07-IP-VPN操作(NE40)课案.doc

目 录 第1章 VPN概述 1-1 1.1 VPN简介 1-1 1.2 VPN的基本技术 1-2 1.3 VPN的分类 1-4 第2章 GRE配置 2-1 2.1 GRE协议简介 2-1 2.2 GRE配置 2-4 2.2.1 创建虚拟Tunnel接口 2-4 2.2.2 指定Tunnel的源端 2-5 2.2.3 指定Tunnel的目的端 2-5 2.2.4 设置Tunnel接口的网络地址 2-6 2.2.5 设置Tunnel两端进行端到端校验 2-6 2.2.6 设置Tunnel接口的识别关键字 2-7 2.2.7 配置通过Tunnel的路由 2-7 2.3 GRE显示和调试 2-8 2.4 GRE配置举例 2-8 2.5 GRE故障处理 2-10 VPN概述 VPN简介 虚拟私有网简称VPN（Virtual Private Network），是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，用以实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。 伴随企业和公司的不断扩张，员工出差日趋频繁，驻外机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。 VPN的特点 VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。 VPN只为特定的企业或用户群体所专用。从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。 VPN不是一种简单的高层业务。该业务建立专网用户之间的网络互联，包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等，因此VPN技术就比各种普通的点对点的应用机制要复杂得多。 VPN的优势 在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。 利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率，有助于增加ISP（Internet Service Provider）的收益。 只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。这使得VPN的应用具有很大灵活性。 支持驻外VPN用户在任何时间、任何地点的移动接入，这将满足不断增长的移动业务需求。 构建具有服务质量保证的VPN（如MPLS VPN），可为VPN用户提供不同等级的服务质量保证，通过收取不同的业务使用费用可获得更多的利润。有关MPLS VPN的原理及相关介绍请参见MPLS配置。 VPN的基本技术 VPN基本组网应用 以某企业为例，通过VPN建立的企业内部网如图1-1所示： VPN组网示意图 从上图可以看出，企业内部资源享用者通过PSTN/ISDN网或局域网就可以连入本地ISP的POP（Point of Presence）服务器，从而访问公司内部资源。而利用传统的WAN组建技术，相互之间要有专线相连才可以达到同样的目的。虚拟网组成后，远端用户和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源，这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。 企业开设VPN业务所需的设备很少，只需在资源共享处放置一台支持VPN的服务器（如一台Windows NT服务器或支持VPN的路由器）就可以了。资源享用者通过PSTN/ISDN网或局域网连入本地POP服务器后，直接呼叫企业的远程服务器（VPN服务器），呼叫接续过程由ISP的接入服务器（Access Server）与VPN服务器共同完成。 VPN的原理 VPN接入示意图 如上图所示，VPN用户通过PSTN/ISDN网拨入ISP的NAS（Network Access Server）服务器，NAS服务器通过用户名或接入号码识别出该用户为VPN用户后，就和用户的目的VPN服务器建立一条连接，称为隧道（Tunnel），然后将用户数据包封装成IP报文后通过该隧道传送给VPN服务器，VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。反向的处理也一样。隧道两侧可以对报文进行加密处理，使Internet上的其它用户无法读取，因而是安全可靠的。对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，操作起来和实际物理链路相同。 隧道可以通过隧道协议来实现。根据是在OSI模型的第