VPN概述
1.什么是VPN:
VPN是虚拟专用网络(Virtual Private Network,虚拟专用网络),可以在公有网络上构建出虚拟专用网络,vpn用户在虚拟专用网络中传递私网流量,可以实现安全、可靠的连接
其具有廉价、专用和虚拟等多种优势,在现网中应用非常广泛。
VPN是一类技术的统称,不同的VPN技术拥有不同的特性和实现方式,常见的VPN技术包括IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等
VPN和传统的数据专网相比具有如下优势:
- 安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
- 廉价:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
- 支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
- 可扩展性:由于VPN为逻辑上的网络,物理网络中增加或修改节点,不影响VPN的部署。
•公共网络又经常被称为VPN骨干网(VPN Backbone),公共网络可以是Internet,也可以是企业自建专网或运营商租赁专网。
2.VPN分类:
(1)根据建筑单位的不同
A.租用运营商VPN专线搭建企业VPN网络:最常见的场景为租用运营商MPLS VPN专线。
B.自建企业VPN网络:常见的如IPSec VPN、L2TP VPN、SSL VPN等。
(2)组网方式不同
A.远程访问VPN(Remote Access VPN)
适用于出差员工VPN拨号接入的场景,员工可在任何能接入Internet的地方,通过VPN接入企业内网资源。常见的有L2TP VPN、SSL VPN等。
B.局域网到局域网的VPN(Site-to-site VPN)
适用于公司两个异地机构的局域网互连。常见的有MPLS VPN、IPSec VPN等。
C.协议封装传递
GRE VPN:可以在GRE VPV里封装其它协议进行点到点的传递,常见应该到IPv4和IPv6的协议交互
(3)网络层次进行划分(不同的VPN技术工作在TCP/IP参考模型那个层次当中)
•工作在网络层和数据链路层的VPN又被称为三层VPN和二层VPN。
3.VPN使用到哪些技术
(1)隧道(Tunnel)技术:
用来进行封装和解封装的作用
位于隧道两端的VPN网关,通过对原始报文的“封装”和“解封装”,建立一个点到点的虚拟通信隧道。
(2)身份认证、数据加密以及验证
(在VPN中如何实现对于数据的安全传输)(列举了一下不同的VPN用户是否支持身份认证以及数据加密)
| VPN | 用户身份认证 | 数据加密和验证 | 备注 |
|---|---|---|---|
| GRE | 不支持 | 支持简单的关键字验证、检验和验证 | 可以结合IPSec使用,利用IPSec的数据加密和验证特性。 |
| L2TP | 支持基于PPP的CHAP、PAP、EAP认证 | 不支持 | 可以结合IPSec使用,利用IPSec的数据加密和验证特性。 |
| IPSec | 支持 | 支持 | 支持预共享秘钥验证或证书认证;支持IKEv2的EAP认证。 |
| SSL | 支持 | 支持 | 支持用户名/密码或证书认证。 |
| MPLS | 不支持 | 不支持 | 一般运行在专用的VPN骨干网络。 |
IPsec VPN
IPSec概述
IPSec(IP Security) VPN一般部署在企业出口设备之间,通过加密与验证等方式,实现了数据来源验证、数据加密、数据完整性保证和抗重放等功能。
- 数据来源验证:接收方验证发送方身份是否合法。
- 数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发。
- 数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
- 抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。
IPSec协议体系
IPSec使用认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两种安全协议来传输和封装数据,提供认证或加密等安全服务。
- ▫AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法。
- ▫AH仅支持认证功能,不支持加密功能。ESP支持认证和加密功能。
- ▫安全协议提供认证或加密等安全服务需要有秘钥的存在。
