VPN原理及技術特點VPN產品與解決方案6/2/20241VPN概念VPN即虛擬專用網(VirtalPrivateNetwork)，是一條穿過混亂的公用網絡的平安、穩定的隧道。通過對網絡數據的封包和加密傳輸，在一個公用網絡〔通常是因特網〕建立一個臨時的、平安的連接，從而實現在公網上傳輸私有數據、到達私有網絡的平安級別，如果接入方式為撥號方式，那么稱之為VPDN。通常，VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供給商同公司的內部網建立可信的平安連接，并保證數據的平安傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現平安連接；可用于實現企業網站之間平安通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的平安外聯網虛擬專用網。6/2/202426/2/20243上面的拓撲圖中可以看到縣防疫站的VPN網關是一臺雙網卡主機，而基層防疫站的VPN網關那么只是在一臺單網卡終端上安裝安聯VPN系統軟件，這樣的配置方法可以實現網關作用基于B/S或C/S結構的網絡應用效勞，如：網絡OA、財務、ERP系統等；多媒體效勞，如：VoIP、視訊會議系統等；基于NetBIOS協議的網絡應用效勞，如：網絡文件共享、網絡打印共享；數據庫效勞，如：遠程數據采集、數據查詢、數據備份等6/2/20244VPN工作原理

VPN通過公眾IP網絡建立了私有數據傳輸通道，將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來。減輕了企業的遠程訪問費用負擔，節省費用開支，并且提供了平安的端到端的數據通訊。用戶連接VPN的形式：

常規的直接撥號連接與虛擬專網連接的異同點在于在前一種情形中，PPP〔點對點協議〕數據包流是通過專用線路傳輸的。在VPN中，PPP數據包流是由一個LAN上的路由器發出，通過共享IP網絡上的隧道進行傳輸，再到達另一個LAN上的路由器。這兩者的關鍵不同點是隧道代替了實實在在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。那么，如何形成VPN隧道呢6/2/20245建立隧道有兩種主要的方式：客戶啟動〔Client－Initiated〕或客戶透明〔Client-Transparent〕。客戶啟動要求客戶和隧道效勞器〔或網關〕都安裝隧道軟件。后者通常都安裝在公司中心站上。通過客戶軟件初始化隧道，隧道效勞器中止隧道，ISP可以不必支持隧道。客戶和隧道效勞器只需建立隧道，并使用用戶ID和口令或用數字許可證鑒權。一旦隧道建立，就可以進行通信了，如同ISP沒有參與連接一樣另一方面，如果希望隧道對客戶透明，ISP的POPs就必須具有允許使用隧道的接入效勞器以及可能需要的路由器。客戶首先撥號進入效勞器，效勞器必須能識別這一連接要與某一特定的遠程點建立隧道，然后效勞器與隧道效勞器建立隧道，通常使用用戶ID和口令進行鑒權。這樣客戶端就通過隧道與隧道效勞器建立了直接對話。盡管這一方針不要求客戶有專門軟件，但客戶只能撥號進入正確配置的訪問效勞器6/2/20246VPN主要采用四項技術：一、隧道技術(Tunneling)；二、加解密技術(Encryption&Decryption)；三、密鑰管理技術(KeyManagement)；四、使用者與設備身份認證技術(Authentication〕6/2/20247VPN的應用

目前，用于企業內部自建VPN的主要有兩種技術——IPSecVPN和SSLVPN，IPSecVPN和SSLVPN主要解決的是基于互聯網的遠程接入和互聯，雖然在技術上來說，它們也可以部署在其它的網絡上(如專線)，但那樣就失去了其應用的靈活性，它們更適用于商業客戶等對價格特別敏感的客戶。目前企業應用最廣泛的是IPSecVPNIPSecVPN比較適合中小企業，其擁有較多的分支機構，并通過VPN隧道進行站點之間的連接，交換大容量的數據。企業有一定的規模，并且在IT建設、管理和維護方面擁有一定經驗的員工。企業的數據比較敏感，要求平安級別較高。企業員工不能隨便通過任意一臺電腦就訪問企業內部信息，移動辦公員工的筆記本或電腦要配置防火墻和殺毒軟件6/2/20248SSLVPN更適合那些需要很強靈活性的企業，員工需要在不同地點都可以輕易的訪問公司內部資源，并可能通過各種移動終端或設備。企業的IT維護水平較低，員工對IT技術了解甚少，并且IT方面的投資不多。SSLVPN三大好處：

