1、IPSec VPN解决方案 华为3com技术有限公司目录1. 概述31.1VPN定义31.2VPN的类型41.3VPN的优点51.4隧道技术51.5加密技术81.6身份认证技术92. 建设方案112.1基本建设思路112.2组网方案112.3可靠性方案173. IPSec VPN管理系统213.1轻松部署安全网络213.2直观展示VPN拓扑223.3全方位监控网络性能223.4快速定位网络故障243.5BIMS分支智能管理系统24附件:iNode客户端软件介绍261. 概述随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方
2、面也越来越凸现传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。1.1 VPN定义利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和
3、可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图1所示。图1 VPN应用示意图由图可知,企业内部资源享用者只需连入本地ISP的POP(Point Of Presence,接入服务提供点),即可相互通信;而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源; 如果接入服务器
4、的用户身份认证服务器支持漫游的话,甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。1.2 VPN的类型VPN分为三种类型:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。2.4.1 Access VPN随着当前移动办公的日益增多,远程用户需要及时地
5、访问Intranet和Extranet。对于出差流动员工、远程办公人员和远程小办公室,Access VPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在Access VPN的应用中,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据。Access VPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。用户发起的VPN连接指的是以下这种情况:首先,远程用户通过服务提供点(POP)拨入Internet,接着,用户通过网络隧道协议与企业
6、网建立一条的隧道(可加密)连接从而访问企业网内部资源。在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。在接入服务器发起的VPN连接应用中,用户通过本地号码或免费号码拨入ISP,然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下,所建立的VPN连接对远端用户是透明的,构建VPN所需的协议及软件均由ISP负责管理和维护。2.4.2 Intranet VPNIntranet VPN通过公用网络进行企业各个分布点互联,是传统的专线网或其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这
7、种VPN连接的隧道技术有IPSec、GRE等。结合服务商提供的QoS机制,可以有效而且可靠地使用网络资源,保证了网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量,但其不足是互联区域有较大的局限性。而另一方面,基于Internet构建VPN是最为经济的方式,但服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。1.2.3 Extranet VPNExtranet VPN是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构建方式下,Extranet通过专线互联实现,网络管理与访问控制需要维护,甚至还需要在Extranet的用户侧
8、安装兼容的网络设备;虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,而同样降低不了复杂度。 因合作伙伴与客户的分布广泛,这样的Extranet建设与维护是非常昂贵的。 因此,诸多的企业常常是放弃构建Extranet,结果使得企业间的商业交易程序复杂化,商业效率被迫降低。Extranet VPN以其易于构建与管理为解决以上问题提供了有效的手段,其实现技术与Access VPN和Intranet VPN相同。Extranet用户对于Extranet VPN的访问权限可以通过防火墙等手段来设置与管理。1.3 VPN的优点利用公用网络构建VPN是个新型的网络概
