虛擬私有網絡VPN(Virtual Private Network)出現于Internet盛行的今天,它使企業網絡幾乎可以無限延伸到地球的每個角落,從而以安全、低廉的網絡互聯模式為包羅萬象的應用服務提供了發展的舞臺。
虛擬專用網(VPN)是利用公眾網資源為客戶構成專用網的一種業務。我們這里所提的VPN有兩層含義:
一、 它是虛擬的網,即沒有固定的物理連接,網路只有用戶需要時才建立;
二、 它是利用公眾網絡設施構成的專用網。
VPN實際上就是一種服務,用戶感覺好象直接和他們的個人網絡相連,但實際上是通過服務商來實現連接的。VPN可以為企業和服務提供商帶來以下益處:
采用遠程訪問的公司提前支付了購買和支持整個企業遠程訪問基礎結構的全部費用;
公司能利用無處不在的Internet通過單一網絡結構為職員和商業伙伴提供無縫和安全的連接;
對于企業,基于撥號VPN的Extranet能加強與用戶、商業伙伴和供應商的聯系;
電話公司通過開展撥號VPN服務可以減輕終端阻塞;
通過為公司提供安全的外界遠程訪問服務,ISP能增加收入;通過Extranet分層和相關競爭服務,ISP也可以提供不同的撥號VPN。
VPN兼備了公眾網和專用網的許多特點,將公眾網可靠的性能、豐富的功能與專用網的靈活、高效結合在一起,是介于公眾網與專用網之間的一種網。
VPN能夠充分利用現有網路資源,提供經濟、靈活的連網方式,為客戶節省設備、人員和管理所需的投資,降低用戶的電信費用,在近幾年得到了迅速的應用。 有專家認為,VPN將是本世紀末發展速度最快的業務之一。
1.1 什么是VPN
通過對網絡數據的封包和加密傳輸,在公網上傳輸私有數據、達到私有網絡的安全級別,從而利用公網構筑Virtal Private Network(即VPN)。如果接入方式為撥號方式,則稱之為VPDN。
VPN通過公眾IP網絡建立了私有數據傳輸通道,將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來。減輕了企業的遠程訪問費用負擔,節省電話費用開支,并且提供了安全的端到端的數據通訊。
VPN的建立有三種方式:一種是企業自身建設,對ISP透明;第二種是ISP建設,對企業透明;第三種是ISP和企業共同建設。
1.2 VPN的工作原理
用戶連接VPN的形式:
常規的直接撥號連接與虛擬專網連接的異同點在于在前一種情形中,PPP(點對點協議)數據包流是通過專用線路傳輸的。在VPN中,PPP數據包流是由一個LAN上的路由器發出,通過共享IP網絡上的隧道進行傳輸,再到達另一個LAN上的路由器。
這兩者的關鍵不同點是隧道代替了實實在在的專用線路。隧道好比是在WAN云海中拉出一根串行通信電纜。那么,如何形成VPN隧道呢?
建立隧道有兩種主要的方式:客戶啟動(Client-Initiated)或客戶透明(Client-Transparent)。客戶啟動要求客戶和隧道服務器(或網關)都安裝隧道軟件。后者通常都安裝在公司中心站上。通過客戶軟件初始化隧道,隧道服務器中止隧道,ISP可以不必支持隧道。客戶和隧道服務器只需建立隧道,并使用用戶ID和口令或用數字許可證鑒權。一旦隧道建立,就可以進行通信了,如同ISP沒有參與連接一樣。
另一方面,如果希望隧道對客戶透明,ISP的POPs就必須具有允許使用隧道的接入服務器以及可能需要的路由器。客戶首先撥號進入服務器,服務器必須能識別這一連接要與某一特定的遠程點建立隧道,然后服務器與隧道服務器建立隧道,通常使用用戶ID和口令進行鑒權。這樣客戶端就通過隧道與隧道服務器建立了直接對話。盡管這一方針不要求客戶有專門軟件,但客戶只能撥號進入正確配置的訪問服務器。
1.3 VPN涉及的關鍵技術
VPN是一個虛擬的網,其重要的意義在于"虛擬"和"專用"。為了實現在公網之上傳輸私有數據,必須滿足其安全性。VPN技術主要體現在兩個技術要點上:Tunnel、相關隧道協議(包括PPTP,L2F,L2TP),數據安全協議(IPSEC)。下面針對這幾項技術做一介紹。加密和用戶授權為在公司網上進行個人通信提供了安全保證。
1.3.1 隧道技術(Tunneling)
1.3.1.1 隧道技術介紹
VPN在表面上是一種聯網的方式,比起專線網絡來,它具有許多優點。在VPN中,通過采用一種所謂"隧道"的技術,可以通過公共路由網絡傳送數據分組,例如Internet網或其他商業性網絡。
這里,專有的"隧道"類似于點到點的連接。這種方式能夠使得來自許多源的網絡流量從同一個基礎設施中通過分開的隧道。這種隧道技術使用點對點通信協議代替了交換連接,通過路由網絡來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間任何地點訪問企業網絡。
