组建大型VPN网络解决方案

WatchGuard组建大型VPN网络解决方案

　　很多公司有着遍布全国乃至全球的办事机构，这些公司和办事机构必须通过有效而安全的手段连接在一起，共享内部数据资源，VPN 是最好的实现方式。某公司于2004 年被Photon International 评为全球前十位太阳电池制造商，2005 年位居世界同行第八。作为全球知名企业，该公司在企业内部网络通讯方面投入了巨资，采购多台WatchGuard 设备组建公司的VPN 网络。
　　

　　案例特点

　　WatchGuard 集中化管理系统，可以使管理员在总部通过图形化界面管理分布在各地的Firebox 设备；
　　方便、灵活、快捷地管理VPN 隧道，管理员无需繁琐地配置VPN 参数，只需要使用鼠标拖拽Firebox 的图标，即可完成VPN 隧道的建立；

　　Firebox 设备的多广域网链路接入功能，保证了Internet 的24 小时连接；
　　Firebox 的VPN 网关故障切换，确保了VPN 网络24 小时的连通性；
　　网关防病毒、入侵防御系统，将不安全隐患隔离在网关之外，有效地保护了企业内部及各分支机构的内网安全；
　　中心集中化的日志服务器，可以让管理员全面掌握各分支机构网络的使用情况；
　　VoIP 应用系统在VPN 网络中得到充分的利用；

跨国公司及大型企业站点式IPSec VPN

分支机构结构：

根据分支机构的大小，在每个分支的出口都安装一台Juniper 防火墙/VPN 设备，提供VPN 接入功能。

所有部署在分支机构的Juniper 防火墙设备，首先必须在网络层上可以与中心点（逻辑意义）通信，黑色连接实线表示其与Internet 或其他广域网连接示意。

Juniper 防火墙支持多种Internet 接入方式：

■窄带拨号方式（对SSG 5/20 产品作为可选件提供，一般作为备份链路）

■PPPOE 动态拨号方式，适应于ADSL 拨号机构

■DHCP 自动获取得地址，适应用城域网、有线电视宽带网、小区宽带网等机构

■静态地址分配，适应于专线接入Internet、固定IP ADSL 线路等机构

中心点结构：

中心点为各分支机构数据的集中控制点，数据流量较大，并且要求性能更高，建议采用以下方式提高系统稳定性：

■采用高性能系统级产品，以满足性能、稳定性需求

■满足中心点系统的高可靠性，建议中心节点建立HA 冗余节点。由于最多时中心点要终结1000 多条VPN，切换时防火墙必须能够提供保持VPN 连接信息状态的同步，否则重新同时进行1000VPN SA 的协商会导致长时间的延迟。

VPN 建立

在每个分支节点与中心点之间建立VPN连接，如图中虚线所示，并且通过采用Juniper 以下 VPN 技术，建立可扩展性、可管理性VPN 网络。

基于路由的VPN 链路

在分支机构与中心点防火墙建立的VPN 通道绑定到一个或多个逻辑端口上（中心点防火墙的每个逻辑接口可以绑定一定数量的分支机构的VPN 连接），VPN 数据包基于路由查找转发，更有利于防火墙安全策略的修改、配置，不影响现有网络应用。

动态路由协议

VPN数据包除了通过静态路由进行转发外，如果在防火墙上启用动态路由协议，如Juniper 防火墙支持的OSPF, BGP, RIPv2 等多种路由协议，根据VPN 通道链路的建立与断开状态，防火墙自动维护动态路由表，保证基于路由VPN 查找时路由路径的准确，减轻网管人员工作量。

路径监控

对于线路故障多发的链路，对防火墙实施VPN 路径监控，使得VPN 的故障可以最短时间反映到静态路由或动态路由上。

HUB&SPOKE 星型结构

各分支机构与中心点呈hub星型连接，分支机构之间一般数据访问较少，从安全角度考虑，分支机构间需要数据传输时，需要通过中心点路由中继完成，由于中心点防火墙设备集群可以通过Juniper 防火墙的NSRP 协议基于状态对所有VPN 进行设备间的透明切换，所以中心防火墙不是单点故障设备。

