開展VPN服務(wù)的幾種方式

1、開展VPN服務(wù)的幾種方式安徽中科大訊飛信息科技公司 PAGE 18開展VPN服務(wù)的幾種方式 TOC o h z HYPERLINK l _Toc528998423 一、VPN 介紹 PAGEREF _Toc528998423 h 3 HYPERLINK l _Toc528998424 1.1 VPN 的特點(diǎn) PAGEREF _Toc528998424 h 4 HYPERLINK l _Toc528998425 1安全保障 PAGEREF _Toc528998425 h 4 HYPERLINK l _Toc528998426 2服務(wù)質(zhì)量保證（QoS） PAGEREF _Toc528998426

2、h 4 HYPERLINK l _Toc528998427 3可擴(kuò)充性和靈活性 PAGEREF _Toc528998427 h 4 HYPERLINK l _Toc528998428 4可管理性 PAGEREF _Toc528998428 h 4 HYPERLINK l _Toc528998429 1.2 VPN安全技術(shù) PAGEREF _Toc528998429 h 5 HYPERLINK l _Toc528998430 1. 隧道技術(shù)是VPN的基本技術(shù) PAGEREF _Toc528998430 h 5 HYPERLINK l _Toc528998431 2. 加解密技術(shù) PAGEREF

3、_Toc528998431 h 5 HYPERLINK l _Toc528998432 3. 密鑰管理技術(shù) PAGEREF _Toc528998432 h 5 HYPERLINK l _Toc528998433 4. 身份認(rèn)證技術(shù) PAGEREF _Toc528998433 h 5 HYPERLINK l _Toc528998434 二、VPN的種類及其實(shí)現(xiàn)方式 PAGEREF _Toc528998434 h 6 HYPERLINK l _Toc528998435 2.1 Client-LAN（Access）型 PAGEREF _Toc528998435 h 6 HYPERLINK l _To

4、c528998436 2.2 Client-LAN（Access）型的實(shí)現(xiàn)方式 PAGEREF _Toc528998436 h 7 HYPERLINK l _Toc528998437 1. 客戶驅(qū)動(dòng)的連接 PAGEREF _Toc528998437 h 7 HYPERLINK l _Toc528998438 2. 網(wǎng)絡(luò)接入服務(wù)器（NAS）驅(qū)動(dòng)的連接 PAGEREF _Toc528998438 h 7 HYPERLINK l _Toc528998439 2.3 LAN-LAN(IntranetVPN和ExtranetVPN)型 PAGEREF _Toc528998439 h 8 HYPERLIN

5、K l _Toc528998440 1. VLAN方式 PAGEREF _Toc528998440 h 9 HYPERLINK l _Toc528998441 2. MPLS VPN方式 PAGEREF _Toc528998441 h 9 HYPERLINK l _Toc528998442 3. IPSecVPN方式 PAGEREF _Toc528998442 h 10 HYPERLINK l _Toc528998443 三、目前能開展的VPN業(yè)務(wù)及其實(shí)現(xiàn)方式 PAGEREF _Toc528998443 h 10 HYPERLINK l _Toc528998444 3.1 VPDN業(yè)務(wù) PAG

6、EREF _Toc528998444 h 10 HYPERLINK l _Toc528998445 3.2 VLAN業(yè)務(wù) PAGEREF _Toc528998445 h 11 HYPERLINK l _Toc528998446 1. 同一個(gè)交換機(jī)下的VLAN業(yè)務(wù) PAGEREF _Toc528998446 h 11 HYPERLINK l _Toc528998447 2. 不同交換機(jī)下的VLAN業(yè)務(wù) PAGEREF _Toc528998447 h 11 HYPERLINK l _Toc528998448 3.3 LAN-LAN MPLS VPN業(yè)務(wù) PAGEREF _Toc528998448

7、h 12 HYPERLINK l _Toc528998449 1. 主干路由器(P路由器)的設(shè)置 PAGEREF _Toc528998449 h 12 HYPERLINK l _Toc528998450 2. 邊界路由器(PE路由器)的設(shè)置 PAGEREF _Toc528998450 h 13 HYPERLINK l _Toc528998451 3.4 LAN-LAN IPSec VPN業(yè)務(wù) PAGEREF _Toc528998451 h 17 HYPERLINK l _Toc528998452 四、VPN業(yè)務(wù)展望 PAGEREF _Toc528998452 h 17開展VPN服務(wù)的幾種方式寬

