1、D0009 VPN规划设计,ISSUE 5.1,日期:,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,随着计算机网络的发展,企业纷纷利用Internet技术建立自己的内部网(intranet),同时根据商务发展的要求需要与供货商销售商等等整合资源,建设Extranet。Intranet和Extranet网络在物理上的分布化,这其中最为突出的就是安全问题。连接远程网络最直接的方法就是使用专线,但问题很多,最主要的如费用昂贵、维护困难、接入点选择不灵活以及多节点连接困难等。Intranet既然可以采用Internet的技术,那为什么不能利用Internet上已有的设施来传输私有网络的
2、信息呢?基于这种思想,VPN技术出现了。,引入,掌握VPN网络设计的基本规划原则 掌握L2TP二层VPN网络的设计原则和方法 掌握IPSEC安全VPN网络设计的原则和方法,课程目标,学习完本课程,您应该能够:,VPN网络设计原则 L2TP VPN网络设计 IPSEC VPN网络设计 GRE VPN网络设计,目录,VPN设计原则安全性原则,隧道与加密 数据验证 用户识别与设备验证 入侵检测,网络接入控制、,隧道与加密,应用和业务服务器,总部网络中心,分支机构,合作伙伴,secpoint,AAA服务器,出差员工,IPSEC+L2TP,IPSEC+GRE,L2TP隧道协议最适合移动用户的VPN接入
3、GRE隧道协议最适合站点到站点的VPN接入,支持动态路由协议 IPSEC提供数据加密和数据完整性,数据验证,IPSEC协议提供特定的通信双方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。用在VPN上IPSEC协议族与其他隧道协议相配合完成VPN数据报文的加密和验证。,IPSEC,用户识别与设备验证,VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。建立VPN连接的设备之间进行验证可以确保VPN隧道的安全可靠。,设备验证,SecurID,数字
4、证书,SecKey,认证服务器,用户识别,入侵检测,网络接入控制,网络入侵检测系统需要同VPN设备进行配合,通过分析源自或送至VPN设备的信息流,避免通过VPN连接使内部网络受到攻击。一般来讲VPN接入的用户可以访问内部网络中大部分资源,可以考虑对VPN接入用户进行分级和控制,确保内部网络的运行安全。,VPN设计原则QoS保障,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。VPN网络中的QoS需要考虑如下问题:QoS需要在数据通过的整个路径包含的各个设备上进行部署 VPN隧道技术对原始数据进行了再次封装,QoS策略中的特征值需要进行额外映射 QoS中的流分
5、类动作必须在数据进行VPN封装前完成,VPN网络设计原则 L2TP VPN网络设计 IPSEC VPN网络设计 GRE VPN网络设计,目录,L2TP 连接方式选择,L2TP VPN适用于移动办公用户的VPN接入,可以提供严格的用户验证功能,确保VPN接入用户的合法性。L2TP VPN的连接方式分为两种:PC直接发起连接和LAC设备发起连接。两种方式适用于不同企业对于VPN接入控制和管理的不同要求。,L2TP 认证方式选择,L2TP VPN可以提供LAC侧的用户接入验证和LNS侧的用户再次验证,可以提供比较安全的VPN接入功能。,LAC,Client,LNS,HOST,Home LAN,Int
6、ernet,L2TP TUNNEL,L2TP 安全性考虑,L2TP VPN本身虽然提供较为严格的接入用户的认证功能,但不提供VPN数据的加密功能,如果需要对数据进行安全加密可以同IPSEC协议进行配合。,LAC,Client,LNS,HOST,Home LAN,Internet,L2TP OVER IPSEC,L2TP客户端功能,我司扩展了标准的L2TP功能,支持LAC客户端功能,不仅可以为PPP或PPPOE用户提供接入,而且也可以为其他连接方式的用户提供接入,例如以太网接入。并且可以适用动态路由协议如OSPF进行路由选路,增强了可扩展性。,Client,LNS,HOST,Home LAN,I