通过这些VPN，可以完成以下功能：

■所有分支机构LAN 与中心点LAN 之间加密、认证的通信都通过VPN 直接传送。

■所有分支点的LAN相互之间的加密、认证的通信可以先通过直接的VPN 到达中心点，然后由中心点转发到相应的其他分支点。即采用路由的虚拟连接，也称作Hub&Spoke 方式的VPN 连接（如图中黑色虚线）。既解决了网状连接的VPN 数量多、难以管理的问题，由可以通过中心点设备更好地控制分支点之间的数据访问权限。

■为防止因为各种原因导致中心点防火墙不可访问，从而造成分支点之间的互访障碍，可以配置一个冗余的中心，提高整个网络的高可用性（如图中右端的设备及其VPN 连接）。Juniper支持这种备份方式的VPN冗余配置结构，而且故障切换对于所有VPN 不造成影响。

■Juniper 支持NAT-Traversal 方式的VPN。建立IPSec VPN 的两台设备，如果其中一台在NAT 设备后面，IPSec的认证机制会阻碍VPN 的建立。NAT-Traversal 方式可以使两台NetScreen设备自动发现它们之间的NAT设备，采取自动添加UDP 包头的方式解决问题。

■Juniper 基于Policy 的地址翻译，可以解决由于分支点之间地址冲突导致的VPN 定义问题，为今后如企业并购等引起的网络调整可以达到最小的影响。

■特殊需求情况下，可以直接建立不经过中心的直接的分支点之间的LAN-to-LAN 加密VPN 连接。

■可以采取证书认证的方式保证VPN 建立的合法性。Juniper 支持Entrust、Microsoft 等大多数常用的CA 体系。

防火墙/VPN 集中管理

在防火墙系统的管理上，有分散和集中两种方式。Juniper 设备在管理方面的实现很受用户欢迎。

分散方式让用户分别管理每台防火墙。优点是符合大多数人的思维习惯，管理灵活。

命令行方式，可以通过Console接口、Telnet（23）或安全的SCS方式对设备进行管理、排查故障等。命令行方式可以完成所有的配置、检查、排错等工作。

浏览器方式，可以使用户使用通用的Web界面对设备进行配置、查询。浏览器方式支持HTTP（80）和HTTPS（443）。NetScreen 的浏览器管理方式实用性很好，具有良好的用户反馈。所有管理接口使用的端口号可以根据需要改变。

单机管理的分散方式在大型网络应用实施中存在一定的缺点，许多资源的定义重复（如地址本、协议等），相应提高了整体的管理成本；其次，当下属企业较多时，由于各自制定安全策略，存在安全隐患较大，同时，当出现安全问题时，由于没有实现统一监控，很难判断问题出现在何处，从而不能及时解决问题，建立企业级VPN 网络建议采用工程实施和日常监控时采用宏观的集中方式管理，但是在解决特殊问题时要结合基于命令行和浏览器方式的微观的分散管理进行，特别是命令行方式。这是因为IPSec VPN网络有其内在的复杂性，各网点实际环境和实验室环境往往不尽相同，而一条VPN 能否建立起来，取决于很多复杂因素，单单依靠图形界面（集中方式或浏览器方式）是无法获得足够的原始信息的进行分析的。Juniper的SSG 5/20防火墙虽然是Juniper 较低端的防火墙设备，但是和其他厂家的低端产品不同（基于成本因素，其他厂家往往在低端产品上省略了命令行管理查错功能，以及其他的高端产品的功能），却具备了和高端产品（如NS5200）完全一样的命令行功能，可以有效地对VPN 建立的全过程进行命令行上的debug和snoop，并将输出信息有效过滤，传送到TFTP 服务器上，给维护人员提供故障分析的原始数据。这种将单机管理（命令行）和集中管理结合的维护方式对VPN 大网的部署和维护特别有利。

