论文关键词:vpn 简介 实现技术
论文摘要:重点分析了vpn的实现技术。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看vpn技术无疑是一种不错的选择。下面就vpn技术的实现做一下粗浅的分析:
1vpn简介
虚拟专用网(virtuaiprivatenetwork,vpn)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。vpn极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
vpn可分为三大类:(1)企业各部门与远程分支之间的in-tranetvpn;(2)企业网与远程(移动)雇员之间的远程访问(re-moteaccess)vpn;(3)企业与合作伙伴、客户、供应商之间的extranetvpno
在extranetvpn中,企业要与不同的客户及供应商建立联系,vpn解决方案也会不同。因此,企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec、点到点隧道协议(pointtopointtunnelingprotocol,pptp)、第二层隧道协议(layer2tunnelingprotocol,i,2tp)等。WWw.133229.cOm
2vpn的实现技术
vpn实现的两个关键技术是隧道技术和加密技术,同时qos技术对vpn的实现也至关重要。
2.1vpn访问点模型
首先提供一个vpn访问点功能组成模型图作为参考。其中ipsec集成了ip层隧道技术和加密技术。
2.2隧道技术
隧道技术简单的说就是:原始报文在a地进行封装,到达b地后把封装去掉还原成原始报文,这样就形成了一条由a到b的通信隧道。目前实现隧道技术的有一般路由封装(generi-croutingencapsulation,gre)i,2tp和pptpo
(1)gre
gre主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(gre报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,gre报文头被剥掉,继续原始报文的目标地址进行寻址。gre隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(next-hoproutingprotocol,nhrp)结合使用。nhrp主要是为了在路由之间建立捷径。
gre隧道用来建立vpn有很大的吸引力。从体系结构的观点来看,vpn就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在gre隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是vpn的地址空间,这样反过来就要求隧道的终点应该配置成vpn与普通主机网络之间的交界点。这种方法的好处是使vpn的路由信息从普通主机网络的路由信息中隔离出来,多个vpn可以重复利用同一个地址空间而没有冲突,这使得vpn从主机网络中独立出来。从而满足了vpn的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现vpn功能函数的数量。还有,对许多vpn所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。ip路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把vpn私有协议从主机网络中隔离开来。基于隧道技术的vpn实现的另一特点是对主机网络环境和vpn路由环境进行隔离。对vpn而言主机网络可看成点到点的电路集合,vpn能够用其路由协议穿过符合vpn管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受vpn用户网络的路由协议限制。
虽然gre隧道技术有很多优点,但用其技术作为vpn机制也有缺点,例如管理费用高、隧道的规模数量大等。因为gre是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
gre隧道技术是用在路由器中的,可以满足extranetvpn以及intranetvpn的需求。但是在远程访问vpn中,多数用户是采用拨号上网。这时可以通过l2tp和pptp来加以解决。
(2)l2tp和pptp
l2tp是l2f(layer2forwarding)和ppt’i〕的结合。但是由于pc机的桌面操作系统包含着pptp,因此ppt’i〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“nas初始化”(networkaccessserver)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。l2tp作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过modem与nas建立连接;b.用户通过nas的l2tp接入服务器身份认证;;c.在政策配置文件或nas与政策服务器进行协商的基础上,nas和l2tp接入服务器动态地建立一条l2tp隧道;d.用户与l2tp接入服务器之间建立一条点到点协议(pointtopointprotocol,ppp)访问服务隧道;e.用户通过该隧道获得vpn服务。
与之相反的是,pptp作为“主动”隧道模型允许终端系统进行配置,与任意位置的pptp服务器建立一条不连续的、点到点的隧道。并且,pptp协商和隧道建立过程都没有中间媒介nas的参与。nas的作用只是提供网络服务。pptp建立过程如下:a.用户通过串口以拨号ip访问的方式与nas建立连接取得网络服务;b.用户通过路由信息定位pptp接入服务器;c.用户形成一个pptp虚拟接口;d.用户通过该接口与pptp接入服务器协商、认证建立一条ppp访问服务隧道;e.用户通过该隧道获得vpn服务。
在l2tp中,用户感觉不到nas的存在,仿佛与pptp接入服务器直接建立连接。而在pptp中,pptp隧道对nas是透明的;nas不需要知道pptp接入服务器的存在,只是简单地把pptp流量作为普通ip流量处理。
采用l2tp还是pptp实现vpn取决于要把控制权放在nas还是用户手中。砚tp比pptp更安全,因为砚tp接入服务器能够确定用户从哪里来的。砚tp主要用于比较集中的、固定的vpn用户,而pptp比较适合移动的用户。
2.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次desorc4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;des和三次des强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,vpn安全粒度达到个人终端系统的标准;而“隧道模式”方案,vpn安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
2.4qos技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的vpn。但是该vpn性能上不稳定,管理上不能满足企业的要求,这就要加入qos技术。实行qos应该在主机网络中,即vpn所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
基于公共网的vpn通过隧道技术、数据加密技术以及qos机制,使得vpn用户能够降低成本、提高效率、增强安全性,vpn将是广大用户的最终选择。