某集团的VPN网络方案设计与分析.doc

分类号：TP393.1 U D C：D10621-408-(2010)2113-0密 级：公 开 编 号：2006121100某集团的VPN网络方案设计与分析论文作者姓名：项 洋申请学位专业：网 络 工 程申请学位类别：工 学 学 士指导教师姓名（职称）：秦智（讲师）论文提交日期：2010年6月7日某集团的VPN网络方案设计与分析摘 要先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统，同时，对于身处异地的分支机构或者分公司，办事处，或者在外出差的企业员工，需要为其提供高效，实时的内网访问，保证相关业务的准确高效，同时，在远距离传输过程中要保证数据不被窃听和篡改。从整体上说，对于企业远程接入的设计不仅仅只是购买相应的VPN设备或者做相应的配置，还需要掌握企业针对远程接入的需求以及VPN设计的原则，从企业的实际需求出发，针对现今各种流行的VPN技术进行了分析比较，从原理到结构都做了详细的分析，再结合集团的实际需求，最后选出了适合企业的3种VPN部署方式，最后通过实验模拟，得出了VPN的实际效用。关键词：远程接入；通用路由封装；安全负载封装；多标签交换协议Analysis and Design of a Group VPN AbstractThe advanced network system strengthens the management, the enhancement working efficiency regarding the enterprise and increases the market competitiveness is very important. The enterprise network uses the technology must advanced, mature, stable, the reliable network system, simultaneously, regarding places the different place the Branch office or the subsidiary company, the office, or enterprise staff who travels on official business in outside, needs to provide highly effective, the real-time in net visit for it, guaranteed that related service accurate highly effective, simultaneously, in the long-distance transmission process must guarantee that the data is not intercepted and the distortion. Overall speaking, not only is the purchase corresponding VPN equipment or makes the corresponding disposition regarding the enterprise long-distance turning on design, but also needs to grasp the enterprise in view of the long-distance turning on demand as well as the VPN design principle, embarks from enterprise's physical demand, has carried on the analysis comparison in view of the nowadays each kind of popular VPN technology, to the architecture has made the detailed analysis comparison from the principle to data packet's seal, finally selected has suited enterprise's 3 VPN deployment way, finally through the test simulation, has obtained the VPN actual utility.Keywords：Remote Access ; GRE; IPSEC; MPLS 目 录论文总页数：43页1 引言12 集团介绍12.1 集团背景介绍12.2 