集中方式从宏观全局的角度对所有防火墙实现集中的管理，集中制定安全策略。

Juniper 防火墙可实现通过Netscreen-Security Manager 专用网管工具集中管理。

Juniper的安全管理系统NetScreen-Security Manager是Juniper 针对防火墙/IDP 进行从设备物理层、到路由、到策略、VPN 等全面进行管理的工具。它具有集中的设备配置/ 维护、故障/ 事件管理、基于角色的监控、使用跟踪以及报表等功能。NetScreen-Security Manager提供了中央配置管理功能，可以高效地把数百条、甚至数千条策略分发到各设备或设备群组。

NetScreen-Security Manager系列的关键性能在于它能够通过简便操作、直观的策略管理用户界面，迅速为设备完成部署。用户只需一次性地定义一条策略，然后将其映射采用到多个设备中。简言之，NetScreen-Security manager为设备部署提供高度易操作性与灵活性，减少管理工作。

针对IPSec VPN 大网的建立，NetScreen-Security manager 提供一系列的方便的管理和实施工具，包括：

快速部署功能

管理员可以利用NSM的快速部署功能一次配置在NSM里产生多达1000个设备（通过一个.csv文件的导入实现），对分支机构的VPN 网关进行初始配置，形成相应的configlet 文件，将configlet 文件发给本地人员，本地人员通过PC 的浏览器对出厂配置的设备（缺省E1/MGT 的IP 地址是192.168.1.1）进行基于浏览器的configlet 导入，启动后设备会自动联上NSM，NSM 对设备对其进行远程管理。

如果需要对设备进行升级，NSM 可以批量地将升级版本的操作系统发到大量设备上。Juniper的升级版本的操作系统文件很小，而功能却是完整的FW/VPN/Routing 的功能。

VPN manager 功能

VPN Manager 是针对建立大型VPN 网络快速实施的功能，管理员通过VPN Manager，可以在系统层面对VPN 里的所有设备进行统一的自动配置，包括连接、通道、和策略。VPN Manager支持AutoKey IKE VPN，可以实施基于路由的VPN 模式或基于策略的VPN 模式，也可以支持二者的混合，即路由模式的VPN 成员和策略模式的VPN 成员之间建立VPN。对于大型VPN 网络我们建议使用VPN Manager来快速实施VPN 配置，通过简单地定义受保护区域、VPN 类型等对象，一次性配置多台VPN 网关设备的VPN。

配置实施和管理

管理员可以通过NSM 对设备进行全方位的配置和管理，包括：接口、安全区、动态路由、组播、地址翻译、策略、冗余等，在给设备推送配置修改之前，可以让管理员了解NSM 上的配置和设备上的配置的区别，如果在推送配置的过程中发生线路等故障，设备不会使用推送了一半的配置。

监控和日志

NetScreen-Security Manager 的报表分析功能使它更加有价值。通过集中的日志收集、存储、分析、报表，可以提供专业的日志处理功能，并根据用户的喜好生成灵活的报告方式以及趋势分析。

NetScreen-Security Manager 提供对设备的集中、实时的监控，以及集中的设备维护如升级等。

NetScreen-Security Manager还可为数量众多的移动VPN用户提供安全、方便的集中管理。NetScreen-Security Manager 的这种Authentication and Go工作模式解决了众多的移动用户带来的配置繁琐、安全性差等缺点。

NetScreen-Security Manager的专业特点还在于它可以将管理者的权限进行详细的限定，实现基于角色的多级别管理和授权。

NetScreen-Security Manager 是一个三层体系结构。

NetScreen-Security Manager的体系结构包括一个设备服务器端、一个GUI 服务器端和一个小型用户界面(UI)。为了满足IT 人员的不同管理需求，同时保持灵活性和高性能，公司作出了一个基本的体系结构设计决策，即将所有设备相关功能都放到设备服务器上，同时将所有集中配置功能都放到GUI服务器上。设备服务器和GUI 服务器的分离可以实现很高的性能和灵活性。在成本和/ 或简便性是主要要求时，设备和GUI服务组件可以位于同一服务器上。而当性能和部署灵活性更为重要时，它们可以部署在不同服务器上。UI可以为管理员提供到所有信息和系统功能的单一接入点而不受所选择的设备和GUI 服务器部署的影响。通过利用GUI服务器的计算功能来支持大多数负载，对最终用户系统的影响可以减小到最低。

NetScreen-Security Manager 中的所有3 个层都通过一条基于TCP 的通信信道连接，通过AES 加密SHA-1 认证受到保护。通过在通信信道中嵌入类似IPSec VPN 的安全性，用户可以轻松地在大多数网络环境中部署安全管理.

