当前位置:首页 >

虚拟专用网络(VPN)购买指南


  早先的企业用户为了完成各分支机构间的数据、话音的传送,需要建立企业专用网络。由于10年前网络技术及网络规模的限制,只能租用专线、自购设备、投入大量资金及人员构建自己实实在在的专用网络(PN,Private Network )。随着数据通信技术的发展,特别是ATM、Frame Relay(简称FR)技术的出现,企业用户可以通过租用面向连接的逻辑通道PVC组建与专线网络性质一样的网络,但是由于在物理层带宽及介质的非独享性,所以叫虚拟专用网络(VPN,Virtual Private Network)。近几年接入网络及骨干网络层次的细化,特别是Internet的兴起,为企业用户提供了更加广泛的网络基础和灵活的网络应用,随之而来的就是IP VPN技术,即通过多种隧道技术和加密技术保证企业用户数据在穿透Internet时的无干扰性和安全性。  
  依据以上企业用户对自身网络建设的需求和发展,可以给出一个简单而准确的虚拟专用网络的定义。VPN是利用公共网络资源来构建的专用网络,它是通过特殊设计的硬件或软件直接在共享网络中通过隧道、加密技术来保证用户数据的安全性。其中,隧道技术可以基于IP、帧中继、ATM等。由于采用先进的VPN技术和有关设备,屏蔽了公共网络的影响,同时对需要在公共网络中传输的数据进行加密处理,使得整个企业网络逻辑上成为一个单独的透明内部网络,具有安全性、可靠性和可管理性。  
  待选的VPN技术  
  实现VPN必定会涉及具体的技术,下面简单介绍一下目前比较流行的技术。  
  传统的数据网络技术 ATM、FR技术通过面向连接的技术在用户两端建立点对点或者点对多点的虚连接(PVC或SVC),该虚连接为透明通道,可以承载多种协议和业务,用户通过FRAD(帧中继接入设备)或ATM交换机作为用户侧设备,整个网络具有严格的流量控制和呼叫信令体制。  
  隧道技术 网络服务提供商(NSP)在公共网络中建立专用的隧道,让数据包通过这条隧道传输,为用户模仿点对点连接。现有两种类型的隧道协议,一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建 Access VPN。另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建 Intranet VPN 和 Extranet VPN。  
  二层隧道协议主要有三种。一种是微软、3Com等公司支持的 PPTP(Point to Point Tunneling Protocol,点对点隧道协议),在 Windows NT 4.0以上版本中即有支持。另一种是 Cisco、北方电讯等公司支持的 L2F(Layer 2 Forwarding,二层转发协议),在 Cisco 路由器中有支持。而由 IETF 起草,微软、Cisco、3Com等公司参予的 L2TP(Layer 2 Tunneling Protocol,二层隧道协议)结合了上述两个协议的优点,成为 IETF 有关二层隧道协议的工业标准。   
  用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术,早已出现的 RFC 1701 Generic Routing Encapsulation( GRE)协议就是个三层隧道协议。新出来的 IETF 的 IP 层加密标准协议 IPSec 协议也是个三层隧道协议,下面我们主要对IPSec协议和L2TP协议进行简要的介绍。
  不同VPN技术的对比
   
