IPSEC

传统专线网基于现有的物理网络，例如数字电路、ATM/FR、DDN等，这种方式安全性和可靠性非常高，但对于客户来说，相应的建设成本和使用费用昂贵，并且只能实现有限的专网访问，缺乏联网的灵活性。因此伴随互联网的发展，通过互联网搭建企业VPN得模式越来越引起客户的兴趣。

下面是Gartner对亚太区VPN市场的业务预测数据:

年度

2003

2004

2005

2006

2007

2008

2009

数量(千台)

155

229

287

342

377

394

402

2004年中国VPN设备的市场规模达到2.2亿元，比2003年增长69.2%，从2000-2004年中国VPN设备市场的发展来看，5年间累计市场规模达到4.9亿元，复合增长率为64.6%。下面是国内最近几年VPN业务发展统计数据:

通过互联网组建VPN有两种方式，一种是企业自建，一种是租用运营商的VPN业务。如果企业采用自建方式，通过在其公司总部架设VPN服务器（防火墙、NAT设备等），以允许可信赖的伙伴访问公司内网。另外放置在每个节点的安全设备还用于对每一个在广域网上传输的数据包进行物理加密和解密，这种方式对于客户来说，专业技术要求较高，并且建设和维护成本大，客户对象一般是中、高端客户。还有一种就是采取运营商转售的方式，由运营商提供给企业这种VPN的接入平台，并进行代维。其基本的组网模式都是比较类似的，本文档统一描述。

可以从不同的角度对VPN业务进行分类，如可以从接入方式(专线、拨号)，协议类型(二层、三层)，发起方等。从运营商开展IPVPN的方式的角度来看，主要有下面一些类型：MPLSVPN,VPDN,SSLVPN和IPSecVPN。

VPN业务的网络互联可以有两种结构：网络与网络之间通过VPN互联，适合于企业分支机构之间、政府机关之间或ISP之间构建的VPN。主机到网络之间通过VPN互联，适合于普通拨号用户或企业员工通过互联网接入VPN的情况。

对VPN技术一般有如下的功能要求：透明的分组传输，数据的安全性，业务质量保证以及使用隧道机制来实现等。隧道协议一般有二层隧道协议(如L2TP)，三层隧道协议(如IPSec、GRE)以及MPLS协议。

作为一种高效的IP骨干网技术平台，MPLS技术为实现IP-VPN提供了一种灵活的而且具有可扩展性的技术基础。MPLSVPN适用于实现对于服务质量，服务等级划分以及网络资源的利用率，网络的可靠性有较高要求的VPN业务。但是MPLSVPN一般面向运营商骨干网或企业骨干网，并且网络投入成本高，可以适用于对价格不敏感的大客户。

VPDN指利用公共网络的拨号及接入网(比如PSTN，ISDN及ADSL)，实现虚拟专用网，为企业、小型ISP、移动办公人员提供接入服务，适用于对服务质量，网络可靠性要求较低，对价格敏感的用户，并且地点分散，人员分散，对线路的保密和可用性有一定要求。运营商开展VPDN业务有一些限制条件，首先实现VPDN所采用的L2TP协议自身并不提供对连接安全性的保证，需要配合IPSec或其它安全协议保证业务安全。另外，对于用户的接入方式有限制条件，一般需要接入运营商自己的接入服务器，如果用户在外地或海外，网络接入费用将会很高。

IPSec基于一组开放的网络安全协议，业务数据流通过IPSec加密，IPSEC能够提供服务器及客户端的双向身份认证，并且为IP及其上层业务数据提供安全加密保护，能够支持数据加密（包括常见的DES,3DES,AES加密算法），数据完整性验证，数据身份验证，以及防重放等功能，充分保证业务数据的安全性。IPSecVPN利用Internet构建三层隧道VPN的方式，可以允许用户以任意方式接入VPN,并且不受地理因素的限制，无论用户在外地或海外，只需要从当地接入Internet即可。IPSecVPN不仅适用于SOHO用户或移动办公用户接入,而且适用于企业分支机构之间的互连互通。正因为IPSecVPN具有其它VPN不可替代的业务优势，在VPN业务较为普及的海外一些国家得到了比较普遍的应用。下面是专业咨询机构Infonetics的统计数据：