产品选择

中心端设备

中心端设备采用SSG 550 安全业务网关产品，为了提供系统高可靠性，选择两台SSG 550 安全网关建立系统冗余结点。为了扩充系统接口，提供系统扩充性，每台设备添加GE 接口模块。

SSG系列安全网关具备防病毒、入侵防护、防垃圾邮件、网页过滤等全面的内容安全功能，非常适合放在Internet 边界。

远端产品

各分支机构远端选择SSG 5/20 防火墙产品，SSG 5/20 防火墙为对SOHO 办公室及小型办公室提供防火墙、VPN、IDP 等多种防护的安全产品。

SSG 5/20 防火墙具备防病毒、入侵防护、防垃圾邮件、网页过滤等全面的内容安全功能，非常适合放在Internet 边界。

集中管理平台

选择NetScreen-Security Manager 建立防火墙/VPN 系统集中管理平台，NetScreen-Security Manager 可扩充到可管理6000 个防火墙站点的企业版本。转自：杜松之家。

iSTAR助大型制造业实现VPN解决方案分析

　　VPN技术是一种远程访问技术，在企业中应用十分广泛。由于企业规模的不断扩大，在离总部比较远的地方开设新的分公司也需要组建网络，但这种网络与总部的网络有所不同，如果在分公司建立与总公司一样的网络不但浪费资金，并且不能实现两个网络资源共享。所以在这里我们就需要VPN技术，通过VPN技术我们可以在远程分公司建立一个小型的网络，并且实现远程分公司访问总部网络资源，实现资源共享。目前的VPN技术主要分为两种，IPSec VPN和SSL VPN。IPSec VPN的优点在于技术十分成熟，可靠性非常强，但这种访问技术使远程访问点必需安装专门的软件才能访问企业内部资源，如果有些用户不在企业内上网，那么就需要在其他地点安装专门的软件，给用户带来了极大的不便。SSL VPN技术虽然是一种比较新的远程访问技术，但这种访问技术不需要在远程访问点上安装专门的软件，只需要通过WEB浏览器就可访问企业内部资源，给企业用户带来了方便。所以SSL VPN技术大有代替IPSec VPN技术的势头，成为新一代的远程访问主流技术。下面这套方案就是基于SSL VPN技术下的远程解决方案，我们仔细来看看这套方案。

　　这套方案首先对需要使用VPN技术的企业作了个简单介绍，然后转回到对企业需要使用VPN技术的需求分析上。在这里，主要有两个方面的分析，第一点是对企业现有网络体系进行了简单分析，提出这家企业需要使用VPN技术；第二点则主要是对比IPSec VPN和SSL VPN两种远程访问技术的优劣，当然对比之后的结果就是IPSec VPN技术不太适合这家企业。

　　在对企业情况进行分析之后，方案进入正题，组建SSL VPN，其实组建SSL VPN十分简单，只需要在企业网络中合适的位置布置一台SSL VPN设备就可以了，这样就直接牵涉到SSL VPN设备，实际上这也是SSL VPN技术的核心。iSTAR UU200这款SSL VPN设备也就浮出了水面，对于这款产品，该方案并没有作详细介绍，只是简单介绍了一下的它连接情况，其实SSL VPN设备的选择还是要根据用户具体的情况来决定。而这套方案由于是针对具体的企业，所以，它的实用性比较高。

　　在SSL VPN组建成功之后，我们就需要了解这套方案的特点。在文中对此也作了介绍，但从它介绍的这些特点来看，只能说是SSL VPN设备的通用功能，只要是SSL VPN设备，都具有这些特点，所以该SSL VPN设备并没有什么真正的突出特点。方案中的最后一部分也就是一些废话了，主要介绍的这个方案应用在企业中的效果。

