企业VPN建设术方案模板.docVIP

XX企业VPN建设技术方案 华为3Com技术有限公司 2004年8月 概述和需求分析 由于各种类型企业的业务模式和网络现状的不同，他们对VPN系统的需求也不尽相同。经过总结，可以把VPN需求归结为3类： VPN通道作为主链路的备份链路： 这种情况包括石化总部和各个分支结构的VPN通道，这种情况的建网模式通常是在总部和分支机构各放一个VPN网关设备，通过Internet形成VPN通道，对原来连接传统路由设备的DDN/SDH线路形成备份。 主链路和备份链路都是VPN通道： 这种情况的建网模式通常在总部放置两个VPN网关，在分支机构放置一个VPN网关，并和总部的两个VPN网关分别形成两个互为备份VPN通道，保证通道的高可靠性。 远程接入VPN： 这种需求通过在员工的客户机上安装VPN客户端软件，为企业员工提供移动办公的手段。技术建议和分析 在本节里，我们将根据在第一节里提到三种基本需求具体描述一下华为3Com的技术方案，并对相应的技术方案进行详细的分析。 VPN通道作为主链路的备份链路 具体的拓扑如图1所示。 图1、VPN通道作为备份链路的示意拓扑 在图1中，我们可以看到中石化总部和各个分支机构之间已经通路由器和传统的SDH/DDN链路进行互联，路由器通过运行动态路由协议维持对全网拓扑信息的动态感知并自动选路。在这种情况下，VPN通道是作为传统SDH/DDN链路的备份链路而引进的。 为了保证主链路发生故障时，流量能够自动切换到VPN通道上，我们必须充分利用动态路由协议的智能性。但是由于协议的局限性，动态路由协议，如OSPF协议，是没法把IPSEC隧道感知成一个“链路”的。因此，我们必须借助GRE隧道来实现OSPF穿越IPSEC隧道。也就是说，这里实现的技术模式是 OSPF over GRE over IPSEC。请参考图2。 图2 OSPF over GRE over IPSEC实现动态路由协议穿越IPSEC隧道 在图2中，分支机构的SECPATH100作为VPN网关和石化总部的SECPATH1000 VPN网关形成IPSEC VPN通道。VPN策略配置在SECPATH1000和SECPATH100各自的外网接口上。这里只需要总部的SECPATH1000具有固定Internet地址，而分支机构的SECPATH无论是静态的Internet IP，还是动态的Internet IP，都不影响VPN通道的建立。 在石化总部的SECPATH1000上配置loopback接口，假设为loopback1；在分支机构的SECPATH100上配置loopback接口，假设为loopback2；配置GRE通道，使得其一端为loopback1，另外一端为loopback2，并且承载在IPSEC VPN通道上。在GRE通道接口上启动OSPF协议，这样SECPATH1000和SECPATH100可以通过GRE通道交换动态路由协议。当主链路中断时，动态路由协议使得流量会自动切换到IPSEC VPN通道上面。 这里需要注意的石化总部和分支机构内网路由的部署。在图2中，如果石化总部和分支机构的内网交换机都支持动态路由协议，那么路由的变动对最终的用户来讲是透明的。用户计算机只需将网关指向内网交换机，交换机会通过动态路由协议选择正确的下一跳，并将用户的流量路由到正确的链路上。 如果石化总部或者分支机构的内网交换机不支持动态路由协议，那么内网交换机就无法动态获得正确的路由信息，这时必须使用静态路由（这里我们假设分支结构的内网交换机不支持动态路由协议）。如图3所示。 图3 VRRP协议的应用 在图3中，分支机构的内网交换机不支持动态路由协议，这时分支机构的路由器和SECPATH100之间运行VRRP协议形成冗余网关。SECPATH和路由器之间增加一条备份链路，提高了链路的可用性。从主链路到VPN通道的切换过程如下： 在VRRP的作用下，从分支机构到石化总部的流量首先流到分支路由器的内网接口上。 在主链路保持畅通的情况下，流量经过主链路从分支机构流向石化总部。 如果主链路发生中断，则分支机构路由器到石化总部的下一跳变成SECPATH100，流量方向为 用户计算机－分支路由器－备份链路－SECPATH100—GRE tunnel（over IPSEC VPN）—SECPATH1000—石化总部。 如果主链路恢复，这链路自动切换回主链路。 如果分支机构路由器内网接口发生故障，则在VRRP作用下，用户流量自动流向SECPATH100的内网接口。同样完成了自动切换。 主链路和备份链路都是VPN通道 如图4所示。 图4、VPN同时作为主链路和备份链路组网方案一 在图4中，云南分公司总部放置了两台SECPATH100 VPN网关，分支机构