d0009 vpn規劃設計
issue 5.1
日期:杭州華三通訊技術****版權所有,未經授權不得使用與傳播
引入隨著計算機網路的發展,企業紛紛利用internet技術建立自己
的內部網(intranet),同時根據商務發展的要求需要與供貨商銷
售商等等整合資源,建設extranet。intranet和extranet網路
在物理上的分布化,這其中最為突出的就是安全問題。連線遠
程網路最直接的方法就是使用專線,但問題很多,最主要的如
費用昂貴、維護困難、接入點選擇不靈活以及多節點連線困難
等。intranet既然可以採用internet的技術,那為什麼不能利用
internet上已有的設施來傳輸私有網路的資訊呢?基於這種思
想,vpn技術出現了。
課程目標
學習完本課程,您應該能夠:
掌握vpn網路設計的基本規劃原則
掌握l2tp二層vpn網路的設計原則
和方法掌握ipsec安全vpn網路設計的原則
和方法目錄
vpn網路設計原則
l2tp vpn網路設計
ipsec vpn網路設計
gre vpn網路設計
vpn設計原則-安全性原則
●隧道與加密
●資料驗證
●使用者識別與裝置驗證
●入侵檢測,網路接入控制、
5隧道與加密
總部網路中心
應用和業務伺服器
aaa伺服器
secpoint
出差員工
分支機構
合作夥伴●●
●l2tp隧道協議最適合移動
使用者的vpn接入
gre隧道協議最適合站點
到站點的 vpn接入,支援
動態路由協議
ipsec提供資料加密和數
據完整性
6資料驗證
ipsec
● ipsec協議提供特定的通訊雙方之間在ip層通過加
密與資料來源驗證,以保證資料報在internet網上傳
輸時的私有性、完整性和真實性。用在vpn上
ipsec協議族與其他隧道協議相配合完成vpn資料
報文的加密和驗證。
7使用者識別與裝置驗證
securid
認證伺服器
數字證書
使用者識別
裝置驗證
seckey
●vpn可使合法使用者訪問他們所需的企業資源,同時還要禁止未授權使用者
的非法訪問。這一點對於access vpn和extranet vpn具有尤為重要的
意義。建立vpn連線的裝置之間進行驗證可以確保vpn隧道的安全可靠。
8入侵檢測,網路接入控制
●網路入侵檢測系統需要同vpn裝置進行配合,
通過分析源自或送至vpn裝置的資訊流,避
免通過vpn連線使內部網路受到攻擊。
●一般來講vpn接入的使用者可以訪問內部網路
中大部分資源,可以考慮對vpn接入使用者進
行分級和控制,確保內部網路的執行安全。
9vpn設計原則-qos保障
●構建vpn的另一重要需求是充分有效地利用有限的
廣域網資源,為重要資料提供可靠的頻寬。vpn網
絡中的qos需要考慮如下問題:
→qos需要在資料通過的整個路徑包含的各個裝置
上進行部署
→vpn隧道技術對原始資料進行了再次封裝,qos
策略中的特徵值需要進行額外對映
→qos中的流分類動作必須在資料進行vpn封裝前
完成10
目錄 vpn網路設計原則
l2tp vpn網路設計
ipsec vpn網路設計
gre vpn網路設計
l2tp連線方式選擇
● l2tp vpn適用於移動辦公使用者的vpn接入,
可以提供嚴格的使用者驗證功能,確保vpn接
入使用者的合法性。
● l2tp vpn的連線方式分為兩種:pc直接發
起連線和lac裝置發起連線。兩種方式適用
於不同企業對於vpn接入控制和管理的不同
要求。12
l2tp認證方式選擇
l2tp tunnel
internet
host
client
laclns
home lan
●l2tp vpn可以提供lac側的使用者接入驗證和lns側的用
戶再次驗證,可以提供比較安全的vpn接入功能。
13l2tp安全性考慮
l2tp over ipsec
internet
host
client
laclns
home lan
●l2tp vpn本身雖然提供較為嚴格的接入使用者的認證
功能,但不提供vpn資料的加密功能,如果需要對數
據進行安全加密可以同ipsec協議進行配合。
14l2tp客戶端功能
l2tp tunnel
vt:192.168.0.1
vt:192.168.0.2
internet
host
client
laclns
pub:1.1.1.1
pub:1.1.1.2
home lan
●我司擴充套件了標準的l2tp功能,支援lac客戶端功能,不僅
可以為ppp或pppoe使用者提供接入,而且也可以為其他連線
方式的使用者提供接入,例如乙太網接入。並且可以適用動態
路由協議如ospf進行路由選路,增強了可擴充套件性。
15l2tp中的nat問題
pub:202.38.1.1
pub:202.38.1.2
internet
host
client
lacnat
l2tp over ipsec pri:1.1.1.1