1、使用方便，不需要配置，可以立即安裝和使用；

2、無需客戶端，直接使用內嵌的SSL協議，而且幾乎所有的瀏覽器都支持SSL協議。

3、兼容性好，支持電腦、PDA、智能、3G等一系列終端設備及大量移動用戶接入的應用。

SSL

VPN缺點

只適合Site-to-LAN〔點對網〕的連接，無法解決LANtoLANVPN需求。6/2/20249VPN方案遠程訪問虛擬網〔AccessVPN〕、企業內部虛擬網〔IntranetVPN〕和企業擴展虛擬網〔ExtranetVPN〕，這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet相對應。1.如果企業的內部人員移動或有遠程辦公需要，或者商家要提供B2C的平安訪問效勞，就可以考慮使用AccessVPN.AccessVPN通過一個擁有與專用網絡相同策略的共享根底設施，提供對企業內部網或外部網的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業資源。AccessVPN包括模擬、撥號、ISDN、數字用戶線路〔xDSL〕、移動IP和電纜技術，能夠平安地連接移動用戶、遠程工作者或分支機構。如圖1所示。6/2/2024106/2/202411AccessVPN最適用于公司內部經常有流動人員遠程辦公的情況。出差員工利用當地ISP提供的VPN效勞，就可以和公司的VPN網關建立私有的隧道連接。RADIUS效勞器可對員工進行驗證和授權，保證連接的平安，同時負擔的費用大大降低AccessVPN對用戶的吸引力在于：*減少用于相關的調制解調器和終端效勞設備的資金及費用，簡化網絡；*實現本地撥號接入的功能來取代遠距離接入或800接入，這樣能顯著降低遠距離通信的費用；*極大的可擴展性，簡便地對參加網絡的新用戶進行調度；*遠端驗證撥入用戶效勞〔RADIUS〕基于標準，基于策略功能的平安效勞；*將工作重心從管理和保存運作撥號網絡的工作人員轉到公司的核心業務上來。2.如果要進行企業內部各分支機構的互聯，使用IntranetVPN是很好的方式。6/2/202412越來越多的企業需要在全國乃至世界范圍內建立各種辦事機構、分公司、研究所等，各個分公司之間傳統的網絡連接方式一般是租用專線。顯然，在分公司增多、業務開展越來越廣泛時，網絡結構趨于復雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內的IntranetVPN.利用Internet的線路保證網絡的互聯性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上平安傳輸。IntranetVPN通過一個使用專用連接的共享根底設施，連接企業總部、遠程辦事處和分支機構。企業擁有與專用網絡的相同政策，包括平安、效勞質量〔QoS〕、可管理性和可靠性6/2/2024136/2/202414IntranetVPN對用戶的吸引力在于：*減少WAN帶寬的費用；*能使用靈活的拓撲結構，包括全網絡連接；*新的站點能更快、更容易地被連接；*通過設備供給商WAN的連接冗余，可以延長網絡的可用時間。3.如果是提供B2B之間的平安訪問效勞，那么可以考慮ExtranetVPN6/2/202415隨著信息時代的到來，各個企業越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息效勞，通過各種方式了解客戶的需要，同時各個企業之間的合作關系也越來越多，信息交換日益頻繁。Internet為這樣的一種開展趨勢提供了良好的根底，而如何利用Internet進行有效的信息管理，是企業開展中不可防止的一個關鍵問題。利用VPN技術可以組建平安的Extranet，既可以向客戶、合作伙伴提供有效的信息效勞，又可以保證自身的內部網絡的平安。ExtranetVPN通過一個使用專用連接的共享根底設施，將客戶、供給商、合作伙伴或興趣群體連接到企業內部網。企業擁有與專用網絡的相同政策，包括平安、效勞質量〔QoS〕、可管理性和可靠性6/2/2024166/2/202417VPN解決方案Cisco公司與路由器集成的VPN解決方案是一種較為常見的基于硬件的構建策略。各種用戶，從電信運營商、小型分支機構到家庭和小型辦公環境，都可以找到適合自己需求的解決方案。其中7100系列VPN路由器是一款集成了高性能路由和VPN效勞功能的產品，其硬件配置特別針對VPN應用及拓撲結構作了全面優化，內置有適應不同連接要求的多種網絡端口，并具有VPN隧道交換、數據加密、平安效勞，防火墻、帶寬管理等多種功能和效勞。6/2/2024187100系列VPN路由器，用戶能夠將VPN效勞擴展至遠程訪問、遠程辦公、Extranet連接及公共數據效勞網絡。借助7100的VPN解決方案的周邊平安機制、侵入檢測及先進的帶寬管理和效勞身份確認等功能，還有先進的帶寬管理性能，可以保證用戶的實時交易數據等高優先級數據流優先通過，滿足了電子商務等活動的需要。對于用戶要求的平安性能，7100系列VPN路由器那么提供了身份驗證、完整性檢驗及實時檢測等多種防護措施；對遠程訪問用戶，也可以實行身份驗證、授權訪問資源及賬號等"aaa"〔authentication、authorization及accounting〕控制。6/2/2024196/2/202420案例--中國網通MPLSVPN是一種基于MPLS(MultiprotocolLabelSwitching,多協議標記交換)技術的IP-VPN，是在網絡路由和交換設備上應用MPLS技術，簡化核心路由器的路由選擇方式，利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡〔IPVPN〕，可用來構造寬帶的Intranet、Extranet，滿足多種靈活的業務需求。

