收藏
下载资源 加入VIP免费专享

07-VPN操作(NE40).docx

上传人:苏美尔 文档编号:6197706 上传时间:2020-09-22 格式:DOCX 页数:17 大小:435.89KB
返回 下载 相关 举报
07-VPN操作(NE40).docx_第1页
第1页 / 共17页
07-VPN操作(NE40).docx_第2页
第2页 / 共17页
07-VPN操作(NE40).docx_第3页
第3页 / 共17页
07-VPN操作(NE40).docx_第4页
第4页 / 共17页
07-VPN操作(NE40).docx_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《07-VPN操作(NE40).docx》由会员分享,可在线阅读,更多相关《07-VPN操作(NE40).docx(17页珍藏版)》请在三一文库上搜索。

1、.目录第 1章 VPN 概述 .1-11.1VPN 简介 .1-11.2VPN 的基本技术 .1-21.3VPN 的分类 .1-4第 2章 GRE 协议配置 .2-12.1 GRE 协议简介 .2-12.2 GRE 配置 .2-42.2.1创建虚拟 Tunnel 接口 .2-42.2.2设置 Tunnel 接口报文的封装模式 .2-52.2.3指定 Tunnel 的源端 .2-52.2.4指定 Tunnel 的目的端 .2-62.2.5设置 Tunnel 接口的网络地址 .2-62.2.6设置 Tunnel 两端进行端到端校验 .2-72.2.7设置 Tunnel 接口的识别关键字 .2-72

2、.2.8配置通过 Tunnel 的路由 .2-82.3 GRE 显示和调试 .2-82.4 GRE 典型配置举例 .2-92.5 GRE 故障诊断与排除 .2-11.第 1章 VPN 概述1.1 VPN 简介虚拟私有网简称 VPN ( Virtual Private Network ),是近年来随着Internet 的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。伴随企业和公司的不断扩张,员工出差日趋频繁,驻外机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、

3、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。1. VPN 的特点VPN 有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。VPN 只为特定的企业或用户群体所专用。从VPN 用户角度看来,使用VPN 与传统专网没有区别。 VPN 作为私有专网,一方面与底层承载网络之间保持资源独立性, 即在一般情况下, VPN 资源不会被承载网络中的其它 VPN 或非该 VPN 用户的网络成员所使用; 另一方面, VPN 提供足够安全性,确保 VPN 内部信息不受外部的侵扰。VPN 不是一种简单的高层业务。该业务建立专网用户之间的网络互联

4、,包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等,因此 VPN 技术就比各种普通的点对点的应用机制要复杂得多。2. VPN 的优势在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利用率,有助于增加ISP ( Internet Service Provider)的收益。只需要通过软件配置就可以增加、删除VPN 用户,无需改动硬件设施。这使得 VPN

5、的应用具有很大灵活性。.支持驻外VPN用户在任何时间、任何地点的移动接入,这将满足不断增长的移动业务需求。构建具有服务质量保证的VPN (如 MPLS VPN ),可为 VPN 用户提供不同等级的服务质量保证,通过收取不同的业务使用费用可获得更多的利润。有关MPLS VPN的原理及相关介绍请参见MPLS 配置。1.2 VPN 的基本技术1. VPN 基本组网应用以某企业为例,通过VPN 建立的企业内部网如图1-1 所示:远端用户PSTN/ISDNPCPOPPOPInternetPOP公司总部合作伙伴内部服务器图 1-1 VPN 组网示意图从上图可以看出, 企业内部资源享用者通过 PSTN/IS

6、DN 网或局域网就可以连入本地 ISP 的 POP ( Point of Presence )服务器,从而访问公司内部资源。而利用传统的 WAN 组建技术,相互之间要有专线相连才可以达到同样的目的。虚拟网组成后,远端用户和外地客户甚至不必拥有本地ISP 的上网权限就可以访问企业内部资源,这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。企业开设VPN 业务所需的设备很少,只需在资源共享处放置一台支持VPN的服务器(如一台 Windows NT 服务器或支持 VPN 的路由器)就可以了。资源享用者通过 PSTN/ISDN 网或局域网连入本地 POP 服务器后,直接呼叫企业的远程服务器

7、( VPN 服务器),呼叫接续过程由 ISP 的接入服务器 ( Access Server )与 VPN 服务器共同完成。.2. VPN 的原理PSTN/ISDNVPN用户NASVPN Server图 1-2 VPN 接入示意图如上图所示, VPN 用户通过 PSTN/ISDN网拨入 ISP 的 NAS( Network AccessServer )服务器, NAS 服务器通过用户名或接入号码识别出该用户为VPN 用户后,就和用户的目的VPN 服务器建立一条连接,称为隧道(Tunnel ),然后将用户数据包封装成IP 报文后通过该隧道传送给VPN 服务器, VPN 服务器收到数据包并拆封后就可

