拟私有网络VPN(Virtual Private Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。
虚拟专用网(VPN)是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义:
一、 它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立;
二、 它是利用公众网络设施构成的专用网。
VPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处:
采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用;
公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接;
对于企业,基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系;
电话公司通过开展拨号VPN服务可以减轻终端阻塞;
通过为公司提供安全的外界远程访问服务,ISP能增加收入;通过Extranet分层和相关竞争服务,ISP也可以提供不同的拨号VPN。
VPN兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起,是介于公众网与专用网之间的一种网。
VPN能够充分利用现有网路资源,提供经济、灵活的连网方式,为客户节省设备、人员和管理所需的投资,降低用户的电信费用,在近几年得到了迅速的应用。 有专家认为,VPN将是本世纪末发展速度最快的业务之一。
1.1 什么是VPN
通过对网络数据的封包和加密传输,在公网上传输私有数据、达到私有网络的安全级别,从而利用公网构筑Virtal Private Network(即VPN)。如果接入方式为拨号方式,则称之为VPDN。
VPN通过公众IP网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担,节省电话费用开支,并且提供了安全的端到端的数据通讯。
VPN的建立有三种方式:一种是企业自身建设,对ISP透明;第二种是ISP建设,对企业透明;第三种是ISP和企业共同建设。
1.2 VPN的工作原理
用户连接VPN的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
1.3 VPN涉及的关键技术
VPN是一个虚拟的网,其重要的意义在于"虚拟"和"专用"。为了实现在公网之上传输私有数据,必须满足其安全性。VPN技术主要体现在两个技术要点上:Tunnel、相关隧道协议(包括PPTP,L2F,L2TP),数据安全协议(IPSEC)。下面针对这几项技术做一介绍。加密和用户授权为在公司网上进行个人通信提供了安全保证。
1.3.1 隧道技术(Tunneling)
1.3.1.1 隧道技术介绍
VPN在表面上是一种联网的方式,比起专线网络来,它具有许多优点。在VPN中,通过采用一种所谓"隧道"的技术,可以通过公共路由网络传送数据分组,例如Internet网或其他商业性网络。
这里,专有的"隧道"类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。
通过TUNNEL的建立,可实现以下功能:
将数据流量强制到特定的目的地
隐藏私有的网络地址
在IP网上传输非IP协议数据包
提供数据安全支持
协助完成用户基于AAA的管理。
在安全方面可提供数据包认证、数据加密以及密钥管理等手段。
拨号VPNs使用隧道技术远程访问服务器把用户数据打包进IP信息包中,这些信息包通过电信服务提供商网络传递,在Internet里,则需要穿过不同的网络,最后到达隧道终点 ,然后数据拆包,转发成最初的形式。VPN允许网络协议的转换,还允许对来自许多源的流量进行区别,这样可以指定特定的目的地,接受指定级别的服务。公司网进行远程访问通信,从电路交换的,长距离的本地电信服务提供商到ISPs和Internet需要采用隧道技术。隧道技术使用点对点通信协议,代替了交换连接,通过路由网络来连接数据地址。这代替了电话交换网络使用的电话号码连接。隧道技术允许授权移动用户或已授权的用户再任何时间任何地点访问企业网络。应用授权技术,隧道技术也禁止未授权的访问。
下面是一个隧道包典型设计:
要形成隧道,基本的要素有以下几项:
隧道开通器(TI)
有路由能力的公用网络
一个或多个隧道终止器(TT)
必要时增加一个隧道交换机以增加灵活性
隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如:(1)配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机;(2)分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器;(3)网络服务提供商站点中的有VPN能力的访问集中器。
隧道终止器的任务是使隧道到此终止,不再继续向前延伸。也有多种网络设备和软件可完成此项任务,例如:(1)专门的隧道终止器;(2)企业网络中的隧道交换机;(3)NSP网络的Extranet路由器上的VPN网关。
VPN网络中通常还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外,还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息,如带宽、隧道端点、网络策略和服务等级。
通过软件或模块升级,现有的网络设备就可以增加VPN能力。一个有VPN能力的设备可以承担多项VPN应用。
现在已经有许多Internet(IETF)的建议,都是关于隧道技术如何应用的。其中包括点对点隧道协议(PPTP)、第二层转发(L2F)、第二层隧道协议(L2TP)、虚拟隧道协议(VTP)和移动IP。由于得到了不同网络厂商的支持,建议的标准定义了远程设备如何能以简单安全的方式访问公司网络和Internet。
隧道技术非常有用:
首先,一个IP隧道可以调整任何形式的有效负载,使用桌面或便携式计算机的用户能够透明地拨号上网来访问他们公司的IP、IPX或AppleTalk网络。
第二,隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利用封装技术来实现。例如IETF RFC1701定义的一般路由封装。
第三,使用隧道技术访问公司网时,公司网不会向Internet报告它的IP网络地址。
第四,隧道技术允许接受者滤掉或报告个人的隧道连接。
1.3.1.2 第二层隧道与第三层隧道
如下图所示,按照隧道的起始和终止位置可分为第二层和第三层隧道。隧道终止在不同的位置取决于第二层隧道或第三层隧道是否使用。使用第三层隧道时,利用终端设备在服务提供商的网络上进行隧道产生和终止。在远程访问服务器(RAS)上也能终止远程用户对点协议(PPP)对话。使用第二层隧道时,隧道的创建可以在RAS也可以在服务商提
供的网络上或在RAS上 ,第三层隧道终止第二层隧道连接。在这个服务提供商网络的企业内部网或路由驻留,它仅仅通过隧道传送第三层有效负载到隧道终点。远程访问服务器上,另一方面,第二层隧道在服务提供商的骨干网上把这个PPP帧传到预先确定的终点。远程客户端。隧道的终止则在路由器的用户端或一般的服务器上。
下面是第二层隧道与第三层隧道比较:
第二层隧道
第三层隧道
优
点
简单
端到端压缩/加密
双向隧道配置
可扩充性
安全性
可靠性
缺
点
标准仍在发展
可扩充性存在问题
可靠性存在问题
有限PPP负载类型
安全存在问题
有限厂商参加
开发复杂
针对IP隧道协议,通过PPTP和IPSec协议建立的隧道从客户端起始,终止于企业端VPN接入设备。如下图所示:
过L2F和L2TP协议建立的隧道从ISP接入设备端起始,终止于企业端VPN接入设备。如下图所示:
第三层隧道技术对于公司网络还有一些其它优