集团远程接入需求13 集团VPN建设需求24 集团现有网络现状描述24.1 集团出口网络描述24.2 集团网络资源描述35 VPN方案比较分析35.1 VPN综述35.2 VPN分类介绍45.2.1 第一类：按照功能位置45.2.2 Access VPN、Intranet VPN、Extranet VPN55.2.3 三层VPN 、二层VPN55.2.4 按组网模型65.3 常用VPN分析75.3.1 L2TP VPN75.3.2 GRE VPN115.3.3 IPSEC VPN135.3.4 SSL VPN175.3.5 MPLS VPN226 适合集团的VPN网络构建266.1 集团VPN技术选择266.2 集团分公司以及分支机构重要业务分布276.3 集团VPN设计选择277 组建集团VPN网络287.1 集团VPN总体设计287.2 IPSEC VPN建设287.2.1 集团IPSEC VPN部署287.2.2 IPSEC VPN基本配置297.2.3 IPSEC VPN 验证与测试307.3 SSL VPN建设327.3.1 SSL VPN部署327.3.2 SSL VPN基本配置337.3.3 SSL VPN 验证方法357.4 MPLS VPN建设357.4.1 现今MPLS承载网介绍357.4.2 MPLS 部署367.4.3 MPLS VPN的配置367.4.4 MPLS VPN验证398 VPN管理与维护398.1 IPSEC VPN的管理与维护398.2 SSL VPN的管理与维护408.3 MPLS VPN的管理与维护40结 论40参考文献41致 谢42声 明431 引言今天的中国，聚焦了世界的目光，经济空前繁荣，企业面临着异常激烈的竞争，机遇与挑战并存。如何增强核心竞争力，如何提高运营效率和客户满意度，如何控制并降低成本，如何获得业务的增长，成为企业负责人最关心的话题。信息技术在各行各业发展中起到的作用日益凸显，信息化为我们带来了高效率的业务模式，信息化为企业的高速发展提供了最新的技术保证，如何让信息技术转化为高生产力，并最终成为我们的核心竞争力，将是每位企业信息主管不断思考的话题。先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。因此，企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统，同时，对于身处异地的分支机构或者分公司，办事处，或者在外出差的企业员工， 需要为其提供高效，实时的内网访问，保证相关业务的准确高效，同时，在远距离传输过程中要保证数据不被窃听和篡改。于是，各种远程互联技术应运而生，对于各种解决方案，其中的建设费用，以及相应的维护，改造，扩展等费用，以及不稳定性，不安全，不能保证特殊服务，所以产生了一种综合的应用解决方案VPN技术。时下，充斥着多种VPN技术。在本设计中，针对园区的特殊需要，详细分析比较了各种VPN技术的利弊，以及相应的实验验证，得出了较好的解决方案。2 集团介绍2.1 集团背景介绍XX集团是一个以生产农产品和加工、开发石油为主，兼营化工、金融等行业的综合性集团公司。XX集团作为一个国有企业集团公司，在积极探索社会主业市场经济道路中，集中资源发展农业、能源、化工、金融、地产五大主业，XX集团为国有园区企业，其园区内有石油中心、农业中心、经营中心、培训中心、化工研究院、园区医院、员工宿舍楼两栋、食堂和超市、员工活动室、迎宾楼等单位。该集团有员工近30000余名员工，其旗下的种子生产研究基地，农药研发、生产、销售公司，化肥生产、销售公司，石油加工勘探公司，氟化工、医药、天然橡胶、化工物流、地产等50余家子公司以及投资控股公司20余家。园区内的各个生产服务单位和各地子公司都必须实现网上信息传输。这样的一个大型国有企业当然必须有一个稳定、可靠、可扩展的网络才能适应企业的各种业务需求。2.2 集团远程接入需求XX化工集团由于其所经营的业务涉及到国家重大生产农业产业结构，所以业务是否正常直接关系到国民经济命脉。于是该集团需要保证企业网络7*24小时正常。各分公司，各子公司的远程互联要实时保证。同时，针对大文件传输，以及远程视频会议等都要保证其稳定可靠，移动办公人员要能随时访问公司资源。所以需求一种好的解决方案。于是，VPN技术为企业远程互联带来了保障。3 集团VPN建设需求1. 高效性该集团由于规模庞大，经济总量大且相关产业涉及到国家的经济命脉，所以对于实时的数据传输，以及远程视频会议等有着较高的需求；该集团要求保证远程视频会议无延迟，话音无失真；在数据传输方面要能够保证数据的实时传递，无延时。2. 稳定性稳定性是企业得以运转的重要保证，该集团需要全天24小时保证网络的稳定，不发生网络故障，对于远程接入方面，该集团要求接入后能保证网络的稳定，不出现掉线延迟等网络故障。