8、以读到真正有意义的报文了。反向的处理也一样。隧道两侧可以对报文进行加密处理,使 Internet 上的其它用户无法读取, 因而是安全可靠的。 对用户来说, 隧道是其 PSTN/ISDN链路的逻辑延伸, 操作起来和实际物理链路相同。隧道可以通过隧道协议来实现。根据是在OSI 模型的第二层还是第三层实现隧道,隧道协议分为第二层隧道协议和第三层隧道协议。(1) 第二层隧道协议第二层隧道协议是将整个 PPP 帧封装在内部隧道中。现有的第二层隧道协议有:PPTP ( Point-to-Point Tunneling Protocol):点到点隧道协议, 由微软、Ascend 和 3COM 等公司支持,在

9、Windows NT 4.0以上版本中支持。该协议支持点到点 PPP 协议在 IP 网络上的隧道封装, PPTP 作为一个呼叫控制和管理协议,使用一种增强的通用路由封装GRE ( GenericRouting Encapsulation )技术为传输的PPP 报文提供流控和拥塞控制的封装服务。L2F( Layer 2 Forwarding )协议:二层转发协议,由Cisco 和北方电信等公司支持。 L2F 协议支持对更高级协议链路层的隧道封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。L2TP ( Layer 2 Tunneling Protocol):二层隧道协议,由IETF 起草,

10、微软等公司参与,结合了上述两个协议的优点,为众多公司所接受,并且已经成为标准RFC 。L2TP 既可用于实现拨号VPN 业务,也可用于实现专线 VPN 业务。(2) 第三层隧道协议.第三层隧道协议的起点与终点均在ISP 内,PPP 会话终止在NAS 处,隧道内只携带第三层报文。现有的第三层隧道协议主要有:GRE( Generic Routing Encapsulation)协议: 这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。IPSec ( IP Security )协议: IPSec 协议不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH

11、( AuthenticationHeader )、ESP( Encapsulating Security Payload)、IKE( Internet KeyExchange )等协议。GRE 和 IPSec 主要用于实现专线VPN 业务。(3) 第二、三层隧道协议之间的异同第三层隧道与第二层隧道相比,优势在于它的安全性、可扩展性与可靠性。从安全性的角度看,由于第二层隧道一般终止在用户侧设备上,对用户网的安全及防火墙技术提出十分严峻的挑战;而第三层隧道一般终止在ISP 网关上,因此一般情况下不会对用户网的安全技术提出较高要求。从扩展性的角度看,第二层隧道内封装了整个PPP 帧,这可能产生传输效

12、率问题。其次, PPP 会话贯穿整个隧道并终止在用户侧设备上,导致用户侧网关必须要保存大量PPP 会话状态与信息,这将对系统负荷产生较大的影响,也会影响到系统的扩展性。此外,由于PPP 的 LCP 及 NCP 协商都对时间非常敏感,这样隧道的效率降低会造成PPP 对话超时等等一系列问题。相反,第三层隧道终止在ISP 的网关内, PPP 会话终止在 NAS 处,用户侧网关无需管理和维护每个PPP 对话的状态,从而减轻了系统负荷。一般地,第二层隧道协议和第三层隧道协议都是独立使用的,如果合理地将这两层协议结合起来使用,将可能为用户提供更好的安全性(如将L2TP 和IPSec 协议配合使用)和更佳的

13、性能。1.3 VPN 的分类IP VPN 是指利用IP 设施(包括公用的Internet或专用的IP 骨干网)实现WAN 设备专线业务(如远程拨号、DDN 等)的仿真。 IP VPN 可有以下几种分类方法:1. 按运营模式划分(1)CPE-based VPN( Customer Premises Equipment based VPN)用户不但要安装价格昂贵的设备及专门认证工具,还要负责繁杂的VPN 维护(如通道维护、带宽管理等)。这种方式组网复杂度高、业务扩展能力弱。.(2)Network-based VPN( NBIP-VPN )将 VPN 的维护等外包给 ISP 实施(也允许用户在一定程

14、度上进行业务管理和控制),并且将其功能特性集中在网络侧设备处实现,这样可以降低用户投资、增加业务灵活性和扩展性,同时也可为运营商带来新的收入。2. 按业务用途划分(1) Intranet VPN (企业内部虚拟专网)Intranet VPN 通过公用网络进行企业内部各个分布点互联,是传统的专线网或其它企业网的扩展或替代形式。(2) Access VPN (远程访问虚拟专网)Access VPN向出差流动员工、 远程办公人员和远程小办公室提供了通过公用网络与企业的Intranet 和 Extranet建立私有的网络连接。 Access VPN的结构有两种类型,一种是用户发起( Client-in

