华为VPN技术白皮书（最新修正版） (2)

VPN技术白皮书

按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

一般地，二层和三层的QoS具有以下功能：

??流分类：根据不同的用户、应用、服务器或URL地址等对数据流进行分类，然后才可以在不同的数据流上实施不同的QoS策略。流分类是实现带宽管理以及其他QoS功能的基础。ACL就是流分类的手段之一。

??流量整形与监管：流量整形是指根据数据流的优先级，在流量高峰时先尽量保证优先级高的数据流的接收/发送，而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送，使网络上的流量趋于稳定；流量监管则是指带宽大的路由器限制出口的发送速率，从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包，消除网络瓶颈。

??拥塞管理与带宽分配：根据一定的比例给不同的优先级的数据流分配不同的带宽资源，并对网络上的流量进行预测，在流量达到上限之前丢弃若干数据包，避免过多的数据包因发送失败同时进行重传而引起更严重的资源紧张，进而提高网络的总体流量。

2.3 VPN管理

VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户

和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。

VPN管理的目标为：

??减小网络风险：从传统的专线网络扩展到公用网络基础设施上，VPN面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时，还要确保公司数据资源的完整性。

??扩展性： VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应，包括网络硬、软件的升级、网络质量保证、安全策略维护等。

??经济性：保证VPN管理的扩展性的同时不应过多地增加操作和维护成本。 ??可靠性：VPN构建于公用网之上，不同于传统的专线广域网，其受控性大大降低，故VPN可靠而稳定地运行是VPN管理必需考虑的问题。

第6页，共21页

VPN技术白皮书

??VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。

3 Quidway系列路由器的VPN技术

Quidway系列路由器所采用的VPN技术主要包括：

??隧道技术 ??IPSec

??密钥交换技术 ??防火墙技术 ??QoS ??配置管理

3.1 隧道技术

对于构建VPN来说，网络隧道(Tunneling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议，网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。

现有两种类型的隧道协议：一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建Access VPN和Extranet VPN；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建Intranet VPN和Extranet VPN。 3.1.1 二层隧道协议

二层隧道协议主要有三种：PPTP（Point to Point Tunneling Protocol，点对点隧道协议）、L2F（Layer 2 Forwarding，二层转发协议）和L2TP（Layer 2 Tunneling

Protocol，二层隧道协议）。其中L2TP结合了前两个协议的优点，具有更优越的特

性，得到了越来越多的组织和公司的支持，将是使用最广泛的VPN二层隧道协议。

下面简单介绍一下L2TP网络协议。应用L2TP构建的典型VPN服务的结构如下图所示：

第7页，共21页

VPN技术白皮书

远端用户PCLACInternet骨干网PSTN/ISDNLNSL2TP通道接入服务器远地分支机构内部服务器

图2 典型拨号VPN业务示意图

其中，LAC表示L2TP 访问集中器（L2TP Access Concentrator ），是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器NAS（Network Access Server），它通过PSTN/ISDN为用户提供网络接入服务；LNS表示L2TP网络服务器（L2TP Network Server），是用于处理L2TP协议服务器端部分的软件。

在一个LNS和LAC对之间存在两种类型的连接，一种是隧道（tunnel）连接，它定义了一个LNS和LAC对；另一种是会话（session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。在一个隧道连接上可以承载多个会话连接。L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。L2TP消息可以分为控制消息和数据消息两种类型。控制消息用于隧道连接和会话连接的建立与维护；数据消息则用于承载用户的PPP会话数据包。

控制消息中的参数用AVP值对（Attribute Value Pair）来表示，使得协议具有很好的扩展性；在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性。L2TP数据消息的传输不采用重传机制，所以它无法保证传输的可靠性，但这一点可以通过上层协议如TCP等得到保证；数据消息的传输可以根据应用的需要灵活地采用流控或非流控机制，甚至可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流控功

第8页，共21页

VPN技术白皮书

能；在采用流控的过程中，对于失序消息的处理采用了缓存重排序的方法来提高数据传输的有效性。

L2TP还具有以下几个特性：

??安全的身份验证机制：与PPP类似，L2TP可以对隧道端点进行验证。不同的是PPP可以选择采用PAP方式以明文传输用户名及密码，而L2TP规定必须使用类似

PPP CHAP的验证方式。

??内部地址分配支持：LNS放置于企业网的防火墙之后，可以对远端用户的地址进行动态分配和管理，还可以支持DHCP和私有地址应用（RFC1918）。远端用户所分配的地址不是Internet地址而是企业内部的私有地址，方便了地址管理并可以增加安全性。

??网络计费的灵活性：可以在LAC（一般为ISP）和LNS（一般为企业）两处同时计费，前者用于产生帐单，而后者用于付费及审记。L2TP能够提供数据传输的出入包数、字节数及连接的起始、结束时间等计费数据。

??可靠性：L2TP协议可以支持备份LNS，当一个主LNS不可达之后，LAC（接入服务器）可以重新与备份LNS建立连接，以增加VPN服务的可靠性和容错性。

??统一的网络管理：L2TP协议已成为标准的RFC协议，有关L2TP的标准MIB也已制定，这样可以统一地采用SNMP网络管理方案进行方便的网络维护与管理。

3.1.1三层隧道协议

用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术，早已出现的RFC 1701 Generic Routing Encapsulation（GRE）协议就是一个三层隧道协议，此外还有IETF的IPSec协议。下面仅介绍GRE协议，IPSec协议将在第4节单独介绍。

GRE与IP in IP、IPX over IP等封装形式很相似，但比他们更通用。在GRE的处理

中，很多协议的细微差异都被忽略，这使得GRE不限于某个特定的“X over Y”应用，而是一种最基本的封装形式。

第9页，共21页

VPN技术白皮书

在最简单的情况下，路由器接收到一个需要封装和路由的原始数据报文（Payload），这个报文首先被GRE封装而成GRE报文，接着被封装在IP协议中，然后完全由IP 层负责此报文的转发。 原始报文的协议被称之为乘客协议，GRE被称之为封装协议，而负责转发的IP 协议被称之为传递（Delivery）协议或传输（Transport）协议。注意到在以上的流程中不用关心乘客协议的具体格式或内容。整个被封装的报文具有下图所示格式：

Delivery Header(Transport Protocol)GRE Header(Encapsulation Protocol)Payload Packet(Passenger Protocol)

GRE具有如下的优点：

图3 通过GRE传输报文形式

??多协议的本地网可以通过单一协议的骨干网实现传输； ??将一些不能连续的子网连接起来，用于组建VPN；

??扩大了网络的工作范围，包括那些路由网关有限的协议。如IPX包最多可以转发16次（即经过16个路由器），而在一个Tunnel连接中看上去只经过一个路由器。如下图所示：

RouterRouterTunnelRouterRouterRouter

图4 GRE tunnel连接示意图

第10页，共21页

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新小学教育华为VPN技术白皮书（最新修正版） (2)全文阅读和word下载服务。