3. 安全性该集团的业务涉及到国家的稳定，社会的长治久安，所以该集团要面对一切可能的威胁，所以网络安全尤为重要，尤其在远程的数据传输方面，更要保证不被窃听，篡改，伪造等。所以在网络安全上需要良好的设计，尤其在经过公网的数据传输。4. 维护简单该信息系统建成后能保证不需要复杂的维护就能保证网络的正常运转，发生故障时能快速恢复。且维护人员也不需要专业的知识。5. 造价便宜为了响应国家关于建设节约型社会的号召，也为了减少公司的财务支出，该集团要求造价在保证性价比的基础上尽可能便宜。本着上述原则，集团需要在最少花费下取得最好的效果，达到集团验收标准。4 集团现有网络现状描述4.1 集团出口网络描述集团于2009年重新构建了集团网络，现需要一个较好的远程互联解决方案。如图1所示，集团采用CISCO 7206路由器作为双出口路由器，ASA5580企业级防火墙配置成互为冗余模式作为安全保障，电信网通各百兆光纤连接。图1 集团网络出口图4.2 集团网络资源描述集团现有ERP平台，CRM平台，以及WEB服务器，FTP服务器,MAIL服务器，数据库服务器若干，以及对应的各类业务处理平台若干。所以各分公司，子公司，合作伙伴，销售人员，移动办公人员，以及各监管部门都需要能访问到部分集团资源，同时又要保障相关资源的安全性。5 VPN方案比较分析5.1 VPN综述VPN-虚拟专用网（Virtual Private Network）是专用网络在公共网络如Internet上的扩展，如图2所示。VPN通过私有隧道技术在公网上仿真一条点到点的专线，将远程的分支机构、移动办公人员等连接起来从而达到安全的数据传输目的。图2 VPN应用图有了VPN，用户在家里或在路途中也可以利用Internet或其他公共网络对企业服务器进行远程访问。从用户的角度来看，VPN就是在用户计算机即VPN客户机和企业服务器即VPN服务器之间点到点的连接，由于数据通过一条仿真专线传输，用户感觉不到公共网络的实际存在，能够像在专线上一样处理企业内部信息。换言之，虚拟专用网不是真正的专用网络，但却能够实现专用网络的功能。VPN可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立快捷，安全、可靠的信息通信。这种连接方式在概念上等同于传统广域网WAN的运作。VPN技术的出现，使企业不再依赖于昂贵的长途拨号以及长途专线服务，而代之以本地ISP提供的VPN服务。从企业中心站点铺设至当地ISP的专线要比传统WAN解决方案中的长途专线短得多，因而成本也低廉得多。5.2 VPN分类介绍按功能位置： CPE-based VPN 、Network-based VPN 按业务构成： Access VPN 、Intranet VPN 、Extranet VPN 按实现层次：应用层VPN、网络层VPN 、二层VPN 按组网模型：VPDN、VPRN、VPLS、VLL 5.2.1 第一类：按照功能位置根据是由企业客户还是由服务提供商实施，VPN分为两类： 1. CPE-based VPN 基于客户端设备的VPN 2. Network-based VPN 基于网络的VPN 对于CPE-based VPN 基于客户端设备的VPN的特点是：业务扩展能力弱、设备价格昂贵、组网复杂度高，不易维护。对于Network-based VPN基于网络的VPN 的特点是：便于管理和维护、降低用户投资、业务扩展能力强、支持网络管理、运营商与用户实现双赢。表 1 各种不同VPN特性对比特征CPE-based VPNNetwork-based VPNQoS,CoS与SLAsSLAs局限于网络时延和可用性，不支持CoS多CoS,综合SLAs覆盖每个CoS可扩展性有连接数限制，局限于几百条连接没有限制用户控制有用户数限制多种提供在线修改网络资源的特性业务类型数据类型关键数据，实时话音，图像以及其他实时数据维护手段维护困难容易5.2.2 Access VPN、Intranet VPN、Extranet VPN 用户可以根据自己的情况进行选择：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。5.2.3 三层VPN 、二层VPN 二层VPN服务的主要特征是根据用户数据包的二层地址（如MAC地址、帧中继的DLCI、ATM的PVC等）在网络的第二层对数据包进行转发和发送，服务提供商的网络负责提供CE之间的二层连接，这包括用MAC地址(例如LAN仿真)、点到点的链路层连接(ATM、帧中继、MPLS)、多点到点(用MPLS多点到点的LSP)和点到多点(例如ATM VCC)，而三层的连接例如选路由等由用户负责。PE设备可以是路由器或交换机，从支持二层连接的角度看，交换机更合适一些。VLL及局域网仿真服务VPLS就属于二层VPN。