VPN技术综述及应用_通信网络论文
关键词:vpn 虚拟 封装 加密 隧道技术
1 vpn的概念
vpn的virtual private network的缩写,可文译为虚拟专用网。vpn是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。vpn具有虚拟特点:vpn并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时vpn又具有专线的数据传输功能,因为vpn能够像专线一样在公共网络上处理自己公司的。vpn可以说是一种网络外包,企业不再追求拥有自己的专有网络,而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。这类专业公司的典型代表是电信企业。vpn具有以下优点:
(1)降低成本:企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资。利用现有的公用网组建的intranet,要比租用专线或铺设专线要节省开支,而且当距离越远时节省的越多。如:某企业的北京与纽约分部之间的连接,不太可能自铺专线:当一个远程用户在纽约想要连到北京的intranet,用拔号访问时,花的是国际长途话费;而用vpn技术时,只需在纽约和北京分别连接到当地的internet就实现了互联,双方花的都是市话费。
(2)容易扩展:网络路由设备配置简单,无需增加太多的设备,省时省钱。对于发展很快的企业来说,vpn就更是不可不用了。如果企业组建自己的专用网,在扩展网络分支时,考虑到网络的容量,架设新链路,增加互联设备,升级设备等;而实现了vpn就方便多了,只需连接到公用网上,对新加入的网络终端在逻辑上进行设置,也不需要考虑公用网的容量问题、设备问题等。
(3)完全控制主动权:vpn上的设施和服务完全掌握在企业手可。例如,企业可以把拨号访问交给nsp去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
vpn通过采用“隧道”技术,并在internet或国际互联网工程工作组(ietf)制定的ipsec标准统一下,在公众网可形成企业的安全、机密、顺畅的专用链路。
2 vpn的工作原理
图1比较了常规的直接拨号连接与虚拟专网连接的异同点。在前一种情形可,ppp(点对点协议)数据包流是通过专用线路传输的。在vpn可,ppp数据包流是由一个lan上的路由器发出,通过共享ip网络上的隧道进行传输,再到达另一个lan上的路由器。这两者的关键不同点是隧道代替了实在的专用线路。隧道好比是在wan中拉出一根串行通信电缆。
基于ip的vpn基本上归结为两类:拨号vpn(一般称为vdpn,即虚拟拨号专网)和专线vpn(dedicated vpn,即专线的vpn),完整的vpn解决方案通常把拨号vpn和专线vpn组合在一起来满足所有用户的使用需求。
拨号vpn(即vdpn)为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种vpn部署形式,主要是基于l2f协议。vdpn允许多个不同领域的用户都能通过公共网络或者internet或其他公用网络获得安全的通路到他们的企业内部网络。
提供私有拨号网络服务的服务提供商可以用单个电话号码提供给所有的用户组织。访问者可以用拨号网络进入访问服务器,访问服务器通过ppp用户名来区别访问者。ppp用户名用于建立一个到企业网关的连接,当企业网关鉴别了用户之后,访问集成器建立一个通过网络提供商的骨干网、到企业风部网关的安全隧道。
ppp协议同时也被传输到内部网关,在内部网关的本地完全策略和本地认证授权决定了用户通过内部网关之后对内部网络的访问级别。
拨号vpn的原理如下图2所示。服务提供商管理modem池和确保可靠的连通性,而商业公司管理某企业内部网的用户认证。
