华为VPN技术白皮书（最新修正版）

华为官方VPN技术白皮书（最新修正版）

摘要

本文详细介绍了Quidway系列路由器在VPN特性方面所应用的技术，包括安全、网络优化、VPN管理等诸多方面，并给出了相关应用中的实际解决方案。

关键词

VPN，网络安全，隧道技术，L2TP，GRE，IPSec，IKE，防火墙，QoS，网络管

理

1 概述

随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。华为Quidway系列路由器在安全、网络优化以及管理等方面对VPN给予了强大的支持。

1.1 VPN定义

利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，Virtual Private

Network），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络

上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。

“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的

VPN技术白皮书

公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴，如图1所示。

远端用户PSTN/ISDNPCPOPInternetISP IPFrame RelayATMPOPPOP合作伙伴公司总部内部服务器

图1 VPN应用示意图

由图可知，企业内部资源享用者只需连入本地ISP的POP（Point Of Presence，接入服务提供点），即可相互通信；而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源； 如果接入服务器的用户身份认证服务器支持漫游的话，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。

1.2 VPN的类型

VPN分为三种类型：远程访问虚拟网（Access VPN）、企业内部虚拟网

（Intranet VPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的 VPN分别

与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

1.2.1 Access VPN

第2页，共21页

VPN技术白皮书

随着当前移动办公的日益增多，远程用户需要及时地访问Intranet和Extranet。对于出差流动员工、远程办公人员和远程小办公室，Access VPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在Access VPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道（Tunnel）连接来传输私有网络数据。

Access VPN的结构有两种类型，一种是用户发起（Client-initiated）的VPN连接，

另一种是接入服务器发起（NAS-initiated）的VPN连接。

用户发起的VPN连接指的是以下这种情况：首先，远程用户通过服务提供点（POP）拨入Internet，接着，用户通过网络隧道协议与企业网建立一条的隧道（可加密）连接从而访问企业网内部资源。在这种情况下，用户端必须维护与管理发起隧道连接的有关协议和软件。

在接入服务器发起的VPN连接应用中，用户通过本地号码或免费号码拨入

ISP，然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下，所

建立的VPN连接对远端用户是透明的，构建VPN所需的协议及软件均由ISP负责管理和维护。

1.2.2 Intranet VPN

Intranet VPN通过公用网络进行企业各个分布点互联，是传统的专线网或其他

企业网的扩展或替代形式。

利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSec、GRE等。结合服务商提供的QoS机制，可以有效而且可靠地使用网络资源，保证了网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量，但其不足是互联区域有较大的局限性。而另一方面，基于Internet构建VPN是最为经济的方式，但服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。

1.2.3Extranet VPN

Extranet VPN是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构

建方式下，Extranet通过专线互联实现，网络管理与访问控制需要维护，甚至还需

第3页，共21页

VPN技术白皮书

要在Extranet的用户侧安装兼容的网络设备；虽然可以通过拨号方式构建Extranet，但此时需要为不同的Extranet用户进行设置，而同样降低不了复杂度。 因合作伙伴与客户的分布广泛，这样的Extranet建设与维护是非常昂贵的。 因此，诸多的企业常常是放弃构建Extranet，结果使得企业间的商业交易程序复杂化，商业效率被迫降低。

Extranet VPN以其易于构建与管理为解决以上问题提供了有效的手段，其实现

技术与Access VPN和Intranet VPN相同。Extranet用户对于Extranet VPN的访问权限可以通过防火墙等手段来设置与管理。

1.3 VPN的优点

利用公用网络构建VPN是个新型的网络概念，它给服务提供商（ISP）和VPN用户（企业）都将带来不少的益处。

对于服务提供商来说，在通过向企业提供VPN这种增值服务，ISP可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。事实上，VPN用户的数据流量较普通用户要大得多，而且时间上也是相互错开的。

VPN用户通常是上班时间形成流量的高峰，而普通用户的流量高峰期则在工作时

间之外。ISP对外提供两种服务，资源利用率和业务量都会大大增加，将给ISP带来新的商业机会。

而对于企业而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的

市话费用和Internet费用。据报道，局域网互联费用可降低20～40％，而远程接入费用更可减少60～80％，这无疑是非常有吸引力的；VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理，另一方面，企业甚至可以不必建立自己的广域网和接入网维护系统，而将这一繁重的任务交由专业的ISP来完成；VPN提高了整个企业网的互联性，良好的扩展性使得企业更好、更快地适应Internet经济的发展，把握商机；另外，在VPN应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。