9、念,对于企业而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道,局域网互联费用可降低2040,而远程接入费用更可减少6080,这无疑是非常有吸引力的;VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。1.4 隧道技术对于构建VPN来说,网络隧道(Tunneling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这
10、种功能。网络隧道技术涉及了三种网络协议,网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。现有两种类型的隧道协议:一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建Access VPN和Extranet VPN;另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建Intranet VPN和Extranet VPN。2.4.1 二层隧道协议二层隧道协议主要有三种:PPTP(Point to Point Tunneling Protocol,点对点隧道协议)、L2F(Layer 2 Forwarding,二层转发协议)和L2TP(Layer 2 Tunneling
11、Protocol,二层隧道协议)。其中L2TP结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持,将是使用最广泛的VPN二层隧道协议。应用L2TP构建的典型VPN服务的结构如下图所示:典型拨号VPN业务示意图2.4.2 三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术,早已出现的RFC 1701 Generic Routing Encapsulation(GRE)协议就是一个三层隧道协议,此外还有IETF的IPSec协议。GRE与IP in IP、IPX over IP等封装形式很相似,但比他们更通用。在GRE的处理中,很多协议
12、的细微差异都被忽略,这使得GRE不限于某个特定的“X over Y”应用,而是一种最基本的封装形式。在最简单的情况下,路由器接收到一个需要封装和路由的原始数据报文(Payload),这个报文首先被GRE封装而成GRE报文,接着被封装在IP协议中,然后完全由IP 层负责此报文的转发。 原始报文的协议被称之为乘客协议,GRE被称之为封装协议,而负责转发的IP 协议被称之为传递(Delivery)协议或传输(Transport)协议。注意到在以上的流程中不用关心乘客协议的具体格式或内容。整个被封装的报文具有下图所示格式:通过GRE传输报文形式IPSecIPSec(IP Security)是一组开放协
13、议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH (Authentication Header)和ESP (Encapsulating Security Payload)这两个安全协议来实现。而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。IPSec提供以下几种网络安全服务: 私有性 IPSec在传输数据包之前将其加密.以保证数据的私有性; 完整性 IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改; 真实
14、性 IPSec端要验证所有受IPSec保护的数据包; 防重放 IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。IPSec在两个端点之间通过建立安全联盟(Security Association)进行数据传输。安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。IPSec在转发加密数据时产生新的AH和/或ESP附加报头,用于保证IP数据包的安全性。IPSec有隧道和传输两种工作方式。在隧道方式中,用户的整个IP数据包被用来计算附加报头,且被加密,附加报头和加密用户数据被封装在一个新的IP数据包中;在传输方式中,只是传输层(
