VPN技术综述及应用
摘要:在介绍VPN技术的概念、工作原理、体系结构的基础上,对这项技术的发展、组网方式、市场前景、所应用的领域及典型应用做了详细分析和阐述。
关键词:VPN 虚拟 封装 加密 隧道技术
1 VPN的概念
VPN的英文Virtual Private Network的缩写,可文译为虚拟专用网。VPN是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包,企业不再追求拥有自己的专有网络,而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。这类专业公司的典型代表是电信企业。VPN具有以下优点:
(1)降低成本:企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资。利用现有的公用网组建的Intranet,要比租用专线或铺设专线要节省开支,而且当距离越远时节省的越多。如:某企业的北京与纽约分部之间的连接,不太可能自铺专线:当一个远程用户在纽约想要连到北京的Intranet,用拔号访问时,花的是国际长途话费;而用VPN技术时,只需在纽约和北京分别连接到当地的Internet就实现了互联,双方花的都是市话费。
javascript:window.open(this.src);" style="cursor:pointer;"/>
(2)容易扩展:网络路由设备配置简单,无需增加太多的设备,省时省钱。对于发展很快的企业来说,VPN就更是不可不用了。如果企业组建自己的专用网,在扩展网络分支时,考虑到网络的容量,架设新链路,增加互联设备,升级设备等;而实现了VPN就方便多了,只需连接到公用网上,对新加入的网络终端在逻辑上进行设置,也不需要考虑公用网的容量问题、设备问题等。
(3)完全控制主动权:VPN上的设施和服务完全掌握在企业手可。例如,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
VPN通过采用“隧道”技术,并在Internet或国际互联网工程工作组(IETF)制定的Ipsec标准统一下,在公众网可形成企业的安全、机密、顺畅的专用链路。
2 VPN的工作原理
图1比较了常规的直接拨号连接与虚拟专网连接的异同点。在前一种情形可,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN可,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。
基于IP的VPN基本上归结为两类:拨号VPN(一般称为VDPN,即虚拟拨号专网)和专线VPN(Dedicated VPN,即专线的VPN),完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。
javascript:window.open(this.src);" style="cursor:pointer;"/>
拨号VPN(即VDPN)为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式,主要是基于L2F协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。
提供私有拨号网络服务的服务提供商可以用单个电话号码提供给所有的用户组织。访问者可以用拨号网络进入访问服务器,访问服务器通过PPP用户名来区别访问者。PPP用户名用于建立一个到企业网关的连接,当企业网关鉴别了用户之后,访问集成器建立一个通过网络提供商的骨干网、到企业风部网关的安全隧道。
PPP协议同时也被传输到内部网关,在内部网关的本地完全策略和本地认证授权决定了用户通过内部网关之后对内部网络的访问级别。
拨号VPN的原理如下图2所示。服务提供商管理MODEM池和确保可靠的连通性,而商业公司管理某企业内部网的用户认证。
专线VPN以多个用户和比拨号VPN高速的连接为特片。有许多类型的专线VPN业务,但最常见的是在IP网上建立的IP VPN业务,如图3所示。专线VPN提供了公司总部与公司分部、远程分支办事处以及Extranet用户的虚拟点对点连接。
虚拟专用网的体系结构有多种形式,分类示意图如图4。
javascript:window.open(this.src);" style="cursor:pointer;"/>
模拟目前国内公众多媒体通信网的状况;在国内采用VPN组网一般分为三类:
(1)ATM PVC组建方式,即利用电信部分提供的ATM PVC来组建用户的专用网。这种专用网的通信速率快,安全性高,支持多媒体通信。
(2)IP Tunneling组建方式。即在多媒体通信网的IP层组建专用网。其传输速率不能完全保证,不支持多媒体通信;使用国际通行的加密算法,安全性好;这种组网方式的业务在公众通信网遍及的地方均可提供。
(3)Dial-up Access组网方式(VDPN)。这是一种拨号方式的专用网组建方式,可以利用已遍布全国的拨号公网来组建专用网,其接入地点在国内不限,上网可节省长途拨号的费用。对于流动性强、分支机构多、通信量小的用户而言,这是一种非常理想的组网方式。它可以将用户内部网的界限,从单位的地理所在延伸到全国范围。
2.1 拨号VPN(VDPN)
拨号VPN又可分为客户发起的(Client-Initiated)VPN和NAS发起的VPN。
2.1.1 客户发起的VPN
在客户发起的VNP中,用户拨号到本地的POP远程,由客户来发出请求并建立到某企业内部网的加密隧道。为了建立一个安全的连接,客户端运行Ipsec软件,客户软件与公司内部网络防火墙上的Ipsec进程通信,或者直接与支持Ipsec的路由器通信,确保连接的安全性。这种形式的VPN优点是:
(1)远程用户能够同时与多个Home Gateway建立IP Tunnel。
(2)远程用户不必重新拨号,就可以进入另一网络。
(3)VPN的建立和管理与ISP无关。
javascript:window.open(this.src);" style="cursor:pointer;"/>