8、帶網(wǎng)絡(luò)建成后，整個(gè)ChinaNET已經(jīng)可以提供如下幾種接入Internet的方式：撥號(hào)（模擬、ISDN方式）、專線（DDN、FR等方式）、寬帶（ADSL、以太網(wǎng)方式）。接入速度從幾十KBPS到1000MBPS，能充分滿足各種層次的用戶接入Internet的需求。除了能提供這些基本接入服務(wù)外，現(xiàn)有的網(wǎng)絡(luò)還可以開展多種增值服務(wù)，如VPN接入服務(wù)。在國外，VPN已經(jīng)迅速發(fā)展起來，2001年全球VPN市場將達(dá)到120億美元。在中國，雖然人們對(duì)VPN的定義還有些模糊不清，對(duì)VPN的安全性、服務(wù)質(zhì)量（QoS）等方面存有疑慮，但互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展使我們有理由相信，中國的VPN市場將逐漸熱起來。對(duì)國內(nèi)

9、的用戶來說，VPN（虛擬專用網(wǎng)，Virtual Private Network）最大的吸引力在哪里？是價(jià)格。據(jù)估算，如果企業(yè)放棄租用專線而采用VPN，其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%-45%，至于那些以電話撥號(hào)方式連網(wǎng)存取數(shù)據(jù)的公司，采用VPN則可以節(jié)約通訊成本50%-80%。 一、VPN 介紹現(xiàn)在有很多連接都被稱作VPN，用戶經(jīng)常分不清楚，那么一般所說的VPN到底是什么呢？顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之

10、間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。IETF草案理解基于IP的VPN為：使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。 所以我們說的虛擬專用網(wǎng)一般指的是建筑在Internet上能夠自我管理的專用網(wǎng)絡(luò)，而不是Frame Relay或ATM等提供虛擬固定線路（PVC）服務(wù)的網(wǎng)絡(luò)。以IP為主要通訊協(xié)議的VPN，也可稱之為IP-VPN。 由于VP

11、N是在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用，也節(jié)省了長途電話費(fèi)。這就是VPN價(jià)格低廉的原因。 1.1 VPN 的特點(diǎn) 在實(shí)際應(yīng)用中，用戶需要的是什么樣的VPN呢？一般情況下，一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn)： 1安全保障 雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指

12、定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。2服務(wù)質(zhì)量保證（QoS） VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤

13、碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。 3可擴(kuò)充性和靈活性 VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足

14、同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。 4可管理性 從用戶角度和運(yùn)營商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。 1.2 VPN安全技術(shù) 由于VPN在公網(wǎng)上傳輸?shù)氖撬接行畔?，VPN用戶對(duì)數(shù)據(jù)

15、的安全性都比較關(guān)心。 目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。 1. 隧道技術(shù)是VPN的基本技術(shù)類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP

16、、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IP Security）是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。 2. 加解密技術(shù)加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。3. 密鑰管理技術(shù)它的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP

17、主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。 4. 身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。 二、VPN的種類及其實(shí)現(xiàn)方式常用的VPN有Client-LAN（Access）型、LAN-LAN型，他們的介紹及在網(wǎng)絡(luò)中的實(shí)現(xiàn)方式如下。2.1 Client-LAN（Access）型這種類型的VPN與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)相對(duì)應(yīng)。如果企業(yè)的內(nèi)部人員移動(dòng)或有遠(yuǎn)程辦公需要，或者商家要提供B2C的安全訪問服務(wù)，就可以考慮使用AccessVPN。 AccessVPN通過一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)

18、企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問。AccessVPN能使用戶隨時(shí)、隨地以其所需的方式訪問企業(yè)資源。AccessVPN包括模擬、撥號(hào)、ISDN、數(shù)字用戶線路(xDSL)、移動(dòng)IP和電纜技術(shù)，能夠安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。如圖1所示。 圖1 AceessVPN結(jié)構(gòu)圖AccessVPN工作時(shí)，遠(yuǎn)程客戶通過撥號(hào)線路連接到ISP的NAS服務(wù)器上，經(jīng)過身份認(rèn)證后，通過公網(wǎng)跟公司內(nèi)部的VPN網(wǎng)關(guān)之間建立一個(gè)隧道，利用這個(gè)隧道對(duì)數(shù)據(jù)進(jìn)行加密傳輸。AccessVPN最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況。出差員工利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。RAD

