VPN技術方案建議書
虛擬私有網絡VPN(Virtual Private Network)出現於Internet盛行的今天,它使企業網絡幾乎可以無限延伸到地球的每個角落,從而以安全、低廉的網絡互聯模式爲包羅萬象的應用服務提供了發展的舞臺。
虛擬專用網(VPN)是利用公衆網資源爲客戶構成專用網的一種業務。我們這裏所提的VPN有兩層含義:
一、 它是虛擬的網,即沒有固定的物理連接,網路只有用戶需要時才建立;
二、 它是利用公衆網絡設施構成的專用網。
VPN實際上就是一種服務,用戶感覺好象直接和他們的個人網絡相連,但實際上是通過服務商來實現連接的。VPN可以爲企業和服務提供商帶來以下益處:
採用遠程訪問的公司提前支付了購買和支持整個企業遠程訪問基礎結構的全部費用;
公司能利用無處不在的Internet通過單一網絡結構爲職員和商業夥伴提供無縫和安全的連接;
對於企業,基於撥號VPN的Extranet能加強與用戶、商業夥伴和供應商的聯繫;
電話公司通過開展撥號VPN服務可以減輕終端阻塞;
通過爲公司提供安全的外界遠程訪問服務,ISP能增加收入;通過Extranet分層和相關競爭服務,ISP也可以提供不同的撥號VPN。
VPN兼備了公衆網和專用網的許多特點,將公衆網可靠的性能、豐富的'功能與專用網的靈活、高效結合在一起,是介於公衆網與專用網之間的一種網。
VPN能夠充分利用現有網路資源,提供經濟、靈活的連網方式,爲客戶節省設備、人員和管理所需的投資,降低用戶的電信費用,在近幾年得到了迅速的應用。 有專家認爲,VPN將是本世紀末發展速度最快的業務之一。
1.1 什麼是VPN
通過對網絡數據的封包和加密傳輸,在公網上傳輸私有數據、達到私有網絡的安全級別,從而利用公網構築Virtal Private Network(即VPN)。如果接入方式爲撥號方式,則稱之爲VPDN。
VPN通過公衆IP網絡建立了私有數據傳輸通道,將遠程的分支辦公室、商業夥伴、移動辦公人員等連接起來。減輕了企業的遠程訪問費用負擔,節省電話費用開支,並且提供了安全的端到端的數據通訊。
VPN的建立有三種方式:一種是企業自身建設,對ISP透明;第二種是ISP建設,對企業透明;第三種是ISP和企業共同建設。
1.2 VPN的工作原理
用戶連接VPN的形式:
常規的直接撥號連接與虛擬專網連接的異同點在於在前一種情形中,PPP(點對點協議)數據包流是通過專用線路傳輸的。在VPN中,PPP數據包流是由一個LAN上的路由器發出,通過共享IP網絡上的隧道進行傳輸,再到達另一個LAN上的路由器。
這兩者的關鍵不同點是隧道代替了實實在在的專用線路。隧道好比是在WAN雲海中拉出一根串行通信電纜。那麼,如何形成VPN隧道呢?
