使得虚拟专用网技术，不但成为了近来网络界的新热点，更成为了一种不可抗拒的趋势。 1.2 IP Sec技术浅析 IP Sec是一组开放协议的总称，它是在特定的通信方之间通过在IP层加密和数据源验证等手段，保证数据包在Internet网上的私有性、完整性和真实性。IPSec采用AH(Authentication Header)和ESP(Encapsulating Security Payload)安全协议，不会对用户、主机或其它Internet组件造成影响，用户可以选择不同的硬件或软件加密算法，不影响其它部分的实现。 IPSec提供以下网络安全服务：私有性：在传输数据包之前进行加密，保证数据的私有性；完整性：在目的地验证数据包，保证数据包在传输过程中不被修改；真实性：IP Sec端验证所有受IP Sec保护的数据包；防重放：防止数据包被捕捉后重新投放上网，即目的地拒绝旧的或重复的数据包，这一过程是通过报文的序列号来实现的。 IP Sec在两个端点之间通过建立安全联盟(SA，Security Association)进行数据传输，该安全联盟定义了数据保护使用的协议、算法和安全联盟的有效时间等属性。IP Sec在转发加密数据时新产生的All和/或ESP附加报头，可用于保证IP数据包的安全性。IP Sec包括隧道和传输两种工作方式：在隧道方式，用户的整个IP数据包用于计算附加报头且被加密，附加报头和加密用户数据封装在一个新的IP数据包中；在传输方式，仅传输层(如TCP、UDP)数据用于计算附加报头，附加报头和被加密的传输层数据放置在原口报头的后面。 通过IP Sec协议，数据可安全地在公网传输，不必担心数据被监视、修改或伪造。IP Sec提供两个主机间、两个安全网关间或主机与安全网关之间的数据保护。 1.3 SSL技术浅析 近年来，移动办公已成为趋势，移动用户接入公司内部专网的需求不断增加，使得IPSec VPN的使用也逐渐增加。但由于IPSec VPN的维护困难，造成企业IT成本过高；另一方面，企业对于内网资源的保护的要求也不断提高，IPSec VPN由于开放了整网的资源给接入用户，企业内网安全方面的问题逐渐暴露。 鉴于IPSec VPN应用中存在的不足，基于应用层的SSL VPN开始迅速兴起。SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”，它是网景(Netscape)公司提出的基于WEB应用的安全协议。是一种基于应用层的虚拟专网技术，它利用SSL技术和代理技术，向终端用户提供安全访问HTTP限资源、C/S资源，以及文件共享资源等的功能，同时可以实现不同方式的用户认证，以及细粒度的访问控制。通过该技术的应用，我们可真正实现“在任何时候、任何地点、通过任何设备安全地接入公司内部网”的目标。SSL VPN技术应用具有以下优势和特点：通过点到应用的保护，对每一个应用都可以设定安全策略；无需手动安装任何VPN客户端软件；兼容性好，支持各种操作系统和终端(如PDA、Smart Phone等)。 在远程访问领域，SSL VPN正逐步取代IPSec VPN。但是，作为传统的站点到站点安全联接的主流技术，IP Sec VPN仍然是不可取代的。当前，VPN领域的共识是：IPSec VPN更适合于站点到站点安全联接，SSL VPN是实现安全远程访问的最佳技术。 就目前的技术而言，VPN的发展到现在没有所谓最佳的选择，到底选择那种VPN必须根据远程访问的需求与目标而定。当企业需要安全的点对点连接时，IP Sec可能是最适合的解决方案，即IP Sec更加适合用来解决网到网的互联问题。 SSL VPN则更适合下述情况：移动用户通过互联网来访问企业内部获取广泛而全面性的信息，管理员希望精确的了解接入用户的访问情况，SSL VPN在这方面更胜一筹。 如果一个企业会同时存在网间互联和点到网的互联需求，我们就需要的是一台设备同时支持这两种VPN技术，在需要网到网互联的时候使用IP Sec、在需要点到网互联的时候使用SSL，用最合适的技术来满足用户的需求。 综合的说，以上两种技术有如下差异： 1、IP Sec VPN多用于“网——网”连接，SSL VPN用于“移动客户——网”连接。SSLVPN的移动用户使用标准的浏览器，无需安装客户端程序，即可通过SSLVPN隧道接入内部网络；而IP Sec VPN的移动用户需要安装专门的IP Sec客户端软件。 2、SSL VPN是基于应用层的VPN，而IP Sec VPN是基于网络层的VPN。IP Sec VPN对所有的IP应用均透明；而SSL VPN保护基于Web的应用更有优势，当然好的产品也支持TCP/UDP的C/S应用，例如文件共享、网络邻居、Ftp、Telnet、Oracle等。 3、SSL VPN用户不受上网方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。 4、SSL VPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点，网管专业性较强。 