MPLS与VPN特性

L2TP

USG支持使用L2TP(Layer Two Tunneling Protocol)协议构建VPDN(Virtual Private Dial Network),利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,为企业、小型ISP、移动办公人员提供接入服务。

USG支持作为LNS和LAC设备,支持以下三种典型的隧道模式:

图1 NAS-Initialized方式的L2TP隧道示意图

图1所示,远端系统通过PSTN/ISDN拨入LAC,由LAC(NAS)通过Internet向LNS发起建立隧道连接请求。由LNS为拨号用户分配私有IP地址,对远程拨号用户的验证既可由LAC侧的代理完成,也可在LNS完成。

图2 Client-Initialized方式的L2TP隧道示意图

图2所示,LAC客户可直接向LNS发起隧道连接请求,无需再经过一个单独的LAC设备。在LNS设备上收到了LAC客户的请求之后,根据用户名、密码进行验证,并且为LAC客户分配私有IP地址。

LAC自主拨号方式:用户通过配置命令触发建立LAC与LNS之间的永久性L2TP会话。LAC使用存储在本地的用户名通过虚模板接口和LNS建立一个永久存在的L2TP隧道,此时的L2TP隧道就想当于一个物理连接,出接口是虚模板接口。用户与LAC之间的连接就不受限于PPP连接,而只要是一个IP连接即可,这样LAC能够将用户的IP报文转发到LNS。

IPSec

IPSec协议族是IETF制定的一系列协议,它为IP报文提供了高质量的、可互操作的、基于密码学的安全保护机制。特定的通信双方在IP层通过加密与数据源验证等方式,保证报文在网络中传输时的私有性、完整性、真实性和防重放。

USG可以通过硬件加密提供IPSec安全机制,为通信双方提供访问控制、完整性、数据来源认证、防重放、加密以及对数据流分类加密等服务。通过AH(Authentication Header)和ESP(Encapsulating Security Payload)这两个安全协议来实现对IP数据报或上层协议的保护,支持传输和隧道两种封装模式,如图3所示。

图3 IPSec隧道示意图

USG还支持使用IKEv2协议进行IPSec隧道协商。IKEv2协议保留了IKE的基本功能,并针对IKE研究过程中发现的问题进行修订。同时兼顾简洁性、高效性、安全性和健壮性的需要,整合了IKE的相关文档,由RFC 4306单个文档替代。通过核心功能和默认密码算法的最小化规定,新协议极大地提高了不同IPSec VPN系统的互操作性。

IKEv2与传统IKE相比有以下优点:

  • 用4条消息就可以完成一个IKE SA和一对IPSec SA的协商建立,提高了协商效率。
  • 删除了原有协议中的DOI、SIT以及域名标识符、提交位这些功能不强且难以理解、容易混淆的数据结构。
  • 修复了多处公认的密码学方面的安全漏洞,提高了安全性能。
  • 定义了独立的通讯量选择载荷,分担了原有ID载荷的部分功能,增加了协议灵活性。
  • 加入对EAP身份认证方式的支持,提高了认证方式的灵活性和可扩展性。

USG的IPSec支持CA证书。

USG不仅可以通过IPSec为用户提供高可靠的安全传输通道,而且还支持IPSec结合L2TP和GRE构建多种VPN应用:

  • L2TP over IPSec VPN
  • GRE over IPSec VPN

GRE

USG系列支持使用通用路由封装GRE(Generic Routing Encapsulation)协议对某些网络层协议的数据报进行封装,使这些被封装的报文能够在另一网络层协议中传输。

GRE可以作为VPN的第三层隧道协议,在协议层之间采用了Tunnel技术。Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。

USG支持使用通用路由封装GRE(Generic Routing Encapsulation)协议对某些网络层协议的数据报进行封装,使这些被封装的报文能够在另一网络层协议中传输。

DSVPN

DSVPN(Dynamic Smart Virtual Private Network),即动态智能VPN,是一种在Hub-Spoke组网方式下,为公网地址动态变化的分支之间建立VPN隧道的解决方案。

图4所示是一个采用DSVPN技术构建的VPN网络。在该网络中,当源Spoke(隧道发起方)需要向目的Spoke(隧道响应方)发送流量时,源Spoke将通过NHRP协议获取目的Spoke的公网地址,并与目的Spoke建立动态MGRE隧道。隧道建立完成后,Spoke与Spoke之间的流量将通过新建的动态MGRE隧道直接发送给对方。并且网络节点间使用MGRE隧道以后,每个VPN网关上只需配置一个Tunnel接口(P2MP类型)即可以与多个对端建立隧道,从而减少了配置隧道的工作量。

图4 Hub-Spoke组网方式下的DSVPN网络

SSL VPN

  • 虚拟网关

    USG系列中,SSL VPN功能模块建立的通道称为虚拟网关。USG系列通过虚拟网关为用户提供SSL VPN服务。USG系列作为一个物理实体,可以通过虚拟网关技术虚拟为多个逻辑上独立的网关,各虚拟网关的配置和提供的服务互相独立,以提供给多个企业或者一个企业的多个部门使用。

