【摘 要】隨著企業(yè)規(guī)模逐漸擴大,遠(yuǎn)程用戶、遠(yuǎn)程辦公人員、分支機構(gòu)、合作伙伴也在不斷增多,關(guān)鍵業(yè)務(wù)的需求增加,出現(xiàn)了一種通過公共網(wǎng)絡(luò)(如Internet)來建立自己的專用網(wǎng)絡(luò)的技術(shù),這種技術(shù)就是虛擬專用網(wǎng)(簡稱VPN)。
【關(guān)鍵詞】VPN隧道 IPSec QoS
1 概述
虛擬專用網(wǎng)(簡稱VPN)是一種利用公共網(wǎng)絡(luò)來構(gòu)建私有數(shù)據(jù)傳輸通道,將遠(yuǎn)程的用戶端連接起來,提供端到端的服務(wù)質(zhì)量(QoS)保證以及安全服務(wù)的私有專用網(wǎng)絡(luò)。目前,能夠用于構(gòu)建 VPN的公共網(wǎng)絡(luò)包括 Internet和服務(wù)提供商(ISP)所提供的DDN專線、幀中繼(FR)、ATM等,構(gòu)建在這些公共網(wǎng)絡(luò)上的 VPN將給企業(yè)提供集安全性、可靠性、可管理性、互操作性于一身的私有專用網(wǎng)絡(luò)。
2VPN的要求
2.1 安全性
VPN提供用戶一種私人專用的感覺,因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。VPN的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中,要有高強度的加密技術(shù)來保護(hù)敏感信息;在遠(yuǎn)程訪問VPN中要有對遠(yuǎn)程用戶可靠的認(rèn)證機制。
2.2性能
VPN要發(fā)展,其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高,但在Internet時代,隨著電子商務(wù)活動的激增,網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來極大的影響。因此,VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能。通過VPN平臺,管理員定義管理策略來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級應(yīng)用的性能,又不會“餓死”低優(yōu)先級的應(yīng)用。
2.3管理問題
由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加,網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長,對越來越復(fù)雜的網(wǎng)絡(luò)進(jìn)行管理,網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞至關(guān)緊要的區(qū)分。因此,VPN要有一個固定的管理方案以減輕管理、報告等方面負(fù)擔(dān)。管理平臺要有一個定義安全策略的簡單方法,將安全策略進(jìn)行分布,并管理大量設(shè)備。
2.4互操作
在Extranet VPN中,企業(yè)要與不同的客戶及合作伙伴建立聯(lián)系,VPN解決方案也會不同。因此,企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這就要求所選擇的VPN方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有IPSec(Internet安全協(xié)議)、PPTP(點到點隧道協(xié)議)、L2TP(第二層隧道協(xié)議)等。
3 VPN的實現(xiàn)技術(shù)
3.1隧道技術(shù)
VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立,然后數(shù)據(jù)包經(jīng)過加密,按隧道協(xié)議進(jìn)行封裝、傳送以保證安全性。
現(xiàn)有兩種類型的隧道協(xié)議,一種是二層隧道協(xié)議,用于傳輸?shù)诙䦟泳W(wǎng)絡(luò)協(xié)議,它主要應(yīng)用于構(gòu)建遠(yuǎn)程訪問VPN;另一種是三層隧道協(xié)議,用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議,它主要應(yīng)用于構(gòu)建 Intranet VPN和 Extranet VPN。
3.2加密技術(shù)
數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息,使非授權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4雖然強度比較弱,但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了;DES和三次DES強度比較高,可用于保護(hù)敏感的商業(yè)信息。
加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行,可以對數(shù)據(jù)或報文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實現(xiàn)的最安全方法是在主機的端到端進(jìn)行。另一個選擇是“隧道模式”:加密只在路由器中進(jìn)行,而終端與第一跳路由之間不加密。這種方法不太安全,因為數(shù)據(jù)從終端系統(tǒng)到第一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中,VPN安全粒度達(dá)到個人終端系統(tǒng)的標(biāo)準(zhǔn);而“隧道模式”方案,VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中,目前還沒有統(tǒng)一的加密標(biāo)準(zhǔn),因此,所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計的,需要特別的加密硬件。
3.3QoS技術(shù)
通過隧道技術(shù)和加密技術(shù),已經(jīng)能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定,管理上不能滿足企業(yè)的要求,這就要加入QoS技術(shù)。實行QoS應(yīng)該在主機網(wǎng)絡(luò)中,即VPN所建立的隧道這一段,這樣才能建立一條性能符合用戶要求的隧道。
QoS機制具有通信處理機制以及供應(yīng)和配置機制。網(wǎng)絡(luò)資源是有限的,有時用戶要求的網(wǎng)絡(luò)資源得不到滿足,管理員基于一定的策略進(jìn)行QoS機制配置,通過QoS機制對用戶的網(wǎng)絡(luò)資源分配進(jìn)行控制以滿足應(yīng)用的需求,這些QoS機制相互作用使網(wǎng)絡(luò)資源得到最大化利用,同時又向用戶提供了一個性能良好的網(wǎng)絡(luò)服務(wù)。
除了這3種主要技術(shù)以外,還有如備份技術(shù),流量控制技術(shù),包過濾技術(shù),網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù),抗擊打能力和網(wǎng)絡(luò)監(jiān)控和管理技術(shù)等。
4 VPN的應(yīng)用模式
4.1遠(yuǎn)程訪問
為克服傳統(tǒng)遠(yuǎn)程訪問的問題,推出了基于VPN的遠(yuǎn)程訪問解決方案。如圖1所示,這種方案充分利用了公共基礎(chǔ)設(shè)施和ISP,遠(yuǎn)程用戶通過ISP接入Internet,再穿過Internet連接與Internet相連的企業(yè)VPN服務(wù)器,來訪問位于VPN服務(wù)器后面的內(nèi)部網(wǎng)絡(luò)。一旦接入VPN服務(wù)器,就在遠(yuǎn)程用戶與VPN服務(wù)器之間建立一條穿越Internet的專用隧道連接。這樣,遠(yuǎn)程客戶到當(dāng)?shù)豂SP的連接和VPN服務(wù)器到當(dāng)?shù)豂SP的連接都是本地網(wǎng)內(nèi)通信,雖然Internet不夠安全,但是由于采用加密技術(shù),遠(yuǎn)程客戶到VPN服務(wù)器之間的連接是安全的。
4.2遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)
基于VPN的網(wǎng)絡(luò)互聯(lián)已成為一種熱門的新型WAN技術(shù),它利用專用隧道取代長途線路來降低成本,提高效率。兩端的內(nèi)部網(wǎng)絡(luò)通過VPN服務(wù)器接入本地網(wǎng)內(nèi)的ISP,通過Internet建立虛擬的專用連接,如圖2所示。特別是寬帶網(wǎng)業(yè)務(wù)的發(fā)展,為基于VPN的遠(yuǎn)程網(wǎng)絡(luò)提供了廉價、高速的解決方案。這種互聯(lián)網(wǎng)絡(luò)擁有與本地互聯(lián)局域網(wǎng)相同的管理性和可靠性。
4.3網(wǎng)絡(luò)內(nèi)部安全
與Internet上的應(yīng)用類似,內(nèi)部網(wǎng)VPN也有兩種應(yīng)用模式,一種是基于VPN的“遠(yuǎn)程訪問”,另一種是基于VPN的“網(wǎng)絡(luò)互聯(lián)”,如圖3所示。此外,VPN也被用于兩個主機之間的安全連接,如服務(wù)器之間的連接。