一、VPN簡(jiǎn)介
虛擬專用網(wǎng)(VirtualPRivateNetwork,VPN)是一種“基于公共數(shù)據(jù)網(wǎng),給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。VPN極大地降低了用戶的費(fèi)用,而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。VPN可分為三大類:(1)企業(yè)各部門與遠(yuǎn)程分支之間的Intranet VPN;(2)企業(yè)網(wǎng)與遠(yuǎn)程(移動(dòng))雇員之間的遠(yuǎn)程訪問(Remote access)VPN;(3)企業(yè)與合作伙伴、客戶、供給商之間的Extranet VPN。
二、VPN的要求
(1)安全性
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。VPN的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在IntranetVPN中,要有高強(qiáng)度的加密技術(shù)來(lái)保護(hù)敏感信息;在遠(yuǎn)程訪問VPN中要有對(duì)遠(yuǎn)程用戶可靠的認(rèn)證機(jī)制。
(2)性能
VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高,但在Internet時(shí)代,隨著電子商務(wù)活動(dòng)的激增,網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來(lái)極大的影響。因此VPN解決方案應(yīng)能夠讓治理員進(jìn)行通信控制來(lái)確保其性能。通過VPN平臺(tái),治理員定義治理政策來(lái)激活基于重要性的出入口帶寬分配。這樣既能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能,又不會(huì)“餓死”,低優(yōu)先級(jí)的應(yīng)用。
(3)治理問題
由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加,網(wǎng)絡(luò)用戶所需的ip地址數(shù)量持續(xù)增長(zhǎng),對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)治理,網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對(duì)外的延伸,因此VPN要有一個(gè)固定治理方案以減輕治理、報(bào)告等方面負(fù)擔(dān)。治理平臺(tái)要有一個(gè)定義安全政策的簡(jiǎn)單方法,將安全政策進(jìn)行分布,并治理大量設(shè)備。
(4)互操作
在ExtranetVPN中,企業(yè)要與不同的客戶及供給商建立聯(lián)系,VPN解決方案也會(huì)不同。因此,企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這就要求所選擇的VPN方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有IPSec、點(diǎn)到點(diǎn)隧道協(xié)議(PointtoPoint Tunneling Protocol,PPTP)、第二層隧道協(xié)議(Layer 2 Tunneling Protocol,L2TP)等。
三、VPN的實(shí)現(xiàn)技術(shù)
VPN實(shí)現(xiàn)的兩個(gè)要害技術(shù)是隧道技術(shù)和加密技術(shù),同時(shí)QoS技術(shù)對(duì)VPN的實(shí)現(xiàn)也至關(guān)重要。
1.VPN訪問點(diǎn)模型
首先提供一個(gè)VPN訪問點(diǎn)功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)。
2.隧道技術(shù)
隧道技術(shù)簡(jiǎn)單的說(shuō)就是:原始報(bào)文在A地進(jìn)行封裝,到達(dá)B地后把封裝去掉還原成原始報(bào)文,這樣就形成了一條由A到B的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(GenericRoutingEncapsulation,GRE)L2TP和PPTP。
(1)GRE
GRE主要用于源路由和終路由之間所形成的隧道。例如,將通過隧道的報(bào)文用一個(gè)新的報(bào)文頭(GRE報(bào)文頭)進(jìn)行封裝然后帶著隧道終點(diǎn)地址放入隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時(shí),GRE報(bào)文頭被剝掉,繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。GRE隧道通常是點(diǎn)到點(diǎn)的,即隧道只有一個(gè)源地址和一個(gè)終地址。然而也有一些實(shí)現(xiàn)答應(yīng)點(diǎn)到多點(diǎn),即一個(gè)源地址對(duì)多個(gè)終地址。這時(shí)候就要和下一跳路由協(xié)議(Next-HopRoutingProtocol,NHRP)結(jié)合使用。NHRP主要是為了在路由之間建立捷徑。
