随着Internet的普及和发展,基于ip的虚拟专用网技术(IP-Based Virtual PRivate Networks,IP-VPN)引起了人们的广泛关注,它将成为未来网络安全研究和Internet应用的一个重要方向。过去,当企业需要把他们的信息网络扩展到远方而组成WAN时,通常的做法是租用PSTN、X.25、帧中继或DDN等线路,组成企业的专用网络。但随着Internet本身可靠性和可用性的增强,Internet已经为我们提供了最为廉价和普遍的WAN通信;可是,Internet不能提供与专用网相比的安全性、带宽及服务质量(QoS)保证。于是,人们开始研究一种希望能具有两者的优点,且运行在Internet之上的虚拟专用网络技术,即IP-VPN技术。
利用IP-VPN技术不仅可以构建企业的Intranet和Extranet,在企业网内形成虚拟局域网VLAN,而且还可以保护网络的安全。
何谓VPDN
VPDN(Virtual Private Dial Network)即是利用拨号网络在Internet上建立安全的专用网络的方式。在不安全的Internet上,建立安全的隧道有L2F、L2TP、PPTP、GRE等方式。本文方案介绍采用L2TP协议(Layer 2 Tunneling Protocol),即第二层隧道协议,将中心系统与各地众多分支连接,组成专用网。
由于L2TP本身对所承载的数据没有加密功能,为防止恶意截获,篡改通信中的数据,网络应引入IPSec协议对数据进行加密。IPSec(IP Security)协议在IP网络层和传输层之间加入新的头部,对承载数据IP数据包提供加密和鉴权。
通信方案
在图1中,分支机构通过普通电话线拨号上网,适用于分支机构众多,分布广泛的情况。中心机构使用VPN路由器作为L2TP隧道终结器,Internet中的接入服务器和中心路由器之间使用加密隧道通信。
图1 VPDN通信方案
VPDN 性能分析
VPDN通信方式使用的网络就是电信公司提供的Internet。现在的Internet一般采用节点分级和线路备份的拓扑结构,具有很高的可靠性。节点到中心的通信出现阻断的概率很低,并且因为采用光纤而具备很大的吞吐率。
VPDN接入服务器位于各地级市节点。这一段采用PPP协议,本身通信未加保密措施。这一段的主要不安全因素是,通过电话线路的监听获取用户名、密码、IP地址、交易数据等情况。其中,交易数据可以通过加密来解决。而截获IP地址是无用的,因为我们采用的是内部专用地址,不可能通过公网访问。用户名和密码则可通过定期改变的方法减少被窃取和非法使用的危险。
由于接入服务器和中心路由器之间采用IPSec OVER L2TP隧道,网上传输包的形式如图2所示。
网络实际负载(图2中的IP流)受到IPSec和L2TP的双重保护。L2TP提供了对内部地址的隐藏功能。黑客在网上截获该数据包只能看到接入服务器和中心路由器线路接口的IP地址,数据在Internet传输过程中是安全的。
图2 网上数据传送格式
服务器也可以采取硬化措施,关闭任何与业务无关的服务,通过加强密码治理和系统监控保证系统的安全性。
网络构建实例
Internet具有巨大的吞吐率。业务通信是否发生阻塞主要取决于是否有其他大流量的Internet业务如视频点播或恶意的广播攻击导致网络阻塞。
本方案中,接入服务器提供56kbps的接入速度。
通信质量主要取决于分支机构到接入服务器电话线路这一段。为了保证长时间数据通信不中断,系统选择质量好的电话线路。
实验系统参见图1所示。
其中,Internet接入服务器为Cisco5800,中心路由器采用Cisco2620,使用软件IPSec加、解密。
本方案中,中心路由器所采用的通信线路接口的IP地址在Internet上是公开的。通过关闭不必要的服务,加强口令治理,在接口上设置访问列表,只答应与特定业务有关的数据流通过。这样,黑客非法侵入路由器基本上是不可能的。
实验结果表明,使用VPDN接入稳定可靠,从分支机构连接(ping)中心服务器,响应时间平均为210毫秒,最大不超过1000毫秒,基本上可以满足一般事务处理的要求。