通過TUNNEL的建立,可實現以下功能:
將數據流量強制到特定的目的地
隱藏私有的網絡地址
在IP網上傳輸非IP協議數據包
提供數據安全支持
協助完成用戶基于AAA的管理。
在安全方面可提供數據包認證、數據加密以及密鑰管理等手段。
撥號VPNs使用隧道技術遠程訪問服務器把用戶數據打包進IP信息包中,這些信息包通過電信服務提供商網絡傳遞,在Internet里,則需要穿過不同的網絡,最后到達隧道終點 ,然后數據拆包,轉發成最初的形式。VPN允許網絡協議的轉換,還允許對來自許多源的流量進行區別,這樣可以指定特定的目的地,接受指定級別的服務。公司網進行遠程訪問通信,從電路交換的,長距離的本地電信服務提供商到ISPs和Internet需要采用隧道技術。隧道技術使用點對點通信協議,代替了交換連接,通過路由網絡來連接數據地址。這代替了電話交換網絡使用的電話號碼連接。隧道技術允許授權移動用戶或已授權的用戶再任何時間任何地點訪問企業網絡。應用授權技術,隧道技術也禁止未授權的訪問。
下面是一個隧道包典型設計:
要形成隧道,基本的要素有以下幾項:
隧道開通器(TI)
有路由能力的公用網絡
一個或多個隧道終止器(TT)
必要時增加一個隧道交換機以增加靈活性
隧道開通器的任務是在公用網中開出一條隧道。有多種網絡設備和軟件可完成此項任務,例如:(1)配有模擬式調制解調器PC卡和VPN型撥號軟件的最終用戶膝上型計算機;(2)分支機構的LAN或家庭辦公室LAN中的有VPN功能的Extranet路由器;(3)網絡服務提供商站點中的有VPN能力的訪問集中器。
隧道終止器的任務是使隧道到此終止,不再繼續向前延伸。也有多種網絡設備和軟件可完成此項任務,例如:(1)專門的隧道終止器;(2)企業網絡中的隧道交換機;(3)NSP網絡的Extranet路由器上的VPN網關。
VPN網絡中通常還有一個或多個安全服務器。安全服務器除提供防火墻和地址轉換功能之外,還通過與隧道設備的通信來提供加密、身份查驗和授權功能。它們通常也提供各種信息,如帶寬、隧道端點、網絡策略和服務等級。
通過軟件或模塊升級,現有的網絡設備就可以增加VPN能力。一個有VPN能力的設備可以承擔多項VPN應用。
現在已經有許多Internet(IETF)的建議,都是關于隧道技術如何應用的。其中包括點對點隧道協議(PPTP)、第二層轉發(L2F)、第二層隧道協議(L2TP)、虛擬隧道協議(VTP)和移動IP。由于得到了不同網絡廠商的支持,建議的標準定義了遠程設備如何能以簡單安全的方式訪問公司網絡和Internet。
隧道技術非常有用:
首先,一個IP隧道可以調整任何形式的有效負載,使用桌面或便攜式計算機的用戶能夠透明地撥號上網來訪問他們公司的IP、IPX或AppleTalk網絡。
第二,隧道能夠同時調整多個用戶或多個不同形式的有效負載。這可以利用封裝技術來實現。例如IETF RFC1701定義的一般路由封裝。
第三,使用隧道技術訪問公司網時,公司網不會向Internet報告它的IP網絡地址。
第四,隧道技術允許接受者濾掉或報告個人的隧道連接。
1.3.1.2 第二層隧道與第三層隧道
如下圖所示,按照隧道的起始和終止位置可分為第二層和第三層隧道。隧道終止在不同的位置取決于第二層隧道或第三層隧道是否使用。使用第三層隧道時,利用終端設備在服務提供商的網絡上進行隧道產生和終止。在遠程訪問服務器(RAS)上也能終止遠程用戶對點協議(PPP)對話。使用第二層隧道時,隧道的創建可以在RAS也可以在服務商提
供的網絡上或在RAS上 ,第三層隧道終止第二層隧道連接。在這個服務提供商網絡的企業內部網或路由駐留,它僅僅通過隧道傳送第三層有效負載到隧道終點。遠程訪問服務器上,另一方面,第二層隧道在服務提供商的骨干網上把這個PPP幀傳到預先確定的終點。遠程客戶端。隧道的終止則在路由器的用戶端或一般的服務器上。
下面是第二層隧道與第三層隧道比較:
第二層隧道
第三層隧道
優
點
簡單
端到端壓縮/加密
雙向隧道配置
可擴充性
安全性
可靠性
缺
點
標準仍在發展
可擴充性存在問題
可靠性存在問題
有限PPP負載類型
安全存在問題
有限廠商參加
開發復雜
針對IP隧道協議,通過PPTP和IPSec協議建立的隧道從客戶端起始,終止于企業端VPN接入設備。如下圖所示:
過L2F和L2TP協議建立的隧道從ISP接入設備端起始,終止于企業端VPN接入設備。如下圖所示:
第三層隧道技術對于公司網絡還有一些其它優點,網絡管理者采用第三層隧道技術時,不必在他們的遠程節點或客戶原有設備(CPE)上安裝特殊軟件。因為PPP和隧道終點由服務提供商的