总之，不同类型的IPVPN业务实现的技术不同，面向的用户也不同。下面主要对目前应用比较广泛的IPSecVPN的几种用户典型组网进行描述。

在VPN接入网的建设过程中，需要从以下几个方面来考虑：

设备选型，需要重点关心设备的VPN加密性能和转发性能

因为IPSec的工作方式基于ACL，实际组网中一般与L2TP或GRE等隧道技术捆绑使用,这样可以提供一些增强功能，如在二层隧道运行动态路由协议监测隧道状态，GRE可以承载非IP报文，L2TP能够提供比较完善的AAA等.

支持客户端各种接入手段及动态IP地址；企业总部采用固定IP地址，分支机构可以选择ADSL或者FE专线接入Internet。

L2TP实现对客户端用户的接入认证，并且可以支持访问备份Hub设备；IPSEC提供在IP层的加密认证等安全服务。

IKE协商可以采用预共享密钥的方式，也可以采用CA认证的方式进行。

在企业总部每2台VPNServer互为备份组作为VPN接入服务器,如果用户增加,可以通过增加服务器备份组的方法接入更多用户。

网络的部署监控配置维护采用VPNMANAGER和BIMS配合进行

ü本组网主要是面向部分小型的分支机构，分支用户对于网络的链路要求不高，普通的ADSL线路就可以满足他们的要求；当然，用户也可以通过LAN接入

ü对于服务器部分，可以只考虑使用单台的设备来进行汇接。

üVPN客户端设备可以采用静态或动态申请的IP地址和总部网关建立VPN链接。

ü根据其业务的需求，对可靠性的要求不高，数据的传输不讲究实时传输。有必要的话，可以在分支节点用设备进行冷备份。

üVPN接入网关子系统部署：在总部局域网Internet边界防火墙后面配置一台专用的高性能的VPN网关，在分支机构Internet边界防火墙后面配置一台专用VPN网关，由此两端的VPN网关建立IPSecVPN隧道，进行数据封装、加密和传输；

üVPN管理子系统部署：在总部局域网数据中心部署H3CQuidViewVPNManager组件，实现对VPN网关的部署管理和监控；在总部局域网内部或Internet边界部署H3CQuidViewBIMS系统，实现对分支机构VPN网关设备的自动配置和策略部署；

ü强大的VPN处理性能，高端专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下350Mbps以上的加密吞吐量，百兆VPN网关通过专业的硬件加密处理器可以提供标准加密算法下60Mbps以上的加密吞吐量；

ü提供图形化界面的VPN管理工具VPNManager以及自动部署系统BIMS分支智能管理系统，实现VPN可视化的VPN部署管理以及大规模的自动部署能力；

组网特点：

üVPN客户端设备相对来说比较简单。

部署要点

üVPN客户端可以使用动态地址接入服务器，但为了防止客户端IPSec配置泄露造成的安全隐患，建议VPN客户端口采用静态地址。同时，这样也便于使用VPNManager的配置管理功能。

方案特点

ü组网简单，易于部署；

ü由于IPSec不能承载路由协议，需要在分支结构和园区网配置大量的静态路由。

ü单纯的IPSec封装，对于带宽资源消耗较小；

ü部分业务流量需要IPSec保护，另一部分业务流量不需要IPSec保护，仅需要GRE隧道完成VPN功能。

üVPN内部需要建立统一的OSPF路由域。

ü两端的VPN网关的之间建立GRE隧道，然后将IPSec策略应用到GRE隧道接口上从而建立IPSec隧道，进行数据封装、加密和传输；

ü在GRE隧道接口上使能OSPF；

üGRE可以承载多种协议，扩展性强。

üIPSec只适用于IP协议，所以对于企业网内非IP协议，不能使用。

üIPSec是基于策略的，GRE是基于路由的。如果企业网内部分流量需要IPSec保护，而另一部分不需要。建议使用IPSecoverGRE的方式。

ü不需要配置大量的静态路由，配置简单。

üGRE还支持由用户选择记录Tunnel接口的识别关键字，和对封装的报文进行端到端校验；

üGRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就导致使用GRE会造成路由器数据转发效率有一定程度的下降；