2 VPN设计原则

第4页，共21页

VPN技术白皮书

VPN的设计包含以下原则：

??安全性 ??网络优化 ??VPN管理

2.1 安全性

VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更

为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

VPN的安全性包含以下特征：

??隧道与加密：隧道能实现多协议封装，增加VPN应用的灵活性，可以在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。

??数据验证：在不安全的网络上，特别是构建VPN的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改，保证了数据的完整性。

??用户验证：VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过AAA，路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。

??防火墙与攻击检测： 防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话链接，并产生非法访问记录。

2.2 网络优化

构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以

第5页，共21页

VPN技术白皮书

按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

一般地，二层和三层的QoS具有以下功能：

??流分类：根据不同的用户、应用、服务器或URL地址等对数据流进行分类，然后才可以在不同的数据流上实施不同的QoS策略。流分类是实现带宽管理以及其他QoS功能的基础。ACL就是流分类的手段之一。

??流量整形与监管：流量整形是指根据数据流的优先级，在流量高峰时先尽量保证优先级高的数据流的接收/发送，而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送，使网络上的流量趋于稳定；流量监管则是指带宽大的路由器限制出口的发送速率，从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包，消除网络瓶颈。

??拥塞管理与带宽分配：根据一定的比例给不同的优先级的数据流分配不同的带宽资源，并对网络上的流量进行预测，在流量达到上限之前丢弃若干数据包，避免过多的数据包因发送失败同时进行重传而引起更严重的资源紧张，进而提高网络的总体流量。

2.3 VPN管理

VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户

和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。

VPN管理的目标为：

??减小网络风险：从传统的专线网络扩展到公用网络基础设施上，VPN面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时，还要确保公司数据资源的完整性。

??扩展性： VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应，包括网络硬、软件的升级、网络质量保证、安全策略维护等。

??经济性：保证VPN管理的扩展性的同时不应过多地增加操作和维护成本。 ??可靠性：VPN构建于公用网之上，不同于传统的专线广域网，其受控性大大降低，故VPN可靠而稳定地运行是VPN管理必需考虑的问题。

第6页，共21页

VPN技术白皮书

??VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。

3 Quidway系列路由器的VPN技术

Quidway系列路由器所采用的VPN技术主要包括：

??隧道技术 ??IPSec

??密钥交换技术 ??防火墙技术 ??QoS ??配置管理

3.1 隧道技术

对于构建VPN来说，网络隧道(Tunneling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议，网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。

现有两种类型的隧道协议：一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建Access VPN和Extranet VPN；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建Intranet VPN和Extranet VPN。 3.1.1 二层隧道协议

二层隧道协议主要有三种：PPTP（Point to Point Tunneling Protocol，点对点隧道协议）、L2F（Layer 2 Forwarding，二层转发协议）和L2TP（Layer 2 Tunneling

Protocol，二层隧道协议）。其中L2TP结合了前两个协议的优点，具有更优越的特

性，得到了越来越多的组织和公司的支持，将是使用最广泛的VPN二层隧道协议。

下面简单介绍一下L2TP网络协议。应用L2TP构建的典型VPN服务的结构如下图所示：

第7页，共21页

VPN技术白皮书

远端用户PCLACInternet骨干网PSTN/ISDNLNSL2TP通道接入服务器远地分支机构内部服务器

图2 典型拨号VPN业务示意图

其中，LAC表示L2TP 访问集中器（L2TP Access Concentrator ），是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器NAS（Network Access Server），它通过PSTN/ISDN为用户提供网络接入服务；LNS表示L2TP网络服务器（L2TP Network Server），是用于处理L2TP协议服务器端部分的软件。

在一个LNS和LAC对之间存在两种类型的连接，一种是隧道（tunnel）连接，它定义了一个LNS和LAC对；另一种是会话（session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。在一个隧道连接上可以承载多个会话连接。L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。L2TP消息可以分为控制消息和数据消息两种类型。控制消息用于隧道连接和会话连接的建立与维护；数据消息则用于承载用户的PPP会话数据包。

