虚拟专用网络(VPN:Virtual Private Net)可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
企业通常可以采用以下两种方式使用VPN连接远程局域网络。1.使用专线连接分支机构和企业局域网,不需要使用价格昂贵的长距离专用电路;2.使用拨号线路连接分支机构和企业局域网,分支机构端的路由器可以通过拨号方式连接本地ISP。
纵观VPN技术的发展,我们可以看到,安全与服务质量是VPN的技术保障,企业用户的需求推动IPSec VPN的广泛应用,运营商则大力建设MPLS VPN,使得未来中国的VPN技术发展更加具多样性、灵活性,技术服务与需求趋向紧密结合。
一、安全协议构筑VPN的首要特性
随着因特网的快速发展,近几年不断出现了一些新的网络协议,包括点对点隧道协议(PPTP)、第2层隧道协议(L2TP)、安全IP(IPSec)协议等。其中PPTP协议允许对IP,IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送;L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP,X.25,帧中继或ATM;IPSec协议允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。
VPN利用各种安全协议,在公众网络中建立安全隧道,提供专用网络的功能和作用。VPN隧道技术分别以第2层或第3层隧道协议为基础。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP,L2TP和L2F都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IPoverIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
一个安全的VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN;必须能够提供审计和记费功能,显示何人在何时访问了何种信息;VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性;对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息;VPN方案必须能够生成并更新客户端和服务器的加密密钥;VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP,IPX等。在保证服务质量的同时,安全是VPN的首要特性。
二、IPSec VPN方兴未艾
IPSec VPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密时,IPSEC使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSec使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。在IPSec协议下,只有发送方和接受方知道秘密密钥。如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。
IPSec位于TCP/IP协议栈的下层。该层由每台机器上的安全策略和发送、接受方协商的安全关联(security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址,协议,和端口号满足一个过滤机制,那么这个数据包将要遵守关联的安全行为。
通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号,共同用来验证发送方身份,确保数据在传输过程中没有被改动,防止受到第三方的攻击。IPSEC验证包头不提供数据加密;信息将以明文方式发送。为了保证数据的保密性并防止数据被第3方窃取,封装安全负载(ESP)提供了一种对IP负载进行加密的机制。另外,ESP还可以提供数据验证和数据完整性服务;因此在IPSec包中可以用ESP包头替代AH包头。
为实现在专用或公共IP网络上的安全传输,IPSec隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。
IPSec隧道模式具有以下特点:只能支持IP数据流;工作在IP栈(IPstack)的底层,因此,应用程序和高层协议可以继承IPSEC的行为;由一个安全策略(一整套过滤机制)进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。
目前防火墙产品中集成的VPN多为使用IPSec 协议,在中国其发展处于蓬勃状态。
三、MPLS VPN发展强劲
MPLS VPN是一种基于MPLS(Multiprotocol Label Switching,多协议标记交换 )技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足灵活的业务需求。
MPLS是一个网络层包转发的新兴标准,它主要基于IETF提交的一系列信令协议。在这些协议里,最主要的有标记分配协议(LDP)、资源预留协议(RSVP)以及限制路由的标签分配协议(CR_LDP)三种。这些协议都应用在分配标签和转发MPLS数据流上。
MPLS技术是一个可以在多种第二层协议上进行标签交换的网络技术,并且不用改变现有的路由协议。目前第二层的协议有ATM、FR(帧中继)、Ethernet以及PPP。这一技术综合了第二层的交换和第三层路由的功能,将第二层的快速交换和第三层的路由有机地结合起来,第三层的路由在网络的边缘实施,而在MPLS的网络核心采用第二层交换。这样各层协议可以互相补充,充分发挥第二层良好的流量设计管理以及第三层"Hop-By-Hop"路由的灵活性,实现端到端的QoS保证。
MPLS VPN运行在IP+ATM或者IP环境下,对应用完全透明;服务激活只需要一次性地在用户边(CE)和服务供应商边(PE)设备进行配置准备就可以让站点成为某个MPLS VPN组的成员;VPN成员资格由服务供应商决定;对VPN组未经过认证的访问被设备配置所拒绝。MPLS VPN的安全性通过对不同用户间、用户与公网间的路由信息进行隔离实现的。
MPLS VPN能够利用公用骨干网络的广泛而强大的传输能力,降低企业内部网络的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要。
中国电信和中国网通在各自的宽带互联网上推出了基于多协议标记交换(MPLS)技术的IP-VPN业务,使得MPLS VPN的发展势头愈加强劲。
四、VPN管理有待加强
企业在选择VPN技术时,一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中(目录服务)便于管理人员和应用程序对信息进行添加,修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库,存储每一名用户的信息,包括用户名,口令,以及拨号接入的属性等。但是,这种由多台服务器维护多个用户帐号的作法难以实现及时的更新,给管理带来很大的困难。
为有效的管理VPN系统,网络管理人员应当能够随时跟踪和掌握以下情况:系统的使用者,连接数目,异常活动,出错情况,以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费,审计和报警或其它错误提示具有很大帮助。例如,网络管理人员为了编制帐单数据需要知道何人在使用系统以及使用了多长时间。异常活动可能预示着存在对系统的不正确使用或系统资源出现不足。对设备进行实时的监测可以在系统出现问题时及时向管理员发出警告。一台隧道服务器应当能够提供以上所有信息以及对数据进行正确处理所需要的事件日志,报告和数据存储设备。
随着市场应用的扩大,VPN的管理有待进一步加强。
五、结论
VPN的发展代表了互联网络今后的发展趋势,它综合了传统数据网络的安全和服务质量,以及共享数据网络结构的简单和低成本,建立安全的数据通道。VPN在降低成本的同时满足了用户对网络带宽、接入和服务不断增加的需求,因此,VPN必将成为未来网络发展的主要方向。
VPN技术的发展将促进业务市场的繁荣。VPN上传输的数据流是经过加密处理的,这条安全通道的协议必须保证数据的真实性、数据的完整性、通道的机密性,提供动态密匙交换功能,提供安全防护措施和访问控制,抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
随着市场的扩大,用户需求将成为VPN技术发展的动力,多形式、多用途、灵活易用、功能强大、服务优异的VPN产品将适用于不同的用户群,部署在宽带、窄带、拨号或者移动通信网络上。