三、VPN技术
VPN((Virtual Private Network,虚拟专用网)技术因其廉价的远程通信成本和较高的安全性受到了各界用户的普遍欢迎,在近几年中得到长足的发展。除了以前已有的PPTP VPN、L2TP IPSEC VPN外,目前也不断涌现新的VPN通信技术,如MPLS VPN、SSL VPN等。我们首先要清楚什么是VPN?VPN的主要优势是什么?的是这几种VPN的特点,相互之间的区别在哪里?
1. VPN定义
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2. VPN的主要优势
l 节约成本:主要表现在移动通讯费用的节省(只需接入本地ISP);专线费用的节省(无需租用专线);支持费用的节省(允许单一WAN端口多种用途)等几个方面。
l 增强的安全性:可通过隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)安全技术保证VPN通信安全。
l 广泛的网络协议支持:支持IP、IPX、NetBEUI、AppleTalk、DECNet和SNA等当前应用的协议。
l 完全控制主动权:企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
l 支持新兴应用:如IP语音,IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等 。
2. 主要隧道协议
u 点对点隧道协议(PPTP)
点对点隧道协议(PPTP,Point-to-point Tunneling Protocol)是一种用于让远程用户拨号连接到本地ISP,通过因特网安全远程访问公司网络资源的技术。PPTP对PPP协议本身并没有做任何修 改,只是使用PPP拨号连接,然后获取这些PPP包,并把它们封装进GRE头中。PPTP使用PPP协议的PAP或CHAP(MS-CHAP)进行认证, 另外也支持Microsoft公司的点到点加密技术(MPPE)。PPTP支持的是一种Client-LAN型隧道的VPN实现。
u 第二层转发(L2F)
L2F(Layer 2 Forwarding: 第二层转发)协议是由Cisco公司在1998年5月提交给IETF的。它可以在多种介质(如AMT、帧中继、IP网)上建 立多协议的安全虚拟专用网,将链路层的协议(如HDLC、PPP、ASYNC等)封装起来传送。
L2F 远端用户能够通过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接:NAS根据用户名等信息,发起第二 重连接,呼叫用户网络的服务器。因为在数据加密方面的缺陷,目前基本上不用了,而是采用了技术更为先进L2TP协议。
u 二层隧道协议(L2TP)
L2TP协议的 前身是Microsoft公司的点到点隧道协议(PPTP)和Cisco公司的二层转发协议(L2F)。 因为PPTP协议在实现上存在着重大安全隐患,有研究表明其安全性甚至比PPP还要弱,因此不适用于需要一定安全保证的通信。L2F协议是一种安全通信 隧道协议,但它的主要缺陷是没有把标准加密方法包括在内,因此它也已经成为一个过时的隧道协议。IETF的开放标准L2TP协议结合了PPTP协议和 L2F的优点,特别适合组建远程接入方式的VPN,已经成为事实上的工业标准。
3. VPN的主要类型
按VPN连接方式可分为:拨号VPN(VDPN)和专线VPN。拨号VPN主要是基于PPTP和L2F隧道协议;专线VPN采用专线ADSL、Cable Modem或其它专线方式连接。
按VPN应用的类型来分,VPN的应用业务大致可分为3类:IntranetVPN(内联VPN)、Access VPN(接入VPN)与Extranet VPN(外联VPN)三种。
按VPN的部署模式可分为:端到端(End-to-End)模式、供应商―企业(Provider-Enterprise)模式和内部供应商(Intra-Provider)模式三种。
按所用设备可分为:路由器VPN、交换机VPN和防火墙VPN等几类。
4. IPSec VPN、MPLS VPN和SSL VPN
IPSec(Internet Protocol Security,因特网安全协议)VPN 技术在IP 传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构之间的数据、话音、视频业务互通。
IPSec安全协议是VPN的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接。
在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP 、SNMP、HTTP、POP、AIM等,而不管这些通道构建时所采用的安全和加密方法如何。
IPSec VPN主要优势表现在:经济性、灵活性、应用广泛性、多业务性、高安全性、可管理性,支持冗余设计、通道分离和动/静态路由等方面。
