虚拟专用网vpn知识Word文件下载.docx
《虚拟专用网vpn知识Word文件下载.docx》由会员分享,可在线阅读,更多相关《虚拟专用网vpn知识Word文件下载.docx(27页珍藏版)》请在冰豆网上搜索。
Cisco的硬件设备设计得具有高可靠性,Cisco软件支持很多方法还原系统。
基于CiscoMPLS技术的VPN可以不断扩展在同一基础设施上支持数以万计的企业质量的VPN。
基于MPLS的VPN业务解决了对等体之间的邻接问题和扩展性问题,这些问题在使用大规模的虚电路(VC)和IP通道技术时很常见。
复杂的永久性虚电路(PVC)/交换虚电路(SVC)网已经不再必要,服务供应商可以使用新的、高级的通信设计方法来选择预先设定的路径,并为高级的商业应用和业务实现IPQoS保障。
VPN网络可以在IP网络(IPtunnels:
基于IPSec的VPN在IP网中建立安全的tunnels。
IPsec结构包括IP数据包加密和tunnels加密的标准。
)、帧中继网络和ATM网络(基于ATM或FrameRelay的虚电路:
在ATM或FrameRelay骨干网上建立虚电路是构建VPN的另一种方法。
对于这种结构,私有权是在永久虚电路中完成的,而不是tunnels。
)、MPLS网络(IP+ATM:
MPLS已经成为结合IP和ATM技术的工业标准。
在MPLS上建立的VPN可提供更宽的伸缩性和灵活性。
在MPLS上,某个虚拟专用网(VPN)的包根据交换标记被前传。
)上建设。
1.IP通道
它可以基于IP安全协议(IPSec),通过路由封装(GRE)或用于无线通信的移动IP。
这种方式在一个IP网络中创建安全通道。
这些技术使用工业标准在网络中建立安全的点到点连接,这个拓扑是叠加在服务供应商信赖的IP网络或公用Internet上的。
它们还对应用划分优先级别。
此外,IPSec体系结构中包含有IETF为IP加密推荐的标准,并且能够建立从接入点到企业内联网或外联网以及企业内联网或外联网内部的加密通道。
2.基于ATM或帧中继的虚电路
这种方式是在ATM或帧中继骨干网上建立虚电路。
利用这种结构,用永久虚电路(PVC)替代通道可以实现网络的保密性。
虚电路体系结构使用ATM的服务质量(QoS)和帧中继的规定信息速率(CIR)来保证VPN的优先级划分。
3.基于多协议标记交换(MPLS)的业务
这种方式实现了安全的、企业质量的VPN解决方案,该方案适合于支持使用IP或IP+ATM技术的数以万计的用户。
在这种方案中,服务供应商使用CiscoMPLSVPN结构来部署大规模的企业内联网和外联网VPN业务。
MPLS是一个最初以Cisco标记交换为基础的IETF推荐使用的标准。
用MPLS建立的VPN在任何IP、IP+ATM或多厂商骨干网上都能提供完全的可扩展性和高度的灵活性。
MPLS利用标记传递数据包,标记是基于VPN的地址,类似于邮政编码。
标记中的VPN标识符将去往特定VPN的信息区分出来。
与IP通道和虚电路体系结构不同,基于MPLS的VPN能够支持在每个VPN社区的无连接路由选择。
因此,服务供应商可以很容易规划他们的业务,在同一基础设施上支持成千上万个VPN,同时保证IP和ATM环境中的全部QoS益处。
Cisco接入VPN解决方案与企业内联网和外联网体系结构互通,包括MPLS、通用路由封装(GRE)以及帧中继和ATM虚电路(VC)结构。
它们使服务商能够实现全面集成、综合的、容易升级并易于管理的业务。
Cisco基于MPLS的VPN方案在IP+ATMWAN交换平台,如BPX和MGX系列交换机和高端路由器平台即Cisco12000系列GSR和7000系列路由器上受到支持。
后面将主要探讨在IP网络上建立VPN的方法和相关协议。
VPN一般可分为拨号VPN和专线VPN。
拨号VPN能满足不断增长的企业员工移动办公的需求,它使企业员工无论何时、何地都能通过覆盖全球的Internet连接到企业的Intranet上,同时不需要牺牲Intranet的安全性和数据的私有性。
由于企业员工只需要拨号到本地ISP,因此,可以节省大量的长途通信费用。
专线VPN一般用于连接企业的分支机构和办事处。
有3种类型的VPN:
接入VPN、企业内联网和外联网VPN