总的来说，这套方案表现得中归中举，没有什么特色之处，推出的设备也只能说普普通通，它具有的功能都是SSL VPN设备的通用功能，任何一款SSL VPN都具有这种能力，没有在其他方面有什么突出的地方。

华为IP城域网MPLSVPN解决方案

一、概述

　　综合分析市场需求和技术发展趋势，华为公司在网络操作系统VRP和相关网络产品的基础上推出了MPLS VPN，包括MPLS/BGP VPN、Kompella MPLS L2 VPN方案，为用户提供商用的MPLS VPN业务。如图1所示，华为MPLS VPN采用城域网核心层设备做为P设备，采用城域网汇聚层设备做为PE设备，用户CE设备通过城域网接入层接入PE，全面实现MPLS VPN业务的运营。

word/media/image3.gif

　　对于MPLS BGP VPN组网方式而言，由于CE、PE设备之间不能间隔其他三层设备，因此，在IP城域网组网时必须注意：对于通过L2+L3接入PE的LAN用户，可通过VLAN透传将CE的数据流终结到PE设备；对于采用路由器+L2建设的城域网，可通过GRE+策略路由的方式将VPN用户接入PE设备；对于使用综合方式接入的用户，可在PE设备终结PVC来实现VPN业务。

　　通过MPLS VPN技术，华为IP城域网方案可以提供企业内部互连（Intranet）、外部互连（Extranet）、Internet访问、跨AS域支持、网管和记费等服务。

　　二、企业内部互连与外部互连

　　实现企业内部跨区域互连或企业间跨区域互连是MPLS VPN的主要应用之一，根据企业用户的实际业务需求，可以通过VRF中Target属性（Import、Export）的灵活配置来实现。

　　■ 企业跨区域内部互连需求

　　许多跨区域的大中型企业，希望将分布在各地区的子公司通过网络连接起来，图2和图3是华为提出的两种典型的实现方案。

word/media/image4.gif

　　在图2中，各PE VRF中的Target属性相同，这种配置可以实现总部与分公司，分公司与分公司之间的互访，图3所示的方案可以实现总部与各分公司之间的互访，而各分公司之间不能互访。当然，通过对Target的不同配置，还可以实现更多的应用需求，如实现部分站点互访的需求。

　　■ 企业间互连需求

　　许多企业为了方便与供应商、客户或合作伙伴进行联系，往往采用跨企业的网络实现互连，这就是所谓的Extranet。如果企业之间准许实现完全互访，则通过简单地配置Target属性即可实现，但实际上大多数企业更倾向于企业间的受限访问方案。例如，企业希望合作企业只能访问到某些相关的数据库，图4所示的HUB-SPOKE方案可以实现这种需求。

word/media/image5.gif

　　在图4中，两个SPOKE分别对应两个企业的Site。为了实现受限互通的目的，首先将两个Site中的路由通过IN接口导入CE设备的路由器中，CE设备采用策略路由等路由过滤机制，当然也可以在SPOKE处首先进行路由出过滤，然后从OUT出口将过滤后的路由发布到SPOKE上，实现企业之间的受限访问。

　　三、Internet访问

　　Internet访问是MPLS服务提供商为企业用户提供的重要业务，华为在综合考虑地址重叠、访问控制和安全因素等基础上，提供以下三种解决方案。

　　■ 企业内部访问控制方式

word/media/image6.gif

　　如图5所示，这种方式在每个企业的VPN内部对Internet访问设置NAT和防火墙处理，将安全机制放于企业的统一出口处（CE2）。VPN内部各Site访问Internet的数据流，首先到该VPN的某一Site中（一般为公司总部Site），在该Site进行NAT和防火墙处理后进入公网。这种方式只要求在客户端进行配置，而对于运营商一侧，网络没有配置要求，但对运营商来说，这种方式无法对客户访问Internet进行统一管理。

