vpn

传统的企业专网的解决方案大多通过向电信公司租用各种类型的长途线路来连接各分支机构的局域网,但是由于租赁长途线路费用昂贵,大多数企业难以承受。虚拟专网VPN技术是近年来兴起的一种新兴技术,它既可以使企业摆脱繁重的网络升级维护工作,又可以使公用网络得到有效的利用。在VPN技术的支持下,新的用户要想进入企业网,只需接入当地电信公司的公用网络,再通过公用网络接入企业网。这样企业不必再支付大量的长途线路费用,企业网络的可扩展性也大为提高,从而降低了网络使用和升级维护的费用,而电信公司也会因此得到更多的回报。

什么是VPN

VPN(Virtual Private Network)是采用隧道技术以及加密、身份认证等方法,在公共网络上构建企业网络的技术。

隧道技术是VPN的核心。隧道是基于网络协议在两点或两端建立的通信,隧道由隧道开通器和隧道终端器建立。隧道开通器的任务是在公用网络中开出一条隧道。多种网络设备和软件可以充当隧道开通器:

  1. PC上的Modem卡和有VPN拨号功能的软件(该软件已经打包在Win95、Win98、WinNT或Win2000中);
  2. 企业分支机构中有VPN功能的路由器;
  3. 网络服务商站点中有VPN功能的路由器。

隧道终端器的任务是使隧道到此终止,充当隧道终端器的网络设备和软件有:

  1. 专用的隧道终端器;
  2. 企业网络中的防火墙;
  3. 网络服务商路由器上的VPN网关。

隧道包括点到点和端到端隧道两种。在点到点隧道中,隧道由远程用户的PC延伸到企业服务器,两边的设备负责隧道的建立以及两点之间数据的加密和解密。第二种隧道是端到端隧道,隧道终止于防火墙等网络边缘设备,主要是连接两端局域网。在数据包传输中,数据包可能通过一系列隧道,才能到达目的地。隧道的设置是很灵活的。以一个远程用户通过ISP访问企业网为例。隧道开通器可以是用户的PC或者是被用户拨入的ISP路由器,隧道终端器一般是企业网络防火墙。那么隧道是由PC到企业防火墙,或者是由ISP路由器至企业防火墙。如果通过VPN实现互相访问的两个企业网分别使用不同的ISP服务,那么两个ISP公用网络之间也要建立相应的隧道。

VPN网络中通常还有一个或多个安全服务器。其中最重要的是远程拨入用户安全服务器(RADIUS—Remote Authorization Dial-In User Service) 。VPN根据RADIUS服务器上的用户中心数据库对访问用户进行权限控制。RADIUS服务器确认用户是否有存取权限,如果该用户没有存取权限,隧道就此终止。同时RADIUS服务器向被访问的设备发送用户的IP地址分配、用户最长接入时间及该用户被允许使用的拨入电话号码等。VPN和访问服务器参照这些内容,对用户进行验证,如果情况完全相符,就允许建立隧道通信。

VPN使用标准Internet安全技术,进行数据加密、用户身份认证等工作。

VPN实现了什么功能

根据前面的描述可以知道,VPN技术实现了企业信息在公用网络中的传输,就如同在茫茫的广域网中为企业拉出一条专线,对于企业来讲公共网络起到了"虚拟专用"的效果。

VPN还有更深层的含义。通过VPN,网络对每个使用者也是专用的。也就是说,VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。如果没有VPN技术的支持,访问企业信息时需要层层登录,逐级筛选自己相关的内容。如果在操作过程中,无意超过了自己的权限,系统会弹出类似"你无权访问此内容"的提示。这种操作过程既烦琐又不友好。在VPN技术支持下,用户输入口令和身份后,将可以直接进入与自己工作相关的内容。例如当访问用户是经销商时,那么他所访问的信息将是产品介绍、订货信息等,而不会出现工作安排、人事等信息和相关的提示。所以VPN对于每个用户,也是"专用"的,这一点应该是VPN给用户带来的最明显的变化。

另外,VPN根据员工工作需要,实现工作组级的信息共享,只要身份相同,身处何地都可以是一个工作组。员工工作调动后,身份的变化,就可以实现工作组的改变。而不用改变网络设备的配置。这一点适应了企业兼并改组的需要。虚拟局域网(VLAN—Virtual LAN)也是一种实现类似功能的技术,它可以方便地修改网络配置,实现工作组级的信息共享。但是由于不同厂商的VLAN设备之间不兼容,来自不同厂家的VLAN设备不能构建虚拟局域网,而多数企业的网络都来自不同的厂商。而VPN技术由于是在协议级上解决了虚拟工作组的问题,因此只要使用VPN标准协议,不同厂商设备之间的兼容性就可以得到解决,并且是在广域网的范畴之上解决了这个问题。