7、nternet,L2TP TUNNEL,PUB:1.1.1.1,PUB:1.1.1.2,LAC,VT:192.168.0.1,VT:192.168.0.2,L2TP中的NAT问题,LAC,Client,LNS,HOST,Home LAN,Internet,NAT,PUB:202.38.1.1,PUB:202.38.1.2,Pri:1.1.1.1,Pri:1.1.1.2,L2TP OVER IPSEC,LAC在同位于NAT之后的LNS建立连接时可能会出现问题,L2TP多实例,L2TP协议上加入多实例技术,让L2TP支持在一台设备将不同的用户划分在不同的VPN,各个VPN之内的数据可以互通,且在L
8、NS两个不同VPN之间的数据不能互相访问,即使L2TP接入是同一个设备。,VPN 1 总部,Client,LNS,HOST,Internet,L2TP TUNNEL,Client,VPN 2总部,VPN 1,HOST,VPN 2,10.1.1.*,10.1.1.*,10.1.2.*,10.1.2.*,VPN网络设计原则 L2TP VPN网络设计 IPSEC VPN网络设计 GRE VPN网络设计,目录,站点到站点IPSEC VPN的拓扑设计,IPSEC VPN网络拓扑结构选择 全网状连接 部分网状连接 星形连接 分层的星形连接,移动办公用户IPSEC VPN接入,IPSEC TUNNEL,移动
9、办公用户接入IPSEC VPN的考虑 笔记本电脑软件防火墙,防病毒软件的安装 硬件防火墙同VPN网关相互配合 使用防火墙和VPN网关功能相互融合的设备,IPSEC VPN中的INTERNET通讯,远程VPN站点可以通过两种方式访问INTERNET 集中式:访问INTERNET的流量统一由总部的VPN节点进行转发 分布式:访问INTERNET的流量由本地的VPN节点进行转发,VPN流量和上网流量都需要由总部统一进行转发,集中式,分布式,只有VPN流量由总部进行转发,站点到站点IPSEC VPN中的IP地址设计,在进行VPN网络IP地址设计规划时建议尽量为个分支站点分配连续的IP地址段,同时总部的
10、IP地址尽量分配为同远程站点同一主网的不同子网或不同主网但可汇总的不同子网,Site1,Site2,Site n,10.1.2.0/24 10.2.3.0/24,10.1.0.0/24 ,IPSEC VPN中的NAT穿越,由于NAT自身设计的原因,同IPSEC协议无法很好的兼容,因此普通的IPSEC是无法穿越NAT的,通过对IPSEC和IKE协议的改进,可以使用IPSEC NAT穿越功能完美的解决这个问题。,NAT,IPSEC VPN网络的高可用性设计,VRRP,主用,备用,GRE OVER IPSEC 配合动态路由协议,IKE KEEPALIVE 或DPD同VRRP配合,IKE KEEPAL
11、IVE 或DPD,建立新的SA安全联盟,主用,备用,IPSEC VPN设计中的MTU问题,当VPN数据通过的网络路径中具有不同的路径MTU要求时,我们需要将设备的MTU设置为所有经过的路径MTU中较小的那个值,避免某些情况下数据分片造成的不良影响。,PMTU 1500,PMTU 1400,VPN网络设计原则 L2TP VPN网络设计 IPSEC VPN网络设计 GRE VPN网络设计,目录,GRE VPN设计,IPSEC仅能够为IP单播数据流提供VPN封装的能力,GRE不仅可以为IP单播提供VPN封装而且可以为多种非IP的协议或IP协议的组播或广播数据报文进行VPN封装。GRE可以灵活的支持动态路由协议,可以作为其他VPN技术的重要补充,实现更加灵活的功能。,Internet,IPX,IP,IP,IPX,GRE TUNNEL,L2TP VPN网络设计IPSEC VPN网络设计GRE VPN网络设计,本章总结,1,杭州华三通信技术有限公司 ,