*AccessVPN--接入VPN。
接入VPN使用户不论何时、何地或者采取何种方式请求都能够连接到他们的企业内联网或外联网中。
接入VPN采用与专用网络相同的策略,在共享基础设施上实现对企业内联网或外联网的远端接入。
Cisco接入VPN解决方案利用拨号、ISDN、DSL、移动IP和有线技术为移动用户、远程工作者和小型办事处提供远程访问连接。
接入VPN包含两种体系结构,即客户机驱动连接和网络接入服务器(NAS)驱动连接。
使用客户驱动的连接,用户可以从他们的客户端开始,通过服务供应商的共享网络到企业网络建立一条加密的IP通道。
利用这一种体系结构,服务供应商可以管理建立该通道的客户机软件。
另一种VPN体系结构定义了由NAS驱动的通道。
在这种情况下,远端用户利用一个本地或免费长途电话号码,拨入服务供应商的营业点(POP)。
服务供应商则建立一条安全的、加密的通道连接企业网络。
利用由NAS驱动的体系结构,服务供应商对用户的身份进行验证,使他们能够初步接入到企业网络中。
然而,企业仍保留有控制他们自己的安全策略、对用户进行身份验证、授予用户访问权限并在网络上跟踪用户活动的权力。
*IntranetVPN--在共享网络结构上连接公司大楼、远端办公室和部门办公室。
*ExtranetVPN--在共享网络结构上,使用与专用网相同的策略连接供应商、合作者、客户或利益群体。
虚拟拨号服务的突出部分
以下部分讨论在认证、地址协商、授权、计费方面,标准Internet接入服务和虚拟拨号服务之间的主要不同之处。
应该注意到Cisco网络接入服务器同时支持虚拟拨号和传统的拨号服务。
认证/安全
在传统的拨号情况下,ISP把NAS和安全服务器连接在一起,用远端用户的用户名和密码进行认证。
如果远端用户通过这一关,便开始授权阶段。
在虚拟拨号服务情况下,ISP的认证是为了发现用户所需要的企业网关。
在这部分不进行密码的交互。
当企业网关被确定,一个连接根据ISP收集的认证信息被建立。
企业网关完成认证后或者接受连接,或者拒绝连接。
(如:
由于用户名或密码不正确而引起连接被拒绝。
)当连接被接受时,企业网关会进行PPP层的另一种认证。
这些认证超出了本阶段范围,但可能包含在PPP扩展规范中或在TCP/IPtelnet段落中。
每条L2F隧道被建立后,L2F隧道为了安全产生一个唯一的随机码。
在L2F隧道中,每个多元段包含一个顺序数字以避免包的副本产生。
Cisco提供灵活性允许用户在客户端完成压缩。
隧道中可以用IPsecurity(IPsec)进行加密。
提供传统拨号服务时,ISP需要提供定义授权的用户界面。
这样安全服务器要与NAS互连,根据他们的认证信息提供用户的授权信息。
这些授权信息可以从简单的少数源/目的站点的过滤,到复杂的特殊应用的算法,日访问时长,允许/拒绝目的地的项目表。
这些工作令ISP十分繁忙。
提供虚拟拨号服务时,由用户企业直接给予授权信息。
由于允许远端用户到他们企业网关点到点连通,所有授权的执行,就好象远端用户直接拨号到企业内部一样。
这样,就不用ISP保存一个包含每个不同企业的个人用户界面的大型数据库。
更重要的是,虚拟拨号服务提供更高的安全措施令企业利用它来快速的对远端用户的改变做出反应。
地址分配
对于传统Internet服务,用户的IP地址是由ISP从拨号池中动态分配的。
这种模式意味着远端用户几乎不能访问他们的企业内部网资源,因为防火墙及安全措施不允许外部IP地址来访问企业内部网。
对于虚拟拨号服务,企业网关存在于企业防火墙之后,并分配内部地址。
因为L2F隧道是专门运作在第2层,没有实际的地址管理;
PPP协议的目的就是把拨号用户连接到企业网关。
计费
NAS和企业网关提供计费数据意思是:
它们可以计算包数、字节数、连接起始和终止时间。
由于虚拟拨号是一种接入服务,连接的计费是人们主要关心的。
企业网关可以通过ISP上的认证信息,做出响应拒绝新的连接。
如果企业网关接受了连接,进行了更深入的认证后,它还可以随后断掉这个客户连接,在这种情况下,断掉的原因应返回给ISP。
由于企业网关可以根据ISP上收集的认证信息拒绝连接,计费在失败的连接上和成功的连接上要有区别。
如果没有这些措施,企业网关必须接受连接请求,然后需要与远端系统交换很多PPP包。