二层VPN主要有L2TP、PPTP、L2F等，主要常用的就是L2TP。二层VPN的主要特征：通过链路层地址（必要时也可用链路端口号）转发用户数据包。 SP（服务供应商）主要提供CE之间的链路层连接，一般SP不对IP VPN管理而只对链路的连接进行管理。SP负责二层链路的连接，而三层的连接例如选路由等由用户负责。由于VPN是建立在链路层基础上的，SP仅提供链路层连接，所以实际上IP VPN是由用户借助于SP的链路建立的。当然SP为VPN打下基础，它提供用户的链路应该是可靠的，也有较好的安全性(主要是指所提供的链路的专用性，它与公用部分及其他VPN的链路是相互隔离的，不会有用户数据包传送至公网或其他VPN域内)。三层VPN：三层VPN服务的主要特征是PE转发用户数据包是以其IP地址为依据的，VPRN就属于三层VPN。通常用户网络使用专用的IP地址，所以PE要了解用户的专用IP地址空间。从CE的角度看PE，它是一个IP路由器。在三层VPN中，SP也参与VPN的管理并提供VPN，用户也可在其VPN范围内对其进行管理。三层VPN主要有：IPSEC,GRE,SSL。还有介于二层三层之间的MPLS VPN。二层三层VPN的主要特点：CE与PE之间的接入链路对于二层VPN，CE的接入链路要求统一，例如都是帧中继; 而对于三层VPN，CE的接入链路可以不同，例如某些CE可用帧中继，而另一些CE可用ATM等。对CE的要求：根据应用的需求不同，二层VPN的CE可为路由器也可以为网桥，三层VPN则通常以CE为路由器。CE的邻居：当CE为路由器时，三层VPN的CE只需与其相连的PE维持邻居关系，而二层VPN的CE需与其他的CE维持邻居关系，从而增加路由复杂度，规模受限。支持第三层多协议能力：由于二层VPN只使用SP网络的二层链路，从而为支持三层多协议创造条件，三层VPN也能支持多协议，但不如前者灵活且有一定限制。同理在支持VPLS方面，二层VPN更合适。但如果VPN用户只传送IP包，此特点就不明显。支持组播能力：二层VPN与三层VPN都支持组播，但二层VPN是依靠CE实施组播的，而三层VPN则依靠PE，因而三层VPN实施组播较简单，同时它还可以充分利用SP网络有关组播方面的能力支持组播，而二层VPN则无法使用SP网络的有关组播方面的能力。网络管理：VPN服务提供商与用户VPN的管理部门都可进行网络管理，但侧重面不同。对于三层VPN，服务提供商可参与三层的管理；而二层VPN，服务提供商只能对所提供的链路进行管理，无法对三层进行管理。无论是二层VPN还是三层VPN，用户都可以对所属的VPN进行管理。5.2.4 按组网模型IP VPN-Framework-RFC2764中定义了VPN类型，如图3所示：VPDN：Virtual Private Dial Networks VPRN：Virtual Private Routed Networks VPLS：Virtual Private LAN Segment VLL：Virtual Leased Lines VPDN的基本特点是：除VPN的总部网络中心采用专线接入VPN服务提供商的网络外，其余的VPN用户通过PSTN或ISDN拨号线路接入网络。另外，虽然拨号用户是通过PSTN或ISDN公网拨入VPN的，但是VPN所属用户仍与外界隔离，有较好的安全保证。VPDN也可以使用IP专用地址等VPN所特有的一些特性，接入范围可遍及PSTN、ISDN的覆盖区域，网络建设投资少、周期短，网络运行费用低。VPRN定义为：用IP设施仿真出一个专用多站点广域路由网。它是在IP公用网络(如Internet)基础上实施的。像VPN结构一样，VPRN也可以分为基于网络的VPRN及基于CE的VPRN。图3 VPN分类模型VPLS是用Internet设施仿真LAN网段。VPLS可用于提供所谓的透明LAN服务(TLS)。TLS可用于以协议透明方式互连多个支干CE节点(如桥或路由器)。VPLS在IP上仿真LAN网段，类似于LANE在ATM上仿真LAN网段。它的主要优点是协议完全透明，这在多协议传送和传送管理上是很重要的。5.3 常用VPN分析5.3.1 L2TP VPN5.3.1.1 L2TP介绍L2TP可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络 设施如IP、ATM、帧中继中进行隧道传输的封装协议。 Cisco、Ascend、Microsoft 和RedBack 公司的专家们在修改了十几个版本后，终于在1999 年8月公布了L2TP 的标准RFC2661。目前用户拨号访问Internet时，必须使用IP协议，并且其动态得到的IP地址也是合法的。L2TP的好处就在于支持多种协议， 用户可以保 留原有的IPX、Appletalk 等协议或公司原有的IP地址。