    比如,某个大型企业有多个部门,每个部门有各自的员工,部门间能够访问的资源和服务也各不相同,每个部门有自己的访问控制规则。在这种情况下,可以为每个部门分配一个虚拟网关,每个虚拟网关都是独立可管理的,可以配置各自的用户、资源和策略规则,形成独立的访问体系。而每个部门的感觉就像各自在使用一个独立的网关一样高效、安全。

    虚拟网关按照IP地址和域名的分配情况分为独占型和共享型。独占型虚拟网关独占一个或多个IP地址和域名;多个共享型虚拟网关共享同一个IP地址,具有相同的父域名,通过子域名来区分各虚拟网关。

  • Web代理

    Web代理提供外部客户端和内部局域网Web服务器通信中转功能,避免局域网Web服务器直接暴露给外网攻击者,为局域网Web服务器提供理想的安全保护。

    Web代理是指通过USG系列可以安全的访问内网Web资源,包括Webmail和Web服务器,它将来自远端浏览器的页面请求(采用HTTPS协议)转发给内网Web服务器,然后将服务器的响应回传给终端用户。

    用户只要在USG系列的虚拟网关客户端Web页面上安装控件后即可访问Web资源。

  • 网络扩展

    网络扩展功能通过建立SSL(Secure Socket Layer)隧道,实现了对所有基于IP的内网业务的全面访问。用户远程访问内网资源就像访问本地局域网一样方便,适用于各种复杂的业务功能。

    网络扩展提供了两种使用方式,用户可以通过登录USG系列客户端页面,安装ActiveX控件启用网络扩展服务,或者下载安装独立的网络扩展客户端软件。

    网络扩展支持三种访问模式:

    • 全路由模式

      用户只与USG系列建立网络连接,只能对企业内网进行访问。

    • 分离模式

      用户不仅能够经过USG系列安全远程访问企业内网,同时也可以访问本地子网。

    • 手动模式

      用户不仅能访问企业内网的特定资源、本地子网,还能访问Internet的各种资源。

  • 端口转发

    端口转发业务是提供基于TCP的应用程序的安全接入,是一种非Web的应用方式。

    使用端口转发时,通过在客户端安装ActiveX控件来侦听用户发起的TCP服务请求,控件将截获的数据流经SSL加密后传送给USG系列,由USG系列解密并解析后传送给相应的应用服务器。端口转发在应用层对用户访问进行控制,控制是否提供各种应用的服务,如:Telnet、远程桌面、FTP(File Transfer Protocol)、Email等服务。

    USG系列支持:

    • 单端口单服务器应用,如MS RDP、Telnet、SSH、VNC(Virtual Network Computing)
    • 单端口多服务器应用,如Lotus Notes
    • 动态端口应用,如FTP、Oracle
    • 多端口应用,如Email
  • 文件共享

    文件共享的主要功能是将不同的文件服务器(如支持SMB协议的Windows系统、支持NFS协议的Linux系统)的共享资源以网页的形式提供给用户访问。

    用户直接通过浏览器就能在内网文件系统上创建和浏览目录,进行下载、上传、改名、删除等文件操作,就像对本机文件系统进行操作一样方便安全。

MPLS

MPLS是一种结合了IP技术信令简单和ATM交换引擎高效的优势的新技术。MPLS VPN可以将现有的IP网络分解成逻辑上隔离的虚拟网络,在VPN、TE、QoS等方面具有广泛的应用。

MPLS域中参与MPLS转发的设备都需要配置MPLS基本功能。并且,只有配置了MPLS基本能力后,才能进行MPLS其他特性的配置。静态LSP(Label Switched Path)不能使用标签发布协议动态建立,需要由管理员手工配置。配置静态LSP时,管理员需要为各LSR手工分配标签,需要遵循的原则是:前一节点出标签的值等于下一个节点入标签的值。

静态LSP上的各LSR之间不能相互感知整条LSP的情况,因此静态LSP是一个本地概念。

LDP协议是创建动态LSP的一种方法。当不需要严格控制LSP建立的过程,且不需要在MPLS网络中部署流量工程时,建议采用LDP协议来创建LSP。

BGP MPLS IP VPN

BGP/MPLS IP VPN 是提供商VPN 解决方案PPVPN(Provider Provisioned VPN)中一种基于PE的L3VPN技术。它使用BGP在服务提供商骨干网上发布VPN路由,使用MPLS在服务提供商骨干网上转发VPN报文。

BGP/MPLS IP VPN组网方式灵活、可扩展性好,并能够方便地支持MPLS QoS,因此得到越来越多的应用。

图5 L3VPN隧道示意图

BGP/MPLS IP VPN模型由三部分组成:CE、PE 和P。

  • CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商SP(Service Provider)网络相连。CE可以是USG或交换机,也可以是一台主机。通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLS。
  • PE(Provider Edge):服务提供商边缘设备,是服务提供商网络的边缘设备,与CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE上。
  • P(Provider):服务提供商网络中的骨干设备,不与CE直接相连。P设备只需要具备基本MPLS转发能力,不维护VPN信息。
  • Site:指相互之间具备IP连通性的一组IP系统,并且这组IP系统的IP连通性不需通过服务提供商网络实现。Site通过CE连接到服务提供商网络,一个Site可以包含多个CE,但一个CE只属于一个Site。

发表评论

电子邮件地址不会被公开。