15、如TCP、UDP、ICMP)数据被用来计算附加报头,附加报头和被加密的传输层数据被放置在原IP报头后面。AH报头用以保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。考虑到计算效率,AH没有采用数字签名,而是采用了安全哈希算法来对数据包进行保护。AH没有对用户数据进行加密。AH在IP包中的位置如图5所示(隧道方式):图5 AH处理示意图ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP可以保证数据的完整性、真实性和私有性。ESP头在IP包中的位置如下(隧道方式):图6 ESP处理示意图AH和ESP可以单独使用,也可以同时使用。使用IPSec,数据就可以在公网上
16、安全传输,而不必担心数据被监视、修改或伪造。IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。在两个端点之间可以建立多个安全联盟,并结合访问控制列表(access-list), IPSec可以对不同的数据流实施不同的保护策略,达到不同的保护效果。安全联盟是有方向性的(单向)。通常在两个端点之间存在四个安全联盟,每个端点两个,一个用于数据发送,一个用于数据接收。IPSec的安全联盟可以通过手工配置的方式建立,但是当网络中结点增多时,手工配置将非常困难,而且难以保证安全性。这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程。1.5 加密技术Internet密钥交换
17、协议(IKE)用于通信双方协商和建立安全联盟,交换密钥。IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,通信双方最终计算出共享的密钥。其中的核心技术就是DH(Diffie Hellman)交换技术。DH交换基于公开的信息计算私有信息,数学上已经证明,破解DH交换的计算复杂度非常高从而是不可实现的。 所以,DH交换技术可以保证双方能够安全地获得公有信息,即使第三方截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。在身份验证方面,IKE提供了共享验证字(Pre-shared K
18、ey)、公钥加密验证、数字签名验证等验证方法。后两种方法通过对CA(Certificate Authority)中心的支持来实现。IKE密钥交换分为两个阶段,其中阶段1建立ISAKMP SA,有主模式(Main Mode)和激进模式(Aggressive Mode)两种;阶段2在阶段1 ISAKMP SA的保护下建立IPSec SA,称之为快速模式(Quick Mode)。IPSec SA用于最终的IP数据安全传送。另外,IKE还包含有传送信息的信息交换(Informational Exchange)和建立新DH组的组交换(DH Group Exchange)。1.6 身份认证技术IPSec隧
19、道建立的前提是双方的身份的得到了认证,这就是所谓的身份验证。身份验证确认通信双方的身份。目前有两种方式:一种是域共享密钥(pre-shared key)验证方法,验证字用来作为一个输入产生密钥,验证字不同是不可能在双方产生相同的密钥的。验证字是验证双方身份的关键。这种认证方式的优点是简单,但有一个严重的缺点就是验证字作为明文字符串,很容易泄漏。另一种是PKI(rsa-signature)验证方法。这种方法通过数字证书对身份进行认证,安全级别很高,是目前最先进的身份认证方式。公钥基础设施(Public Key Infrastructure,简称PKI)是通过使用公开密钥技术和数字证书来确保系统信
20、息安全并负责验证数字证书持有者身份的一种体系,它是一套软硬件系统和安全策略的集合,提供了一整套安全机制。PKI采用证书进行公钥管理,通过第三方的可信任机构,把用户的公钥和用户的其他标识信息捆绑在一起,以在网上验证用户的身份。PKI为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。一个PKI系统由公开密钥密码技术、证书认证机构、注册机构、数字证书和相应的PKI存储库共同组成。PKI
21、组成框图其中,认证机构用于签发并管理证书;注册机构用于个人身份审核、证书废除列表管理等;PKI存储库用于对证书和日志等信息进行存储和管理,并提供一定的查询功能;数字证书是PKI应用信任的基础,是PKI系统的安全凭据。数字证书又称为公共密钥证书PKC(Public Key Certificate),是基于公共密钥技术发展起来的一种主要用于验证的技术,它是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,可作为各类实体在网上进行信息交流及商务活动的身份证明。证书是有生命期的,在证书生成时指定,认证中心也可以在证书的有效期到来前吊销证书,结束证书的生命期。2. 建设方案2.1 基