VPN技术的原理
VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。
它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
其处理过程大体是这样:
(1)要保护的主机发送明文信息到连接公共网络的VPN设备;
(2)VPN设备根据网络管理员设置的规则,确定是否需要对数据进行加密或让数据直接通过;
(3)对需要加密的数据,VPN设备对整个数据包(包括要传送的数据、源IP地址和目标IP地址)进行加密和附上数字签名(鉴别);
(4)VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数;
(5)VPN设备对加密后数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输;
(6)当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后数据包被解密。
右图为VPN技术的结构示意图(本图以硬件VPN解决方案为例)。
在这个图例中,有4个内部网络通过公网连接起来,各个内部网络位于VPN设备的后面,同时通过路由器连接到公网。
在这种VPN结构中,数据按照严密的算法在公网中通过多层的虚拟通道(也称"
隧道"
)从一端VPN设备到达另一端。
隧道从一个VPN设备开始,通过路由器横跨整个公网到达其他VPN设备。
通过数字证书来标记整个隧道,并以此来鉴别属于此VPN的隧道。
隧道的第二层是数据的封装包,到达目标VPN设备的是重新封装后的数据。
隧道的第三层是身份验证,采用不同的算法来验证信息来源的真实性。
隧道的最里层就是加密层,传输的数据被加密来确保它的机密性。
隧道处理的结果使得各种被传输的信息只有预定的接收者才能读懂。
VPN系统根据系统设置的安全规则表来实施,对用户来说完全是透明的和自动的。
在VPN系统后面的员工照样上网发送电子邮件或下载文件。
由VPN系统决定他们的任务哪些需要加密或不加密。
隧道技术
VPN具体实现是采用隧道技术,将企业网的数据封装在隧道中进行传输。
隧道协议可分为第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPsec。
它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。
1、隧道技术
无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组成的。
让我们以L2TP为例,看一下隧道协议的组成。
表1
传输协议被用来传送封装协议。
IP是一种常见的传输协议,这是因为IP具有强大的路由选择能力,可以运行于不同介质上,并且其应用最为广泛。
此外,帧中继、ATMPVC和SVC也是非常合适的传输协议。
比如用户想通过Internet将其分公司网络连接起来,但他的网络环境是IPX,这时用户就可以使用IP作为传输协议,通过封装协议封装IPX的数据包,然后就可以在Internet网上传递IPX数据。
封装协议被用来建立、保持和拆卸隧道。
Cisco支持几种封装协议,包括L2F、L2TP、GRE协议。
而乘客协议是被封装的协议,它们可以是PPP、SLIP。
隧道协议有很多好处,例如在拨号网络中,用户大都接受ISP分配的动态IP地址,而企业网一般均采用防火墙、NAT等安全措施来保护自己的网络,企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。
采用隧道协议后,企业拨号用户就可以得到企业内部网IP地址,通过对PPP帧进行封装,用户数据包可以穿过防火墙到达企业内部网。
2、PPTP——点对点隧道协议
PPTP提供PPTP客户机和PPTP服务器之间的加密通信。
PPTP客户机是指运行了该协议的PC机,如启动该协议的Windows95/98;
PPTP服务器是指运行该协议的服务器,如启动该协议的WindowsNT服务器。
PPTP可看作是PPP协议的一种扩展。
它提供了一种在Internet上建立多协议的安全虚拟专用网(VPN)的通信方式。