中國網通以高速寬帶互聯網CNCnet為根底推出的MPLSVPN效勞，可使用戶實現全國范圍內的內部網絡高速互連,使Intranet真正進入了寬帶時代。

6/2/202421網絡結構

中國網通MPLSVPN是構建于CNCnet主干網以及CNC在各地區的城域網之上的全程全網的、端到端的寬帶MPLSVPN效勞。CNCnet是基于IPoverDWDM先進技術的全光纖、純IP寬帶網絡，骨干網帶寬到達40G。在國內與各網絡通過各大城市中的NAP點分別以155M相連，同時在一些重要節點還有與各大型網絡的光纖直連。CNCnet擁有國際海纜和路纜，國際出口資源非常豐富,可以提供高質量的Internet接入效勞。CNCnet在2000年的第一期建設中覆蓋了京廣線和沿海的整個中國中、東部地區，并在北京、上海、廣州、深圳四個城市提供城域網的接入效勞，以豐富的接口類型，全面的MPLSVPN技術支持為客戶提供高速的VPN業務。其網絡結構6/2/2024226/2/202423關鍵技術

MPLS是一個網絡層包轉發的新興標準，它主要基于IETF提交的一系列信令協議。在這些協議里，最主要的有標記分配協議(LDP)、資源預留協議(RSVP)以及限制路由的標簽分配協議(CR_LDP)三種。這些協議都應用在分配標簽和轉發MPLS數據流上。6/2/202424MPLS技術是一個可以在多種第二層協議上進行標簽交換的網絡技術，并且不用改變現有的路由協議。目前第二層的協議有ATM、FR(幀中繼)、Ethernet以及PPP。這一技術綜合了第二層的交換和第三層路由的功能，將第二層的快速交換和第三層的路由有機地結合起來，第三層的路由在網絡的邊緣實施，而在MPLS的網絡核心采用第二層交換。這樣各層協議可以互相補充，充分發揮第二層良好的流量設計管理以及第三層"Hop-By-Hop"路由的靈活性，實現端到端的QoS保證。

6/2/202425CNCnet以CiscoGSR核心路由器組建的骨干網為核心，采用CISCO7513/CISCO7507向用戶提供CISCO的BGP/MPLSVPN解決方案，同時采用GSR或CISCO7507提供虛擬專線業務；形成比較完整的基于MPLS的IPVPN解決方案。

6/2/202426中國網通MPLSVPN適用范圍

中國網通MPLSVPN適用于各類大中型企業，尤其適用于商務活動頻繁，數據通信量大，對網絡依靠程度較高，有分支機構的企業與組織，如網絡公司、IT公司、金融業、貿易行業、新聞機構等。

--金融業：銀行，證券等。可以為其各網點間提供平安的寬帶連接。

--多分支企業：這些企業具有如下特點：在不同位置有多個分支機構；在海外有分支機構或者本身是海外的分支機構。網通MPLSVPN為這類企業的各分支之間提供所需的連接，在其上可以運行企業的各種內部應用，并且可以融合各種不同業務和應用6/2/202427合作伙伴：有些公司與商業伙伴〔供給商或者大客戶〕之間有經常性的聯系，或者有大量的B2B業務需求。網通MPLSVPN為商業伙伴之間提供了平安的連接，也使B2B的商業模式有了更高的平安可靠保障。教育科研機構、政府部門或者團體組織之間也能夠利用其建立連接。