VPN使用的协议

VPN技术中的隧道是由隧道协议形成的,正如网络是依靠相应的网络协议完成的一样。

VPN使用的协议主要有三种:点到点隧道协议(PPTP—Point-to-Point Tunneling Protocol),第二层隧道协议(L2TP—Layer 2 Tunneling Protocol)以及IPsec(Secure IP) 。

PPTP协议捆绑在Windows系列操作系统中。在VPN中应用最广。

今后几乎所有的VPN都将基于L2TP协议。在L2TP协议中,IPX等网络协议被置入IP协议中。L2TP协议综合了PPTP协议和L2F(Layer 2 Forwarding)协议的优点,并且支持多路隧道,这样可以使用户同时访问Internet和企业网。

PPTP和L2TP的特点是:

  1. 封装的PPP数据包中包含用户信息;
  2. 支持隧道交换。隧道交换可以根据用户权限,开启并分配新的隧道,将PPP数据包在网络中传输;
  3. 便于企业在防火墙和内部服务器上实施访问控制。位于企业防火墙的隧道终端器接受包含用户信息的PPP数据包,然后对不同来源的数据包实施访问控制。另外隧道交换还可以将用户导向指定的企业内部服务器。

IPsec是用来增强VPN安全性的标准协议。IPsec包含了用户身份认证、查验和数据完整性等内容。该协议标准由IETP组织制订,其中规定了用以在两个IP工作站之间进行加密、数字签名等而使用的一系列IP级协议。IPsec实现来自不同厂商的设备在进行隧道开通和终止时的互操作。另外,由于IPsec的安全性功能与密钥管理系统松散耦合,所以当密钥管理系统发生变化时,IPsec的安全机制不需要进行修改。

隧道交换

隧道交换是VPN中的新技术。隧道交换结合了隧道开通和隧道终止两项任务,一方面终止已开通的隧道,同时又开通新的隧道,使隧道继续延伸。由于VPN的数据包中包含了用户的个人信息,这样在隧道交换中,就可以把相应的数据包交换至新的隧道中,例如可以将拨号用户交换到公用网络的高速ATM中。

VPN采用公共网络传输企业数据。当前公用网络的传输速度能否满足企业的业务需要,就成为人们关注的问题。通过实施隧道交换,可以区别用户身份,从而采用不同的传送优先级进行任务处理,把企业的数据用公用网络中的高速部分进行处理。同样,在企业内部,不同职务的员工的网络速度也不同。这项技术为实现网络中的非对等服务迈出了重要的一步。

隧道交换的优点还有:

  1. 隧道交换可以将访问导向相应的隧道终端器,使不同的网络用户进入不同的网段,实现网络虚拟工作组和权限控制;
  2. 隧道交换根据RADIUS服务器的用户信息,开通到企业内部服务器的隧道,避免了在企业内外部防火墙之间设置应用服务器的麻烦,既不影响防火墙的安全性,又方便了数据访问;
  3. 隧道到达企业内部网络后,可以使用企业内部地址,提高了网络的安全性;
  4. 隧道交换可以平衡企业服务器的工作负载;
  5. 隧道交换可以在不同ISP之间开通隧道,使隧道灵活拓展。因此在VPN领域,网络服务商之间的合作前景十分广阔。

VPN的安全性

VPN在隧道建立过程中,采取一系列的步骤以保证数据在公共网络中传输的安全性。

  1. 用户认证。用户把姓名、口令通过增强用户握手认证协议(CHAP—Challenge Handshake Authentication Protocol),发送到ISP网络。ISP网络联系企业RADIUS服务器,进行用户确认,收到确认后,ISP网络又以CHAP将应答传给用户。同时ISP收到企业服务器发回的用户IP及子网掩码分配,以及隧道终端器的IP地址分配。
  2. 进行设备确认,建立安全隧道。隧道开通器使用自己的私钥进行数字签名,并发送给隧道终端器,隧道终端器使用隧道开通器的公钥,对隧道开通器进行签名确认。反之,隧道开通器对终端器进行确认。然后双方协商对数据进行加密时使用的算法。
  3. 使用安全策略。下一步确认对本次传输的特定用户采取的安全策略。用户身份级别越高,消息认证等过程就越严格。

在VPN中,IPsec的安全性是最好的。在建立安全隧道和使用安全策略时,各个过程进行得更加严格。IPsec使用了IPsec隧道模式。在这种隧道模式中,用户的数据包加密后,封装进新的IP。这样在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。

VPN的实施

VPN技术有很多优点,应用前景广阔,具体实施也并不困难。企业甚至可以通过软件升级,将现有的设备(路由器、服务器和防火墙)升级为具有VPN功能的设备。如果公司现有网络是以路由器为中心的,那么可以在路由器上增加VPN功能。相应地,如现有网络是以局域网为中心,或者以防火墙作为安全通信的核心,则可以分别考虑基于服务器和防火墙实现VPN。

友情链接