19、IUS服務(wù)器可對(duì)員工進(jìn)行驗(yàn)證和授權(quán)，保證連接的安全，同時(shí)負(fù)擔(dān)的電話費(fèi)用大大降低。 AccessVPN對(duì)用戶的吸引力在于： * 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡化網(wǎng)絡(luò)； * 實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來取代遠(yuǎn)距離接入或800電話接入，這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用； * 極大的可擴(kuò)展性，簡便地對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度； * 遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)（RADIUS）基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)； * 將工作重心從管理和保留運(yùn)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來。 AccessVPN的核心技術(shù)是第二層隧道技術(shù)。所謂“隧道”就是這樣一種封裝技術(shù)，它利用一種網(wǎng)絡(luò)傳輸協(xié)議，將其他

20、協(xié)議產(chǎn)生的數(shù)據(jù)報(bào)文封裝在它自己的報(bào)文中，在網(wǎng)絡(luò)中傳輸。第二層隧道就是將第二層(數(shù)據(jù)鏈路層)幀封裝在網(wǎng)絡(luò)層報(bào)文中，形成IP報(bào)文，在Internet中傳輸。在已問世的第二層隧道解決方案中，以PPTP協(xié)議和L2TP協(xié)議最為成熟。第二層隧道協(xié)議具有簡單易行的優(yōu)點(diǎn)，但是它們的可擴(kuò)展性都不好。更重要的是，它們都沒有提供內(nèi)在的安全機(jī)制，它們不能支持企業(yè)和企業(yè)的外部客戶以及供應(yīng)商之間會(huì)話的保密性需求，因此它們不支持用來連接企業(yè)內(nèi)部網(wǎng)和企業(yè)的外部客戶及供應(yīng)商的企業(yè)外部網(wǎng)Extranet的概念。Extranet需要對(duì)隧道進(jìn)行加密并需要相應(yīng)的密鑰管理機(jī)制。2.2 Client-LAN（Access）型的實(shí)現(xiàn)方式Cl

21、ient-LAN型的VPN在實(shí)現(xiàn)時(shí)有兩種方式：客戶機(jī)驅(qū)動(dòng)連接或網(wǎng)絡(luò)接入服務(wù)器（NAS）驅(qū)動(dòng)的連接。1. 客戶驅(qū)動(dòng)的連接使用客戶驅(qū)動(dòng)的連接，用戶可以從他們的客戶端開始，通過ISP的公共網(wǎng)絡(luò)，到企業(yè)網(wǎng)絡(luò)VPN網(wǎng)關(guān)建立一條加密的IP隧道。這條隧道起始于遠(yuǎn)程用戶的計(jì)算機(jī)，終結(jié)于企業(yè)網(wǎng)內(nèi)的VPN網(wǎng)關(guān)。這種方式一般使用PPTP協(xié)議。Microsoft和Ascend公司在PPP協(xié)議基礎(chǔ)上開發(fā)的PPTP協(xié)議就是支持Client-LAN型隧道VPN實(shí)現(xiàn)的一種隧道傳送方案。PPTP對(duì)PPP協(xié)議本身并沒有做任何修改，只是將用戶的PPP幀(對(duì)應(yīng)于OSI協(xié)議體系結(jié)構(gòu)中的七層協(xié)議，PPP協(xié)議為第二層即數(shù)據(jù)鏈路層規(guī)范)基于

22、GRE封裝成IP報(bào)文，在Internet中經(jīng)隧道傳送。建立PPTP連接，首先需要建立客戶端與本地ISP的PPP連接，這時(shí)遠(yuǎn)程用戶可以直接訪問企業(yè)網(wǎng)內(nèi)的VPN網(wǎng)關(guān)。一旦成功地接入Internet，下一步就是建立到VPN網(wǎng)關(guān)的PPTP連接，連接建立后，遠(yuǎn)程用戶就好像在企業(yè)網(wǎng)內(nèi)部一樣，遠(yuǎn)程用戶經(jīng)由Internet訪問企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再需要直接撥號(hào)至企業(yè)的網(wǎng)絡(luò)。這樣大大減小了建立和維護(hù)專用遠(yuǎn)程線路的費(fèi)用。且為企業(yè)提供比較充分的安全保證。利用這種體系結(jié)構(gòu)，用戶并不需要ISP提供與VPN應(yīng)用相關(guān)的附加值服務(wù)。ISP也感知不到用戶在使用VPN服務(wù)。2. 網(wǎng)絡(luò)接入服務(wù)器（NAS）驅(qū)動(dòng)的連接遠(yuǎn)程接入VPN