üVPN内部可以支持MPLS、IPX等非IP协议的网络。

ü两端的VPN网关的Loopback接口之间建立GRE隧道，然后将IPSec策略应用到Wan接口上从而建立IPSec隧道，进行数据封装、加密和传输；

üGRE的特点是可以承载多种协议，而IPSec只能承载IP协议。如果企业网内有IPX、MPLS等应用，建议可以先借用GRE承载非IP协议，然后才能使用IPSec保护GRE报文。

üGRE是基于路由的，而IPSec是基于策略。如果需要在企业网内统一规划路由方案，GREoverIPSec的方式逻辑就比较清晰。因为IPSec的策略是针对GRE隧道的，而GRE隧道是基于路由的，所以整个VPN内的路由是统一的。

ü对业务流量，诸如路由协议、语音、视频等数据先进行GRE封装，然后再对封装后的报文进行IPSec的加密处理。

ü不必配置大量的静态路由，配置简单。

üIPSec隧道保护RouterA和RouterB之间的公网链路。

ü对于分支设备的安全要求较高，在IPSec认证之外，还需要对分支设备进行L2TP的认证。

ü通常情况下，L2TP的客户端是拨号连接到LAC的用户主机。此时用户与LAC的连接总是PPP连接。如果使用LAC同时作为客户端，那么用户与LAC之间的连接就不受限于PPP连接，而只要是一个IP连接就可以了，这样LAC能够将用户的IP报文转发到LNS。使用LAC同时作为客户端，是在LAC上建立一个虚拟的PPP用户，该用户与LNS保持一个常连接。其它所有实际用户的IP报文都是通过此虚拟用户转发给LNS的；

部署方式

ü在LAC创建VT模拟用户，配置地址、验证方式、用户名、密码等信息；

ü分支设备的用户端不能由LNS分配地址，必须由用户手工配置地址，而且需要保证与LNS的VT地址在同一网段，否则OSPF路由不能互通。

ü如果没有部署动态路由协议，则必须在LAC上配置一条静态路由，将VPN内的流量指向VT接口。

ü中心网关可以对分支设备进行认证和计费，提高系统安全性。

üL2TP收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响，这就导致使用L2TP会造成路由器数据转发效率有一定程度的下降；

当然，在实际的组网中，为了增强VPN网关的稳定性，也可以在VPN网关节点部署双VPN网关，利用该VPN双网关可以有效的提高系统的可靠性，同时，对于业务分支节点较大的企业，可以通过有效配置实现业务的负载分担，将不同的分支节点按照一定的原则配置不同的主备网关。具体的组网如下：

和前面的典型组网相比，本典型组网最大的区别在于对于VPN网关之间进行了双机备份，在这种模式下，用户对于可靠性等指标提出了较高的要求，目前H3C可以提供3种可靠性的实现方法，下面的文档中会重点论述。

组网特点

ü网络规模较小，要求配置、管理简单易用；分支机构以拨号接入为主。

可靠性保证

üVPN客户端配置主备L2TPLNSServer，当主Server断线时,客户端尝试连接失败后会切换到备份Server(keepalive)

ü主备Server之间，通过配置客户端L2TP访问Server先后顺序的方法。多个LAC配置不同的顺序，可以达到负载分担的效果

ü配置简单，管理方便，适用于移动用户远程接入；

ü每一个接入Server组的2台设备都连到交换机,并运行VRRP.保证单台设备故障时,网络能工作正常

ü建议配置多组VRRP,可以达到负载分担的效果

ü如果IPSec隧道建立在VRRP虚地址上，需要配置IPSecDPD功能，以便及时的进行VPN隧道的切换

ü在一定范围内实现负载分担，但不能像GLBP一样做到完全的负载分担。

ü传统网络，不支持VRRP等特性。

ü在隧道两端的网络中运行OSPF协议，当主隧道发生故障时（设备或是链路故障），OSPF协议能够自动监测到邻居变化从而将路由切换到从隧道上的。

ü借助传统的OSPF协议来监控链路状态，没有特殊的配置、特性，最简单；

该典型组网和前面描述的差别主要在于其高可靠性的要求。对于上行链路，要求在提供一条高质量链路的同时，还可以有另外的一种备份的方式，比如可以在运营商提高一条FE的光纤进行internet接入的同时，再通过ADSL链路备份到另外的ISP。

