VPN技术分析与实现.docx
《VPN技术分析与实现.docx》由会员分享,可在线阅读,更多相关《VPN技术分析与实现.docx(25页珍藏版)》请在冰豆网上搜索。
VPN技术分析与实现
VPN技术分析与实现
摘要:
随着Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。
本文介绍了虚拟专用网的技术原理和特点,以及利用VPN技术构建企业虚拟专用网的优势,提出利用公网的资源作为企业各级单位间传输信息的通道,在建设内部网实现信息安全共享的同时降低建设和维护成本,因此具有很好的应用前景。
文章首先对VPN的技术的发展、优点等进行了分析;其次阐述了VPN的解决方案;最后,结合一个证券公司的实例说明企业VPN网络的具体实现。
关键词:
虚拟专用网;虚拟局域网;网络安全;隧道技术
VPNtechnologyanalysisandimplementation
Abstract:
AstheInternethasbecomeasociety-wideinformationinfrastructure,enterprise-basedapplicationsaremostlyIP,tobuildapplicationsontheInternethavebecomeaninevitabletrend,sotheservicewhichbasedontheIP-VPNwasgreatroomforgrowth.Thispaperpresentsavirtualprivatenetworktechnologyprinciplesandcharacteristics,andpresentstheadvantagesthatthecompaniesusetheVPNtechnologytobuildthevirtualprivatenetwork,byusingpublicnetworksatalllevelsofresourcesasabusinessunitofthechanneltotransmitinformation,inbuildinginternalnetworkstoshareinformationsecurityAtthesametimereducethecostofconstructionandmaintenance,soVPNhasgoodprospects.ThearticlefirsttellussomethingaboutthedevelopmentoftechnologiesVPNandotheradvantagesofananalysis;andsecondlyabouttheVPNsolutions;Finally,itcombinatesasecuritiescompanyexamplesofthespecificenterpriseVPNnetworktoachieve.
Keywords:
VPN;VLAN;networksecurity;tunnel
目 录
1VPN技术概述1
1.1VPN产生的背景1
1.2VPN的定义1
1.3VPN的特点2
1.4VPN带来的好处3
2隧道技术7
2.1概述7
2.2隧道协议7
2.3隧道技术实现过程10
2.4隧道中的源和目标IP地址11
3VPN中的安全技术12
3.1加解密技术12
3.2密钥管理技术12
3.3身份认证技术13
4VPN解决方案14
4.1远程访问虚拟网14
4.2企业内部虚拟网15
4.3企业扩展虚拟网16
5VPN网络方案设计17
5.1需求分析17
5.2拓扑设计18
5.3设备选型18
5.4IP地址分配20
5.5权限设置20
5.6具体配置21
结束语27
参考文献28
致谢29
1VPN技术概述
1.1VPN产生的背景
随着Internet和电子商务的蓬勃发展,越来越多的用户认识到,经济全球化的最佳途径是发展基于Internet的商务应用。
随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。
这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。
还有一类用户,随着自身的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。
因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。
用户的需求正是虚拟专用网技术诞生的直接原因。
移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候,采用传统的远程访问方式不但通讯费用比较高,而且在与内部专用网络中的计算机进行数据传输时,不能保证通信的安全性。
为了避免以上的问题,通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。
1.2VPN的定义
现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
IETF草案理解基于IP的VPN为:
"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
我们所要构建的虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN是基于公网,利用隧道加密等技术,为用户提供的虚拟专用网络,它给用户一种直接连接到私人局域网的感觉。
用户在电信部门租用的帧中继(FrameRelay)与ATM等数据网络提供固定虚拟线路(PVC-PermanentVirtualCircuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。
如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。
更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。
而在Internet上,VPN使用者可以控制自己与其它使用者的联系,同时支持拨号的用户。
所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是FrameRelay或ATM等提供虚拟固定线路(PVC)服务的网络。
1.3VPN的特点
安全保障:
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
服务质量保证(QoS):
VPN网应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。
所有以上网络应用均要求网络根据需要提供不同等级的服务质量。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
可扩充性和灵活性:
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
可管理性:
从用户角度和运营商的角度应可方便地进行管理、维护。
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。
虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。
所以,一个完善的VPN管理系统是必不可少的。
VPN管理的目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
1.4VPN带来的好处
VPN的最终目的是服务于企业,为企业带来可观的经济效益,为现代化企业的信息共享提供安全可靠的途径。
由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。
这就是VPN价格低廉的原因。
哪些用户适于使用VPN呢?