GRE隧道用來(lái)建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀點(diǎn)來(lái)看,VPN就象是通過普通主機(jī)網(wǎng)絡(luò)的隧道集合。普通主機(jī)網(wǎng)絡(luò)的每個(gè)點(diǎn)都可利用其地址以及路由所形成的物理連接,配置成一個(gè)或多個(gè)隧道。在GRE隧道技術(shù)中入口地址用的是普通主機(jī)網(wǎng)絡(luò)的地址空間,而在隧道中流動(dòng)的原始報(bào)文用的是VPN的地址空間,這樣反過來(lái)就要求隧道的終點(diǎn)應(yīng)該配置成VPN與普通主機(jī)網(wǎng)絡(luò)之間的交界點(diǎn)。這種方法的好處是使VPN的路由信息從普通主機(jī)網(wǎng)絡(luò)的路由信息中隔離出來(lái),多個(gè)VPN可以重復(fù)利用同一個(gè)地址空間而沒有沖突,這使得VPN從主機(jī)網(wǎng)絡(luò)中獨(dú)立出來(lái)。從而滿足了VPN的要害要求:可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族,減少實(shí)現(xiàn)VPN功能函數(shù)的數(shù)量。還有,對(duì)許多VPN所支持的體系結(jié)構(gòu)來(lái)說(shuō),用同一種格式來(lái)支持多種協(xié)議同時(shí)又保留協(xié)議的功能,這是非常重要的。IP路由過濾的主機(jī)網(wǎng)絡(luò)不能提供這種服務(wù),而只有隧道技術(shù)才能把VPN私有協(xié)議從主機(jī)網(wǎng)絡(luò)中隔離開來(lái)。基于隧道技術(shù)的VPN實(shí)現(xiàn)的另一特點(diǎn)是對(duì)主機(jī)網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進(jìn)行隔離。對(duì)VPN而言主機(jī)網(wǎng)絡(luò)可看成點(diǎn)到點(diǎn)的電路集合,VPN能夠用其路由協(xié)議穿過符合VPN治理要求的虛擬網(wǎng)。同樣,主機(jī)網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計(jì)方案,而不必受VPN用戶網(wǎng)絡(luò)的路由協(xié)議限制。
雖然GRE隧道技術(shù)有很多優(yōu)點(diǎn),但用其技術(shù)作為VPN機(jī)制也有缺點(diǎn),例如治理費(fèi)用高、隧道的規(guī)模數(shù)量大等。因?yàn)镚RE是由手工配置的,所以配置和維護(hù)隧道所需的費(fèi)用和隧道的數(shù)量是直接相關(guān)的——每次隧道的終點(diǎn)改變,隧道要重新配置。隧道也可自動(dòng)配置,但有缺點(diǎn),如不能考慮相關(guān)路由信息、性能問題以及輕易形成回路問題。一旦形成回路,會(huì)極大惡化路由的效率。除此之外,通信分類機(jī)制是通過一個(gè)好的粒度級(jí)別來(lái)識(shí)別通信類型。假如通信分類過程是通過識(shí)別報(bào)文(進(jìn)入隧道前的)進(jìn)行的話,就會(huì)影響路由發(fā)送速率的能力及服務(wù)性能。
GRE隧道技術(shù)是用在路由器中的,可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠(yuǎn)程訪問VPN中,多數(shù)用戶是采用撥號(hào)上網(wǎng)。這時(shí)可以通過L2TP和PPTP來(lái)加以解決。
(2)L2TP和PPTP
L2TP是L2F(Layer2Forwarding)和PPTP的結(jié)合。但是由于PC機(jī)的桌面操作系統(tǒng)包含著PPTP,因此PPTP仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主動(dòng)”隧道,后者指“強(qiáng)制”隧道。“主動(dòng)”隧道是用戶為某種特定目的的請(qǐng)求建立的,而“強(qiáng)制”隧道則是在沒有任何來(lái)自用戶的動(dòng)作以及選擇的情況下建立的。
L2TP作為“強(qiáng)制”隧道模型是讓撥號(hào)用戶與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過程如下:①用戶通過Modem與NAS建立連接;②用戶通過NAS的L2TP接入服務(wù)器身份認(rèn)證;③在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上,NAS和L2TP接入服務(wù)器動(dòng)態(tài)地建立一條L2TP隧道;④用戶與L2TP接入服務(wù)器之間建立一條點(diǎn)到點(diǎn)協(xié)議(PointtoPointProtocol,PPP)訪問服務(wù)隧道;⑤用戶通過該隧道獲得VPN服務(wù)。
與之相反的是,PPTP作為“主動(dòng)”隧道模型答應(yīng)終端系統(tǒng)進(jìn)行配置,與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道。并且,PPTP協(xié)商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過程如下:①用戶通過串口以撥號(hào)IP訪問的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù);②用戶通過路由信息定位PPTP接入服務(wù)器;③用戶形成一個(gè)PPTP虛擬接口;④用戶通過該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證建立一條PPP訪問服務(wù)隧道;⑤用戶通過該隧道獲得VPN服務(wù)。