秘钥交换的方式有两种:
- 带外共享密钥:在发送、接收设备上手工配置静态的加密、验证密钥。双方通过带外共享的方式(例如通过电话或邮件方式)保证密钥一致性。这种方式的缺点是可扩展性差,在点到多点组网中配置密钥的工作量成倍增加。另外,为提升网络安全性需要周期性修改密钥,这种方式下也很难实施。
- 通过IKE协议自动协商密钥:IKE建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,采用DH(Diffie-Hellman)算法在不安全的网络上安全地分发密钥。这种方式配置简单,可扩展性好,特别是在大型动态的网络环境下此优点更加突出。同时,通信双方通过交换密钥交换材料来计算共享的密钥,即使第三方截获了双方用于计算密钥的所有交换数据,也无法计算出真正的密钥。
IPSec基本原理
IPSec隧道建立过程中需要协商IPSec SA(Security Association,安全联盟),IPSec SA一般通过IKE协商生成。
SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它在AH和ESP头中传输。在手工配置SA时,需要手工指定SPI的取值。使用IKE协商产生SA时,SPI将随机生成。
SA是单向的逻辑连接,因此两个IPSec对等体之间的双向通信,最少需要建立两个SA来分别对两个方向的数据流进行安全保护。
IKE作为秘钥协商协议,存在两个版本:IKEv1和IKEv2,本课程采用IKEv1为例进行介绍,IKEv2内容可参考产品文档对应内容。
- IKEv1协商阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将通过加密和验证,这条安全通道可以保证IKEv1第二阶段的协商能够安全进行。IKE SA是一个双向的逻辑连接,两个IPSec对等体间只建立一个IKE SA。
- IKEv1协商阶段2的目的就是建立用来安全传输数据的IPSec SA,并为数据传输衍生出密钥。该阶段使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证,并对ISAKMP消息进行加密,故保证了交换的安全性。
•IKE协商成功意味着双向的IPSec隧道已经建立,可以通过ACL方式或者安全框架方式定义IPSec“感兴趣流”,符合感兴趣流流量特征的数据都将被送入IPSec隧道进行处理。
•感兴趣流:需要被IPSec保护的数据流。
GRE VPN
GRE概述
通用路由封装协议(General Routing Encapsulation,GRE)是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、IPv4、IPv6等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题
- 通过在IPv4网络上建立GRE隧道,可以使源点的IPv6网络与目的点的IPv6网络进行通信。
- GRE还具备封装组播报文的能力。由于动态路由协议中会使用组播报文,因此更多时候GRE会在需要传递组播路由数据的场景中被用到,这也是GRE被称为通用路由封装协议的原因。
GRE基本原理
GRE构成要素分为3个部分:乘客协议、封装协议和运输协议。
- 乘客协议是指用户在传输数据时所使用的原始网络协议。
- 封装协议的作用就是用来“包装”乘客协议对应的报文,使原始报文能够在新的网络中传输。
- 运输协议是指被封装以后的报文在新网络中传输时所使用的网络协议
隧道接口(Tunnel Interface)是为实现报文的封装而提供的一种点对点类型的虚拟接口,与Loopback接口类似,都是一种逻辑接口。
如图所示,乘客协议为IPv6,封装协议为GRE,运输协议为IPv4。整体转发流程如下:
- 当R1收到IP1发来的IPv6数据包,查询设备路由表,发现出接口是隧道接口,则将此报文发给隧道接口处理。
- 隧道接口给原始报文添加GRE头部,然后根据配置信息,给报文加上IP头。该IP头的源地址就是隧道源地址,IP头的目的地址就是隧道目的地址。
- 封装后的报文在IPv4网络中进行普通的IPv4路由转发,最终到达目的地R2。
- 解封装过程和封装过程相反
GRE Over IPSec
- GRE的主要缺点是不支持加密和认证,数据的安全传输得不到很好的保障。
- IPSec的主要缺点是只支持IP协议,且不支持组播。
- 可通过部署GRE Over IPSec结合两种VPN技术的优点。
L2TP VPN
概述