  
  IPSec
  IPSec ,即IP 安全协议,不是一个单独的协议,而是一组开放协议的总称,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括网络安全协议 Authentication Header (AH) 协议和 Encapsulating Security Payload (ESP)协议、密钥管理协议 Internet Key Exchange (IKE)协议和用于网络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。  
  IPSec协议在特定的通信方之间提供数据的私有性、完整性保护,并能对数据源进行验证。IPSec 使用 IKE 进行协议及算法的协商,并采用由 IKE 生成的密码来加密和验证。IPSec用来保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec在IP层提供这些安全服务,对IP及所承载的数据提供保护。这些服务是通过两个安全协议AH和ESP,通过加密等过程实现的。这些机制的实现不会对用户、主机或其他Internet 组件造成影响; 用户可以选择不同的加密算法,而不会对实现的其他部分造成影响。  
  IPSec提供的网络安全服务具有以下特点。  
  私有性 IPSec在传输数据包之前将其加密,以保证数据的私有性;  
  完整性 IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被替换;  
  真实性 IPSec 端要验证所有受 IPSec 保护的数据包;  
  反重复性 IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包; 它通过与AH或ESP一起工作的序列号实现。  
  IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,这些协议还规定了如何加密数据包。使用IPSec,数据就可以在公网上传输,而不必担心数据被监视、修改或伪造了。IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关主机之间的保护。  
  IPSec定义了两个新的数据包头增加到IP包,这些数据包头用于保证IP数据包的安全性。这两个数据包头由AH和ESP规定。在网关上实现 IPSec,AH 将插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了安全哈希算法来对数据包进行保护。AH没有对用户数据进行加密。ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP可以保证数据的完整性、真实性和私有性。  
  IPSec有隧道和传送两种工作方式。在隧道方式中,用户的整个IP数据包被用来计算ESP头,且被加密,ESP头和加密用户数据被封装在一个新的IP数据包中。在传送方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算ESP头,ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时,必须采用隧道方式。  
  Internet 密钥交换协议(IKE)用于在两个通信实体协商和建立安全相关,交换密钥。安全相关(Security Association)是 IPSec 中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证,且这些通信实体都能支持相同的加密算法,成功地交换了会话密钥,可以开始利用 IPSec 进行安全通信。IPSec 协议本身没有提供在通信实体间建立安全相关的方法,利用 IKE 建立安全相关。IKE 定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式,密钥交换采用 Diffie Hellman 协议。  
  L2TP  
  L2TP二层隧道协议支持封装的PPP帧在IP、X.25、帧中继或ATM等网络上进行传送。当使用IP作为L2TP的数据报传输协议时即为IP VPN。在L2TP隧道中LAC 表示 L2TP 访问集中器(L2TP Access Concentrator ),是附属在交换网络上的具有 PPP 端系统和 L2TP 协议处理能力的设备,LAC 一般就是一个网络接入服务器 NAS(Network Access Server),用于为用户通过 PSTN/ISDN 提供网络接入服务。LNS 表示 L2TP 网络服务器(L2TP Network Server),是 PPP 端系统上用于处理 L2TP 协议服务器端部分的软件。在一个 LNS 和 LAC 对之间存在着两种类型的连接,一种是隧道连接,它定义了一个 LNS 和 LAC 对; 另一种是会话连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过程。L2TP 连接的维护以及 PPP 数据的传送都是通过 L2TP 消息的交换来完成的,这些消息再通过 UDP 的 1701 端口承载于 TCP/IP 之上。L2TP 消息可以分为两种类型,一种是控制消息,另一种是数据消息,控制消息用于隧道连接和会话连接的建立与维护,数据消息用于承载用户的 PPP 会话数据包。 IP网上的L2TP使用UDP和一系列的L2TP消息对隧道进行维护。L2TP同样使用UDP将L2TP协议封装的PPP争辩通过隧道发送,可以对封装PPP帧中的负载数据进行加密或压缩。L2TP 数据消息的传输不采用重传机制,所以它无法保证传输的可靠性,但这一点可以通过上层协议如 TCP 等得到保证。  