在L2TP中,用戶感覺不到NAS的存在,仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中,PPTP隧道對(duì)NAS是透明的;NAS不需要知道PPTP接入服務(wù)器的存在,只是簡(jiǎn)單地把PPTP流量作為普通IP流量處理。
采用L2TP還是PPTP實(shí)現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶手中。L2TP比PPTP更安全,因?yàn)長(zhǎng)2TP接入服務(wù)器能夠確定用戶從哪里來(lái)的。L2TP主要用于比較集中的、固定的VPN用戶,而PPTP比較適合移動(dòng)的用戶。
3.加密技術(shù)
數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息,使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4雖然強(qiáng)度比較弱,但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了;DES和三次DES強(qiáng)度比較高,可用于敏感的商業(yè)信息。
加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行;可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全方法是在主機(jī)的端到端進(jìn)行。另一個(gè)選擇是“隧道模式”:加密只在路由器中進(jìn)行,而終端與第一跳路由之間不加密。這種方法不太安全,因?yàn)閿?shù)據(jù)從終端系統(tǒng)到第一條路由時(shí)可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中,VPN安全粒度達(dá)到個(gè)人終端系統(tǒng)的標(biāo)準(zhǔn);而“隧道模式”方案,VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中,目前還沒有統(tǒng)一的加密標(biāo)準(zhǔn),因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計(jì)的,需要非凡的加密硬件。
4.QoS技術(shù)
通過隧道技術(shù)和加密技術(shù),已經(jīng)能夠建立起一個(gè)具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定,治理上不能滿足企業(yè)的要求,這就要加入QoS技術(shù)。實(shí)行QoS應(yīng)該在主機(jī)網(wǎng)絡(luò)中,即VPN所建立的隧道這一段,這樣才能建立一條性能符合用戶要求的隧道。
不同的應(yīng)用對(duì)網(wǎng)絡(luò)通信有不同的要求,這些要求可用如下參數(shù)給予體現(xiàn):
·帶寬:網(wǎng)絡(luò)提供給用戶的傳輸率;
·反應(yīng)時(shí)間:用戶所能容忍的數(shù)據(jù)報(bào)傳遞延時(shí);
·抖動(dòng):延時(shí)的變化;
·丟失率:數(shù)據(jù)包丟失的比率。
網(wǎng)絡(luò)資源是有限的,有時(shí)用戶要求的網(wǎng)絡(luò)資源得不到滿足、通過QoS機(jī)制對(duì)用戶的網(wǎng)絡(luò)資源分配進(jìn)行控制以滿足應(yīng)用的需求。QoS機(jī)制具有通信處理機(jī)制以及供給(Provisioning)和配置(Configuration)機(jī)制。通信處理機(jī)制包括802.1p、區(qū)分服務(wù)(differentiatedserviceper-hop-behaviors,DiffServ)、綜合服務(wù)(integratedservices,IntServ)等等。現(xiàn)在大多數(shù)局域網(wǎng)是基于IEEE802技術(shù)的,如以太網(wǎng)、令牌環(huán)、FDDI等,802.1p為這些局域網(wǎng)提供了一種支持QoS的機(jī)制。802.1p對(duì)鏈路層的802報(bào)文定義了一個(gè)可表達(dá)8種優(yōu)先級(jí)的字段。802.1p優(yōu)先級(jí)只在局域網(wǎng)中有效,一旦出了局域網(wǎng),通過第三層設(shè)備時(shí)就被移走。DiffServ則是第三層的QoS機(jī)制,它在IP報(bào)文中定義了一個(gè)字段稱DSCP(DiffServ codepoint)。DSCP有六位,用作服務(wù)類型和優(yōu)先級(jí),路由器通過它對(duì)報(bào)文進(jìn)行排隊(duì)和調(diào)度。與802.1p、DiffServ不同的是,IntServ是一種服務(wù)框架,目前有兩種:保證服務(wù)和控制負(fù)載服務(wù)。保證服務(wù)許諾在保證的延時(shí)下傳輸一定的通信量;控制負(fù)載服務(wù)則同意在網(wǎng)絡(luò)輕負(fù)載的情況下傳輸一定的通信量。典型地,IntServ與資源預(yù)留協(xié)議(Resource reservation Protocol,RSVP)相關(guān)。IntServ服務(wù)定義了答應(yīng)進(jìn)入的控制算法,決定多少通信量被答應(yīng)進(jìn)入網(wǎng)絡(luò)中。