15、itiated )的 VPN 连接, 另一种是接入服务器发起( NAS-initiated )的 VPN 连接。(3) Extranet VPN (扩展的企业内部虚拟专网)Extranet VPN 是指利用 VPN 将企业网延伸至供应商、 合作伙伴与客户处, 使不同企业间通过公网来构筑 VPN 。3. 按组网模型划分(1) 虚拟租用线( VLL )VLL (Virtual Leased Line)是对传统租用线业务的仿真,通过使用IP 网络对租用线进行模拟,提供非对称、低成本的“ DDN ”业务。从虚拟租用线两端的用户来看,该虚拟租用线近似于过去的租用线。(2) 虚拟专用拨号网络( VPDN

16、)VPDN( Virtual Private Dial Network)是指利用公共网络 (如 ISDN 和 PSTN )的拨号功能及接入网来实现虚拟专用网,从而为企业、 小型 ISP 、移动办公人员提供接入服务。(3) 虚拟专用 LAN 网段( VPLS )业务VPLS ( Virtual Private LAN Segment)借助 IP 公共网络实现LAN 之间通过虚拟专用网段互连,是局域网在IP 公共网络上的延伸。(4)虚拟专用路由网(VPRN )业务VPRN ( Virtual Private Routing Network)借助 IP 公共网络实现总部、分支机构和远端办公室之间通过

17、网络管理虚拟路由器进行互连,业务实现包括两类:一种是使用传统 VPN 协议(如 IPSec 、GRE 等)实现的 VPRN ,另外一种是 MPLS 方式的 VPRN 。.第2章 GRE 协议配置2.1 GRE 协议简介1. 协议简介GRE ( Generic Routing Encapsulation ,通用路由封装)协议是对某些网络层协议(如 IP 和 IPX )的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP )中传输。 GRE 是 VPN ( VirtualPrivateNetwork )的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel (隧道)的技术。

18、Tunnel 是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个 Tunnel 的两端分别对数据报进行封装及解封装。一个报文要想在 Tunnel 中传输,必须要经过加封装与解封装两个过程,下面以图 2-1 的网络为例说明这两个过程:Novell IPXInternetNovell IPX协议协议Group1TunnelGroup2Router ARouter B图 2-1 IPX 网络通过GRE 隧道互连(1) 加封装过程连接 Novell group1 的接口收到 IPX 数据报后首先交由 IPX 协议处

19、理, IPX 协议检查 IPX 报头中的目的地址域来确定如何路由此包。若报文的目的地址被发现要路由经过网号为 1f 的网络( Tunnel 的虚拟网号),则将此报文发给网号为 1f 的 tunnel 端口。 Tunnel 口收到此包后进行 GRE 封装,封装完成后交给 IP 模块处理, 在封装 IP 报文头后, 根据此包的目的地址及路由表交由相应的网络接口处理。(2)解封装的过程解封装过程和加封装的过程相反。从Tunnel接口收到的IP 报文,通过检查目的地址,当发现目的地就是此路由器时,系统剥掉此报文的IP 报头,交给GRE 协议模块处理(进行检验密钥、检查校验和及报文的序列号等);GRE协

20、议模块完成相应的处理后, 剥掉 GRE 报头,再交由 IPX 协议模块处理, IPX 协议模块象对待一般数据报一样对此数据报进行处理。.系统收到一个需要封装和路由的数据报,称之为净荷(Payload ),这个净荷首先被加上GRE 封装, 成为 GRE 报文; 再被封装在IP 报文中,这样就可完全由 IP 层负责此报文的向前传输( Forwarded )。人们常把这个负责向前传输 IP 协议称为传输协议( Delivery Protocol 或者 Transport Protocol )。封装好的报文的形式如下图所示:Delivery Header(Transport Protocol)GRE

21、Header(Encapsulation Protocol)Payload Packet( Passenger Protocol)图 2-2 封装好的 Tunnel 报文格式举例来说,一个封装在IP Tunnel中的 IPX 传输报文的格式如下:IPGREIPX乘客协议(Passenger Protocol)运载协议或封装协议(Carrier Protocol)(Encapsulation Protocol)传输协议(Transport Protocol)图 2-3 Tunnel 中传输报文的格式2. 应用范围GRE 主要能实现以下几种服务类型:(1) 多协议的本地网通过单一协议的骨干网传输N