--ICP&xSP：為其提供虛擬的專用骨干網；與大客戶之間的連接。

--VoIP運營商：提供國際間業務的連接。

6/2/202428華為公司在網絡操作系統VRP和相關網絡產品的根底上推出了MPLSVPN，包括MPLS/BGPVPN、KompellaMPLSL2VPN(MPLS網絡上透明地傳遞用戶的二層數據)方案，為用戶提供商用的MPLSVPN業務。如下圖，華為MPLSVPN采用城域網核心層設備做為P設備，采用城域網會聚層設備做為PE設備，用戶CE設備通過城域網接入層接入PE，全面實現MPLSVPN業務的運營。MPLSVPN有三種類型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客戶端路由器，為用戶提供到PE路由器的連接；PE路由器是運營商邊緣路由器，也就是MPLS網絡中的標簽邊緣路由器〔LER〕，它根據存放的路由信息將來自CE路由器或標簽交換路徑〔LSP〕的VPN數據處理后進行轉發，同時負責和其他PE路由器交換路由信息；P路由器是運營商網絡主干路由器，也就是MPLS網絡中的標簽交換路由器〔LSR〕，它根據分組的外層標簽對VPN數據進行透明轉發，P路由器只維護到PE路由器的路由信息而不維護VPN相關的路由信息。BGP(BorderGatewayProtocol)種在自治系統之間動態交換路由信息的路由協議6/2/2024296/2/202430對于MPLSBGPVPN組網方式而言，由于CE、PE設備之間不能間隔其他三層設備，因此，在IP城域網組網時必須注意：對于通過L2+L3接入PE的LAN用戶，可通過VLAN透傳將CE的數據流終結到PE設備；對于采用路由器+L2建設的城域網，可通過GRE+策略路由的方式將VPN用戶接入PE設備；對于使用綜合方式接入的用戶，可在PE設備終結PVC來實現VPN業務。

通過MPLSVPN技術，華為IP城域網方案可以提供企業內部互連〔Intranet〕、外部互連〔Extranet〕、Internet訪問、跨AS域支持、網管和記費等效勞。6/2/202431企業內部互連與外部互連

實現企業內部跨區域互連或企業間跨區域互連是MPLSVPN的主要應用之一，根據企業用戶的實際業務需求，可以通過VRF中Target屬性〔Import、Export〕的靈活配置來實現。

企業跨區域內部互連需求

許多跨區域的大中型企業，希望將分布在各地區的子公司通過網絡連接起來，圖2和圖3是華為提出的兩種典型的實現方案。

6/2/2024326/2/202433各PEVRF中的Target屬性相同，這種配置可以實現總部與分公司，分公司與分公司之間的互訪，圖3所示的方案可以實現總部與各分公司之間的互訪，而各分公司之間不能互訪。當然，通過對Target的不同配置，還可以實現更多的應用需求，如實現局部站點互訪的需求6/2/202434企業間互連需求

許多企業為了方便與供給商、客戶或合作伙伴進行聯系，往往采用跨企業的網絡實現互連，這就是所謂的Extranet。如果企業之間準許實現完全互訪，那么通過簡單地配置Target屬性即可實現，但實際上大多數企業更傾向于企業間的受限訪問方案。例如，企業希望合作企業只能訪問到某些相關的數據庫，圖4所示的HUB-SPOKE方案可以實現這種需求。

6/2/2024356/2/202436兩個SPOKE分別對應兩個企業的Site。為了實現受限互通的目的，首先將兩個Site中的路由通過IN接口導入CE設備的路由器中，CE設備采用策略路由等路由過濾機制，當然也可以在SPOKE處首先進行路由出過濾，然后從OUT出口將過濾后的路由發布到SPOKE上，實現企業之間的受限訪問。6/2/202437Internet訪問

Internet訪問是MPLS效勞提供商為企業用戶提供的重要業務，華為在綜合考慮地址重疊、訪問控制和平安因素等根底上，提供以下三種解決方案。

■企業內部訪問控制方式

如圖5所示，這種方式在每個企業的VPN內部對Internet訪問設置NAT和防火墻處理，將平安機制放于企業的統一出口處〔CE2〕。VPN內部各Site訪問Internet的數據流，首先到該VPN的某一Site中〔一般為公司總部Site〕，在該Site進行NAT和防火墻處理后進入公網。這種方式只要求在客戶端進行配置，而對于運營商一側，網絡沒有配置要求，但對運營商來說，這種方式無法對客戶訪問Internet進行統一管理。6/2/2024386/2/202439集中訪問控制方式