远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。
通过PPTP,客户可采用拨号方式接入公共IP网络Internet。
拨号客户首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;
在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道,实质上是基于IP协议上的另一个PPP连接,其中的IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。
PPTP采用了基于RSA公司RC4的数据加密方法,保证了虚拟连接通道的安全性。
对于直接连到Internet上的客户则不需要第一重PPP的拨号连接,可以直接与PPTP服务器建立虚拟通道。
PPTP把建立隧道的主动权交给了用户,但用户需要在其PC机上配置PPTP,这样做既增加了用户的工作量又会造成网络安全隐患。
另外PPTP只支持IP作为传输协议。
3、L2F——第二层转发协议
L2F是由Cisco公司提出的可以在多种介质如ATM、帧中继、IP网上建立多协议的安全虚拟专用网(VPN)的通信方式。
远端用户能够透过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;
NAS根据用户名等信息,发起第二重连接,通向HGW服务器。
在这种情况下隧道的配置和建立对用户是完全透明的。
End-to-EndVirtualDialupProcess
下面从一个远端用户访问来描述虚拟拨号服务是如何工作的。
如图:
远端用户通过ISP或PSTN建立一条PPP连接。
NAS接受连接,PPP连接被建立(如图第1步)。
1、NAS接受远端用户的PPP呼叫连接。
2、NAS识别远端用户。
3、NAS建立到目的企业网网关的L2F隧道(tunnel)。
4、企业网网关鉴别远端用户并接受或拒绝隧道(tunnel)。
5、企业网网关确认接受呼叫和L2F隧道。
6、NAS记录接受信息或通信量选项。
7、企业网网关和远端用户交换PPP协商。
在此企业网网关可以分配IP地址。
8、从远端用户到企业网网关的端到端隧道以建立。
ISP用CHAP或PAP鉴别终端用户。
只有用户域能说明用户是否需要虚拟拨号服务。
一般希望用户名要有结构(如:
smith@)或者ISP会维持一个服务和用户数据映射。
在虚拟拨号情况下,映射将命名一个终点,即企业网关。
在第一次入网时,这个终点被公网ISP认为是企业网关的IP地址。
(SeeFigure19-4,step2.)
如果组织的安全策略允许,在NAS上的拨号用户的授权只在用户名的主域名上执行,而不是在每个个人用户名上执行。
这种设置可以充分地降低授权数据库的大小。
如果一个虚拟拨号服务不被允许,Internet的传统访问会由NAS提供。
在这种情况下,所有的地址分配和认证由ISP本地提供。
如果的目的企业网关的隧道连接不存在,就要建立一个。
这种隧道生成的细节超出描述范围内;
L2F仅需要隧道介质提供点到点的可连接性。
主要的介质为UDP、FrameRelay,ATM,andX.25VCs。
在最初的虚拟拨号服务中,Cisco支持UDP。
由于UDP使用一个IP承载协议,很多支持IP的介质都有效地支持虚拟拨号服务。
(SeeFigure19-4,step3.)
当隧道连接被建立,NAS分配一个不用的多元ID(MID)并发出一个连接指示通知这个新的拨号阶段的企业网关。
MID在隧道中标识一个特殊的连接。
每一个新的连接分配一个当前隧道中没用过的MID。
企业网关接受或者拒绝这个MID。
如果拒绝则给出原因给拨号用户,之后,呼叫被取消。
最初的设置标志信息可能包括需要的认证信息以允许企业网关认证用户并决定接受还是拒绝连接。
在CHAP情况下,设置包包括询问、用户名和密码;
在PAP情况下,设置包包括用户名和密码。
企业网关可以被设置成使用这种信息来完成它的认证,以避免附加的循环认证。
注意认证在企业方进行,允许可以使企业在远端用户访问本网时加强安全性和策略性。
这种方式,企业对认证不完全依赖于ISP。
(SeeFigure19-4,step4.)