供給和配置機(jī)制包括RSVP、子網(wǎng)帶寬治理(subnetbandwidthmanager,SBM)、政策機(jī)制和協(xié)議以及治理工具和協(xié)議。這里供給機(jī)制指的是比較靜態(tài)的、比較長(zhǎng)期的治理任務(wù),如:網(wǎng)絡(luò)設(shè)備的選擇、網(wǎng)絡(luò)設(shè)備的更新、接口添加刪除、拓?fù)浣Y(jié)構(gòu)的改變等等。而配置機(jī)制指的是比較動(dòng)態(tài)、比較短期的治理任務(wù),如:流量處理的參數(shù)。
RSVP是第三層協(xié)議,它獨(dú)立于各種的網(wǎng)絡(luò)媒介。因此,RSVP往往被認(rèn)為介于應(yīng)用層(或操作系統(tǒng))與特定網(wǎng)絡(luò)媒介QoS機(jī)制之間的一個(gè)抽象層。RSVP有兩個(gè)重要的消息:PATH消息,從發(fā)送者到接收者;RESV消息,從接收者到始發(fā)者。RSVP消息包含如下信息:①網(wǎng)絡(luò)如何識(shí)別一個(gè)會(huì)話流(分類信息);②描述會(huì)話流的定量參數(shù)(如數(shù)據(jù)率);③要求網(wǎng)絡(luò)為會(huì)話流提供的服務(wù)類型;④政策信息(如用戶標(biāo)識(shí))。RSVP的工作流程如下:
·會(huì)話發(fā)送者首先發(fā)送PATH消息,沿途的設(shè)備若支持RSVP則進(jìn)行處理,否則繼續(xù)發(fā)送;
·設(shè)備若能滿足資源要求,并且符合本地治理政策的話,則進(jìn)行資源分配,PATH消息繼續(xù)發(fā)送,否則向發(fā)送者發(fā)送拒絕消息;
·會(huì)話接收者若對(duì)發(fā)送者要求的會(huì)話流認(rèn)同,則發(fā)送RESV消息,否則發(fā)送拒絕消息;
·當(dāng)發(fā)送者收到RESV消息時(shí),表示可以進(jìn)行會(huì)話,否則表示失敗。
SBM是對(duì)RSVP功能的加強(qiáng),擴(kuò)大了對(duì)共享網(wǎng)絡(luò)的利用。在共享子網(wǎng)或LAN中包含大量交換機(jī)和網(wǎng)絡(luò)集線器,因此標(biāo)準(zhǔn)的RSVP對(duì)資源不能充分利用。支持RSVP的主機(jī)和路由器同意或拒絕會(huì)話流,是基于它們個(gè)人有效的資源而不是基于全局有效的共享資源。結(jié)果,共享子網(wǎng)的RSVP請(qǐng)求導(dǎo)致局部資源的負(fù)載過重。SBM可以解決這個(gè)問題:協(xié)調(diào)智能設(shè)備。包括:具有SBM能力的主機(jī)、路由器以及交換機(jī)。這些設(shè)備自動(dòng)運(yùn)行一選舉協(xié)議,選出最合適的設(shè)備作為DSBM(designatedSBM)。當(dāng)交換機(jī)參與選舉時(shí),它們會(huì)根據(jù)第二層的拓?fù)浣Y(jié)構(gòu)對(duì)子網(wǎng)進(jìn)行分割。主機(jī)和路由器發(fā)現(xiàn)最近的DSBM并把RSVP消息發(fā)送給它。然后,DSBM查看所有消息來(lái)影響資源的分配并提供答應(yīng)進(jìn)入控制機(jī)制。
網(wǎng)絡(luò)治理員基于一定的政策進(jìn)行QoS機(jī)制配置。政策組成部分包括:政策數(shù)據(jù),如用戶名;有權(quán)使用的網(wǎng)絡(luò)資源;政策決定點(diǎn)(policydecsionpoint,PDP);政策加強(qiáng)點(diǎn)(policyenforcement point,PEP)以及它們之間的協(xié)議。傳統(tǒng)的由上而下(TopDown)的政策協(xié)議包括簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議(Simple Network Management Protocol,SNMP)、命令行接口(Command Line Interface,CLI)、命令開放協(xié)議服務(wù)(Command Open Protocol Services,COPS)等。這些QoS機(jī)制相互作用使網(wǎng)絡(luò)資源得到最大化利用,同時(shí)又向用戶提供了一個(gè)性能良好的網(wǎng)絡(luò)服務(wù)。
四、結(jié)束語(yǔ)
基于公共網(wǎng)的VPN通過隧道技術(shù)、數(shù)據(jù)加密技術(shù)以及QoS機(jī)制,使得企業(yè)能夠降低成本、提高效率、增強(qiáng)安全性。VPN產(chǎn)品從第一代:VPN路由器、交換機(jī),發(fā)展到第二代的VPN集中器,性能不斷得到提高。在網(wǎng)絡(luò)時(shí)代,企業(yè)發(fā)展取決于是否最大限度地利用網(wǎng)絡(luò)。VPN將是企業(yè)的最終選擇。
作者:孫建河吉逸周金星
新聞熱點(diǎn)
疑難解答
圖片精選
網(wǎng)友關(guān)注