控制消息中的参数用AVP值对（Attribute Value Pair）来表示，使得协议具有很好的扩展性；在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性。L2TP数据消息的传输不采用重传机制，所以它无法保证传输的可靠性，但这一点可以通过上层协议如TCP等得到保证；数据消息的传输可以根据应用的需要灵活地采用流控或非流控机制，甚至可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流控功

第8页，共21页

VPN技术白皮书

能；在采用流控的过程中，对于失序消息的处理采用了缓存重排序的方法来提高数据传输的有效性。

L2TP还具有以下几个特性：

??安全的身份验证机制：与PPP类似，L2TP可以对隧道端点进行验证。不同的是PPP可以选择采用PAP方式以明文传输用户名及密码，而L2TP规定必须使用类似

PPP CHAP的验证方式。

??内部地址分配支持：LNS放置于企业网的防火墙之后，可以对远端用户的地址进行动态分配和管理，还可以支持DHCP和私有地址应用（RFC1918）。远端用户所分配的地址不是Internet地址而是企业内部的私有地址，方便了地址管理并可以增加安全性。

??网络计费的灵活性：可以在LAC（一般为ISP）和LNS（一般为企业）两处同时计费，前者用于产生帐单，而后者用于付费及审记。L2TP能够提供数据传输的出入包数、字节数及连接的起始、结束时间等计费数据。

??可靠性：L2TP协议可以支持备份LNS，当一个主LNS不可达之后，LAC（接入服务器）可以重新与备份LNS建立连接，以增加VPN服务的可靠性和容错性。

??统一的网络管理：L2TP协议已成为标准的RFC协议，有关L2TP的标准MIB也已制定，这样可以统一地采用SNMP网络管理方案进行方便的网络维护与管理。

3.1.1三层隧道协议

用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术，早已出现的RFC 1701 Generic Routing Encapsulation（GRE）协议就是一个三层隧道协议，此外还有IETF的IPSec协议。下面仅介绍GRE协议，IPSec协议将在第4节单独介绍。

GRE与IP in IP、IPX over IP等封装形式很相似，但比他们更通用。在GRE的处理

中，很多协议的细微差异都被忽略，这使得GRE不限于某个特定的“X over Y”应用，而是一种最基本的封装形式。

第9页，共21页

VPN技术白皮书

在最简单的情况下，路由器接收到一个需要封装和路由的原始数据报文（Payload），这个报文首先被GRE封装而成GRE报文，接着被封装在IP协议中，然后完全由IP 层负责此报文的转发。 原始报文的协议被称之为乘客协议，GRE被称之为封装协议，而负责转发的IP 协议被称之为传递（Delivery）协议或传输（Transport）协议。注意到在以上的流程中不用关心乘客协议的具体格式或内容。整个被封装的报文具有下图所示格式：

Delivery Header(Transport Protocol)GRE Header(Encapsulation Protocol)Payload Packet(Passenger Protocol)

GRE具有如下的优点：

图3 通过GRE传输报文形式

??多协议的本地网可以通过单一协议的骨干网实现传输； ??将一些不能连续的子网连接起来，用于组建VPN；

??扩大了网络的工作范围，包括那些路由网关有限的协议。如IPX包最多可以转发16次（即经过16个路由器），而在一个Tunnel连接中看上去只经过一个路由器。如下图所示：

RouterRouterTunnelRouterRouterRouter

图4 GRE tunnel连接示意图

第10页，共21页

VPN技术白皮书

Quidway系列路由器实现了以上的多种拥塞管理策略，能够在一定程度上满足

不同业务对不同服务质量的需求。

3.5配置管理

Quidway系列路由器支持标准的L2TP MIB以及IPSec相关的MIB，支持基于SNMP的远程设置与查询功能。并且对网络管理做了安全性方面的改进：

??支持HTTP方式的网管：通过任何一台支持浏览器的主机访问路由器，此时浏览器会弹出一个窗口，要求输入用户名与口令，对该用户名与口令验证通过后，路由器上的Applet下载到该浏览器上，可以通过这个Applet对路由器进行查询以及设置。在用户验证通过的同时，路由器会记录下这个用户的IP地址，形成一个临时的访问列表（Access-List）。这样，只有来自这个用户的查询及设置报文才能被允许执行，其他的则禁止进入。整个步骤的示意图如下所示：

1、用户发起连接请求2、提示用户输入用户名及口令3、用户输入用户名及口令Quidway Series Router4、验证通过，下载Applet，并记录该用户的IP地址5、用户进行相关操作

图7 通过HTTP设置示意图

?