22、本建设思路在VPN接入网的建设过程中,需要从以下几个方面来考虑: 设备选型,需要重点关心设备的VPN加密性能和转发性能 支持客户端各种接入手段及动态IP地址;企业总部采用固定IP地址,分支机构可以选择ADSL或者FE专线接入Internet。 网络拓扑类型以Hub-Spoke为主,Partial-Mash方式下客户端互访流量通过Server转发,此时流量不超过20,否则会加重Server负担,这种情况下,路由的设计是重点关注的问题。 IP SEC提供在IP层的加密认证等安全服务。 IKE协商可以采用预共享密钥的方式,也可以采用CA认证的方式进行。 在企业总部每2台VPN Server 互为备份
23、组作为VPN接入服务器, 如果用户增加,可以通过增加服务器备份组的方法接入更多用户。 网络的部署监控配置维护采用VPN MANAGER和BIMS配合进行2.2 组网方案VPN接入网关子系统部署:在总部局域网Internet边界防火墙后面配置一台专用的高性能的VPN网关,在分支机构Internet边界防火墙后面配置一台专用VPN网关,由此两端的VPN网关建立IPSec VPN隧道,进行数据封装、加密和传输。VPN客户端设备可以采用静态或动态申请的IP地址和总部网关建立VPN链接。根据其业务的需求,有必要的话,可以在分支节点用设备进行冷备份。H3C secpath系列VPN网关强大的VPN处理性能
24、,高端专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下350Mbps以上的加密吞吐量,百兆VPN网关通过专业的硬件加密处理器可以提供标准加密算法下60Mbps以上的加密吞吐量;VPN Server企业网络OA应用服务器CAMS/Radius VPN ManagerMail服务器分支结构局域网VPN Client分支结构局域网VPN Client分支结构局域网VPN ClientADSLLANADSL2.4.1 IPSec VPN方式组网特点: VPN客户端设备相对来说比较简单。部署要点 VPN客户端可以使用动态地址接入服务器,但为了防止客户端IPSec配置泄露造成的安全隐患,建议V
25、PN客户端口采用静态地址。同时,这样也便于使用VPN Manager的配置管理功能。方案特点 组网简单,易于部署; 由于IPSec不能承载路由协议,需要在分支结构和园区网配置大量的静态路由。 单纯的IPSec封装,对于带宽资源消耗较小;2.4.2 IPSec over GRE VPN方式组网特点: 部分业务流量需要IPSec保护,另一部分业务流量不需要IPSec保护,仅需要GRE隧道完成VPN功能。 VPN内部需要建立统一的OSPF路由域。部署要点 两端的VPN网关的之间建立GRE隧道,然后将IPSec策略应用到GRE隧道接口上从而建立IPSec隧道,进行数据封装、加密和传输; 在GRE隧道接
26、口上使能OSPF;方案特点 GRE可以承载多种协议,扩展性强。 IPSec只适用于IP协议,所以对于企业网内非IP协议,不能使用。 IPSec是基于策略的,GRE是基于路由的。如果企业网内部分流量需要IPSec保护,而另一部分不需要。建议使用IPSec over GRE的方式。 不需要配置大量的静态路由,配置简单。 GRE还支持由用户选择记录Tunnel接口的识别关键字,和对封装的报文进行端到端校验; GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响,这就导致使用GRE会造成路由器一定的负担;2.4.3 GRE over IPSec VPN方式组网特点: VPN内部需要
27、建立统一的OSPF路由域。 VPN内部可以支持MPLS、IPX等非IP协议的网络。部署要点 两端的VPN网关的Loopback接口之间建立GRE隧道,然后将IPSec策略应用到Wan接口上从而建立IPSec隧道,进行数据封装、加密和传输; 在GRE隧道接口上使能OSPF;方案特点 GRE的特点是可以承载多种协议,而IPSec只能承载IP协议。如果企业网内有IPX、MPLS等应用,建议可以先借用GRE承载非IP协议,然后才能使用IPSec保护GRE报文。 GRE是基于路由的,而IPSec是基于策略。如果需要在企业网内统一规划路由方案,GRE over IPSec的方式逻辑就比较清晰。因为IPSe