•L2TP是虚拟私有拨号网VPDN(Virtual Private Dial-up Network)隧道协议的一种,它扩展了点到点协议PPP的应用,是一种在远程办公场景中为出差员工或企业分支远程访问企业内网资源提供接入服务的VPN。
•L2TP组网架构中包括LAC(L2TP Access Concentrator,L2TP访问集中器)和LNS(L2TP Network Server,L2TP网络服务器)
L2TP消息
L2TP协议包含两种类型的消息,控制消息和数据消息,消息的传输在LAC和LNS之间进行。
▫控制消息用于L2TP隧道和会话连接的建立、维护和拆除。
▫数据消息用于封装PPP数据帧并在隧道上传输。
控制消息
- 用于L2TP隧道和会话连接的建立、维护和拆除。在控制消息的传输过程中,使用消息丢失重传和定时检测隧道连通性等机制来保证控制消息传输的可靠性,支持对控制消息的流量控制和拥塞控制。
- 控制消息承载在L2TP控制通道上,控制通道实现了控制消息的可靠传输,将控制消息封装在L2TP报头内,再经过IP网络传输。
数据消息
- 用于封装PPP数据帧并在隧道上传输。数据消息是不可靠的传输,不重传丢失的数据报文,不支持对数据消息的流量控制和拥塞控制。
- 数据消息携带PPP帧承载在不可靠的数据通道上,对PPP帧进行L2TP封装,再经过IP网络传输。
L2TP工作过程
L2TP主要可分为以下三种工作场景,其工作过程并不相同:
- NAS-Initiated场景:拨号用户通过NAS访问企业内网
- Client-Initiated场景:移动办公用户访问企业内网
- Call-LNS场景:通过LAC自主拨号实现企业内网互连
1、NAS-Initiated场景
由远程拨号用户发起,远程系统通过PSTN/ISDN拨入LAC,由LAC通过Internet向LNS发起建立隧道连接请求。拨号用户地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS完成。
- 用户必须采用PPP的方式接入到Internet,也可以是PPPoE等协议。
- 运营商的接入设备(主要是BAS设备)需要开通相应的VPN服务。用户需要到运营商处申请该业务。
- L2TP隧道两端分别驻留在LAC侧和LNS侧,且一个L2TP隧道可以承载多个会话。
2、Client-Initialized场景
直接由LAC客户(指可在本地支持L2TP协议的用户)发起。客户需要知道LNS的IP地址。LAC客户可直接向LNS发起隧道连接请求,无需再经过一个单独的LAC设备。在LNS设备上收到了LAC客户的请求之后,根据用户名、密码进行验证,并且给LAC客户分配私有IP地址。
- 用户需要安装L2TP的拔号软件。部分操作系统自带L2TP客户端软件。
- 用户上网的方式和地点没有限制,不需ISP介入。
- L2TP隧道两端分别驻留在用户侧和LNS侧,一个L2TP隧道承载一个L2TP会话。
该场景建立过程如下:
- 1.移动办公用户与LNS建立L2TP隧道。
- 2.移动办公用户与LNS建立L2TP会话:移动办公用户在第3步会与LNS间建立PPP连接,L2TP会话用来记录和管理它们之间的PPP连接状态。因此,在建立PPP连接以前,隧道双方需要为PPP连接预先协商出一个L2TP会话。会话中携带了移动办公用户的LCP协商信息和用户认证信息,LNS对收到的信息认证通过后,通知移动办公用户会话建立成功。L2TP会话连接由会话ID进行标识。
- 3.移动办公用户与LNS建立PPP连接。移动办公用户通过与LNS建立PPP连接获取LNS分配的企业内网IP地址。
- 4.移动办公用户发送业务报文访问企业总部服务器。
•Call-LNS场景:L2TP除了可以为出差员工提供远程接入服务以外,还可以进行企业分支与总部的内网互联,实现分支用户与总部用户的互访。一般是由分支路由器充当LAC与LNS建立L2TP隧道,这样就可实现分支与总部网络之间的数据通过L2TP隧道互通。
L2TP Over IPSec
企业出差用户和总部通信,使用L2TP功能建立VPN连接,总部部署为LNS对接入的用户进行认证。当出差用户需要向总部传输高机密信息时,L2TP无法为报文传输提供足够的保护,这时可以和IPSec功能结合使用,保护传输的数据。在出差用户的PC终端上运行拨号软件,将数据报文先进行L2TP封装,再进行IPSec封装,发往总部。在总部网关,部署IPSec策略,最终还原数据。这种方式IPSec功能会对所有源地址为LAC、目的地址为LNS的报文进行保护。
MPLS VPN概述