在满足基本应用要求后,有三类用户比较适合采用VPN:
①位置众多,特别是单个用户和远程办公室站点多,例如企业用户、远程教育用户;
②用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信,甚至国际长途手段联系的用户;
③带宽和时延要求相对适中;
④对线路保密性和可用性有一定要求的用户。
相对而言,有四种情况可能并不适于采用VPN:
①非常重视传输数据的安全性;
②不管价格多少,性能都被放在第一位的情况;
③采用不常见的协议,不能在IP隧道中传送应用的情况;
④大多数通信是实时通信的应用,如语音和视频。
但这种情况可以使用公共交换电话网(PSTN)解决方案与VPN配合使用。
对于企业来说,VPN提供了安全、可靠的Internet访问通道,为企业进一步发展提供了可靠的技术保障。
而且VPN能提供专用线路类型服务,是方便快捷的企业私有网络。
企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。
对于用户来说可以从以下几方面获益:
●实现网络安全:
具有高度的安全性,对于现在的网络是极其重要的。
新的服务如在线银行、在线交易都需要绝对的安全,而VPN以多种方式增强了网络的智能和安全性。
首先,它在隧道的起点,在现有的企业认证服务器上,提供对分布用户的认证。
另外,VPN支持安全和加密协议,如SecureIP(IPsec)和Microsoft点对点加密(MPPE)。
●简化网络设计:
网络管理者可以使用VPN替代租用线路来实现分支机构的连接。
这样就可以将对远程链路进行安装、配置和管理的任务减少到最小,仅此一点就可以极大地简化企业广域网的设计。
另外,VPN通过拨号访问来自于ISP或NSP的外部服务,减少了调制解调器池,简化了所需的接口,同时简化了与远程用户认证、授权和记账相关的设备和处理。
●降低成本:
VPN可以立即而且显著地降低成本。
当使用Internet时,实际上只需付短途电话费,却收到了长途通信的效果。
因此,借助ISP来建立VPN,就可以节省大量的通信费用。
此外,VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备,这些工作都可以交给ISP。
VPN使用户可以降低如下的成本:
①移动用户通信成本。
VPN可以通过减少长途费用来节省移动用户的花费。
②租用线路成本。
VPN可以以每条连接的40%到60%的成本对租用线路进行控制和管理。
对于国际用户来说,这种节约是极为显著的。
对于话音数据,节约金额会进一步增加。
③主要设备成本。
VPN通过支持拨号访问外部资源,使企业可以减少不断增长的调制解调器费用。
另外,它还允许一个单一的WAN接口服务多种目的,从分支网络互连、商业伙伴的外连网终端、本地提供高带宽的线路连接到拨号访问服务提供者,因此,只需要极少的WAN接口和设备。
由于VPN可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。
另外,由于VPN独立于初始协议,这就使得远端的接入用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。
●容易扩展:
如果企业想扩大VPN的容量和覆盖范围。
企业需做的事情很少,而且能及时实现:
企业只需与新的IPS签约,建立账户;或者与原有的ISP重签合约,扩大服务范围。
在远程办公室增加VPN能力也很简单:
几条命令就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。
●可随意与合作伙伴联网:
在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。
有了VPN之后,这种协商也毫无必要,真正达到了要连就连,要断就断。
●完全控制主动权:
借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
●支持新兴应用:
许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。
VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等。
正由于VPN能给用户带来诸多的好处,VPN在全球发展得异常红火,在北美和欧洲,VPN已经是一项相当普遍的业务;在亚太地区,该项服务也迅速开展起来。
2隧道技术
2.1概述
众所周知,由于公共IP的短缺,我们在组建局域网时,通常使用保留地址作为内部IP,这些保留地址在Internet上是无法被路由的,所以在正常情况下我们无法直接通过Internet访问到在局域网内的主机。
为了实现这一目的,我们需要使用VPN隧道技术[11]。
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
2.2隧道协议
2.2.1隧道协议
l隧道是由隧道协议形成的,分为第二、三层隧道协议,两者本质区别在于用户的数据包是被封装到哪一层的数据包在隧道里传输。
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。
这种双层封装方法形成的数据包靠第二层协议进行传输。
第二层隧道协议有L2F、PPTP、L2TP等。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
第三层隧道协议有VTP、IPSec、GRE等。
①PPTP(PointtoPointTunnelingProtocol):
PPTP是VPN的基础。
PPTP的封装在数据链路层产生,PPTP协议采用扩展的GRE(GenericRoutingEncapsulation)头对PPP/SLIP报进行封装。
点对点隧道协议(PPTP)是一种网络协议,其通过跨越基于TCP/IP的数据网络创建VPN实现了从远程客户端到专用企业服务器之间数据的安全传输。
PPTP支持通过公共网络(例如Internet)建立按需的、多协议的、虚拟专用网络。
PPTP允许加密IP通讯,然后在要跨越公司IP网络或公共IP网络(如Internet)发送的IP头中对其进行封装。