　　■ 集中访问控制方式

word/media/image7.gif

　　如图6所示，这种方式的控制集中放置在服务提供商的Internet出口处（PE），为了解决各VPN重叠保留地址的问题，必须为每个VPN配置一个防火墙，各VPN用户通过属于自己的防火墙实现Internet访问。这种方法要求运营商为每个VPN配置一个访问Internet的VPN，在客户端需要配置一条访问Internet VPN的缺省路由，由于该方法要求运营商进行配置，而且每个VPN都需要一个防火墙，因此当VPN用户较多时网络投资较大，但这种方法允许运营商对VPN用户访问Internet进行有效的管理。

　　■ 二级控制方式

word/media/image8.gif

　　如图7所示，这种控制方式首先在企业内部进行Internet访问控制，然后在服务提供商处再进行一次访问控制，即两级访问控制。这种方式的优点在于，它可使企业对内部用户的访问进行控制，同时运营商也可对用户访问Internet进行统一控制，这种方式与第二钟方式不同，它不需要增加太多的投资。当然这种方式的缺陷也是显然的，一是配置复杂，二是效率低于前两种。

　　四、对跨AS域的支持

　　对于大型MPLS骨干网来说，必须支持跨域业务，华为NE设备支持三种跨域方式。

　　■ VRF-to-VRF

word/media/image9.gif

　　如图8所示，这种方式要求两个域的ASBR能够完成PE功能，两个AS域各自运行自己的VPN。对于每个需要跨域的VPN，必须在本端跨域的PE设备上配置对应于该VPN的VRF，将对端的PE设备做为本域VPN的CE，PE-CE之间运行EBGP协议，携带对端的VPN路由信息。这个方法的优点是在于，ASBR之间不需要运行MPLS，但缺点是每个跨域的VPN需要与一个子接口绑定，子接口的数量至少要和跨域的VPN的数量相当。跨域的PE路由器需要维护跨域VPN的路由，因而存在扩展问题。

　　■ MP-EBGP

word/media/image10.gif

　　如图9所示，这种方式通过直连的ASBR传播VPN路由，并为相应的VPN路由分配一个标签，其优点是不需要在ASBR处为每个VPN的用户站点分配一个子接口，缺点是需要在ASBR处维护VPN路由，从PE入口到PE出口需要一条完整的LSP，ASBR之间需要互相信任。

　　■ Multi-Hop MP-EBG

word/media/image11.gif

　　如图10所示，这种方式首先路由扩散在入口与出口之间，通过LDP或MP-BGP+LDP方式建立LSP，然后不同AS域之间的PE通过EBGP方式传播VPN路由信息。这种方式的可扩展性能较好，不需要在ASBR上维护具体用户的VPN路由信息。

　　五、网管与灵活记费

　　对于MPLS VPN而言，管理的内容包括PE设备、PE-CE之间的链路和CE路由器三个部分。对于PE设备，通过普通IP即可进行管理；对于PE-CE之间的链路以及CE设备的管理必须通过管理VPN，即所有VPN都同时属于同一个管理VPN，管理工作站也属于该VPN。当一个CE路由器加入一个VPN之后，再不能通过Ipv4路由来访问它。为了能够在中央网管对所有PE-CE链路和CE路由器进行管理，必须建立一个特殊的管理VPN，所有CE路由器作为该VPN的成员。为了防止地址重叠，在具体实现时，CE路由器上与PE相连的接口地址采用公网地址，并且在中央网管设备上进行路由过滤，只引入PE-CE接口路由。

　　华为网管系统为MPLS VPN提供了强有力的支持，内容如下：

　　※ 存量管理：包括设备存量管理和VPN业务存量管理；

　　※ 业务供给：包括定义、部署、审计业务请求；

　　※ 业务保障：提供VPN故障告警监视、告警历史管理和测试管理等内容；

　　※ 安全管理：提供VPN客户的创建、编辑、删除、权限控制和认证等管理功能；

　　※ 客户网络管理（CNM）：为VPN用户提供管理所属VPN网络的功能，包括查看VPN拓扑、增加子网或服务器、增加/删除VPN站点、查询/增加/删除所属VPN的用户信息、查询/定义QoS/SLA报告等；