5、SSL VPN更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统(如：radius、AD等)结合更加便捷。而IPSec VPN主要基于IP五元组对用户进行访问控制。 正是出于SSLVPN的这些独特优势，SSL VPN越来越被一些客户所接受。 1.4 多协议标签交换MPLS MPLS(Multi protocol Label Switch)最初是用来提高路由器的转发速度而提出的一个协议，但是由于MPLS在流量工程和VPN这一在目前IP网络中非常关键的两项技术中表现，MPLS已日益成为扩大IP网络规模的重要标准。MPLS协议的关键是引入了标签(Label)的概念。它是一种短的、易于处理的、不包含拓扑信息、只具有局部意义的信息内容。Label短是为了易于处理，通常可以用索引直接引用。只具有局部意义是为了便于分配。熟悉ATM的人可能很自然的想到ATM中的VPI/VCI。可以这么说，ATM中的VPI/VCI就是一种标签，所以说ATM实际上就是一种标签交换。一个MPLS标签是一个长度固定的数值，由报文的头部携带，不含拓扑信息，只有局部意义。 在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器就用标签封装起来。MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签，相对于传统的IP路由分析，MPLS不仅分析IP包头中的目的地址信息。它还分析IP包头中的其他信息，如TOS等。之后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。当该IP包最终离开MPLS网络时，标签被边缘路由器分离。 IP+ATM怎样不同于简单地在ATM骨干上运行IP呢?答案就是MPLS。MPLS是商业IP网络关键技术，它允许服务提供商首次在单一网络上获得IP，ATM，FR的综合利润。因为MPLS提供IP的灵活连接和可扩展性，以及FR和ATM的私有性和QOS，它已变成广泛被接收的标准。运用MPLS，IP服务能通过以下的过程在具有选路和多业务的交换网络上进行传送： 网络决定包的选路和QOS需求；标记被分配给每个包，告诉交换机或路由器哪儿、怎样去发送这个包，每个包的特定的服务属性：QOS，私有性等等；包在没有额外的选路的情况下，在网络骨干上被交换。 基于MPLS的解决方案使得新的网络世界的服务成为可能，如具有QOS的VPN。MPLS标记的主要好处是能够为单个数据流区别服务类。 1.5 VPN技术的安全保障优点 虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其在VPN上传送的数据，不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到了合作伙伴和客户，但同时也对安全性提出了更高的要求。 1.6 服务质量保证(QoS) VPN网应当为企业数据，提供不同等级的服务质量保证。不同的用户和业务对服务质量保证要求的差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用，则要求网络能提供良好的稳定性；对于其他应用(如视频等)则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用，均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时容易引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又容易造成大量网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。 第2章 基于VPN的网络设计 2.1 企业规模与配置分布 永辉商贸公司地处于沈阳黄金地段，盘锦有其分公司，属于中小型企业。为了更方便公司的营运与员工的办公方便，特设置虚拟专用网络。本公司总部有一台FTP与 WEB服务器，联网计算机共有26台（一下拓扑图中只画出一台）。分公司没有服务器，为了可以访问总公司内部的文件需要连接专用网络，分公司共有电脑20台。由于员工经常出差，需要在万维网连接到工地服务器，也需要连接专用网络进行访问。 2.2 网络拓扑图的设计与说明 基于IP Sec VPN的综合模拟拓扑图如下图2.1。