如果企业网关接受连接,它为PPP建立一个类似于直接拨号连接的虚拟接口。
链路层的帧可以通过这个虚拟接口在隧道中进行两个方向的传输。
(SeeFigure19-4,step5.)从远端用户发出的帧被NAS接收,剥去帧头比特,然后封装在L2F中,用正确的隧道前传。
最初隧道中L2F协议的承载协议是IP,帧要封装在IP包里。
企业网关接受这些帧,剥去L2F,然后用正确的接口和协议,象处理普通帧一样处理这些帧。
虚拟接口的运转很象硬件接口,区别在于硬件接口是物理的存在于ISPNAS上。
反向方向的运转也类似:
企业网关把包封装在L2F中,然后NAS剥去L2F封装部分,再向前传输到到远端用户的物理接口。
另外,NAS可以随意的记录接受的呼叫和一些为远端用户提供的服务类型的相关信息,如:
呼叫时长、包\字节传输、被访问的协议端口。
(SeeFigure19-4,step6.)
连通性是指一个点到点的PPP连接,连接的一端是远端用户的网络应用,另一端是企业网关PPP支持的连接终止端。
由于远端用户已经成为简单的企业网关访问服务器的拨号客户,客户的连接可以用传统的机制管理,包括:
授权、地址协商、协议访问、计费和包过滤。
(SeeFigure19-4,steps7and8.)
4、GRE——通用路由封装
GRE在RFC1701/RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。
GRE的隧道由两端的源IP地址和目的IP地址来定义,它允许用户使用IP封装IP、IPX、AppleTalk,并支持全部的路由协议如RIP、OSPF、IGRP、EIGRP。
通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。
GRE在包头中包含了协议类型,这用于标明乘客协议的类型;
校验和包括了GRE的包头和完整的乘客协议与数据;
密钥用于接收端验证接收的数据;
序列号用于接收端数据包的排序和差错控制;
路由用于本数据包的路由。
GRE只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。
所以在实际环境中它常和IPsec在一起使用,由IPsec提供用户数据的加密,从而给用户提供更好的安全性。
5、L2TP——第二层隧道协议
L2TP结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接。
L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。
Cisco、Ascend、Microsoft和RedBack公司的专家们在修改了十几个版本后,终于在1999年8月公布了L2TP的标准RFC2661。
(我们可以从ftp:
//ftp.isi.edu/in-notes/rfc2661.txt下载该标准内容。
)
现在,Internet中的拨号网络只支持IP协议,而且必须使用注册的合法IP地址,而L2TP可以让拨号用户支持多种协议,如IP、IPX、AppleTalk,且可以使用保留网络地址,包括保留IP地址。
利用L2TP提供的拨号VPN服务对最终用户、企业和服务提供商都很有意义,它能够让更多的用户群共享拨号接入和骨干IP网络设施,为拨号用户节省长途通信费用。
同时,由于L2TP支持多种网络协议,企业在非IP网络和应用上的投资不至于浪费。
L2TP还解决了多个PPP链路的捆绑问题,PPP链路捆绑要求其成员均指向同一个NAS,L2TP可以使物理上连接到不同NAS的PPP链路,在逻辑上的终结点为同一个物理设备(L2TP带来的另一个好处是它能够支持多个PPP链路的捆绑使用(RFC1990:
thePPPMultilinkProtocol,MP)。
MP一般用于将ISDN中的多个B信道捆绑使用,它要求组成MP的多个PPP物理链路的终结点为同一个NAS(NetworkAccessServer),L2TP可以使物理上连接到不同的NAS的PPP链路,在逻辑上的终结点为同一个物理设备。
)。
L2TP扩展了PPP连接,在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接,并在其上运行PPP,第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。
L2TP作为PPP的扩展提供更强大的功能,包括第2层连接的终结点和PPP会话的终结点可以是不同的设备。
L2TP主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)构成,LAC(L2TP访问集中器)支持客户端的L2TP,他用于