建立隧道有兩種主要的方式:客戶啓動(Client-Initiated)或客戶透明(Client-Transparent)。客戶啓動要求客戶和隧道服務器(或網關)都安裝隧道軟件。後者通常都安裝在公司中心站上。通過客戶軟件初始化隧道,隧道服務器中止隧道,ISP可以不必支持隧道。客戶和隧道服務器只需建立隧道,並使用用戶ID和口令或用數字許可證鑑權。一旦隧道建立,就可以進行通信了,如同ISP沒有參與連接一樣。
另一方面,如果希望隧道對客戶透明,ISP的POPs就必須具有允許使用隧道的接入服務器以及可能需要的路由器。客戶首先撥號進入服務器,服務器必須能識別這一連接要與某一特定的遠程點建立隧道,然後服務器與隧道服務器建立隧道,通常使用用戶ID和口令進行鑑權。這樣客戶端就通過隧道與隧道服務器建立了直接對話。儘管這一方針不要求客戶有專門軟件,但客戶只能撥號進入正確配置的訪問服務器。
1.3 VPN涉及的關鍵技術
VPN是一個虛擬的網,其重要的意義在於"虛擬"和"專用"。爲了實現在公網之上傳輸私有數據,必須滿足其安全性。VPN技術主要體現在兩個技術要點上:Tunnel、相關隧道協議(包括PPTP,L2F,L2TP),數據安全協議(IPSEC)。下面針對這幾項技術做一介紹。加密和用戶授權爲在公司網上進行個人通信提供了安全保證。
1.3.1 隧道技術(Tunneling)
隧道技術介紹
VPN在表面上是一種聯網的方式,比起專線網絡來,它具有許多優點。在VPN中,通過採用一種所謂"隧道"的技術,可以通過公共路由網絡傳送數據分組,例如Internet網或其他商業性網絡。
這裏,專有的"隧道"類似於點到點的連接。這種方式能夠使得來自許多源的網絡流量從同一個基礎設施中通過分開的隧道。這種隧道技術使用點對點通信協議代替了交換連接,通過路由網絡來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間任何地點訪問企業網絡。
通過TUNNEL的建立,可實現以下功能:
將數據流量強制到特定的目的地
隱藏私有的網絡地址
在IP網上傳輸非IP協議數據包
提供數據安全支持
協助完成用戶基於AAA的管理。
在安全方面可提供數據包認證、數據加密以及密鑰管理等手段。
撥號VPNs使用隧道技術遠程訪問服務器把用戶數據打包進IP信息包中,這些信息包通過電信服務提供商網絡傳遞,在Internet裏,則需要穿過不同的網絡,最後到達隧道終點 ,然後數據拆包,轉發成最初的形式。VPN允許網絡協議的轉換,還允許對來自許多源的流量進行區別,這樣可以指定特定的目的地,接受指定級別的服務。公司網進行遠程訪問通信,從電路交換的,長距離的本地電信服務提供商到ISPs和Internet需要採用隧道技術。隧道技術使用點對點通信協議,代替了交換連接,通過路由網絡來連接數據地址。這代替了電話交換網絡使用的電話號碼連接。隧道技術允許授權移動用戶或已授權的用戶再任何時間任何地點訪問企業網絡。應用授權技術,隧道技術也禁止未授權的訪問。
下面是一個隧道包典型設計:
要形成隧道,基本的要素有以下幾項:
隧道開通器(TI)
有路由能力的公用網絡
一個或多個隧道終止器(TT)
必要時增加一個隧道交換機以增加靈活性
隧道開通器的任務是在公用網中開出一條隧道。有多種網絡設備和軟件可完成此項任務,例如:(1)配有模擬式調制解調器PC卡和VPN型撥號軟件的最終用戶膝上型計算機;(2)分支機構的LAN或家庭辦公室LAN中的有VPN功能的Extranet路由器;(3)網絡服務提供商站點中的有VPN能力的訪問集中器。
隧道終止器的任務是使隧道到此終止,不再繼續向前延伸。也有多種網絡設備和軟件可完成此項任務,例如:(1)專門的隧道終止器;(2)企業網絡中的隧道交換機;(3)NSP網絡的Extranet路由器上的VPN網關。
VPN網絡中通常還有一個或多個安全服務器。安全服務器除提供防火牆和地址轉換功能之外,還通過與隧道設備的通信來提供加密、身份查驗和授權功能。它們通常也提供各種信息,如帶寬、隧道端點、網絡策略和服務等級。
通過軟件或模塊升級,現有的網絡設備就可以增加VPN能力。一個有VPN能力的設備可以承擔多項VPN應用。
現在已經有許多Internet(IETF)的建議,都是關於隧道技術如何應用的。其中包括點對點隧道協議(PPTP)、第二層轉發(L2F)、第二層隧道協議(L2TP)、虛擬隧道協議(VTP)和移動IP。由於得到了不同網絡廠商的支持,建議的標準定義了遠程設備如何能以簡單安全的方式訪問公司網絡和Internet。
隧道技術非常有用:
首先,一個IP隧道可以調整任何形式的有效負載,使用桌面或便攜式計算機的用戶能夠透明地撥號上網來訪問他們公司的IP、IPX或AppleTalk網絡。
第二,隧道能夠同時調整多個用戶或多個不同形式的有效負載。這可以利用封裝技術來實現。例如IETF RFC1701定義的一般路由封裝。
