山东科技大学毕业设计(论文)
的应用价值。这样组建的外联网也叫Extranet VPN。Extranet VPN是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网VPN的连接和传输中使用了加密技术,必须解决其中的密码分发、管理的一致性问题。
2.3 VPN主要协议的介绍
2.3.1 Intranet VPN的适用协议
组建内联网的主要的适用协议有GRE、IPSec VPN、MPLS VPN三种。
GRE协议能够对各种网络层协议的数据报文进行封装,被封装的数据报文能够在IP网络中传输。GRE采用了Tunnel技术,是VPN的三层隧道协议。但是它的安全性低。下文会详细介绍此协议。
IPSec VPN是标准的网络安全协议,可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,从而有效抵御网络攻击。IPSec VPN在网络的灵活性、安全性、经济性、扩展性等方面极具优势。
MPLS VPN是指采用MPLS技术在宽带IP的骨干网络上构建企业IP专网,以实现跨地域、安全、高速、可靠的数据、音频等业务通信。MPLS VPN结合区分服务、流量工程等相关技术,将公共网络可靠的性能,良好的扩展性,丰富的功能与专用网的安全、灵活、高效地结合在一起,可以为用户提供高质量的服务。
7
山东科技大学毕业设计(论文)
2.3.2 Access VPN的适用协议
远程访问的适用协议主要有IPSec VPN、VPDN、SSL VPN。 IPSec VPN是一种很全面的技术,在远程访问上仍然适用,所以该技术应用很广泛,本文有对IPSec VPN技术的详细叙述。
VPDN是VPN业务的一种,具体包含的技术包括PPTP、L2TP、PPPoE等,是基于拨号用户的虚拟专用拨号网业务。即用户以拨号接入的方式联网,并通过CDMA 1x分组网络传输数据时,VPDN会对数据进行封装和加密,从而保障数据的私密性,并使VPN有到达私有网络安全级别。VPDN是利用IP网络的承载功能结合相应的认证和授权机制建立起来的一种安全的虚拟专用网,是一种很传统的VPN技术。
SSL VPN指的是基于安全套接层协议建立远程安全访问通道的VPN技术。它是一种新兴的技术,随着Web的普及和电子商务、远程办公的兴起而发展起来。
2.4 VPN的设计目标
在实际应用中,一般来说一个高效、成功的VPN应具备以下几个特点:
(1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡
8
山东科技大学毕业设计(论文)
改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。 (2)服务质量保证(QoS)
VPN网络应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。 (3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 (4)可管理性
从用户角度和运营商的角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交
9
山东科技大学毕业设计(论文)
给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
2.5 实现VPN的关键技术
(1)隧道技术
隧道技术(Tunneling)是VPN的底层支撑技术,所谓隧道,实际上是一种封装,就是将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用网络的透明性。这里协议X被称为被封装协议,协议Y被称为封装协议,封装时一般还要加上特定的隧道控制信息,因此隧道协议的一般形式为((协议Y)隧道头(协议X))。在公用网络(一般指因特网)上传输过程中,只有VPN端口或网关的IP地址暴露在外边。
隧道解决了专网与公网的兼容问题,其优点是能够隐藏发送者、接受者的IP地址以及其它协议信息。VPN采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务,以确保信息资源的安全。VPN区别于一般网络互联的关键是隧道的建立,数据包经过加密后,按隧道协议进行封装、传送以保证安全性。
隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议,第二层隧道协议如L2TP、PPTP、L2F等,他们工作在OSI体系结构的第二层(即数据链路层);第三层隧道协议如IPSec,GRE等,工作在OSI体系结构的第三层(即网络层)。第二层隧道和第三层隧道的本质区别在于:用户的IP数据包被封装在不同的数据包中在隧道中传输。
10
山东科技大学毕业设计(论文)
第二层隧道协议是建立在点对点协议PPP的基础上,充分利用PPP协议支持多协议的特点,先把各种网络协议(如IP、IPX等)封装到PPP帧中,再把整个数据包装入隧道协议。PPTP和L2TP协议主要用于远程访问虚拟专用网。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠网络层协议进行传输。无论从可扩充性,还是安全性、可靠性方面,第三层隧道协议均优于第二层隧道协议。IPSec即IP安全协议是目前实现VPN功能的最佳选择。 (2)加解密认证技术
加解密技术是VPN的另一核心技术。为了保证数据在传输过程中的安全性,不被非法的用户窃取或篡改,一般都在传输之前进行加密,在接受方再对其进行解密。
密码技术是保证数据安全传输的关键技术,以密钥为标准,可将密码系统分为单钥密码(又称为对称密码或私钥密码)和双钥密码(又称为非对称密码或公钥密码)。单钥密码的特点是加密和解密都使用同一个密钥,因此,单钥密码体制的安全性就是密钥的安全。其优点是加解密速度快。最有影响的单钥密码就是美国国家标准局颁布的DES算法(56比特密钥)。而3DES(112比特密钥)被认为是目前不可破译的。双钥密码体制下,加密密钥与解密密钥不同,加密密钥公开,而解密密钥保密,相比单钥体制,其算法复杂且加密速度慢。所以现在的VPN大都采用单钥的DES和3DES作为加解密的主要技术,而以公钥和单钥的混合加密体制(即加解密采用单钥密码,而密钥传送采用双钥密码)来进行网络上密钥交换和管理,不但可以提高了传输速度,还具有良好的保密功能。认证技术可以防止来自第三方的主动攻击。一般用户和设备双
11