VPN虚拟专用网络的概念-VPN设计规划

E0/0
E1/0
Tunnel1
虽然存在备份隧道，但是由于使用静态 路由，备份隧道始终空闲！
UP Tunnel0 RTB
E1/0
UP
E0/0
服务器
E1/0 RTC
Tunnel0
E0/0
服务器
站点B
15
Tunnel接口Keepalive
Keepalive 报文
站点A
DOWN
Tunnel0
RTA UP
E0/0
7
入侵检测和网络接入控制
▪ 网络入侵检测系统需要同VPN设备进行配合，通过分析源自或送至VPN设备 的信息流，避免通过VPN连接使内部网络受到攻击。
▪ 一般来讲VPN接入的用户可以访问内部网络中大部分资源，可以考虑对VPN 接入用户进行分级和控制，确保内部网络的运行安全。
8
QoS考虑
▪ 构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据 提供可靠的带宽。VPN网络中的QOS需要考虑如下问题：
防火墙
HOST
LNS
LNS
防火墙
HOST
防火墙
防火墙
HOST
LNS 21
用IPSec保护L2TP
Client
L2TP OVER IPSEC
Internet HOST
LAC
LNS
Home LAN
L2TP隧道 IPSec隧道
22
L2TP+IPSec穿越NAT
▪ LAC在同位于NAT之后的LNS建立连接时可能会出现问题
VPN设计规划
前言
▪ 随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来。组织越 来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性。虚 拟专用网络(VPN)应运而生。虚拟专用网络(VPN)是指建立在公共网络（如Internet）上 的专用网络，顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线 。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
QOS需要在数据通过的整个路径包含的各个设备上进行部署 VPN隧道技术对原始数据进行了再次封装，QOS策略中的特征值需要进行额外映射 QOS中的流分类动作必须在数据进行VPN封装前完成
9
扩展性
▪ VPN的布署需要对日益增多的业务、客户和合作伙伴作出迅捷的反应
硬件升级和软件更新 服务质量保证 安全策略维护 扩大网络规模 迁移到新的技术或者新的版本
6
百度文库
用户识别与设备验证
SecurID
数字证书
用户识别
SecKey
认证服务器 设备验证
VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户 的非法访问。这一点对于Access VPN和Extranet VPN具有尤为重要的意 义。建立VPN连接的设备之间进行验证可以确保VPN隧道的安全可靠。
E1/0
Tunnel1
RTA收不到RTB的Keepalive报文， Tunnel0接口down
Tunnel0 RTB
E1/0
E0/0
服务器
E1/0 RTC
Tunnel0
E0/0
服务器
站点B
16
在Tunnel接口运行动态路由
OSPF
Tunnel0
IP私网
站点A
E0/0
S1/0
RTA
IP公网
Tunnel0
IP私网
S1/0
E0/0
RTB
站点B
利用动态路由的选路功能实现路由备份
17
L2TP拓扑的选择
▪ 独立LAC方式
ISP提供LAC设备 可由LAC设备提供附加的用户控制和管理 可以统一PPP和PPPoE用户的接入 不依赖IP接入点
▪ 客户LAC方式
需要直接的Internet接入点 不依赖额外的LAC设备，灵活性强 企业可以依托Internet直接构建VPN
18
L2TP的验证
▪ 三次验证可以提高更好的安全性
Client
L2TP TUNNEL
Internet HOST
LAC
LNS
Home LAN
呼叫接入PPP验证
隧道验证
LNS再次对用户验证
19
L2TP客户端
Client
L2TP TUNNEL
VT:192.168.0.1
VT:192.168.0.2
Internet HOST
▪ MTU
分段或丢弃
12
GRE VPN拓扑设计
全网状连接
部分网状连接
星形连接
树形连接
双星连接
13
GRE路由规划
载荷网路由AS
Tunnel0
IP私网
站点A
E0/0
S1/0
RTA
IP公网
Tunnel0
IP私网
S1/0
E0/0
RTB
站点B
承载网路由AS
14
静态路由的弊端
站点A
UP
Tunnel0
RTA UP
4
隧道与加密
总部网络中心
应用和业务服务器 AAA服务器
secpoint
出差员工 分支机构 合作伙伴
L2TP 隧 道 协 议 最 适 合 移动用户的VPN接入
GRE隧道协议最适合站 点到站点的VPN接入， 支持动态路由协议
IPSEC提供数据加密和 数据完整性
5
数据验证
IPSEC
IPSEC协议提供特定的通信双方之间在IP层通过 加密与数据源验证，以保证数据包在Internet网 上传输时的私有性、完整性和真实性。用在VPN 上IPSEC协议族与其他隧道协议相配合完成VPN 数据报文的加密和验证。
PUB:202.38.1.1 PUB:202.38.1.2
Internet HOST
LAC
PUB:1.1.1.1
LNS
PUB:1.1.1.2 Home LAN
我司扩展了标准的L2TP功能，支持LAC客户端功能 不仅可以为PPP或PPPOE用户提供接入，而且也可
以为其他连接方式的用户提供接入 可以适用动态路由协议如OSPF进行路由选路，增
强了可扩展性。
20
LNS与防火墙的相对位置
10
经济性和可靠性
▪ 经济性
当前投资和使用费用 长期的管理、维护、迁移、扩展
▪ 可靠性
VPN构建于公用网之上，其受控性大大降低 可采用多点接入、多ISP、与运营商签署SLA协议等手段 基础设备冗余
11
隧道效率和MTU
▪ VPN多采用隧道、封装技术 ▪ 数据包尺寸增大 ▪ 隧道效率
带宽的有效利用率下降，延迟增加
▪ 通过本课件，你可以了解VPN的设计规划，包括VPN设计的考虑因素、GRE VPN设计、 L2TP VPN设计、IPSec VPN设计等。
2
VPN设计规划
▪ VPN设计的考虑因素 ▪ GRE VPN设计 ▪ L2TP VPN设计 ▪ IPSec VPN设计
3
VPN设计的安全性原则
▪ 隧道与加密 ▪ 数据验证 ▪ 用户识别与设备验证 ▪ 入侵检测，网络接入控制