　　※ 系统功能：提供日志记录、日志查询、系统启动和停止等功能。

　　华为网管系统支持多种数据流统计工具，如NETSTREAM，因此Quidway系列路由器可以支持丰富灵活的记费功能，具体实施过程中可以采用以下记费方案：

　　※ 包月制：实现方式简单；

　　※ 基于流量：通过MPLS VPN网管获得各VPN的动态流量信息；

　　※ 基于流的计费：通过网管平台流数据收集程序，收集、过滤和聚合各PE设备的流数据，并存储这些处理数据，作为记费的原始数据，从而进行基于业务、流量的记费处理。

　　目前，MPLS还属于一项不断发展的技术，许多特性仍处于草案阶段，但在一些基本已经形成标准的应用特性上，如MPLS VPN、跨域互通、Internet接入等方面，华为的网络设备已经与CISCO、JUNIPER等主要路由器厂商实现了全面互通。

MPLS VPN在IDC行业的解决方案

　　一、MPLS VPN与IPSec VPN比较

　　目前，VPN（virtual private network，虚拟专用网络）架构正逐渐在提供新兴服务的基础网络领域大行其道。融BGP（Border gateway protocol，边界网关协议）和MPLS（Multi-protocol label switching，多协议标签交换）技术的MPLS VPN和基于IPSec的VPN倍受关注。这两种VPN既有各自的特点又具有一定的互补性。

　　1.1  IPSec协议特点

　　IPSec是由IETF的IPSec工作组定义的一种开放源代码框架。IPSec的工作组对数据源认证、数据完整性、重播保护、密钥管理以及数据机密性等主要的有关方面定义了特定协议。IPSec通过激活系统所需要的安全协议、确定用于服务的算法及所要求的密钥来提供安全服务。由于这些服务在IP层提供，能被更高层次的协议所利用（如TCP、UDP、ICMP、BGP等），并且对于应用程序和终端用户来说是透明的，所以，应用和终端用户不需要更改程序和进行安全方面的专门培训，同时对现有网络的改动也最小。

　　1.2  MPLS VPN技术特点

　　MPLS VPN能够利用公用骨干网络强大的传输能力，降低企业内部网络Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽带和方便性的需要。

　　MPLS VPN为安全的点到点通信提供了一种可选的方案，它是具有与ATM/FR虚电路的VPN相同安全级别的VPN.MPLS VPN建立了几种内部机制来保障安全性。这些安全机制存在于提供商网络的内部，提供商核心网络的结构对用户来说是不可见的。因此，用户不能获得核心网络结构的情况，这就能保护潜在的攻击者使用这些信息进行拒绝服务、欺骗、会话窃取等攻击。

　　因此，我们可以认为，MPLS VPN能够提供与IPSec相同级别的安全性。

　　1.3   比较MPLS VPN与IPSec VPN的技术参数

　　在站点与站点之间实施VPN时，网络管理者应该综合比较MPLS VPN和IPSec VPN两种方案，下面的参数用来比较这两种解决方案。

　　1） 数据机密性：IPSec VPN通过强大的加密算法来保障数据的机密性，MPLS VPN通过在提供商物理站点间定义一条唯一的数据通道来加强数据的机密性，这可以禁止攻击者非法获得数据拷贝，除非他们在提供商的网络上放置镜像器。尽管MPLS VPN使数据被窃取的机会最小化，但IPSec通过加密可以提供更好的数据机密性。第三种方案是采用IPSec over MPLS VPN，这样显然可以保证更高水平的数据机密性。

　　2） 数据完整性：IPSec使用散列算法来保证数据的完整性，对于MPLS VPN来说，没有什么根本的方法来保障数据的完整性，然而，通过地址空间隔离和路由信息，防止不熟练的攻击者对数据的添加、删改还是有一定的效果的。

　　3） 数据有效性：IPSec基于Internet进行数据传输，尽管攻击者不能读取数据，但攻击者可以通过在Internet路由表中加入错误路由来旁路数据。MPLS VPN基于LSP来传输数据，因LSP仅有本地意义，欺骗攻击很难实现。BGP用于在VPN中传递路由信息，然而，BGP扩展共同体属性使错误路由的引入相当困难，因此，从这点上说，MPLS VPN能够提供更好的数据有效性。