  VPN的分类  
  那么针对以上谈到的技术,我们可以对VPN进行分类。  
  在VPN业务模式上分为基于企业自行布置的VPN(CE-BASED)和基于网络服务商(NSP)的VPN(NETWORK-BASED)。前者VPN中又可以细分为两种类型: 典型企业自行布置VPN和由运营商支持的自行布置VPN。第一种类型中运营商根本就不知道用户的VPN需求,只是提供简单的IP、ATM等服务,企业用户由内部的网络管理人员在自己两端设备间建立TUNNEL。第二种类型运营商知道用户业务的性质,在进行简单服务的同时提供并配置管理用户侧设备。基于网络服务商的VPN是指TUNNEL终结在服务供应商的设备上,服务供应商通过其网内设备提供VPN服务,而做到用户根本就不知道VPN的存在,或者说用户侧设备在配置和管理上等同于连接在一个真实网络。  
  目前,我们所经常听到或者看到一些谈到VPN的分类内容,都是认为在技术层次上分两类:采用L2TP、PPTP等二层隧道技术的二层VPN或采用IPSec技术的三层VPN,笔者认为该种分法虽然规整但有不是特别合理之处。我们提到的二层、三层技术均是依据OSI七层协议简单分割,而在实际应用技术中,众所周知无论是IP技术还是ATM技术均存在层次简化和层次功能集扩大的事实,如果单纯采用层次划分,不但不能在技术层次上明确表达意思,而且还容易在VPN实现及功能上诱导客户,例如单纯强调FR、ATM VPN的安全性、可靠性或者IP VPN的易操作性、易扩展性。同时隧道技术的本质在于用户的数据被封装在其他数据包中透明传输,例如L2TP支持IP、FR、ATM等封装,那么在封装传输过程中体现出来的技术实质应该为承载协议的技术特点,所以统一采用两层VPN一言以蔽之有其不合理之处。笔者认为结合VPN的发展(由独享网络到共享网络的演进)和目前所采用的技术之争(IP、FR、ATM等),应该将VPN分为面向连接的VPN技术和非面向连接的VPN技术。前者主要是以FR、ATM等通过PVC提供服务的,后者是以通过IPSec等技术提供服务。  
  选购VPN的考虑  
  在纷杂的VPN技术和各具特色的VPN产品中间如何选择一款适合用户自身需求的设备,实施一套切可行的VPN组网方案是至关重要的。由于在VPN中传输的数据均是涉及企业的商业机密或财务等细节,VPN网络的好坏直接影响着企业的发展甚至于兴衰,所以在选择VPN设备和方案中要重点考虑以下几个方面。  
   1. 是否集成防火墙  
   网络安全工具中最早应用并且已经非常成熟的防火墙技术是对VPN技术的良好补充。防火墙可以被放置在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。在VPN的应用中防火墙被广泛用来让用户在一个安全屏障后接入互联网,还被用来把一家企业的公共网络服务器和企业内部网络隔开,另外,防火墙还可以被用来保护企业内部网络某一个部分的安全。如果用户已经有了防火墙系统,可以考虑在安全策略上和VPN的结合。  
   2. 可支持最大连接数目  
   该项指标其实是VPN产品的处理能力的重要表示。由于业务的发展,客户将不断拓展对外的联络和内部员工的数据传输,那么首先考虑的就是设备能力问题。由于VPN设备是作为VPN网关存在,所以可以支持的连接数目应该由几个指标组成: 用户至网关连接能力和网关间连接能力。用户至网关连接能力是指用户的终端(如PC)可以支持IPSec与VPN网关建立的连接,网关间连接能力是指在企业VPN内部VPN网关间的连接。由于VPN网络可以支持企业内部、企业外部及广播组播功能,所以两种连接能力是不同的。  
  3. 冗余与恢复功能  
  冗余与恢复功能是指在设备或连接线路出现故障时,VPN系统是否可以充分利用其他可利用资源(如冗余配置的板卡、备份线路等)进行业务的保持和自动切换功能。以上功能包括两个方面: 自动切换功能虽然是电信级产品的基本要求,但是不一定应用在VPN系统内,所以需要问清楚; 业务保持功能是指在自动切换过程前后的用户业务不受影响,它的实质应该在中断的瞬间,VPN系统记住各个业务的连接状态,待VPN系统恢复后自动建立连接,但是在中断期间不接纳任何新的连接申请。  
  4. VPN系统对客户端及VPN网关的要求  
  由于VPN协议众多,所以各个产品所支持的协议集也不同,包括L2TP、IPSec和GRE等协议,同时对个人用户终端的要求也不同,如PC终端的操作系统的要求,IPSec对IKE的支持等。由于IKE用于在客户及VPN网关间进行身份认证和算法协商,所以对客户终端有一定要求,同时还包括用户认证机制的支持等。  
   5. 网络管理功能  
  企业自行布置VPN的网络管理将由企业自行完成,由于企业自身的IT能力和技术不断更新的压力,所以要求VPN系统的网络管理部分要有比较完备的功能和良好的界面,同时应该可以结合现有的企业业务进行统一的综合管理。在网络管理的五大功能中,配置管理、故障管理是必须的,安全管理应该对应企业的认证机制进行完善,性能管理需要结合企业自身的网络应用进行,计费管理需要后期开发,但要求有基本的统计功能和开放的标准接口。
  
  VPN产品功能对照表
  
  
最热门文章推荐:
编程心得
unix文件系统
什么是正则表达式
电子邮件正则表达式
正则表达式用法
远程控制器
cs远程控制
最好的远程控制
 ↓相关文章:
© 2006-2008 All Rights Reserved