VPN技术方案建议书.docx

1、VPN技术方案建议书VPN技术方案建议书-VPN介绍虚拟私有网络VPN(Virtual Private Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。虚拟专用网（VPN）是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义：一、 它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立；二、 它是利用公众网络设施构成的专用网。VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带

2、来以下益处： 采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用； 公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接； 对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系； 电话公司通过开展拨号VPN服务可以减轻终端阻塞； 通过为公司提供安全的外界远程访问服务，ISP能增加收入；通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。 VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。 VPN能够充分利用

3、现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。 有专家认为，VPN将是本世纪末发展速度最快的业务之一。 1.1 什么是VPN通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别，从而利用公网构筑Virtal Private Network（即VPN）。如果接入方式为拨号方式，则称之为VPDN。VPN通过公众IP网络建立了私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担，节省电话费用开支，并且提供了安全的端到端的数据通讯。VPN的建立有三种方式

4、：一种是企业自身建设，对ISP透明；第二种是ISP建设，对企业透明；第三种是ISP和企业共同建设。1.2 VPN的工作原理用户连接VPN的形式：常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么，如何形成VPN隧道呢？建立隧道有两种主要的方式：客户启动（ClientInitiated）或客户透明（ClientTrans

5、parent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这

6、一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。1.3 VPN涉及的关键技术VPN是一个虚拟的网，其重要的意义在于虚拟和专用。为了实现在公网之上传输私有数据，必须满足其安全性。VPN技术主要体现在两个技术要点上：Tunnel、相关隧道协议（包括PPTP，L2F，L2TP），数据安全协议（IPSEC）。下面针对这几项技术做一介绍。加密和用户授权为在公司网上进行个人通信提供了安全保证。1.3.1 隧道技术（Tunneling）1.3.1.1 隧道技术介绍VPN在表面上是一种联网的方式，比起专线网络来，它具有许多优点。在VPN中，通过采用一种所谓隧道的技术，可以通过公共路由网络传

7、送数据分组，例如Internet网或其他商业性网络。这里，专有的隧道类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。通过TUNNEL的建立，可实现以下功能： 将数据流量强制到特定的目的地 隐藏私有的网络地址 在IP网上传输非IP协议数据包 提供数据安全支持 协助完成用户基于AAA的管理。 在安全方面可提供数据包认证、数据加密以及密钥管理等手段。拨号VPNs使用隧道技术远程访问服务器把用户数据打包进IP信息包中，

8、这些信息包通过电信服务提供商网络传递，在Internet里，则需要穿过不同的网络，最后到达隧道终点 ，然后数据拆包，转发成最初的形式。VPN允许网络协议的转换，还允许对来自许多源的流量进行区别，这样可以指定特定的目的地，接受指定级别的服务。公司网进行远程访问通信，从电路交换的，长距离的本地电信服务提供商到ISPs和Internet需要采用隧道技术。隧道技术使用点对点通信协议，代替了交换连接，通过路由网络来连接数据地址。这代替了电话交换网络使用的电话号码连接。隧道技术允许授权移动用户或已授权的用户再任何时间任何地点访问企业网络。应用授权技术，隧道技术也禁止未授权的访问。下面是一个隧道包典型设计：

9、要形成隧道，基本的要素有以下几项： 隧道开通器（TI） 有路由能力的公用网络 一个或多个隧道终止器（TT） 必要时增加一个隧道交换机以增加灵活性 隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务，例如：（1）配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机；（2）分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器；（3）网络服务提供商站点中的有VPN能力的访问集中器。隧道终止器的任务是使隧道到此终止，不再继续向前延伸。也有多种网络设备和软件可完成此项任务，例如：（1）专门的隧道终止器；（2）企业网络中的隧道交换机；（3）NS