22、ovell IPXNovell IPX协议Router ARouter B协议Group1Group2InternetIP协议TunnelIP协议Term 1Term 2图 2-4 多协议本地网通过单一协议骨干网传输.上图中,Group1 和 Group2 是运行 Novell IPX 协议的本地网, Term1 和 Term2 是运行 IP 协议的本地网。通过在 Router A 和 Router B 之间采用 GRE 协议封装的隧道( Tunnel ), Group1 和 Group2 、 Team1 和 Team2 可以互不影响地进行通信。(2) 扩大了步跳数受限协议(如IPX )的网络

23、的工作范围RouterTunnelRouterIP networkIP networkRouterIP networkRouterPCPCrr图 2-5 扩大网络工作范围若上图中的两台终端之间的步跳数超过15 ,它们将无法通信。而通过在网络中使用隧道(Tunnel )可以隐藏一部分步跳,从而扩大网络的工作范围。(3)将一些不能连续的子网连接起来,用于组建VPNRouterRouternovellIP networknovellgroup 1VLANgroup2Tunnel图 2-6 Tunnel 连接不连续子网运行 Novell IPX协议的两个子网group1 和 group2 分别在不同的

24、城市,通过使用隧道可以实现跨越广域网的VPN 。(4) 与 IPSec 结合使用,弥补 IPSec 不能保护组播数据的缺陷GRE TunnelIPSec TunnelCorporateRemoteInternetofficeintranetnetworkRouter ARouter B图 2-7 GRE-IPSec 隧道应用上图中, GRE 可以封装组播数据并在 GRE 隧道中传输。而协议规定, IPSec 目前只能对单播数据进行加密保护,因此对于诸如路由协议、语音、视频等.组播数据需要在IPSec 隧道中传输的情况,可以通过建立GRE 隧道,并对组播数据进行GRE 封装,然后再对封装后的报文

25、进行IPSec 的加密处理, 就实现了组播数据在IPSec 隧道中的加密传输。另外, GRE 还支持由用户选择记录 Tunnel 接口的识别关键字,和对封装的报文进行端到端校验。由于 GRE 收发双方加封装、 解封装处理以及由于封装造成的数据量增加等因素的影响,这就导致使用 GRE 会造成路由器数据转发效率有一定程度的下降。2.2 GRE 配置在各项配置中,必须先创建虚拟Tunnel接口,才能在虚拟Tunnel 接口上进行其它功能特性的配置。当删除虚拟 Tunnel 接口后,该接口上的所有配置也将被删除。GRE 主要配置包括:创建虚拟 Tunnel 接口(必选)设置 Tunnel 接口报文的封

26、装模式(可选)指定 Tunnel 的源端(必选)指定 Tunnel 的目的端(必选)设置 Tunnel 接口的网络地址(必选)设置 Tunnel 两端进行端到端校验(可选)设置 Tunnel 接口的识别关键字(可选)配置通过 Tunnel 的路由(可选)2.2.1创建虚拟 Tunnel 接口创建虚拟 Tunnel 接口,从而在该接口上进行 GRE 其它参数的配置。这些配置在 Tunnel 两端必须配置。请在系统视图下进行下列配置。表 2-1 创建虚拟Tunnel 接口操作命令创建虚拟Tunnel 接口interface tunnel slot/card/port删除虚拟Tunnel 接口und

27、o interface tunnel slot/card/port缺省情况下,不创建虚拟Tunnel 接口。.设备为分布式结构, 接口采用三维化表示: slot 表示指定的通用接口单元所在槽位号; card 为相应的卡号,取值为 1 或 0 ;port 为设定的接口号,范围 01023 ,但实际可建的Tunnel 数目将受到接口总数及内存状况的限制。创建 Tunnel 接口时,建议参数slot 要与 Tunnel 的 source设置的源端接口所在槽位保持一致,即 slot 指定的槽位号就是发出GRE 报文的实际接口的槽位号,这样可以提高转发效率。2.2.2设置 Tunnel 接口报文的封装模

28、式设置 Tunnel接口的封装协议和传输协议。这些配置在Tunnel 两端为可选配置,如果配置则必须确保Tunnel两端的封装模式相同(目前只支持GRE 封装模式)。请在 Tunnel 接口视图下进行下列配置。表2-2 设置 Tunnel 接口报文的封装模式操作命令设置 Tunnel 接口报文的封装模式tunnel-protocol gre删除 Tunnel 接口报文的封装模式undo tunnel-protocol缺省情况下, Tunnel 接口报文的封装模式为:封装协议为GRE ,传输协议为IP 。2.2.3指定 Tunnel 的源端在创建 Tunnel 接口后, 还要指明 Tunnel