专线vpn以多个用户和比拨号vpn高速的连接为特片。有许多类型的专线vpn业务,但最常见的是在ip网上建立的ip vpn业务,如图3所示。专线vpn提供了公司总部与公司分部、远程分支办事处以及extranet用户的虚拟点对点连接。
虚拟专用网的体系结构有多种形式,分类示意图如图4。
模拟目前国内公众多媒体通信网的状况;在国内采用vpn组网一般分为三类:
(1)atm pvc组建方式,即利用电信部分提供的atm pvc来组建用户的专用网。这种专用网的通信速率快,安全性高,支持多媒体通信。
(2)ip tunneling组建方式。即在多媒体通信网的ip层组建专用网。其传输速率不能完全保证,不支持多媒体通信;使用国际通行的加密算法,安全性好;这种组网方式的业务在公众通信网遍及的地方均可提供。
(3)dial-up access组网方式(vdpn)。这是一种拨号方式的专用网组建方式,可以利用已遍布全国的拨号公网来组建专用网,其接入地点在国内不限,上网可节省长途拨号的费用。对于流动性强、分支机构多、通信量小的用户而言,这是一种非常理想的组网方式。它可以将用户内部网的界限,从单位的所在延伸到全国范围。
2.1 拨号vpn(vdpn)
拨号vpn又可分为客户发起的(client-initiated)vpn和nas发起的vpn。
2.1.1 客户发起的vpn
在客户发起的vnp中,用户拨号到本地的pop远程,由客户来发出请求并建立到某企业内部网的加密隧道。为了建立一个安全的连接,客户端运行ipsec软件,客户软件与公司内部网络防火墙上的ipsec进程通信,或者直接与支持ipsec的路由器通信,确保连接的安全性。这种形式的vpn优点是:
(1)远程用户能够同时与多个home gateway建立ip tunnel。
(2)远程用户不必重新拨号,就可以进入另一网络。
(3)vpn的建立和管理与isp无关。
缺点是:因为这种加密的vpn隧道对于服务提供商而言是透明的,在客户端需要专用的拨号软件,而且管理移动pc上的ipsec客户端软件也是麻烦的事件。因此,大部分的服务提供曾几何时会选择vpn隧道作为其网络一部分的形式,如下面所讨论的那样。
2.1.2 nas发起的vpn
在nas发起的vpn中,由服务提供商的pop中的nas请求并创建到客户公司路由器(或者home gateway)的vpn隧道。nas使用l2f(layer 2 forwarding protocol)或者l2tp(layer 2 tunneling protocol)协议来建立到客户home gateway的安全隧道。l2tp是不久前建立的标准,这个标准结合了cisco公司的l2f和微软公司的pptp协议。对于home gateway来说,l2f或l2tp隧道表现得似乎用户是直接拨号到公司内部网上。
表现得似乎用户是直接拨号到公司内部网上。
在这种拨号vpn形式中,用户认证公两级处理。当用户拨入时,首先由服务提供商nas执行基本的认证,这个认证仅仅识别出用户的公司身份。然后,nas打开到用户公司home gateway的隧道,由home gateway来执行用户级的认证功能。
这种vpn形式有若干优点:对拨号用户透明,用户pc上无需特殊的客户软件,因而管理简单化;由于是由服务提供商初始化隧道,他们可以提供优质的拨号vpn服务,如通过预留modem端口,优先的数据传送等手段保证拨号vpn用户得到所需的服务;nas可以时支持internet或其他公用网络和vpn服务;由于到某一目的的通信量全部通过单一隧道传送,大规模部署将更具有可扩充性和管理性。
这种vpn形式存在的缺点有:
(1)当远程用户进入其它网络时,需要重新拨号,并且只能以另一用户名登录。
(2)远程用户不能同时进入多个网络。
2.2 专线vpn
2.2.1 基于ip tunnel的专线vpn
vpn与常规的直接拨号网络不同,在vpn中,ppp数据包流不是通过专用线路,而是通过共享ip网络上的隧道进行传输。这两者的关键不同点是隧道代替了实际的专用线路。如何形成vpn隧道呢?
隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信没有区别。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(ip、ipx和appletalk等)封装到ppp里,再把这整个ppp数据包装入隧道协议里。隧道协议一般封装在ip协议中,但也可以是atm或frame relay。由于隧道搭载的是ppp数据包(第二层),所以这种封装方法称为“第2层隧道”。用得很少的另一种方法是把各种网络协议直接装入隧道协议中(3com公司的vtp就是这种隧道协议),由于隧道直接搭载第三层协议的数据包,所以称为“第3层隧道”。
2.2.2 基于vitual circuit(虚拟电路)的vpn
服务提供商可以提供虚拟电路来建立ip vpn服务。用pvc在帧中继(frame relay)和atm网络中建立点对点连接,并通过路由器来管理第三层的。电信运营商或者邮电局可以采用这种办法,充分利用其现有的帧交换(如帧中继)或信元交换(如atm)基础设施提供ip vpn服务。
在前面叙述的专线vpn和拨号vpn本质上都是通过在公共ip网络中建立隧道(tunnel)来提供服务的。与之不同,基于虚拟电路的vpn通过在公共的帧或信元交换网络上的路由来传送ip服务,是使用pvc而不是tunnel来建立隐私性。因此,加密是不需要的。
这种形式的vpn具有如下优点:受控的路由器服务为具有帧或信元基础设施的服务提供商提供一种便宜、快速的建立vpn服务的办法;可充分利用fr cir(committed information rate)和atm qos来确保qos能力;虚拟电路拓扑的弹性;连接无须加密。
它的缺点是:不能灵活选择路由;比ip tunnel的相对费用高;缺少ip的多业务能力(如voice over ip video over ip等)。
3 vpn技术的应用领域及典型应用
3.1 vpn应用的四个领域
企业内部网itranet、远程访问、企业外部网extranet、企业内vpn。另外,在很多涉及公司重要的传输及对数据完整性安全性要求比较高的场合,也大多选择vpn技术。
3.2 vpn广域网建设新的解决方案(即典型应用)
目前各行业网、专用网的应用主要有两个方面:一是作为internet或其他公用网络的一部分,组织本行业是资源上网;二是作为一个内部网,为本行业、本系统的内部办公自动化和业务处理系统服务。两者都是采用internet或其他公用网络技术的ip数据通信。
对于各专用网络两种应用的第一种应用,其解决方案可以根据网络的性质和信息资源的服务对象,各地就近接入当地的中国公用计算机互联网(简称163网)或中国公众多媒体通信网(简称169网),完全省去了用于连接跨省的ddn专线,只需在域名规划和信息主页设计中统一规划,统一形象,把有限的人力和物力用于专业的资源开发和深加工。
对地第三种应用或两者都有的应用,则各地就近接入当地的169网或163网,采用vpn技术,实现跨地区的数据通信,充分利用169网高速(155matm)的跨省通信主干道,建设自己的内部网。其网络结构如图5所示。
图中的vpn表示内部专用网段。由于内部网的敏感数据在公网传输进是加密传,因此可以实现安全廉价的跨地域数据通信。
同样,本解决方案也适用于企业的跨地域数据通信,实现集数据、语音和图像于一体的广域网解决方案。实际上在国外率先采用vpn技术的就是跨国、跨地区的大公司和一些行业的网络。
4 vpn技术的市场前景分析
internet的飞速发展、用户数的迅猛增长以及web通信量和个人域名注册都加速了其发展势头。美国商业部预测到今年加入互联网的企业将会超过500尤。这清楚地描述了下世纪intenet产生以及将会产生的影响。一些研究表明在下世纪将会有70%~80%的商务使用vpn设备。它们还指出,仅拥有200个远程用户美国某跨国公司弃专线而选用vpn后,仅仅4~5的时间就节省了150多万美金。
公司希望花费不高的代价来传输商务信息。vpn在这方面起了很重要的作用,它提供了减少开支、提高服务、维护客户基础的方法。许多公司选用vpn传输商务的原因是:
(1)vpn以internet做支撑;
(2)无论对商业客户来说还是对私人客户来说,使用internet都是一种经济可行的方式。
(3)internet覆盖全球;
(4)现在internet传输效率极高,大多isp能承受进行连接所带来的负荷;
(5)vpn是灵活的、动态的、可升级的;
(6)vpn在可以利用公司硬件方面的现有投资。
虽然vpn在理解和应用方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情况下vpn的各种实现方法都可以应用于每个公司。即使不需要使用加密数据,也可节省开支。此外,在未来几年里,客户和厂商很可能会使用vpn,从而使电子商务重又获得生机,毕竟全球化、化、电子化是大势所趋。