L2TP 还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。L2TP扩展了PPP连接，在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接，并在其上运行PPP，第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。L2TP作为PPP 扩展提供更强大的功能，包括第2层连接的终结点和PPP会话的终结点可以是不同的设备。L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TPNetworkServer)构成，LAC(L2TP访问集中器)支持客户端的L2TP，他用于发起呼叫，接收呼叫和建立隧道；LNS(L2TP网络服务器)是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。CISCO说的LNS就是工作在以PPP为终端的平台上，LNS处理服务器端的L2TP协议。LNS初始化发出呼叫和接收呼叫。5.3.1.2 L2TP 协议结构PPP数据帧L2TP数据消息L2TP控制消息L2TP数据通道L2TP控制通道包传输通道图4 L2TP协议结构上图所示L2TP协议结构描述了PPP帧和控制通道和数据通道之间的关系。PPP帧首先被封装L2TP头部并在不可靠数据通道上进行传输，然后进行UDP、Frame Relay、ATM等包传输过程。控制消息在可靠的L2TP控制通道内传输。通常L2TP以UDP报文的形式发送。L2TP注册了UDP 1701端口，但是这个端口仅用于初始的隧道建立过程中。L2TP隧道发起方任选一个空闲的端口（未必是1701）向接收方的1701端口发送报文；接收方收到报文后，也任选一个空闲的端口（未必是1701），给发送方的指定端口回送报文。至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。5.3.1.3 L2TP包封装L2TP用户传输数据的隧道化过程采用多层封装的方法。图5中表示了封装后在隧道中传输L2TP数据包格式。Date-link headerIP HeaderUDP HeaderL2TP HeaderPPP HeaderPPP PayloadDate-link Trailer图5 L2TP数据包格式若是封装在IPSEC等数据包中这要加上IPSEC 包头和包尾。其中IPSEC包头到包尾之间都是通过ESP或者AH协议加密过。a. L2TP封装初始PPP有效载荷如IP数据报、IPX数据报或NetBEUI帧等首先经过PPP报头和L2TP报头的封装。b. UDP封装L2TP帧进一步添加UDP报头进行UDP封装，在UDP报头中，源端和目的端端口号均设置为1701。c. IP封装在UDP数据报外再添加IP报头进行IP封装，IP报头中包含VPN客户机和服务器的源端和目的端IP地址。d.数据链路层封装数据链路层封装是L2TP帧多层封装的的最后一层，依据不同的外发物理网络再添加相应的数据链路层报头和报尾。例如，如果L2TP帧将在以太网上传输，则用以太网报头和报尾对L2TP帧进行数据链路层封装；如果L2TP帧将在点-点WAN上传输，如模拟电话网或ISDN等，则用PPP报头和报尾对L2TP帧进行数据链路层封装。 e.数据的解封装过程在接收到L2TP帧后，L2TP客户机或服务器将做如下解封装处理： 处理并去除数据链路层报头和报尾；处理并去除IP报头；处理UDP报头并将数据报提交给L2TP协议；L2TP协议依据L2TP报头中Tunnel ID和Call ID分解出某条特定的L2TP隧道；依据PPP报头分解出PPP有效载荷，并将它转发至相关的协议驱动程序做进一步处理。5.3.1.4 L2TP的优势1AAA Support (认证，审计，受权支持)L2TP是基于PPP协议的，因此它除继承了 PPP 的所有安全特性外， 还可以对隧道端点进行验证，这使得通过 L2TP 所传输的数据更加难以被攻击。而且根据特定的网络安全要求，还可以方便地在 L2TP 之上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。2. Encryption(加密)支持如 IPSec and DES 加密 (40 and 56 bits are supported today, with plans for168-bit support)。3. Quality of Service(QOS支持)利用IP优先级，保证能为企业提供不同的隧道提供不同的带宽，能为企业提供各种不同的服务类型，以及相应核心业务的保证。4. Reliability（可靠性支持）基于多个备份的LNS，所以能配置多个隧道组。若连接到一个主LNS链路出现故障，LAC将会重新连接备份的LNS。