23、的另一種體系結(jié)構(gòu)定義了由NAS驅(qū)動(dòng)的通道。在這種情況下，遠(yuǎn)端用戶首先撥號(hào)到ISP的撥號(hào)服務(wù)器NAS。NAS在對(duì)用戶進(jìn)行身份驗(yàn)證時(shí)得知用戶是一個(gè)VPN用戶，然后NAS建立一條安全的、加密的隧道連接到企業(yè)網(wǎng)絡(luò)的VPN網(wǎng)關(guān)。這條隧道起始于NAS，終結(jié)于企業(yè)網(wǎng)內(nèi)的VPN網(wǎng)關(guān)。利用由NAS驅(qū)動(dòng)的體系結(jié)構(gòu)，服務(wù)供應(yīng)商對(duì)用戶的身份進(jìn)行驗(yàn)證，使他們能夠初步接入到企業(yè)網(wǎng)絡(luò)中；然而，企業(yè)仍保留有控制他們自己的安全策略、對(duì)用戶進(jìn)行身份驗(yàn)證、授與用戶訪問權(quán)限并在網(wǎng)絡(luò)上跟蹤用戶活動(dòng)的權(quán)力。使用這種體系結(jié)構(gòu)需要服務(wù)供應(yīng)商支持，而且存在一個(gè)問題遠(yuǎn)端用戶接入服務(wù)供應(yīng)商的營業(yè)點(diǎn)之前的數(shù)據(jù)是未經(jīng)加密的。 這種方式一般使用L2TP

24、協(xié)議。L2TP協(xié)議通過“虛擬撥號(hào)”業(yè)務(wù)將初始撥號(hào)服務(wù)器的地點(diǎn)和撥號(hào)協(xié)議所連接的終點(diǎn)分離開來。當(dāng)“虛擬撥號(hào)”客戶開始接入時(shí)，遠(yuǎn)程用戶和它們的ISP的NAS之間就建立了一個(gè)PPP鏈路。ISP接著對(duì)端系統(tǒng)或用戶進(jìn)行部分鑒別以判斷此用戶是否需要“虛擬撥號(hào)”業(yè)務(wù)，一旦確定需要，那么此用戶名就會(huì)和VPN網(wǎng)絡(luò)中心服務(wù)器聯(lián)系起來。然后，NAS將檢查有沒有至VPN網(wǎng)關(guān)的L2TP連接存在，如果沒有，那么L2TP協(xié)議就會(huì)在NAS端啟動(dòng)一個(gè)到VPN中心服務(wù)器的L2TP隧道協(xié)商。如果協(xié)商成功，那么在NAS和VPN中心服務(wù)器之間就建立了一條L2TP隧道，并建立了用戶和VPN網(wǎng)關(guān)端到端的連接。L2TP協(xié)議還定義了一些隧道的

25、管理與維護(hù)操作，如定期發(fā)送Hello報(bào)文以判斷隧道的連通性，利用協(xié)議提供的發(fā)送序號(hào)(Ns)域和接收序號(hào)(Nr)域進(jìn)行隧道的流量控制和擁塞控制等。目前中國電信推出的VPDN服務(wù)就是采用這種方式。這種方式僅僅需要NAS、認(rèn)證系統(tǒng)、計(jì)費(fèi)系統(tǒng)的支持就可以工作了。2.3 LAN-LAN(IntranetVPN和ExtranetVPN)型如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互連或者企業(yè)的合作者互連，使用LAN-LANVPN是很好的方式。 越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等，各個(gè)分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于

26、復(fù)雜，費(fèi)用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的LAN-LANVPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個(gè)LAN-LANVPN上安全傳輸。LAN-LAN VPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。如圖2所示。 圖2 LAN-LAN VPN結(jié)構(gòu)圖LAN-LAN VPN對(duì)用戶的吸引力在于： * 減少WAN帶寬的費(fèi)用； * 能使用靈活的拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)絡(luò)連接； * 新的站點(diǎn)能更快、更容易地被連接； * 通過設(shè)備