IPSec VPN 的显著特点就是它的安全性,这是它保证内部数据安全的根本。在VPN 交换机上,通过支持所有领先的通道协议、数据加密、过滤/防火墙、通过RADIUS、LDAP和 SecurID实现授权等多种方式保证安全。同时,VPN 设备提供内置防火墙功能,可以在VPN通道之外,从公网到私网接口传输流量。此外,该技术还可通过RADIUS、 PAP、CHAP、Tokens、X.509、 LDAP 和 SecurID等认证方式。
IPSec的主要不足主要表现在:安全性能高,但通信性能较低(如果外出办公的用户在公司客户或合作伙伴的防火墙后面,IPSec VPN就会阻止他们重新连接到企业资源);需要客户端软件(每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的TCP/IP堆栈,可能带来了与其他系统软件之间兼容性问题的风险 );安装和维护困难;实际全面支持的系统比较少(IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如Mac、Linux、Solaris 等)。
SSL VPN的SSL是一种通信安全协议,由记录协议、握手协议、密钥更改协议和告警协议组成,共同为应用访问连接提供认证、加密和防篡改功能。它通过加密方式保护在互联网上传输的数据安全性,可以自动应用在每一个浏览器上。
作为应用层协议,SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。SSL安全功能组件包括三部分:认证(在连 接两端对服务器或同时对服务器和客户端进行验证),加密(对通信进行加密,只有经过加密的双方才能交换信息并相互识别),完整性检验(进 行信息内容检测,防止被篡改)。
过去,VPN 总是和IPSec 联系在一起,因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层,IPSec VPN 则多用于连接两个网络或点到点之间的连接;而SSL VPN则运行于OSI的应用层。由此可见,SSL VPN的优势更加明显。也正因如此,Microsoft公司也即将在新的系统中通过收购Whale公司把所支持的IPSec VPN转向SSL VPN了。
MPLS(Multiprotocol Label Switching,多协议标记交换) VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络,这种逻辑上隔离的网络的应用可以是千变万化的:可以是用在解决企业互连、政府相同/不同部门的互连、也可以时用来提供新的业务---如为IP电话业务专门开辟一个VPN,也可以为用MPLS VPN为IPv6提供开展业务的可能。
MPLS VPN也分为二层MPLS VPN与三层MPLS VPN(MPLS L3 VPN)。三层MPLS VPN基于IETF RFC2547bis标准,而二层MPLS VPN是指IETF Draft Kompella或IETF Draft Martini标准。一般而言,MPLS/BGP VPN指的是三层VPN。
MPLS L2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看,这个MPLS网络就是一个二层的交换网络。对于MPLS二层VPN,网络运营商负责提供给二层VPN用户提供二层的连通性,不需要参与VPN用户的路由计算。在提供全连接的二层VPN时,和传统的二层VPN一样( 如ATM PVC提供的VPN),存在N方问题,每个VPN的CE到其它的CE都需要在CE与PE之间分配一条连接。
MPLS L3 VPN通过和Internet路由之间配置一些静态路由的方式,可以实现VPN的Internet上网服务,还可以为跨不同地域的、属于同一个AS但是没有自己的骨干网的运营商提供VPN互连,即提供“运营商的运营商”模式的VPN网络互连。对于三层MPLS VPN来说,由于路由协议和信令协议的限制,面前只支持纯IP的业务,而二层MPLS VPN的解决方案由于采用二层的透传技术,对于客户侧的很多三层协议是透明的,其中包括:IPv4、IPv6、IPX、DECnet、OSI、SNA等。
MPLS VPN的主要优势表现在以下几个方面:
u 安全性高
MPLSVPN成员资格由服务供应商决定,对VPN组未经过认证的访问被设备配置所拒绝。通过对不同用户间、用户与公网间的路由信息进行隔离,采用MPLS作为通道机制实现透明报文传输,具有与FR和ATM 相类似级别的安全性。
u 易扩展性
网络中可以容纳的VPN数目很大,服务激活只需要一次性地在用户边(CE)和服务供应商边(PE)设备进行配置准备就可以让站点成为某个MPLS VPN组的成员。
u 灵活的控制策略和服务级别协议
可以制定特殊的控制策略,满足不同用户的特殊要求,实现增殖服务,目前有差别服务、流量整形和服务级别来保证一定的流量性能。
u 可为用户节省费用
MPLS VPN能利用公用骨干网络广泛而强大的传输能力,降低企业内部网络的建设成本。如线路费:价格比租用专线节约;设备费:用户只须配备CE设备,不需专门的VPN网关;管理费用:用户不必进行专门管理维护;人员费用:不必要雇用大量的专业技术人员。
5. IPSec VPN、MPLS VPN与SSL VPN的比较
MPLS VPN与IPSec VPN的比较
SSL VPN与IPSec VPN的比较
您现在的位置: 