加强的VPN可靠性和容错能力能确保企业的应用保证以及相关的服务级别。5. Scalability on a Single LNS（对于单个LNS的可伸缩性）L2TP支持无限制的LAC会话和支持超过2000个单LNS的会话。不同的设备对链接会话的支持可能不一样。6Scalability on a Single Site （对于单个站点的可伸缩性）可以支持LAC和LNS之间的多个隧道的负载均衡。7Address Management （地址管理）LNS可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持 DHCP 和私有地址应用。远端用户所分配的地址不是Internet地址而是企业内部的私有地址，这样方便了地址的管理并可以增加安全性。8Network Management（网络管理）可以统一地采用 SNMP 网络管理方案进行方便的网络维护与管理，同时支持SYSLOG，方便排错和审计。9网络计费的灵活性可以在LAC和LNS两处同时计费，即ISP处（用于产生帐单）及企业处（用于付费及审记）。L2TP 能够提供数据传输的出入包数，字节数及连接的起始、结束时间等计费数据，可以根据这些数据方便地进行网络计费。5.3.1.5 L2TP会话建立过程流程图如下：图6 L2TP隧道建立流程图a.用户通过公共电话网或ISDN拨号至本地的接入服务器LAC；LAC接收呼叫并进行基本的辨别，这一过程可以采用几种标准，如域名或用户名、呼叫线路识别CLID) 或拨ID业务(DNIS)等。b.当用户确认为合法业用户时，就建立一个通向LNS的拨号VPN 隧道。 c.企业内部的安全服务器如RADIUS 鉴定拨号用户。 d.LNS与远程用户交换PPP信息，分配IP地址。LNS可采用企业专用地址(未注册的IP地址)或服务提供商提供的地址空间分配IP地址。因为内部源IP 地址 与 目 的 地IP 地址实际上都通过服务提供商的IP网络在PPP信息包内传送，企业专用地址对提供者的网 络是透明的。 e.端到端的数据从拨号用户传到LNS。在实际应用中，LAC将拨号用户的PPP帧封装后，传送到LNS，LNS去掉封装包头，得到PPP 帧，再去掉PPP帧头得到网络层数据包。 5.3.2 GRE VPN5.3.2.1 GRE 概述通用路由封装 GRE（Generic Routing Encapsulation）是对某些网络层协议（如IP和IPX）的报文进行封装，使这些被封装的报文能够在另一网络层协议（如IP）中传输，并支持全部的路由协议如RIP、OSPF、IGRP、EIGRP。GRE 可以作为VPN 的第三层隧道协议，在协议层之间采用隧道（Tunnel）技术。Tunnel 是一个虚拟的点对点的连接，可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路，使封装的数据报能够在这个通路上传输，并在一个Tunnel的两端分别对数据报进行封装及解封装。GRE在包头中包含了协议类型，这用于标明乘客协议的类型；校验和包括了GRE的包头和 完整的乘客协议与数据；密钥用于接收端验证接收的数据；序列 号用于接收端数据包的排序和差错控制；路由用于本数据包的路由。 GRE只提供了数据包的封装，它并没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和IPSec在一起使用，由IPSec提供用户数据的加密，从而给用户提供更好的安全性。5.3.2.2 GRE 结构报文的传输：图7 多协议本地网通过单一骨干网报文的传输包括封装和解封装的过程：l 加封装过程连接 Novell group1 的接口收到IPX 数据报后，首先交由IPX 协议处理。IPX 协议检查IPX 报头中的目的地址域来确定如何路由此包。如果发现报文的目的地址要经过网号为1f 的网络（Tunnel 的虚拟网号），则将此报文发给网号为1f 的Tunnel 接口，Tunnel 接口收到此报文后进行GRE 封装，封装完成后交给IP 模块处理，在封装IP报文头后，根据报文目的地址及路由表交由相应的网络接口处理。l 解封装过程解封装过程和加封装过程相反。从 Tunnel 接口收到IP 报文，检查目的地址，当发现目的地就是此路由器时，系统去掉此报文的IP 报头，交给GRE 协议模块处理；GRE 协议模块完成相应的处理后，去掉GRE 报头，再交由IPX 协议模块处理，IPX协议模块象对待一般数据报一样对此数据报进行处理。如图8所示，IPX封装在IP Tunnel中。图8 IPX封装在IP Tunnel封装好的格式如图9所示。Delivery headerGRE HeaderPayload packet图9 GRE封装格式5.3.2.3 GRE VPN 特点优点： 加密为可选的，不象IPSec中加密是必须的，而加密方法是可选，所以大幅度减低了芯片的工作量，提高了系统性能。