PPTP连接只要求通过基于PPP的身份验证协议进行用户级身份验证。
②L2F(Layer2Forwording):
L2F可在多种介质(如ATM、帧中继、IP网)上建立多协议的安全虚拟专用网,他将链路层的协议(如PPP等)封装起来传送。
因此网络的链路层完全独立于用户的链路层协议。
③L2TP((Layer2TunnelingProtocol):
L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成,它结合了PPTP和L2F协议的优点,几乎能实现PPTP和L2F协议能实现的所有服务,并且更加强大、灵活。
第2层隧道协议(L2TP)是一种工业标准Internet隧道协议,其可以为跨越面向数据包的媒体发送点到点协议(PPP)框架提供封装。
L2TP允许加密IP通讯,然后在任何支持点到点数据报交付的媒体上(如IP)进行发送。
Microsoft的L2TP实现使用Internet协议安全(IPSec)加密来保护从VPN客户端到VPN服务器之间的数据流。
IPSec隧道模式允许加密IP数据包,然后在要跨越公司IP网络或公共IP网络(如Internet)发送的IP头中对其进行封装。
④IPSec:
在IP层提供通信安全的一套协议簇,包括封装的安全负载ESP和认证报头AH、ISAKMP,它对所有链路层上的数据提供安全保护和透明服务。
AH用于通信双方验证数据在传输过程中是否被更改并能验证发送方的身份,实现访问控制、数据完整性、数据源的认证功能。
ISAKMP用于通信双方协商加密密钥和加密算法,并且用户的公钥和私钥是由可信任的第三方产生。
IPSec上的L2TP连接不仅需要相同的用户级身份验证,而且还需要使用计算机凭据进行计算机级身份验证。
2.2.2VPN协议比较
PPTP、L2F、L2TP和VTP、IPSec、GRE,它们各自有自己的优点,但对于隧道的加密和数据加密问题都密钥最佳的解决方案。
同时,无论何种隧道技术,一旦进行加密或验证,都会影响系统的性能。
与PPTP相比,L2TP能够提供差错和流量控制。
两者共有的缺点:
其一、认证的只是终端的实体,密钥对信息流(通道中的数据包)进行认证,对于地址欺骗、非法复制包难以防范;其二、由于缺乏认证信息,如果向通道发送一些错误信息,则可能导致服务的关闭,这也成为常用的攻击手段。
GRE只提供了数据包的封装,它并没有使用加密功能来防止网络侦听和攻击。
在实际环境中它常和IPSec一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。
只有IPSec协议集合多种安全技术,建立了一个安全可靠的隧道。
这些技术包括Diffie-Hellman密钥交换技术、DES、RC4、IDEA数据加密技术、哈希散列算法HMAC、MD5、SHA、数字签名技术等。
IPSec不仅可以保证隧道的安全,同时还有一整套保证用户数据安全的措施,由此建立的隧道更具有安全性和可靠性。
IPSec还可以和L2TP、GRE等其它隧道协议一同使用,提供更大的灵活性和可靠性。
IPSec可以运行于网络的任意一部分,他可以在路由器和防火墙之间、路由器和路由器之间、PC机和服务器之间、PC机和拨号和访问设备之间。
IPSec应作为目前较满意的解决方案。
下面对VPN协议进行了比较,如表2.1所示。
表2.1VPN协议的比较
协议
用途
安全
注释
IPSec隧道模式
连接到第三方VPN服务器
高
这是在您连接到非MicrosoftVPN服务器时可以使用的唯一选项。
IPSec上的L2TP
连接到ISAServer 2004计算机、ISAServer 2000计算机或WindowsVPN服务器
高
使用路由和远程访问在复杂性方面比IPSec隧道解决方案低,但是需要远程VPN服务器是ISA服务器计算机或WindowsVPN服务器。
PPTP
连接到ISAServer 2004计算机、ISAServer 2000计算机或WindowsVPN服务器
中
使用路由和远程访问在限制方面与L2TP相同,不同之处在于其更易于配置。
由于使用IPSec加密,因此L2TP被视为是一种更加安全的解决方案。
2.3隧道技术实现过程
其实现过程如图1所示:
图1隧道示意图
通常情况下,VPN网关采用双网卡结构,外网卡使用公共IP接入Internet;
-如果网络一的终端A需要访问网络二的终端B,其发出的访问数据包的目标地址为终端B的IP(内部IP);
-网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新的数据包(VPN数据包),并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址;
-网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网关;
-网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。
解包的过程主要是先将VPN数据包的包头剥离,在将负载通VPN技术反向处理还原成原始的数据包;
-网络二的VPN网关将还原后的原始数据包发送至目标终端,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。
在终端B看来,它收到的数据包就从终端A直接发过来的一样;
-从终端B返回终端A的数据包处理过程与上述过程一样,这样两个网络内的终端就可以相互通讯了。
2.4隧道中的源和目标IP地址
隧道是封装、路由与解封装的整个过程。
隧道将原始数据包隐藏(或封装)在新的数据包内部。
该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传输。
隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。
封装的数据包在网络中的隧道内部传输。
封装的数据包到达目的地后,会删除封装,原始数据包头用于将数据包路由到最终目的地。
隧道本身是封装数据经过的逻辑数据路径。
对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。
连接双方并不关心隧道起点和终