网可节省长途拨号的费用。对于流动性强、分支机构多、通信量小的用户而言,这是一种非常理想的组网方式。它可以将用户内部网的界限,从单位的地理所在延伸到全国范围。 2.1 拨号VPN(VDPN)
拨号VPN又可分为客户发起的(Client-Initiated)VPN和NAS发起的VPN 2.1.1 客户发起的VPN
在客户发起的VNP中,用户拨号到本地的POP远程,由客户来发出请求并建立到某企业内部网的加密隧道。为了建立一个安全的连接,客户端运行Ipsec软件,客户软件与公司内部网络防火墙上的Ipsec进程通信,或者直接与支持Ipsec的路由器通信,确保连接的安全性。这种形式的VPN优点是: (1)远程用户能够同时与多个Home Gateway建立IP Tunnel。 (2)远程用户不必重新拨号,就可以进入另一网络。 (3)VPN的建立和管理与ISP无关
缺点是:因为这种加密的VPN隧道对于服务提供商而言是透明的,在客户端需要专用的拨号软件,而且管理移动PC上的Ipsec客户端软件也是麻烦的事件。因此,大部分的服务提供曾几何时会选择VPN隧道作为其网络一部分的形式,如下面所讨论的那样。
2.1.2 NAS发起的VPN
在NAS发起的VPN中,由服务提供商的POP中的NAS请求并创建到客户公司路由器(或者Home Gateway)的VPN隧道。NAS使用L2F(Layer 2 Forwarding Protocol)或者L2TP(Layer 2 Tunneling Protocol)协议来建立到客户Home Gateway的安全隧道。L2TP是不久前建立的标准,这个标准结合了Cisco公司的L2F和微软公司的PPTP协议。对于Home Gateway来说,L2F或L2TP隧道表现得似乎用户是直接拨号到公司内部网上.表现得似乎用户是直接拨号到公司内部网上。
VPN形式中,用户认证公两级处理。当用户拨入时,首先由服务
提供商NAS执行基本的认证,这个认证仅仅识别出用户的公司身份。然后,NAS打开到用户公司Home Gateway的隧道,由Home Gateway来执行用户级的认证功能。
这种VPN形式有若干优点:对拨号用户透明,用户PC上无需特殊的客户软件,因而管理简单化;由于是由服务提供商初始化隧道,他们可以提供优质的拨号VPN服务,如通过预留Modem端口,优先的数据传送等手段保证拨号VPN用户得到所需的服务;NAS可以时支持Internet或其他公用网络和VPN服务;由于到某一目的的通信量全部通过单一隧道传送,大规模部署将更具有可扩充性和管理性。
这种VPN形式存在的缺点有:
(1)当远程用户进入其它网络时,需要重新拨号,并且只能以另一用户名登录。
(2)远程用户不能同时进入多个网络。 2.2 专线VPN
1)基于IP Tunnel的专线VPN
VPN与常规的直接拨号网络不同,在VPN中,PPP数据包流不是通过专用线路,而是通过共享IP网络上的隧道进行传输。这两者的关键不同点是隧道代替了实际的专用线路。如何形成VPN隧道呢?
隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信没有区别。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP里,再把这整个PPP数据包装入隧道协议里。隧道协议一般封装在IP协议中,但也可以是ATM或Frame Relay。由于隧道搭载的是PPP数据包(第二层),所以这种封装方法称为“第2层隧道”。用得很少的另一种方法是把各种网络协议直接装入隧道协议中(3Com公司的VTP就是这种隧道协议),由于隧道直接搭载第三层协议的数据包,所以称为“第3层隧道”。
2)基于Vitual Circuit(虚拟电路)的VPN
服务提供商可以提供虚拟电路来建立IP VPN服务。用PVC在帧中继(Frame
)和ATM网络中建立点对点连接,并通过路由器来管理第三层的信息。电信运营商或者邮电局可以采用这种办法,充分利用其现有的帧交换(如帧中继)或信元交换(如ATM)基础设施提供IP VPN服务。
在前面叙述的专线VPN和拨号VPN本质上都是通过在公共IP网络中建立隧道(tunnel)来提供服务的。与之不同,基于虚拟电路的VPN通过在公共的帧或信元交换网络上的路由来传送IP服务,是使用PVC而不是tunnel来建立隐私性。因此,加密是不需要的。
这种形式的VPN具有如下优点:受控的路由器服务为具有帧或信元基础设施的服务提供商提供一种便宜、快速的建立VPN服务的办法;可充分利用FR CIR(Committed Information Rate)和ATM QoS来确保QoS能力;虚拟电路拓扑的弹性;连接无须加密。
它的缺点是:不能灵活选择路由;比IP Tunnel的相对费用高;缺少IP的多业务能力(如Voice Over IP Video Over IP等)。
五. 基于不同协议的VPN原理
现在有很多种方法可以实现VPN。目前大家经常看到的有MPLS、IPSEC、L2tp/pp2p、SSL等类型
1. MPLS VPN的工作原理
MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。这种基于标记的IP路由选择方法,要求在整个交换网络中间所有的路由器都识别这个标签,运营商需要大笔投资建立全局的网络。而且跨越不同运营商之间,如果没有协调好,标签无法交换。
标记是一个能够被路由器识别理解的数据位,可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等各类信息。MPLS可以提供每个IP
IP数据包封装于新的MPLS数据包,由此决定IP数据
包的传输路径以及优先顺序,而与MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记,无须再去读取每个IP数据包中的IP地址位等信息。
IP包在边界路由器分配一个标记。自此,MPLS设备就会自始至终查看这些标记信息,将这些有标记的包交换至其目的地。由于路由处理减少,网络的等待时间也就随之缩短,而可伸缩性却有所增加。MPLS数据包的服务质量类型可以由MPLS边界路由器根据IP包的各种参数来确定,如IP的源地址、目的地址、端口号、TOS值等参数。
以大家比较好理解的物流系统作比喻。MPLS是在包裹上面打上一个特定的标签,要求整个物流系统的搬运环节都能够理解这个标签的意义,然后根据这个标签发送这个包裹。即使这个物流系统再繁忙,这类包裹的传输质量能够得到保证。但是这是有前提条件的,要求所有的搬运环节(搬运工)能够理解包裹的含义,例如: 1314信箱。并且能够理解加急、紧急等不同的字眼,不同的物流公司(对应不同的运营商),由于标签不统一,直接互通就很困难。
对于到达同一目的地的IP包,可根据其TOS值的要求来建立不同的转发路径,以达到其对传输质量的要求。同时,通过对特殊路由的管理,还能有效地解决网络中的负载均衡和拥塞问题。当网络中出现拥塞时,MPLS可实时建立新的转发路由来分散流量以缓解网络拥塞。
2. SSL VPN的基本原理分析
从简单而言, SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL
代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。
几乎所有的主流商业浏览器都集成了SSL,实施SSL VPN不需要再安装额外
SSL VPN的生产厂商都通过“signed plugins”提供其他的功能,
“signed plugins”可以跟随浏览器自动传输给客户端。
SSL实现了客户端0安装,0配置。因此其功能和应用也受到限制。它适合PC-Web Server模式,就是大量的移动用户通过浏览器访问Web服务器,有的SSL VPN还对ftp、telnet等进行了扩充,增强了其可用性,即便如此,充其量是实现了PC-to-Lan的功能。适用于数据库-应用服务器-Web服务器-浏览器这一种模式。在保护范围、认证方式、应用程序类型上限制很多。而IPsec VPN则提供第三层IP的可达性,可以保证任何基于tcp/ip的程序运行。
如果就网络联通而言,即使不使用SSL VPN,企业也能够实现Web应用,大不了我直接把服务器放置在Internet上,其他用户明文直接访问好了。有了一个SSL VPN设备,相当于在服务器之前作了一个代理,客户端要和服务器连接,就要通过这个代理的认证,而且从客户端到SSL VPN之间,数据是加密的。这样,internet上的黑客无法通过抓取数据包分析通讯信息。并且SSL VPN一般能够支持虚拟主机应用,这样,一个IP地址可以访问N个服务器。
3.基于IPSec规范的VPN技术
1)IPSec协议简介
IPSec(1P Security)产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。
最初的一组有关IPSec标准由IETF在1995年制定,但由于其中存在一些未解决的问题,从1997年开始IETF又开展了新一轮的IPSec的制定工作,截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来IETF又会进行下一轮IPSec的修订工作。