27、供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時(shí)間。 LAN-LAN VPN主要使用IPSec協(xié)議來建立加密傳輸數(shù)據(jù)的隧道。Intranet VPN主要用于一個(gè)企業(yè)內(nèi)部互連使用，Extranet VPN主要用于企業(yè)和企業(yè)的合作者互連使用。他們的區(qū)別在于Extranet VPN往往結(jié)合PKI使用。具體實(shí)現(xiàn)時(shí)，有如下幾種方式：1. VLAN方式這種方式嚴(yán)格上不能算作VPN。這種方式僅僅適合在一個(gè)市內(nèi)使用，通過在局域網(wǎng)交換機(jī)上劃分VLAN將客戶的多個(gè)LAN連接起來，通過市內(nèi)的寬帶網(wǎng)主干提供高速的通信。優(yōu)點(diǎn)：在現(xiàn)有的網(wǎng)絡(luò)上，不需要增加設(shè)備即可工作，而且能提供高帶寬的通道。缺點(diǎn)：只能在小范圍內(nèi)使用。2. M

28、PLS VPN方式通過使用支持MPLS的網(wǎng)絡(luò)設(shè)備，可以建立大規(guī)模的VPN。如上圖的網(wǎng)絡(luò)中，PE、P是ISP的路由器，支持MPLS交換方式。CE是客戶端的路由器，并不需要支持MPLS。通過在PE上將連接CE的接口設(shè)置使用不同的VRF（根據(jù)RD區(qū)分），使得對(duì)不同VPN的數(shù)據(jù)包進(jìn)行相應(yīng)的轉(zhuǎn)發(fā)。這些數(shù)據(jù)包被完全限制在自己的VPN內(nèi)，而且不會(huì)影響其他的VPN。這種方式是目前ISP實(shí)現(xiàn)大規(guī)模VPN最好的方式，唯一的要求是需要在主干上支持MPLS，并在主干的邊界上使用支持MPLS VPN的設(shè)備。優(yōu)點(diǎn)：適合大規(guī)模的VPN。MPLS VPN在設(shè)計(jì)時(shí)就考慮了擴(kuò)展性的需求。缺點(diǎn)：主干的設(shè)備需要支持MPLS，另外需要

29、設(shè)置支持MPLS VPN的PE路由器。3. IPSecVPN方式常見的實(shí)現(xiàn)LAN-LAN VPN的方式。在ISP 提供的不安全I(xiàn)P傳輸通道上，用戶通過設(shè)置VPN網(wǎng)關(guān)，將多個(gè)地方的LAN連接起來，并保證相關(guān)的安全性。使用這種方式，跟ISP相關(guān)的主要是管理和價(jià)格問題。管理上要解決如何讓用戶限制在安徽省內(nèi)部，不能占用寶貴的安徽省網(wǎng)絡(luò)的出口帶寬。價(jià)格上要解決如何保證這種方式能提供比租用專線更優(yōu)的價(jià)格。三、目前能開展的VPN業(yè)務(wù)及其實(shí)現(xiàn)方式綜上所述，目前的網(wǎng)絡(luò)上可以開展如下類型的VPN業(yè)務(wù)：3.1 VPDN業(yè)務(wù)對(duì)象是企業(yè)網(wǎng)的遠(yuǎn)程撥號(hào)用戶。跟VPDN業(yè)務(wù)相關(guān)的是撥號(hào)接入服務(wù)器、撥號(hào)認(rèn)證系統(tǒng)、撥號(hào)計(jì)費(fèi)系統(tǒng)等

30、。而企業(yè)網(wǎng)的VPN網(wǎng)關(guān)可以位于Internet上任意地方，包括城域網(wǎng)上。這種方式的VPN業(yè)務(wù)，企業(yè)網(wǎng)的VPN網(wǎng)關(guān)可以放置在城域網(wǎng)上，以便充分發(fā)揮城域網(wǎng)帶寬高的優(yōu)勢(shì)。實(shí)現(xiàn)這種方式的VPN并不需要在城域網(wǎng)上進(jìn)行特別的設(shè)置。在使用時(shí)VPN網(wǎng)關(guān)就像普通的網(wǎng)絡(luò)節(jié)點(diǎn)一樣。3.2 VLAN業(yè)務(wù)對(duì)象是單個(gè)城市內(nèi)的高速局域網(wǎng)互連用戶。跟VLAN業(yè)務(wù)相關(guān)的是城域網(wǎng)上的交換機(jī)。用戶可以通過城域網(wǎng)作為傳輸平臺(tái)，將兩個(gè)或多個(gè)局域網(wǎng)高速的連接起來。VLAN業(yè)務(wù)的網(wǎng)絡(luò)用戶要求必須都連接在同一個(gè)城市內(nèi)的城域網(wǎng)上，具體的可以分為兩類：1. 同一個(gè)交換機(jī)下的VLAN業(yè)務(wù)這種方式最簡單，對(duì)于連接在Cisco 6509交換機(jī)上的用戶