10、P网络的Extranet路由器上的VPN网关。VPN网络中通常还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外，还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息，如带宽、隧道端点、网络策略和服务等级。通过软件或模块升级，现有的网络设备就可以增加VPN能力。一个有VPN能力的设备可以承担多项VPN应用。现在已经有许多Internet(IETF)的建议，都是关于隧道技术如何应用的。其中包括点对点隧道协议(PPTP)、第二层转发（L2F）、第二层隧道协议（L2TP）、虚拟隧道协议（VTP）和移动IP。由于得到了不同网络厂商的支持，建议的标准定义了远程设备

11、如何能以简单安全的方式访问公司网络和Internet。隧道技术非常有用： 首先，一个IP隧道可以调整任何形式的有效负载，使用桌面或便携式计算机的用户能够透明地拨号上网来访问他们公司的IP、IPX或AppleTalk网络。 第二，隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利用封装技术来实现。例如IETF RFC1701定义的一般路由封装。 第三，使用隧道技术访问公司网时，公司网不会向Internet报告它的IP网络地址。 第四，隧道技术允许接受者滤掉或报告个人的隧道连接。 1.3.1.2 第二层隧道与第三层隧道如下图所示，按照隧道的起始和终止位置可分为第二层和第三层隧道。隧道终止在

12、不同的位置取决于第二层隧道或第三层隧道是否使用。使用第三层隧道时，利用终端设备在服务提供商的网络上进行隧道产生和终止。在远程访问服务器(RAS)上也能终止远程用户对点协议(PPP)对话。使用第二层隧道时，隧道的创建可以在RAS也可以在服务商提供的网络上或在RAS上 ，第三层隧道终止第二层隧道连接。在这个服务提供商网络的企业内部网或路由驻留，它仅仅通过隧道传送第三层有效负载到隧道终点。远程访问服务器上，另一方面，第二层隧道在服务提供商的骨干网上把这个PPP帧传到预先确定的终点。远程客户端。隧道的终止则在路由器的用户端或一般的服务器上。下面是第二层隧道与第三层隧道比较：第二层隧道第三层隧道优点简单

13、端到端压缩/加密双向隧道配置可扩充性安全性可靠性缺点标准仍在发展可扩充性存在问题可靠性存在问题有限PPP负载类型安全存在问题有限厂商参加开发复杂针对IP隧道协议，通过PPTP和IPSec协议建立的隧道从客户端起始，终止于企业端VPN接入设备。如下图所示：过L2F和L2TP协议建立的隧道从ISP接入设备端起始，终止于企业端VPN接入设备。如下图所示：第三层隧道技术对于公司网络还有一些其它优点，网络管理者采用第三层隧道技术时，不必在他们的远程节点或客户原有设备(CPE)上安装特殊软件。因为PPP和隧道终点由服务提供商的设备生成，CPE不用负担这些功能,而仅作为一台路由器。第三层隧道技术可采用任意厂

14、家的CPE予以实现。使用第三层隧道技术的公司网络不需要Internet地址。这种隧道技术的应用也具有安全性。服务提供商网络能够隐藏司网络和远端节点地址。应用第三层隧道技术，服务提供商不需要参与公司网路由选择。服务提供商控制其网络的全部数据信息包的通信，当选择把第三层隧道技术应用到第二层隧道通路上时服务商能够更方便的估略服务。1.3.2 相关隧道协议目前，标准的隧道协议如下： 基于客户，对ISP透明PPTPIPSec 由ISP提供，无须客户端具备相关知识L2FL2TP（以后需要客户端的支持） 下面对以上协议作一简单介绍。1.3.2.1 PPTPPoint to Point Tunnel Prot

15、ocal这是一个最流行的Internet协议，它提供PPTP客户机与PPTP服务器之间的加密通信，它允许公司使用专用的隧道，通过公共Internet来扩展公司的网络。通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。这就是说，通过PPTP的封装或隧道服务，使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行。PPTP是Microsoft和其它厂家支持的标准，它是PPTP协议的扩展，它可以通过Internet建立多协议VPN。PPTP使用 40 或128位的RC4加密算法。PPT