28、c的策略是针对GRE隧道的,而GRE隧道是基于路由的,所以整个VPN内的路由是统一的。 对业务流量,诸如路由协议、语音、视频等数据先进行GRE封装,然后再对封装后的报文进行IPSec的加密处理。 不必配置大量的静态路由,配置简单。 GRE还支持由用户选择记录Tunnel接口的识别关键字,和对封装的报文进行端到端校验; GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响,这就导致使用GRE会造成路由器数据转发效率有一定程度的下降;2.4.4 L2TP over IPSec VPN方式组网特点: IPSec隧道保护RouterA和RouterB之间的公网链路。 对于分支设备的
29、安全要求较高,在IPSec认证之外,还需要对分支设备进行L2TP的认证。 通常情况下,L2TP的客户端是拨号连接到LAC的用户主机。此时用户与LAC的连接总是PPP连接。如果使用LAC同时作为客户端,那么用户与LAC之间的连接就不受限于PPP连接,而只要是一个IP连接就可以了,这样LAC能够将用户的IP报文转发到LNS。使用LAC同时作为客户端,是在LAC上建立一个虚拟的PPP用户,该用户与LNS保持一个常连接。其它所有实际用户的IP报文都是通过此虚拟用户转发给LNS的;部署方式 在LAC创建VT模拟用户,配置地址、验证方式、用户名、密码等信息; 分支设备的用户端不能由LNS分配地址,必须由用
30、户手工配置地址,而且需要保证与LNS的VT地址在同一网段,否则OSPF路由不同互通。 如果没有部署OSPF等动态路由协议,必须在LAC上需要配置一条静态路由,将VPN内的流量指向VT接口。方案特点 中心网关可以对分支设备进行认证和计费,提高系统安全性。L2TP收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的影响,这就导致使用L2TP会造成路由器数据转发效率有一定程度的下降;2.4.5 移动用户IPSec VPN接入方式组网特点 移动用户灵活接入,安全认证、数据保护。部署要点 通过客户端软件iNode多链路形式接入企业内部VPN 使用L2TP+IPSEC完成用户身份认证和报文加密
31、认证方式可以采用Sec key IKE协商使用预共享密钥的方式进行 对于L2TP用户认证计费采用远端Radius(CAMS)进行 VPN服务器侧可以考虑使用单台设备,也可以考虑使用双VPN服务器备份方案特点 灵活、安全2.4.6 动态VPN(DVPN)接入方式DVPN采用了Client和Server的方式,Client设备(DVPN应用中,作为Client接入DVPN域的设备)需要在DVPN Server设备(DVPN应用中,作为Server接入DVPN域的设备)进行注册。DVPN域中一台DVPN接入设备作为Server,其他的DVPN接入设备作为Client。Client在DVPN Serv
32、er注册成功后,会与其建立Session(会话隧道),通过Session完成Client的私有网络和DVPN Server的私有网络的互联,Client成功加入到一个DVPN域;Sever会保存所有登录到DVPN域中的Client信息。如果Client访问其他Client下面的私有网络,首先通过DVPN Server进行数据转发,完成网络的访问。DVPN Server进行数据转发时,如果Client之间可以建立Session,可以使用Redirect(重定向)报文把目的端信息发送给发起端。Client接收到Redirect报文,得到对端Client的信息,会在Client之间建立一条新的直连的
33、Session,后续Client之间的数据不需要通过DVPN Server进行转发,可以通过直连的Session进行数据通信。所以一台合法的Client设备只需要有DVPN Server设备的信息就能够加入到DVPN域,可以和域中其它的Client设备自动建立会话隧道,实现私有网络的直接互联,而不需要通过DVPN Server进行转发。DVPN实现了对所有的控制报文的安全保护,对通过公有网络传输的私密的注册协商报文和会话协商报文,都可以使用通用的加密算法(支持DES、3DES、AES算法)进行加密保护。对于需要DVPN进行转发的私有网络的数据报文,通过IPSec进行加密处理以后,再通过DVPN
34、进行转发,保证了所有的转发数据都通过IPSec进行保护处理。DVPN实现了身份认证功能,保证Client和DVPN Server的身份合法性。在Client向DVPN Server进行注册过程中,Client可以根据配置需要对DVPN Server的身份使用preshared-key进行验证,保证Client接入一个合法的DVPN Server;DVPN Server可以根据需要使用AAA对需要接入到DVPN域的Client进行身份验证,保证只有通过身份验证的Client才可以接入到DVPN域。DVPN对所有的转发数据报文采用IPSec进行保护处理,继承了所有的IPSec的功能特点,例如私密性