31、，只要如下設(shè)置就可以了：# 創(chuàng)建一個(gè)VLAN，編號(hào)是VLAN_NUMBER，名字是VLAN_NAMEset vlan VLAN_NUMBER name VLAN_NAME# 依次將屬于該VLAN的端口加入VLANset vlan VLAN_NUMBER MOD1/PORT1set vlan VLAN_NUMBER MOD1/PORT1對(duì)于連接在Summit 48i交換機(jī)上的用戶，只要如下設(shè)置就可以了：# 創(chuàng)建一個(gè)VLAN，名字是VLAN_NAMEcreate vlan VLAN_NAME# 依次將屬于該VLAN的端口加入VLANconfig VLAN_NAME add port port1 u

32、ntaggedconfig VLAN_NAME add port port2 untagged2. 不同交換機(jī)下的VLAN業(yè)務(wù)這種方式稍微復(fù)雜，除了對(duì)Cisco 6509交換機(jī)設(shè)置外，如果用戶還連接到了Summit48i 交換機(jī)上，還要對(duì)Summit 48i交換機(jī)進(jìn)行設(shè)置：對(duì)65092進(jìn)行如下設(shè)置：# 創(chuàng)建一個(gè)VLAN，編號(hào)是VLAN_NUMBER，名字是VLAN_NAMEset vlan VLAN_NUMBER name VLAN_NAMEset trunk MOD/PORT_to_6509-3 desirable isl VLAN_NUMBER# 如果用戶直接連接到65092上，需要如下設(shè)

33、置，否則不要set vlan VLAN_NUMBE MOD1/PORT1# 如果用戶有連接到Summit 48i上，需要如下設(shè)置，否則不要set trunk MOD/PORT_to_Summit48i on dot1Q VLAN_NUMBER對(duì)65093進(jìn)行如下設(shè)置：set trunk MOD/PORT_to_6509-2 desirable isl VLAN_NUMBER# 如果用戶直接連接到65093上，需要如下設(shè)置，否則不要set vlan VLAN_NUMBE MOD1/PORT1# 如果用戶有連接到Summit 48i上，需要如下設(shè)置，否則不要set trunk MOD/PORT_t

34、o_Summit48i on dot1Q VLAN_NUMBER如果用戶連接到了Summit 48i上，需要如下設(shè)置：create vlan VLAN_NAME tag VLAN_NUMBERconfig VLAN_NAME add port 49 taggedconfig VLAN_NAME add port 50 tagged# 依次將屬于該VLAN的端口加入VLANconfig VLAN_NAME add port port1 untaggedconfig VLAN_NAME add port port2 untagged3.3 LAN-LAN MPLS VPN業(yè)務(wù)如果稍微對(duì)主干的GSR

35、設(shè)備進(jìn)行設(shè)置，讓其支持MPLS協(xié)議。并在接入層增加支持MPLS VPN的PE路由器，就可以開展VPN業(yè)務(wù)。在使用時(shí)，VPN數(shù)據(jù)在一個(gè)地市的城域網(wǎng)內(nèi)部通過VLAN接入到PE路由器，然后通過163主干傳輸?shù)搅硪粋€(gè)地市的城域網(wǎng)。1. 主干路由器(P路由器)的設(shè)置主干路由器必須要設(shè)置成支持MPLS工作方式。由于現(xiàn)有的主干路由器已經(jīng)設(shè)置好了OSPF路由協(xié)議，因此設(shè)置相對(duì)比較簡單：1. 全局配置模式下使用命令：ip cef (如果系統(tǒng)支持，最好使用ip cef distributed以達(dá)到最高性能)2. 依次對(duì)互連接口，在接口配置子模式下使用命令：mpls ip (或在舊的IOS中使用tag-switch