　　4） Internet接入：大多数IPSec VPN基于Internet传输数据，因此，大多数IPSec VPN体系结构允许VPN接入到所连的站点。在MPLS VPN体系结构中却很难实现这一点，在MPLS VPN接入Internet方案中，通常选择分离的Internet连接来保障整个VPN的安全性。

　　5） 远程接入：尽管很多提供商支持远程接入，但对MPLS VPN来说并不是本来这样，并且，他们要么要求远程接入的用户在相同的提供商网络中，要么提供商必须实施相同级别的MPLS VPN.从这一点来看，IPSec在提供远程接入方面有优越性。

　　6） 可扩展性：IPSec VPN难以扩展。因配置方面的要求，IPSec通常是点到点的连接，MPLS VPN由提供商配置，能够轻易地实现全网状的网络结构，并且，MPLS VPN还允许网络管理者利用MPLS的特性如QoS，因此在企业环境中MPLS VPN比IPSec VPN更具扩展性。

　　MPLS VPN和IPSec VPN具有各自的优点，MPLS VPN扩展性好，能够提供更好的数据有效性，而IPSec VPN能够保障更好的数据机密性和完整性。两种VPN都难以配置，每一种方案都应考虑应用简便，然而，对于点到点连接，两种方案都成立，用户在实施时应仔细分析两种方案的优缺点，选择最适合自己的。

　　二、MPLS VPN典型案例

　　互联通的某一客户是国际知名的软件提供商。该客户的总部位于美国，在日本、中国的北京、香港和台湾分别设有分支机构。

　　2.1 网络需求

　　各分公司与美国总部之间能够相互访问各种数据，带宽为2M；

　　各分公司之间可以相互访问，带宽为2M.

　　2.2 网络规划

　　采用MPLS VPN的组网方式，骨干网为运营商的骨干网络；

　　各分公司和总部的接入设备包括具有普通路由功能的路由器；

　　各分公司和总部接入到骨干网的边缘设备带宽为2M，接入方式为光纤接入。

　　2.3 组网图

利用OpenVPN和Squid建立自己的VPN和代理服务器

用首月半价的优惠价入手了一美国的VPS，除了网站，也可以建一个自己私人的国外代理服务器了。

既然是私人代理服务器，还是搭建在VPN上，代理服务只能通过VPN网站端口访问。所有的访问也是通过加密的通道，保证了私密性。

购买的VPS是基于OpenVZ的，操作系统选择了CentOS 5.2。由于OpenVZ的限制，决定用OpenVPN搭建VPN。代理服务器嘛，就是Squid了。

OpenVPN可以从官方网站(http://www.openvpn.net/)下载源码自己编译安装，上面也有rpm包的链接。至于Squid, CentOS就包括了。

自己比较习惯Yum，已经安装rpmforge-release，OpenVPN和Squid都可以用yum安装。

1. yum安装OpenVPN及Squid

yum install openvpn

yum install squid

2. 为OpenVPN生成ca, server, client的证书及密钥。

OpenVN提代了easy-rsa来成生证书及密钥。

依次运行build-ca, build-dh, build-key-server, build-key及可。

3. 修改OpenVPN 配置文件

从sample-config-files下复制server.conf到/etc/openvpn下, 修改配置中的ca, cert, key,dh指向上一步生成的证书或密钥文件。

4. 把OpenVPN配置成系统服务

chkconfig –add openvpn

chkconfig –level 2345 openvpn on

5. 配置Squid，只监听VPN的网络接口(tu0)

一定要配置visible_hostname。另外修改http_access的allow和deny的授权,只允许VPN客户端访问。

6. 安装Windows客户端

7. 下载证书，密钥，完成客户端配置。

客户端配置需要ca,dh,client等证书或密钥文件。另外要正确配置openvn服务端的互联网IP地址。

现在自己的桌面电脑(Vista)和苹果笔记本都可以使用偶的私人代理服务器了。另外，也VPS的管理服务端口及绑定VPN地址，后台管理都通过VPN网络来完成，也会更加安全。