35、、合法性、防重放等。DVPN还实现了策略的统一管理和多域支持。对于整个DVPN域内的各种策略、以及数据使用的算法套件和超时重协商时间统一由Server进行管理,所有的DVPN设备使用相同的策略(会话的数据IPSec SA的密钥是在Session建立过程中进行协商,每个Session会产生单独的IPSec密钥)。为了提高设备的使用,DVPN允许在一台DVPN设备上支持多个VPN域。在一台DVPN设备上最多可以支持200个DVPN域的Server。大大提高了组网的灵活性,多个企业可以使用一台DVPN设备作为DVPN Server接入设备使用,可以更加充分的使用网络设备资源,减少了实际的设备投资。2
36、.3 可靠性方案H3C IPSec VPN高可靠性设计的核心理念就是增大网络冗余性的同时做到负载分担。衡量可靠性设计优劣的标准就是网络异常业务流量中断时间。图1 可靠性设计组网图2中,可靠性设计重点体现在VPN Server的双机备份、负载分担和异常快速切换3个方面。2.3.1 双机备份双机备份是通过VRRP实现的。VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如下图所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从
37、而实现了主机与外部网络的通信。当路由器RouterA坏掉时,本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信。局域网组网方案VRRP就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP的实现原理。VRRP将局域网的一组路由器(包括一个Master即活动路由器和若干个Backup即备份路由器)组织成一个虚拟路由器,称之为一个备份组。VRRP组网示意图这个虚拟的路由器拥有自己的IP地址10.100.10.1(这个IP地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP地址(如Master的IP地址为
38、10.100.10.2,Backup的IP地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1,而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master路由器坏掉,Backup路由器将会通过选举策略选出一个新的Master路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。2.3
39、.2 快速切换网络异常的情况有很多种。如果不考虑运营商的网络异常,VPN的异常主要有两大类:第一类是网关异常,包括网关瘫痪、重启等等;第二类是网关链路异常。在网络出现异常时,如何保证业务流量能够尽快恢复?网关快速切换,这一切换由VRRP实现。当主网关或其链路出现异常时,VRRP能够保证在34秒内完成主备网关的切换。而且为了保证网关切换后,网关内外的流量能同时切换到新的网关上,需要在网关内外都设置VRRP组,并将这一对VRRP组关联起来。一旦其中一个VRRP组发生切换,另一个方向的VRRP能发起同步切换。IPSec隧道快速切换,这一切换由IPSec DPD实现。IPSec DPD(IPSec D
40、ead Peer Detection on-demand)为按需型IPSec/IKE安全隧道对端状态探测功能。启动DPD功能后,当接收端长时间收不到对端的报文时,能够触发DPD查询,主动向对端发送请求报文,对IKE Peer是否存在进行检测。与IPSec中原有的周期性Keepalive功能相比,DPD具有产生数据流量小、检测及时、隧道恢复快的优点。IPSec DPD(IPSec Dead Peer Detection on-demand)为按需型IPSec/IKE安全隧道对端状态探测功能。启动DPD功能后,当接收端长时间收不到对端的报文时,能够触发DPD查询,主动向对端发送请求报文,对IKE
41、Peer是否存在进行检测。与IPSec中原有的周期性Keepalive功能相比,DPD具有产生数据流量小、检测及时、隧道恢复快的优点。在路由器与VRRP备份组的虚地址之间建立ISAKMP SA的应用方案中,DPD功能保证了VRRP备份组中主备切换时安全隧道能够迅速自动恢复。解决了VRRP备份组主备切换使安全隧道通信中断的问题,扩展了IPSec的应用范围,提高了IPSec协议的健壮性。数据结构DPD数据结构(简称为DPD结构)用于配置DPD查询参数,包括DPD查询时间间隔及等待DPD应答报文超时时间间隔。该数据结构可以被多个IKE Peer引用,这样用户不必针对接口一一进行重复配置。 定时器IP