16、P的一个主要优势在于微软的支持。在Windows95、98以及NT中都进行了良好的集成（在Win98中已经集成了L2TP）。PPTP也很好地集成进了NT Domain。对于ISP来讲无须任何特殊的支持。另外一个优点在于支持流量控制，可以防止客户与服务器因业务而导致崩溃，并通过减少丢弃报文及由此而引起的重发提高了性能。PPTP的工作方式网络协议的工作方式是交换被称为包（packet）的数据块。包是由协议特定的控制信息以及要发送的真正数据（通常称为负载，payload）组成的。作为网络用户，我们只关心负载。只要数据能无差错地尽快交换，我们不介意协议出于自己的目的选择添加什么控制信息。但是，如果两台

17、计算机要通信的话，无论它们使用何种连接媒介，控制信息都是至关重要的并且必须完整保留。PPTP的工作方式是在TCP/IP包中封装原生（native）包-例如IPX包。包括控制信息在内的整个IPX包都将成为TCP/IP包的负载， 然后它通过Internet传输。另一端的软件打开包并将其发送给原来的协议进行常规处理。该过程被称为通道（tunneling）。除了节省长途拨入费用，通道还增强了数据安全性。由于通道将兼容协议连接到Windows NT 网络，该操作系统能执行在LAN本身执行的广泛的安全性检查。这样，连接能通过PAP（Pass-word Authentication Protocol）或CH

18、AP（Challenge Handshake Authentication Protocol）使用Windows NT 的用户身份验证。另外，PPTP能传送由RSA RC-4 或DES 加密的数据。如果拨入安全性对于VPN来说非常重要， 那么服务器管理员能指定服务器仅接收来自远程连接的PPTP包，但这会妨碍将服务器用作公共Web 或FTP 访 问。 然而，如果有多台服务器可用，并且需要最高的安全性，那么这就是可采纳的方案。然而即使采取所有这些安全措施，客户端唯一需要的特殊软件也只是PPTP协议本身，以 及能连接VPN的拨号程序。甚至连Internet服务提供者是否支持PPTP 也不是必要的，在

19、这种情况下，一切都能通过标准的点对点协议（Point-to-Point Protocol，PPP）安全地进 行。对于不支持PPTP的提供者，Windows NT通过双重拨号系统提供安全保障。PPTP 执 行 过 程 既然远程访问的整个想法是允许客户机拨号进入服务器，那么PPTP连接就始于客户 端，它使用Windows NT的远程访问服务（Remote Access Service，RAS）来建立到ISP 的PPP连接。当激活PPP连接，而且服务器连接到Internet并作为RAS服务器后，客户使用RAS进行第二次拨号。这次，在电话号码域指定IP地址（名字或数字），并且客户使用VPN端口代替CO

20、M端口进行连接 （VPN端口是在安装PPTP 的过程中同时添加到客户端和服务器端的）。 用IP地址拨号会给服务器发送开始会话的请求。客户端等待服务器验证用户名和口 令并返回连接完成的信息。此时PPTP通道启动， 客户可以着手给服务器传送包。由于它们可能是IPX 或NetBEUI包，因此服务器能对其执行常规的安全操作。PPTP数据交换的核心是PPTP控制连接，它是建立和维护通道的一系列控制消息。 整 个PPTP 连接仅包含唯一的TCP/IP连接，它需要响应命令集合以便在发生事务处理时保 持打开状态。 PPTP的管理在拨接VPN的用户管理方面,VPN沿用NTS的用户数据库,可把其中的某些用户组别设

21、定为可接受VPN接入。VPN的安全性对用户信息来说是十分重要的,其中用于加密的密匙根本不经线上传送,因而普通人是无法将40bits RC-4加密的密匙推算出来的。如能采用128bit加密算法的话,则通过VPN传输信息是绝对有保障的。在对付网络黑客攻击方面,PPTP路由器可将非PPTP用户名单上的人员自连线闸道上排除,这样黑客便无法进行攻击了。1.3.2.2 IPSec （IP Security）作为隧道协议，IPSec属于IPV6包协议族的内容之一。由于其主要用于IP网上面两点之间的数据加密，所以被应用于VPN隧道协议。在IPV6数据包中，具有认证包头AH（Authentication Hea