该典型组网如下图所示：

ü该组网模型和前面的相比，该组网模型在强调VPN网关备份的基础上，对于接入分支节点的链路备份也进行了考虑，重要的分支机构在使用类似FE光纤接入的情况下，为了备份的需求，还考虑使用ADSL链路进行备份

ü在进行链路备份时，不同链路分别接入到不同的ISP，更加有效的提升了系统的可靠性

üADSL设备建议采用外置设备，与VPNClient用FE光纤连接。ADSL链路作为备份链路始终在线。

üVPN网关热备份如上一节所述；

ü链路备份的需要通过冗余路由来实现，主链路对应的路由优先级较高，备份链路对应的路由优先级较低。正常情况下，流量会由主链路上行。

ü主链路异常会引起接口报DOWN，路由切换到备份链路上。

ü若主链路正常，但在主链路对应的运营商侧网络发生故障导致目的网关不可达。需要借助auto－detect的特性来探测目的地址不可达，切换路由，保证业务的正常运行。

ü在中心网关备份的基础上实现了上行链路备份，提高了系统的可靠性。

ü在实现上行链路备份的基础上，实现了运营商网络的备份。进一步保证了业务的质量。

H3CVPN解决方案，由移动终端子系统、VPN接入网关子系统、认证计费子系统、VPN管理子系统四个部分组成。本次组网由于没有牵涉到移动用户的VPN接入，因此只对后面的3个模块进行重点说明

VPN中心网关系统设备是整个VPN系统的核心部分，其设备可以采用专用VPN网关设备secpath系列来实现，也可以采用H3C高性能的AR系列路由器来承担。

QuidwaySecPath系列VPN安全网关是H3C公司面向企业用户开发的新一代专业安全网关设备，具有非常高的性能特性以及丰富的功能特性。其支持防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络；支持多种VPN业务，如L2TPVPN、IPSecVPN、GREVPN、MPLSVPN等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。配合防火墙、AAA、NAT、QoS等技术，安全网关可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。

当然，也可以选择AR46路由器作为VPN网关接入，为了提升AR46的加密性能，实际使用时可以将AR46和ENDE加密卡配合完成，该加密卡具有强劲的专用加密卡和加密芯片。同时，采用高性能的CPU、高速大容量内存也保障了优秀的加密性能。

CAMS采用分布式、模块化的开放体系结构和基于TCP/IP的通信机制，可以平滑扩容、灵活扩展、按需定制，采用Linux操作系统、Oracle数据库，并支持集群服务器、磁盘阵列、数据库备份等特性，为用户提供了一种低价格、高可靠、高性能的网络安全和用户管理解决方案，能够满足各种规模网络的用户身份认证、权限控制的要求。

强大的用户身份认证：

支持802.1x、PPPoE、Portal（DHCP+WEB）等多种认证方式。支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止账号盗用和非法接入；并具备自动绑定功能，减少管理员手工录入的工作量。支持与第三方邮件或Proxy系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。支持对Web服务器访问的统一认证和单点登陆，支持的Web服务器有IIS、Apache2.0，实现对WEB访问权限的统一管理和控制。支持多区域用户漫游。

严格的用户权限控制：

完善的用户行为监控：

简单、易用的管理平台：

CAMS提供了基于WEB的管理界面和帮助系统，管理员无需安装任何客户端软件，就可以通过浏览器完成系统管理工作，为管理员提供了最大程度的方便性。

完备的系统管理与监控：

灵活的业务运行参数配置，管理员可根据组网和运营环境进行功能定制。操作级的管理员权限控制，可为不同管理员设置基于角色的操作权限，如系统管理员、账务管理员、前台营业员等；此外，系统提供详细的操作员操作日志，便于对管理员的操作进行跟踪。CAMS能对自身运行状况进行实时监控，并且可以通过邮件将系统告警发给管理员，便于管理员及时了解系统运行状况，采取响应措施。