图2.1 VPN综合模拟拓扑图 拓扑图说明：总部路由器模拟总公司核心层路由器，总部汇聚层交换机下挂其Fa0/1端口，总部TFTP服务器、Web服务器以及各部门PC接入汇聚层核心交换机；总部路由器Fa0/1为连接Internet端口，在此使用一台cisco2811路由器模拟Internet，Internet路由器Eth1/1端口下挂外网DNS服务器和ISP Web服务器，Eth1/0下挂外网接入的AP，提供DHCP服务和无线接入；Internet另一端为分公司路由器，其Fa0/1端口下挂分公司核心交换机。 2.3 IP地址分配与规划分析 PC0 PC1:DHCP获取； 笔记本：laptop0和wuxian：DHCP获取； 内部服务器：Web 192.168.1.253/24； TFTP 192.168.1.252/24； ISP服务器：ISP DNS 202.103.96.112/24； ISP Web 202.103.96.120/24； 总部路由器：f0/0:192.168.1.254/24； f0/1:100.1.1.2/24； Internet网：f0/1 :100.1.1.1/24；f0/0:200.1.1.1/24； E1/0:210.1.1.1/24(移动笔记本wuxian所获得公网地址段)； E1/1:202.103.96.1/24（ISP DNS和ISP Web服务器的网关； 分部路由器：f0/0:200.1.1.2/24 f0/1:192.168.2.254/24； TFTP服务器：IP：192.168.1.252/24 gateway：192.168.1.254/24； WEB服务器：总部：IP：192.168.1.253/24； gateway: 192.168.1.254/24； Internet：202.103.96.120/24 gateway: 202.103.96.1/24； DNS服务器：IP:202.103.96.112/24 gateway: 202.103.96.1/24。 第3章 主要设备网络配置 3.1 总部路由器的配置 3.1.1 为路由命名并赋予IP hostname zongbu ip dhcp excluded-address 192.168.1.254 ip dhcp pool zongbu network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 dns-server 202.103.96.112 3.1.2 配置AAA认证 aaa new-model aaa authentication login eza local aaa authorization network ezo local username tang password 0 123 3.1.3 配置IKE协商策略与参数 crypto isakmp policy 10(10为IKE协商策略的编号) encr 3des hash md5(hash 命令被用来设置密钥认证所用的算法) authentication pre-share crypto isakmp key tom address 200.1.1.2 crypto isakmp client configuration group wzf key 123 pool ez 3.1.4 配置IPsec访问列表与传输模式 crypto ipsec transform-set tim esp-3des esp-md5-hmac crypto dynamic-map ezmap 10 set transform-set tim 3.1.5 配置端口的应用 reverse-route crypto map tom client authentication list eza（创建Crypto Map） crypto map tom isakmp authorization list ezo crypto map tom client configuration address respond crypto map tom 10 ipsec-isakmp dynamic ezmap crypto map tom 11 ipsec-isakmp set peer 200.1.1.2（指定了此Crypto Map所对应的VPN链路对端的IP地址） set transform-set tim match address 101 no ip domain-lookup interface FastEthernet0/0（配置端口IP） ip address 192.168.1.254 255.255.255.0 ip nat inside duplex auto speed auto interface FastEthernet0/1 ip address 100.1.1.2 255.255.255.0 ip nat outside duplex auto speed auto crypto map tom interface Vlan1 no ip address shutdown ip local pool wzf 192.168.3.1 192.168.3.100 ip nat inside source list 100 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.1.253 80 100.1.1.2 80 ip classless ip route 0.0.0.0 0.0.0.0 100.1.1.1 access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.