22、der）和数据加密格式ESP （Encapsulating Security Payload）。接收端根据AH和ESP对数据包进行认证和解密。其运营模式有两种，一种是隧道模式，另一种是传输模式。在下面数据安全章节中将进行描述。IPSec用于客户端之间建立VPN隧道，对ISP无特殊的要求。1.3.2.3 L2F （Layer 2 Forwarding）L2F为CISCO公司制定的关于VPDN的二层转发协议，它在第二层上建立一个隧道。目前，在几大网络厂家的ROUTERS设备中均支持此协议。L2F需要ISP支持，并且要求传输两端设备都支持L2F。对客户端无特殊要求。满足VPN的路由器需以下条件：目前

23、，L2F没有对数据的加密机制。以CISCO路由器为例，简单介绍L2F的运行机制。在CISCO路由器的设备中，对L2F的支持需要以下条件：Cisco IOS版本FLASH的容量DRAM的容量2以上的Desktop或Enterprise版本8M6MNAS 和GATAWAY的L2F_TUNNEL协商过程为一个使用CHAP协议相互进行协商，验证，建链的过程，在此过程中，双方共享一个公用的密码。首先， NAS向GATAWAY发出一个L2F_CONF包,携带有NAS的名字和一个随机的challenge值A。当GATAWAY 收到来自NAS的L2F_TUNNEL包后,它也向NAS发回一个L2F_TUNNEL

24、包，携带有自己的名字和一个随机的challenge值B，并附带有一个新的KEY A，新的KEY A是用MD5的加密算法对A和GZHGW的密码进行整体加密后形成的。在NAS 端一旦收到L2F_CONF包后，用MD5算法对KEY A进行解密，然后用自己的A和解密后的A进行比较，如果它们匹配，NAS就向GATAWAY发回一个L2F_CONF的信息包，这次携带的是Key B（用MD5算法对NAS的密码和B进行整体加密后得到的）。在GATAWAY侧，当收到L2F_OPEN信息包后，把解密后的B与B进行比较，若匹配，向NAS发回一个L2F_OPEN信息包，附带Key值为A。以后，所有从NAS发向GATAW

25、AY的信息包都携带Key B，所有从GATAWAY发向NAS的信息包都携带Key A。1.3.2.4 L2TPLayer2 Tunneling Protocol除Microsft外，另有一些厂家也做了许多开发工作，PPTP能支持Macintosh和Unix，Cisco的L2F（Layer2 Forwarding）就是又一个隧道协议。L2TP集和了PPTP和L2F隧道协议，PPTP和L2TP十分相似，因为L2TP有一部分就是采用PPTP协议，两个协议都允许客户通过其间的网络建立隧道，有带客户端软件的扩展。L2TP还支持信道认证，但它没有规定信道保护的方法。L2TP具有IPSec选项。在98年9月

26、正式标准化。L2TP沿袭了PPTP的握手信息模式和L2F的工作模式。L2TP由访问服务器端发起，到企业网的GATAWAY端结束。L2TP使一个远程用户通过拨号就近拨入一个ISP，并且能够跨过INTERNET公网连接到私有网络之上。它是以往拨号用户与私有网络PPP连接的一个扩展。L2TP是CISCO的L2F与Microsoft的PPTP协议的组合。PPTP是对PPP协议的一个扩展，L2TP被设计在OSI的第二层之上建立隧道而取代PPTP（三层隧道）。1.3.2.5 SOCKsSOCKs是一个网络连接的代理协议，它使SOCKs一端的主机完全访问SOCKs；而另一端的主机不要求IP直接可达。SOCK