42、Sec DPD在发送和接收DPD报文中使用了两个定时器:intervaltime和timeout。lintervaltime:触发DPD查询的间隔时间,该时间指明隔多久没有收到对端IPSec报文时触发DPD查询。ltimeout:等待DPD应答报文超时时间。运行机制发送端:当启动了DPD功能以后,如在intervaltime定时器指定的时间间隔内没有收到对端的IPSec报文,且本端欲向对端发送IPSec报文时,DPD向对端发送DPD请求,并等待应答报文。如果超过timeout定时器设定的超时时间仍然未收到正确的应答报文,DPD记录失败事件1次。当失败事件达到3次时,删除ISAKMP SA 和相
43、应的IPSec SA。对于路由器与VRRP备份组虚地址之间建立的IPSec SA,连续3次失败后,安全隧道同样会被删除,但是当有符合安全策略的报文重新触发安全联盟协商时,会重新建立起安全隧道。切换时间的长短与timeout定时器的设置有关,定时器设定的超时时间越短,通信中断时间越短(注意:超时时间过短会增加网络开销,一般情况下采用缺省值即可)。接收端:收到请求报文后,发送响应报文。3. IPSec VPN管理系统IPSec VPN的命令行配置非常复杂,需要大量的培训工作,同时日常的维护管理工作也极为繁重。IPSec VPN Manager的VSM和VDM模块主要应用于IPSec主模式,可以实现
44、VPN的简化配置,也可以有效的完成对网路的VPN状态的监控,提供图形化的管理界面,简化配置管理,同时便于实时监控VPN状态; 3.1 轻松部署安全网络 Quidview IPSec VPN软件提供配置向导功能,指导用户构建VPN网络,不必通过复杂的手工执行命令行来部署IPSec VPN网络,减轻了部署难度,也降低了维护成本,即使初次使用该软件的用户,也能根据配置向导,成功创建一个IPSec VPN网络。配置向导向用户提供了大量常用的缺省配置,帮助初级用户快速配置IPSec VPN业务。同时,提供了预定义配置参数功能,方便高级用户设置高级选项,重用配置信息。为了避免在设备上留下冗余的配置信息,软
45、件支持“清除”功能,能够在重新配置以及配置命令下发出现失败的情况下,清除设备上不需要的冗余的配置。为了减少配置操作,IPSec VPN网络配置以网络域为配置单位,对网络域的配置会自动赋予网络域内的全部设备,用户可一次性对网络域内所有设备进行相同配置部署。同时用户也可指定某个设备的特殊配置,方便用户操作。IPSec VPN Manager配置界面3.2 直观展示VPN拓扑Quidview IPSec VPN软件能够自动发现和构建VPN拓扑,用户在拓扑上可以直观查看VPN通道状态、通道流量情况、VPN设备的运行情况等。IPSec VPN Manager显示拓扑3.3 全方位监控网络性能基于Quid
46、view网络管理框架的性能管理模块,IPSec VPN软件提供了丰富的VPN设备的性能管理功能,可以对VPN网络中的各项重要性能指标进行监视,帮助用户全方位的监控VPN网络的运行状态。n 支持对IPSec VPN设备CPU利用率等关键指标的监视;n 支持对IPSec、IKE隧道的监视;n 支持对协商过程的监视;n 提供折线图、直方图、饼图等多种显示方式直观的把VPN性能数据显示给用户;n 支持TopN功能,使用户能够对关键设备指标一目了然;n 提供报表导出和基于历史数据的分析,为用户网络扩容、及早发现网络隐患提供保障;n 支持对用户关心的性能参数设定阈值,当超过阈值后,系统将会发送性能告警,使
47、网络管理人员及时发现和消除网络中的隐患。IPSec VPN Manager监控网络3.4 快速定位网络故障利用Quidview IPSec VPN软件的故障管理模块可以实时接收IPSec VPN设备的告警,并利用该模块提供的丰富的过滤功能定位关键的告警数据。可以查询VPN链路的通断历史,诊断VPN链路的稳定性。故障管理模块能够与Quidview IPSec VPN其他组件密切配合,帮助用户快速定位网络故障。当Quidview IPSec VPN性能监视模块进行VPN设备阈值监控时,如果发现阈值超过指标会向故障模块发送告警,故障模块会迅速做出反应,以声光告警、Email、短信等方式及时通知到管理人员。同时,VPN拓扑图将立刻刷新以反映最新的网络状态。图2 IPSec VPN Manager定位故障3.5 BIMS分支智能管理系统BIMS(QuidView组件)分支智能管理系统实现从网络管理中心来集中对网络设备的管理,如配置文件下发、设备软件升级等。传统网管主要通过SNMP、Telnet等协议来实现对网络设备的管理,这要求网管侧知道被管设备的IP地址,并且可以主动向设备发起请求并建立连接。如果设备的IP地址不固定,就增加了主动管理的