36、ing ip)使能各個(gè)接口的MPLS協(xié)議例如：系統(tǒng)中有接口 POS 3/0 POS 4/0，只要輸入如下命令：conf tip cef distributedint POS 3/0mpls ipint POS 4/0mpls ip2. 邊界路由器(PE路由器)的設(shè)置PE路由器是ISP對(duì)外提供服務(wù)的邊界，VPN就終結(jié)到這里。連接PE的客戶的CE路由器只要使用普通的路由器就可以了，并不需要支持MPLS功能。MPLS VPN中PE路由器的設(shè)置稍微復(fù)雜。對(duì)PE路由器的配置有如下步驟：1. 確保PE路由器已經(jīng)象P路由器那樣設(shè)置了OSPF、ip cef (或ip cef distributed)、各個(gè)互連

37、接口使用了 mpls ip （或tag-switching ip）。2. 對(duì)跟該P(yáng)E路由器直接相連的每個(gè)VPN創(chuàng)建VRF（VPN Routing and Forwarding Instance），每個(gè)VRF由唯一的Route Distinguisher識(shí)別。命令格式為：ip vrf VRF名字rd RD標(biāo)識(shí)route-target export | import | both VPN extended community一般情況下，VRF名字是VPN的名字，RD標(biāo)識(shí)唯一識(shí)別了該VPN，VPN extended community跟RD標(biāo)識(shí)一致，是BGP協(xié)議交換VPN信息的community。3

38、. 對(duì)連接到CE的接口，使用如下命令將該接口分配到一個(gè)VPN中：ip vrf forwarding VRF名字其中VRF名字是前面定義的。然后還要設(shè)置僅對(duì)該VPN可見的IP地址。4. 必要的話，設(shè)置各個(gè)VPN的路由協(xié)議?？梢允褂渺o態(tài)路由，也可以使用RIPv2、OSPF、BGP等動(dòng)態(tài)路由協(xié)議。5. 配置MP-BGP。為了提高系統(tǒng)的擴(kuò)展性，可以象普通的BGP4一樣設(shè)置route reflector。這里以最簡單的例子說明。配置MP-BGP有以下幾步：6. 聲明各個(gè)BGP鄰居。一般來說，MPLS VPN中的BGP連接都是IBGP，IBGP需要全連接，因此最好配置route reflector，關(guān)于r

39、oute reflector的配置跟普通的BGP4一樣。7. 對(duì)跟該P(yáng)E路由器直接相連的每個(gè)VPN配置BGP協(xié)議，這一步可以包括路由信息的重分布，必要的話包括激活跟CE路由器的BGP連接。命令格式為address-family ipv4 rvf VRF名字exit-address-family8. 激活vpnv4的BGP，這一步包括激活BGP鄰居、指明必須使用擴(kuò)展community。命令格式為：address-family vpnv4 exit-address-familyVPN AVPN AVPN BVPN BRouter ARouter BE0E1E1E0MPLS NetworkE2E2以

40、上圖為例，如果VPN A的RD為100:100，VPN B的RD為100:200。Router A的配置如下：hostname RouterA!ip cef!ip vrf VPN_A rd 100:100 route-target both 100:100!ip vrf VPN_B rd 100:200 route-target both 100:200!interface Loopback0 ip address 10.10.10.4 255.255.255.255!interface fastethernet0 ip vrf forwarding VPN_A ip address 200.

41、0.4.1 255.255.255.0 no ip directed-broadcast!interface fastethernet1 ip vrf forwarding VPN_B ip address 200.0.4.1 255.255.255.0 no ip directed-broadcast!interface fastethernet2 description link to MPLS core ip address 10.1.1.14 255.255.255.252 no ip directed-broadcast tag-switching ip! router ospf 1

42、00 network 0.0.0.0 255.255.255.255 area 0! router bgp 100 bgp log-neighbor-changes neighbor 10.10.10.6 remote-as 100 neighbor 10.10.10.6 update-source Loopback0 ! address-family vpnv4 neighbor 10.10.10.6 activate neighbor 10.10.10.6 send-community both exit-address-family ! address-family ipv4 vrf VPN_B redistribute connected no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf VPN_A redistribute connected no auto-summary no synchronization exit-address-family!ip classless!endRouter B的配置如下：hostname RouterB!ip cef!ip vrf VPN_A r