29、通道的源端地址, 即发出 GRE 报文的实际物理接口地址。 Tunnel 的源端地址与目的端地址唯一标识了一个通道。这些配置在Tunnel 两端必须配置,且两端地址互为源地址和目的地址。请在 Tunnel 接口视图下进行下列配置。表 2-3 设置 Tunnel 接口的源端地址操作命令设置 Tunnel 接口的源端地址source X.X.X.X | interfacename删除 Tunnel 接口的源端地址undo source.说明:(1) 不能对两个或两个以上使用同种封装协议的Tunnel 接口配置完全相同的源地址和目的地址。(2) 使用命令 source 设置的是实际的物理接口地址或实

30、际物理接口,为支持动态路由协议,还需要设置Tunnel 接口的网络地址。在Tunnel接口视图下通过命令ip address可完成这一设置。2.2.4指定 Tunnel 的目的端在创建 Tunnel 接口后, 还要指明 Tunnel 通道的目的端地址, 即接收 GRE 报文的实际物理接口的 IP 地址。Tunnel 的源端地址与目的端地址唯一标识了一个通道。这些配置在 Tunnel 两端必须配置,且两端地址互为源地址和目的地址。请在 Tunnel 接口视图下进行下列配置。表 2-4 设置 Tunnel 接口的目的端地址操作命令设置 Tunnel 接口的目的端地址destinationX.X.X

31、.X删除 Tunnel 接口的目的端地址undo destination说明:使用命令 destination 设置的是实际的物理接口的 IP 地址,为支持动态路由协议,还需要设置 tunnel 接口的网络地址。2.2.5设置 Tunnel 接口的网络地址为使Tunnel通道支持动态路由协议,还要配置Tunnel接口的网络地址。Tunnel接口的网络地址可以不是申请得到的网络地址。用户设置通道两端的网络地址应该位于同一网段上。这些配置在Tunnel 两端都必须配置,并且确保地址在同一网段。请在 Tunnel 接口视图下进行下列设置。.表 2-5 设置 Tunnel 接口的网络地址操作命令设置

32、Tunnel 接口的 IP 地址ip addressX.X.X.X mask删除 Tunnel 接口的 IP 地址undo ip address缺省情况下,未设置Tunnel 接口的网络地址。2.2.6设置 Tunnel 两端进行端到端校验在 RFC1701 中规定:若 GRE 报文头中的 Checksum 位置位,则校验和有效。发送方将根据 GRE 头及 payload 信息计算校验和, 并将包含校验和的报文发送给对端。接收方对接收到的报文计算校验和,并与报文中的校验和比较,如果一致则对报文进一步处理,否则丢弃。隧道两端可以根据实际需要选择是否配置校验和,从而决定是否触发校验功能。如果本端配

33、置了校验和而对端没有配置,则本端将不会对接收到的报文进行校验和检查;相反本端没有配置校验和而对端已配置,本端将对从对端发来的报文进行校验和检查。请在 Tunnel 接口视图下进行下列配置。表2-6 设置 Tunnel 两端进行端到端校验操作命令设置 Tunnel 两端进行端到端校验gre checksum禁止 Tunnel 两端进行端到端校验undo gre checksum缺省情况下,禁止Tunnel 两端进行端到端校验。2.2.7设置 Tunnel 接口的识别关键字在 RFC1701 中规定:若 GRE 报文头中的 KEY 字段置位,则收发双方将进行通道识别关键字的验证,只有 Tunnel

34、 两端设置的识别关键字完全一致时才能通过验证,否则将报文丢弃。请在 Tunnel 接口视图下进行配置。表 2-7 设置 Tunnel 接口的识别关键字操作命令设置 Tunnel 接口的识别关键字gre keykey-number.删除 Tunnel 接口的识别关键字undo gre keykey-number可取值 0 4294967295之间的整数。缺省情况下,Tunnel 不使用 KEY 。2.2.8配置通过 Tunnel 的路由在源端路由器和目的端路由器上都必须存在经过Tunnel 转发的路由,这样需要进行 GRE 封装的报文才能正确转发。可以配置静态路由,也可以配置动态路由。1. 静态路由配置可以手工配置一条到达目的地址(不是Tunnel的目的端地址,而是未进行GRE封装的报文的目的地址)的路由,下一跳是对端Tunnel接口的地址。在 Tunnel 的两端都要进行此项配置。 配置的详细情况请参

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 科普知识


经营许可证编号:宁ICP备18001539号-1