更细化的QoS服务能力，包含应用层QoS。IP层的可见性使得对应用层的带宽管理成为可能。能封装非IP协议，如IPX和DECnet。缺点： 通信只局限在服务商的网络中，很大程度上依赖服务商提供的网络。 平面网状结构需要更多的准备开销，与基于VC的VPN具有相同的问题，就是在大型VPN上会引起N的平方问题。所以不适合大型网络的拓展。准备与管理的开销相对昂贵。5.3.3 IPSEC VPN5.3.3.1 IPSEC VPN的种类：l The seamless connection of two private networks to form one combined virtual private network（无缝连接两个私有网络）l The extension of a private network to allow remote-access users (also known as road warriors) to become part of the trusted network（允许远程用户接入）l LAN-to-LAN IPSec implementations (also known as site-to-site VPNs)(点到点 VPN)l Remote-access client IPSec implementations （客户端工具接入）5.3.3.2 IPSEC 概述IPSec是一种开放标准的框架结构，在RFC2401中定义。特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段，来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)，防重放（protection against replays）等。IPSEC协议簇包含以下协议。图10 IPSEC 协议簇IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议图11 IPSec数据包格式l 加密保证数据的私密性通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性图 12 数据私密性描述l 保证数据完整性（hash，sha）图 13 数据完整性描述l 通过身份认证保证数据的真实性l 通过身份认证可以保证数据的真实性。常用的身份认证方式包括：1. Pre-shared key ，预共享密钥2. RSA Signature ，数字签名5.3.3.3 IPSEC框架结构图 14 IPSEC框架框架包括IPSEC协议簇，数据加密，散列算法，以及密钥交换体系。5.3.3.4 IPSEC 封装模式IPSec支持两种封装模式：传输模式和隧道模式l 传输模式：不改变原有的IP包头，通常用于主机与主机之间。图15 传输模式封装图l 隧道模式：增加新的IP头，通常用于私网与私网之间通过公网进行通信。图16 隧道模式封装图两幅图可以很好的描述两种模式的区别。5.3.3.5 Internet Key ExchangeRFC 2409中定义了IKE相关。IKE用来协商IPSEC安全参数，如: 协商参数，交换公共密钥，密钥刷新，认证对等体，以及密钥管理。IKE协议簇如图14所示：IKE包含三个协议：l SKEME 提供公共密钥更新技术。l Oakley 提供IPSEC对等体之间提供密钥交换模式l ISAKMP 提供安全关联和密钥管理协议IKE工作原理：IKE包含两个过程，phase1和phase2 。Phase1主要对通信双方进行身份认证，并在两端之间建立一条安全的通道，主要有主模式和积极模式。Phase2在上述安全通道上协商IPSec参数，主要有快速模式。IKE原理如图15所示：图17 IKE协议簇图18 IKE 原理图19 IKE阶段1图20 IKE阶段2IKE阶段2协商IPSEC 安全关联（SA），SA由SPD (security policy database)和SAD(SA database)组成。SPD,SAD区别如下：图21 SPD,SAP关系图5.3.4 SSL VPN5.3.4.1 SSL VPN概述图22 SSL VPN描述图在TCP的网络层，IPSec协议通过预共享密钥或者安全数字签名和高强度加密算法实现了局域网的安全互联，让组织的分支机构融合到了总部的局域网，分支机构可以根据其网络规模和使用人数选择和总部连接的方式，然而，组织的成员不会永远安坐在办公室，当他们“移动”起来时，例如回到家中、参加会议、出差考察，环境的频繁变化让IPSec难以应对。组织的外界环境迅速膨胀，合作伙伴、股东、审计部门、供应商、经销商都被