如下圖，這種方式的控制集中放置在效勞提供商的Internet出口處〔PE〕，為了解決各VPN重疊保存地址的問題，必須為每個VPN配置一個防火墻，各VPN用戶通過屬于自己的防火墻實現Internet訪問。這種方法要求運營商為每個VPN配置一個訪問Internet的VPN，在客戶端需要配置一條訪問InternetVPN的缺省路由，由于該方法要求運營商進行配置，而且每個VPN都需要一個防火墻，因此當VPN用戶較多時網絡投資較大，但這種方法允許運營商對VPN用戶訪問Internet進行有效的管理。6/2/2024406/2/202441二級控制方式

如下圖，這種控制方式首先在企業內部進行Internet訪問控制，然后在效勞提供商處再進行一次訪問控制，即兩級訪問控制。這種方式的優點在于，它可使企業對內部用戶的訪問進行控制，同時運營商也可對用戶訪問Internet進行統一控制，這種方式與第二鐘方式不同，它不需要增加太多的投資。當然這種方式的缺陷也是顯然的，一是配置復雜，二是效率低于前兩種。

6/2/2024426/2/202443對跨AS域的支持

對于大型MPLS骨干網來說，必須支持跨域業務，華為NE設備支持三種跨域方式。

VRF-to-VRF(VPNRouting/ForwardingInstance路由轉發實例VPN-instance)

圖所示，這種方式要求兩個域的ASBR(AutonomousSystemBoundyRouter，自治系統邊界路由器)能夠完成PE功能，兩個AS域各自運行自己的VPN。對于每個需要跨域的VPN，必須在本端跨域的PE設備上配置對應于該VPN的VRF，將對端的PE設備做為本域VPN的CE，PE-CE之間運行EBGP協議，攜帶對端的VPN路由信息。這個方法的優點是在于，ASBR之間不需要運行MPLS，但缺點是每個跨域的VPN需要與一個子接口綁定，子接口的數量至少要和跨域的VPN的數量相當。跨域的PE路由器需要維護跨域VPN的路由，因而存在擴展問題。

6/2/2024446/2/202445MP-EBGP

如下圖，這種方式通過直連的ASBR傳播VPN路由，并為相應的VPN路由分配一個標簽，其優點是不需要在ASBR處為每個VPN的用戶站點分配一個子接口，缺點是需要在ASBR處維護VPN路由，從PE入口到PE出口需要一條完整的LSP，ASBR之間需要互相信任。

6/2/2024466/2/202447Multi-HopMP-EBG

如下圖，這種方式首先路由擴散在入口與出口之間，通過LDP或MP-BGP+LDP方式建立LSP，然后不同AS域之間的PE通過EBGP方式傳播VPN路由信息。這種方式的可擴展性能較好，不需要在ASBR上維護具體用戶的VPN路由信息。

6/2/2024486/2/202449華為的VPN解決方案華為的VPN解決方案包括AccessVPN、IntranetVPN、ExtranetVPN及結合防火墻的VPN解決方案。各方案中，Quidway系列路由器具有VPN網關功能，是組建VPN的重要設備。因為Quidway系列路由器支持各種VPN技術，包括隧道技術、IPsec、密鑰交換技術、防火墻技術、QoS與配置管理等，并可繼續開展，支持越來越多的先進技術，所以為用戶提供了很好的選擇和性價比。6/2/202450網際先進〔InternetAppliance〕公司的VPN解決方案利用網際先進公司的VPN產品，用戶能夠自己建立和發起VPN，其靈活性和平安性完全由用戶自己掌握。因為網際先進的VPN產品是CPE端設備，也就是說不依賴于ISP提供VPN效勞。這些產品可以提供目前國際上加密位數最高的三重DES〔168位〕加密算法，其動態變換會話密鑰的功能允許管理者定義多長時間必須修改一次會話密鑰〔sessionkey〕，完全保證了用戶的數據的平安性6/2/202451國產品牌深信服科技IPSecVPNM5100M5400M5600M5800S5100P51