VPN管理子系统由两个组件组成：H3CVPNManager系统以及H3CBIMS分支智能管理系统，这两套系统在本组网中都可以找到其应用的空间，因此vpnmanager的VSM和VDM模块都可以发挥作用，在实现VPN的部署方面简化配置，也可以有效的完成对网路的VPN状态的监控。当然，如果遇到后续设备的升级配置管理的需求，则可以通过部署的BIMS软件来完成。下面对这两种管理系统简单的进行说明。

H3CVPNManager系统，以用户实际配置任务为驱动，提供IPSecVPN业务配置向导，指导用户进行IPSecVPN设备配置，构建VPN网络。在配置业务中，提供预定义配置参数功能，以方便高级用户预定义、重用配置信息。并提供缺省配置，以使用户初次使用本管理软件时，能快速配置IPSecVPN设备，而无需进行过多配置及软件使用学习。

为了避免在设备上留下冗余的配置信息，支持“清除”功能，能够在重新配置以及配置命令下发过程中出现失败的情况下，清除设备已配置的信息。为了管理方便，以网络域为配置单位，减少配置操作，对网络域的配置会自动赋予网络域内的全部设备，用户可一次性对网络域内所有设备进行相同配置部署。同时，用户也可指定某个设备的特殊配置。

利用QuidView提供的解决方案可以轻易实现对于VPN网络的信息监视。QuidViewNMF框架可以打开IPSecVPN的全网拓扑图，可以在IPSecVPN视图中直观显示全网设备及设备的运行状态。

QuidViewVMM组件可以有效监视IPSec设备的运行性能，提供丰富的性能管理功能。包括支持对IPSecVPN网关CPU利用率等关键指标的监视；支持对IPSec、IKE隧道的监视；支持对协商过程的监视；并提供折线图、直方图、饼图等多种显示方式直观的把VPN性能数据显示给用户；支持AtaGlance、TopN功能，使用户能够对CPU利用率、流量等关键指标一目了然；提供报表导出和基于历史数据的分析，为用户网络扩容、及早发现网络隐患提供保障；支持对用户关心的性能参数设定阈值，当超过设定的阈值后，系统将会发送性能告警，使网络管理人员及时发现和消除网络中的隐患。

BIMS（QuidView组件）分支智能管理系统实现从网络管理中心来集中对网络设备的管理，如配置文件下发、设备软件升级等。传统网管主要通过SNMP、Telnet等协议来实现对网络设备的管理，这要求网管侧知道被管设备的IP地址，并且可以主动向设备发起请求并建立连接。如果设备的IP地址不固定，就增加了主动管理的难度；如果设备位于NAT网关后面，基本上没有什么有效的管理手段。BIMS（BranchIntelligentManagementSystem）就是要解决上述问题，实现对动态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中、有效的监控和管理，尤其在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时，BIMS会极大提高管理的效率，大大节约管理成本。

BIMS采用一种被动的方式对设备进行管理，即网管作为Server，设备作为Client，依靠设备周期性的主动访问网管来实现对设备的管理。因为连接是由设备主动发起的，所以设备IP地址变化不会对连接的建立产生阻碍，即便设备位于私网内，也可穿透NAT建立连接。网管通过一个固定的、全网唯一的ID来识别设备，而不再依赖于设备的IP地址，所以设备拥有公网或私网IP地址或IP地址经常变化都不会影响网管对设备的识别。BIMS网管侧与设备侧之间通过HTTP协议进行通讯，采用HTTP进行通信的优势在于其可方便的穿透防火墙，而且协议简单、易扩展。同时，为了保证通讯安全，BIMS对传输的消息数据进行加密处理。

根据上述的典型组网分析，结合实际，每个组网环境都选择了有代表性的解决方案应用案例，请参考