MPLS是一种利用标签(Label)进行转发的技术,最初为了提高IP报文转发速率而被提出,现主要应用于VPN和流量工程、QoS等场景。
根据部署的不同,MPLS VPN可分为MPLS L2 VPN或者MPLS L3 VPN。
企业可以自建MPLS专网也可以通过租用运营商MPLS专网的方式获得MPLS VPN接入服务。
MPLS VPN网络一般由运营商搭建,VPN用户购买VPN服务来实现用户网络之间(图中的分公司和总公司)的路由传递、数据互通等。
基本的MPLS VPN网络架构由CE(Customer Edge)、PE(Provider Edge)和P(Provider)三部分组成:
- CE:用户网络边缘设备,有接口直接与运营商网络相连。CE可以是路由器或交换机,也可以是一台主机。通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLS。
- PE:运营商边缘路由器,是运营商网络的边缘设备,与CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE上,对PE性能要求较高。
- P:运营商网络中的骨干路由器,不与CE直接相连。P设备只需要具备基本MPLS转发能力,不维护VPN相关信息。
更多MPLS及MPLS VPN的相关内容,参考HCIP-Datacom-Advance相应课程。
总结
VPN技术拥有安全、廉价、支持移动业务、灵活等一系列优势,已经成为现网中部署最为广泛的一类技术。
常见VPN技术:
- IPSec VPN:是一系列为IP网络提供安全性的协议和服务的集合,为IP网络提供安全的传输。
- GRE VPN:提供了将一种协议的报文封装在另一种协议报文中的机制,解决异种网络的传输问题。
- L2TP VPN:是一种能够提供移动用户远程接入服务的二层VPN技术。
- MPLS VPN:一种通过标签交换技术,实现站点与站点之间互联的VPN技术。
————————————————————————————————————
VRF技术
VRF(Virtual Routing and Rorwarding,虚拟路由转发)技术通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离,常用于MPLS VPN、防火墙等一些需要实现隔离的应用场景。
网络需求案例
某企业网络内有生产和管理两张网络,这两张网络独占接入和汇聚层交换机,共享核心交换机。
核心交换机上同时连接了生产网络和管理网络的服务器群,两个网段均为192.168.100.0/24网段。
需求:实现生产和管理网络内部的数据通信,同时隔离两张网络之间的通信。
方法一
在核心交换机部署ACL,禁止生产和管理网络之间的互访流量。
缺陷:
配置繁琐,拓展性差。
无法解决两张网络使用重叠网段的问题,需要在部署时规避重叠网段。
方法二
增加核心交换机,从物理上隔离两张网络。
缺陷:增加额外的设备成本投入。
方法三
通过VRF技术实现
•在物理设备上创建多个VPN实例,每个VPN实例拥有独立的接口、路由表和路由协议进程等。
VRF的实现过程
•VRF是对物理设备的一个逻辑划分,每个逻辑单元都被称为一个VPN实例,实例之间在路由层面是隔离的。VRF实现过程如下:
1.创建实例,并将三层接口(可以是路由器的物理接口或者子接口,也可以是VLANIF接口)绑定到实例;
2.(可选)配置与实例绑定的路由协议或静态路由;
3.基于与实例绑定的接口和路由协议等建立实例路由表并基于实例路由表转发数据,实现实例间隔离。
常见应用场景
防火墙虚拟系统
虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。虚拟系统主要具有以下特点:
- 资源虚拟化:每个虚拟系统都有独享的资源,包括接口、VLAN、策略和会话等。
- 路由虚拟化:每个虚拟系统都拥有各自的路由表,相互独立隔离。
其中路由虚拟化依靠创建VPN实例来实现
BGP/MPLS IP VPN
BGP/MPLS IP VPN是一种基于PE的L3VPN技术。它使用BGP在服务提供商骨干网上发布VPN路由,使用MPLS在服务提供商骨干网上转发VPN报文。
通过创建VPN实例的方式在PE上区别不同VPN的路由。
总结
•VRF技术实现了同一物理设备上不同网络之间的逻辑隔离,当在物理设备上部署多个VRF实例时,每一个VRF实例就相当于一个虚拟的网络设备。VRF实例之间的接口和路由天然隔离,当同一个物理设备连接到多个相同的网段时,也不用担心IP地址冲突的问题。
•VRF技术广泛应用在防火墙虚拟系统、BGP/MPLS IP VPN等多个场景中。