27、s能将连接请求进行鉴别和授权，并建立代理连接和传送数据。SOCKs通常用作网络防火墙，它使SOCKs后面的主机能通过Internet取得完全的访问权，而避免了通过Internet对内部主机进行未授权访问。目前，有SOCKsV4和SOCKsV5二个版本，SOCKsV5可以处理UDP，而SOCKsV4则不能。1.3.3 安全性VPN技术的最重要的环节是数据的安全性。目前，国际流行的数据安全策略有数据认证、数据加密、数据签名等。针对隧道的安全数据传输，目前已制定了一些专用的安全协议。这些协议采用加密和数字签名技术，以确保数据的机密性和完整性，并可对收方和发方进行身份查验。在大多数情况下，加密手段和隧

28、道技术被捆绑使用，如PPTP包含了RC4加密技术（40或128位），IPSec能够支持多种类型的加密手段，如DES，Triple DES等。用户申请进入企业网之前，首先要进行访问控制过滤，过滤的主要内容有Protocol ID、Direction、Source, Destination IP Addresses、Source, Destination Port、TCP Connection Establishment等。1.3.3.1 数据加密算法目前，数据加密算法有：- 国际数据加密算法（IDEA：International DataEncryption Algorithm）：128 位长密

29、钥，把64位的明文块加密成64位的密文块。- MS点对点加密算法（MPPE：Microsoft Point to Point Encryption）：可以选用相对较弱的40位密钥或强度较大的128位密钥。Microsoft公司的DialUp Networking（拨号联网）软件已增加了MPPE加密能力。这个改进型软件的40位版本已捆绑在Windows 95中，128位版本则与Windows NT捆绑在一起。MPPE先在客户端工作站上对PPP数据包进行加密，然后才把它们送入PPTP隧道。传输途中的隧道交换机无法对这些PPP数据包进行解密。这就提高了数据的保密性。MPPE还使用增强型的口令握手协议

30、（MSCHAP）来加强对用户身份的查验。- DES和DES3加密算法 (The Data Encryption Standard)1.3.3.2 数据安全标准IPSecIPSec是TETF制定的标准，其中包括一整套IP协议，用于在两个IP站之间商定所用的加密和数字签名方法。IPSec提供IP包级的安全验证、数据完整性、通过加密提供数据安全，与应用无关。IPSec提供两种操作模式： 隧道模式，它对传经不安全的链路或INTERNET的专用IP内部数据包进行加密和封装（此种模式适合于有NAT的环境）。 传输模式，直接对IP负载内容（即TCP或UDP数据）加密（适合于无NAT的环境）。 任何加密算法在

31、两种模式中都可以使用。目前，IPSec有两种版本，一种是IPV4，另一种是IPV6。Ipsec内容主要有数据验证和完整（Authentication&Integrity）、信任（Confidentiality）。所谓数据验证（Authentication）主要确保接收的数据与发出的相同，并且确保发送数据者的真实性；所谓数据完整（Integrity）主要确保数据在传输过程中没有被篡改；所谓信任（Confidentiality）主要确认通信双方的相互信任关系，确保冒名者的通信，通常使用Encryption (加密）用来确立信任。IPSEC包含内容可分开使用也可合并使用，视具体方案而定。IPsec比

32、MPPE更可靠，它包括查验、加密和数据完整性功能。它还可以越过隧道终止器而直达目的地的主工作站。IPsec的另一个优点是它的查验和安全性功能与它的密钥管理系统松散耦合。因此，如果未来的密钥管理系统发生变化时，IPsec的安全机制不需要进行修改。安装和应用拨号VPN的第二个重要问题是网络的安全性,例如既允许远程拨号连接,又要防止未授权访问和偷听。在一些网络设计里,隧道终止在用户的防火墙之后.某些类型的IP隧道技术需要客户直接与Internet连接,这会对客户到来危险.为了保护网络不受未授权用户的访问,许多公司用户在他们的Internet路由器上建立了防火墙.这限制了Internet对资源的访问.例如对公司Web服务器的访问.如果设备在防