对于规模较大的企业来说,网络访问需求不仅仅局限于公司总部网络内,分公司、办事处、出差员工、合作单位等也需要访问公司总部的网络资源,可以采用VPN(Virtual Private Network,虚拟专用网络)技术来实现这一需求。
在VPN出现之前,企业分支之间的数据传输只能依靠现有物理网络(例如Internet)。由于Internet中存在多种不安全因素,报文容易被网络中的黑客窃取或篡改,最终造成数据泄密、重要数据被破坏等后果。
所以除了通过Internet,还可以通过搭建一条物理专网连接保证数据的安全传输,但其费用会非常昂贵,且专网的搭建和维护十分困难。
VPN可以在不改变现有网络结构的情况下,建立虚拟专用连接。因其具有廉价、专用和虚拟等多种优势,在现网中应用非常广泛。 VPN是一类技术的统称,不同的VPN技术拥有不同的特性和实现方式,常见的VPN技术包括IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等。
通过VPN技术在公用网络上构建的虚拟专用网络。而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。VPN用户在此虚拟网络中传输私网流量,在不改变网络现状的情况下实现安全、可靠的连接。
根据组网方式不同
远程访问VPN(Remote Access VPN)
适用于出差员工VPN拨号接入的场景,员工可在任何能接入Internet的地方,通过VPN接入企业内网资源。常见的有L2TP VPN、SSL VPN等。
局域网到局域网的VPN(Site-to-site VPN)
适用于公司两个异地机构的局域网互连。常见的有MPLS VPN、IPSec VPN等。
根据实现的网络层次
VPN技术的基本原理是利用隧道(Tunnel)技术,对传输报文进行封装,利用VPN骨干网建立专用数据传输通道,实现报文的安全传输。 位于隧道两端的VPN网关,通过对原始报文的“封装”和“解封装”,建立一个点到点的虚拟通信隧道。
身份认证、数据加密和认证技术可以有效保证VPN网络与数据的安全性:
身份认证:可用于部署了远程接入VPN的场景,VPN网关对用户的身份进行认证,保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证。
数据加密:将明文通过加密变成密文,使得数据即使被黑客截获,黑客也无法获取其中的信息。
数据验证:通过数据验证技术对报文的完整性和真伪进行检查,丢弃被伪造和被篡改的报文。
通用路由封装协议(General Routing Encapsulation,GRE)是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、IPv4、IPv6等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。
GRE构成要素分为3个部分:乘客协议、封装协议和运输协议。
乘客协议是指用户在传输数据时所使用的原始网络协议。
封装协议的作用就是用来“包装”乘客协议对应的报文,使原始报文能够在新的网络中传输。
运输协议是指被封装以后的报文在新网络中传输时所使用的网络协议。
随着经济全球化与数字化变革加速,企业规模不断扩大,越来越多的分支机构出现在不同的地域。每个分支的网络被认为一个LAN(Local Area Network,局域网),总部和各分支机构之间通信需要跨越地理位置。因此,企业需要通过WAN(Wide Area Network,广域网)将这些分散在不同地理位置的分支机构连接起来,以便更好地开展业务。
广域网技术的发展,伴随着带宽不断的升级:早期出现的X.25只能提供64 kbit/s的带宽,其后DDN(Digital Data Network,数字数据网)和FR(Frame Relay,帧中继)提供的带宽提高到2 Mbit/s,SDH(Synchronous Digital Hierachy,同步数字结构)和ATM(Asynchronous Transfer Mode,异步传输模式)进一步把带宽提升到10 Gbit/s,最后发展到当前以IP为基础的10 Gbit/s甚至更高带宽的广域网络。
广域网是连接不同地区局域网的网络,通常所覆盖的范围从几十公里到几千公里。它能连接多个地区、城市和国家,或横跨几个洲提供远距离通信,形成国际性的远程网络。
广域网络设备基本角色有三种,CE(Customer Edge,用户边缘设备) 、PE (Provider Edge,服务提供商边缘设备) 和P(Provider ,服务提供商设备) 。具体定义是:
CE:用户端连接服务提供商的边缘设备。CE连接一个或多个PE,实现用户接入。
PE:服务提供商连接CE的边缘设备。PE同时连接CE和P设备,是重要的网络节点。
P:服务提供商不连接任何CE的设备。
PPP(Point-to-Point Protocol,点到点协议)是一种常见的广域网数据链路层协议,主要用于在全双工的链路上进行点到点的数据传输封装。
PPP提供了安全认证协议族PAP(Password Authentication Protocol,密码验证协议)和CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)。
PPP协议具有良好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。
PPP协议提供LCP(Link Control Protocol,链路控制协议),用于各种链路层参数的协商,例如最大接收单元,认证模式等。
PPP协议提供各种NCP(Network Control Protocol,网络控制协议),如IPCP(IP Control Protocol ,IP控制协议),用于各网络层参数的协商,更好地支持了网络层协议。
PPP链路的建立有三个阶段的协商过程,链路层协商、认证协商(可选)和网络层协商。
链路层协商:通过LCP报文进行链路参数协商,建立链路层连接。
认证协商(可选):通过链路建立阶段协商的认证方式进行链路认证。
网络层协商 :通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。
PPP报文可由Protocol字段标识不同类型的PPP报文。
LCP协商过程 - 正常协商
LCP协商由不同的LCP报文交互完成。协商由任意一方发送Configure-Request报文发起。如果对端接收此报文且参数匹配,则通过回复Configure-Ack响应协商成功。
LCP协商过程 - 参数不匹配
LCP协商过程 - 参数不识别
链路协商成功后,进行认证协商(此过程可选)。认证协商有两种模式,PAP和CHAP。 PAP认证双方有两次握手。协商报文以明文的形式在链路上传输。
CHAP认证双方有三次握手。协商报文被加密后再在链路上传输。
PPP认证协商后,双方进入NCP协商阶段,协商在数据链路上所传输的数据包的格式与类型。以常见的IPCP协议为例,它分为静态IP地址协商和动态IP地址协商。 静态IP地址协商需要手动在链路两端配置IP地址。
动态IP地址协商支持PPP链路一端为对端配置IP地址。
PPPoE(PPP over Ethernet,以太网承载PPP协议)是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。
PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势,又可以利用PPP协议实现认证、计费等功能。
相关配置命令如下:
[Huawei-Serial0/0/0] link-protocol ppp //配置接口封装PPP协议 [Huawei-Serial0/0/0] ppp timer negotiate seconds //配置协商超时时间间隔
[Huawei-aaa] local-user user-name password { cipher | irreversible-cipher } password [Huawei-aaa] local-user user-name service-type ppp [Huawei-Serial0/0/0] ppp authentication-mode pap //配置验证方以PAP方式认证对端,首先需要通过AAA将被验证方的用户名和密码加入本地用户列表, 然后选择认证模式。 [Huawei-Serial0/0/0] ppp pap local-user user-name password { cipher | simple } password //配置本地被对端以PAP方式验证时,本地发送PAP用户名和口令。
[Huawei-aaa] local-user user-name password { cipher | irreversible-cipher } password [Huawei-aaa] local-user user-name service-type ppp [Huawei-Serial0/0/0] ppp authentication-mode chap //配置验证方以CHAP方式认证对端 [Huawei-Serial0/0/0] ppp chap user user-name [Huawei-Serial0/0/0] ppp chap password { cipher | simple } password //配置被验证方以CHAP方式被对端认证 //配置本地用户名,配置本地被对端以CHAP方式验证时的口令。