lnspri:1.1.1.2 home lan
●lac在同位於nat之後的lns建立連線時可能會出現問題
16l2tp多例項
10.1.1.*
vpn 1總部
client
l2tp tunnel
10.1.2.*
vpn 1
host
internet
10.1.1.*
vpn 2
vpn 2總部
client
lns10.1.2.*
host
●l2tp協議上加入多例項技術,讓l2tp支援在一台裝置將
不同的使用者劃分在不同的vpn,各個vpn之內的資料可以
互通,且在lns兩個不同vpn之間的資料不能互相訪問,
即使l2tp接入是同乙個裝置。
17目錄
vpn網路設計原則
l2tp vpn網路設計
ipsec vpn網路設計
gre vpn網路設計
站點到站點ipsec vpn的拓撲設計
ipsec vpn網路拓撲結構選擇
●全網狀連線
●部分網狀連線
●星形連線
●分層的星形連線
19移動辦公使用者ipsec vpn接入
病毒蠕蟲黑
客入侵核心
機構ipsec tunnel
移動辦公使用者接入ipsec vpn的考慮
●膝上型電腦軟體防火牆,防病毒軟體的安裝
●硬體防火牆同vpn閘道器相互配合
●使用防火牆和vpn閘道器功能相互融合的裝置
20ipsec vpn中的internet通訊
vpn流量和上網流量都需要由總部統一進行**
只有vpn流量由總部進行**
集中式分布式
●遠端vpn站點可以通過兩種方式訪問internet
→集中式:訪問internet的流量統一由總部的vpn節點進
行**→分布式:訪問internet的流量由本地的vpn節點進行**21
站點到站點ipsec vpn中的ip位址設計
10.1.2.0/24
10.2.3.0/24
site1
site2
site n
10.1.0.0/24 ……
●在進行vpn網路ip位址設計規劃時建議盡量為個
分支站點分配連續的ip位址段,同時總部的ip地
址盡量分配為同遠端站點同一主網的不同子網或
不同主網但可彙總的不同子網
22ipsec vpn中的nat穿越
nat●由於nat自身設計的原因,同ipsec協議無法很好的相容,
因此普通的ipsec是無法穿越nat的,通過對ipsec和ike協
議的改進,可以使用ipsec nat穿越功能完美的解決這個問
題。23
ipsec vpn網路的高可用性設計
主用備用
gre over ipsec配合動態路由協議
ike keepalive或dpd
建立新的sa安全聯盟
vrrp
主用備用
ike keepalive或dpd同vrrp配合
24ipsec vpn設計中的mtu問題
pmtu 1500
pmtu 1400
●當vpn資料通過的網路路徑中具有不同的路徑mtu要
求時,我們需要將裝置的mtu設定為所有經過的路徑
mtu中較小的那個值,避免某些情況下資料分片造成
的不良影響。
25目錄
vpn網路設計原則
l2tp vpn網路設計
ipsec vpn網路設計
gre vpn網路設計
gre vpn設計
ipxip
gre tunnel
internet
ipxip
● ipsec僅能夠為ip單播資料流提供vpn封裝的能力,gre
不僅可以為ip單播提供vpn封裝而且可以為多種非ip的協
議或ip協議的組播或廣播資料報文進行vpn封裝。
● gre可以靈活的支援動態路由協議,可以作為其他vpn技
術的重要補充,實現更加靈活的功能。
27本章總結
l2tp vpn網路設計
ipsec vpn網路設計
gre vpn網路設計
杭州華三通訊技術****1
vpn課程之五VPN解決方案
intranetvpn結構圖 intranetvpn對使用者的吸引力在於 減少wan頻寬的費用 能使用靈活的拓撲結構,包括全網路連線 新的站點能更快 更容易地被連線 通過裝置 商wan的連線冗餘,可以延長網路的可用時間。如果企業的內部人員移動或有遠端辦公需要,或者商家要提供b2c的安全訪問服務,就可...
XX學院校園網VPN規劃與實現 畢業設計任務書 王瑾
畢業設計任務書 專業 計算機網路技術班級學生簽名 一 設計題目 xx學院校園網vpn規劃與實現 二 設計內容要求和技術引數 1 vpn的概念及工作原理 2 對網路建設需求進行分析 學校內部採用專線和adsl接入方式,採用動態主機分配協議dhcp分配ip,建立了vpn鏈路,實現了資料資源安全共享,內部...
VPN方案 管理系統
集團vpn互聯解決方案 一 建設vpn目的 1.文件系統建成後為了安全性考慮,建立四地vpn網路,外面公網不能訪問公司伺服器。也對安全性提出要求 2.四地公司通過vpn來實現訪問各地資源 內網互通。3.今後的系統線路安全性都需要vpn支援。二 vpn和專線的區別 三 現狀 1 目前文件系統伺服器放置...