??HTTP方式的网管指令加密传输。 ??查询及设置报文均带有数字签名。

??通过普通的SNMP网管站的主机只能对路由器做查询操作而不能做设置操作。

因VPN在地域上分布的广泛性以及VPN连接在时间上的不确定性，统一的VPN网络配置与管理很有必要。Quidway系列路由器建议企业在构建VPN的同时考虑统一网管的建设，具体包括以下内容：

第16页，共21页

VPN技术白皮书

? 采用分级、分权管理的方式对全国的VPN路由器进行统一配置管理，具有三级

设置的网管中心如图8所示。三级网管中心进行数据的收集与统计，然后层层向上汇总。收集的数据包括VPN的用户数量、每个VPN用户的流量以及其他一些感兴趣的数据。通过分级管理，一级网管中心就可以对全国

VPN用户的数量、流量做出统计，分析出全国各地的分布情况。 具体的VPN配置由三级网管中心负责，因为他们直接面对客户。

北京网管中心一级网管中心二级网管中心（省级）成都上海县2广州县1三级网管中心（县市）

图8 分级网管示意图

??如果VPN设备的数据配置需要全国统一管理，则建议采取数据管理与网络管理分离的方式：即设立单独的数管服务器，而网管服务器仍然采用分级管理的方式。

4Quidway系列路由器的VPN解决方案

Quidway系列路由器提出了各种有效的VPN解决方案，包括：

??Access VPN ??Intranet VPN ??Extranet VPN

??结合防火墙的VPN解决方案

第17页，共21页

VPN技术白皮书

4.1Access VPN

Access VPN最适用于公司内部经常有流动人员远程办公的情况。例如，公司

的外地出差员工需要从公司总部提取一定的关于客户的重要资料，一般情况就只能利用MODEM拨号方式连入公司的Intranet，利用Telnet、FTP或是其它网络服务获得资料。这种情况下企业必须负担昂贵的长途电话费用，同时这些客户资料的安全性得不到有力的保证，容易在传输的过程被截获，而这些资料更不能在WWW等不安全的地方放置。

如果采用Access VPN的组网模式就可以很好的解决这个问题，如图9所示。出差员工利用当地ISP提供的VPN服务就可以和公司的VPN网关建立私有的隧道连接，Radius服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。

图9 Quidway系列路由器Access VPN解决方案

4.2Intranet VPN

现在，越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。

第18页，共21页

VPN技术白皮书

利用VPN特性可以在Internet上组建世界范围内的Intranet VPN，如图10所示。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。

图10 Quidway系列路由器Intranet VPN解决方案

4.3Extranet VPN

随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理是企业发展中不可避免的一个关键问题。

第19页，共21页

VPN技术白皮书

利用VPN技术可以组建安全的Extranet，如图11所示，即可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。

图11 Quidway系列路由器Extranet VPN解决方案

4.4结合防火墙的VPN解决方案

VPN与防火墙的结合使用，可以利用防火墙的许多安全特性在VPN上建立更加

安全的网络环境，增强抵御“黑客”攻击、禁止非法访问的能力。

如图12所示，公司内部特定的用户可以访问Internet网络，但是Internet网络内的主机不能通过防火墙访问公司的内部网络，只被允许访问位于DMZ（非军事化区）的内部服务器主机（如WWW、FTP等服务器）。公司的外地办事处机构可以利用VPN和总部建立安全的私有隧道以访问总部的资源。

第20页，共21页

VPN技术白皮书

图12 Quidway系列路由器结合防火墙的VPN解决方案

5结论

Quidway系列路由器具有完善的VPN网关功能，是组建VPN的重要设备之一。 Quidway系列路由器支持各种VPN技术，这些技术包括隧道技术、IPSec、密钥

交换技术、防火墙技术、QoS与配置管理等，并还将发展并支持越来越多的先进技术，以期对VPN实现更好的支持，更加充分地发挥VPN在灵活性、经济性、扩展性等方面的优势，进一步提高VPN的安全性、可靠性与使用上的方便性。

第21页，共21页

本文来源：https://www.bwwdw.com/article/e78h.html