虚拟私有网络VPN(Virtual PRivate Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。
虚拟专用网(VPN)是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义:
一、 它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立;
二、 它是利用公众网络设施构成的专用网。
VPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处:
采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用;
公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接;
对于企业,基于拨号VPN的Extranet能加强与用户、商业伙伴和供给商的联系;
电话公司通过开展拨号VPN服务可以减轻终端阻塞;
通过为公司提供安全的外界远程访问服务,ISP能增加收入;通过Extranet分层和相关竞争服务,ISP也可以提供不同的拨号VPN。
VPN兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起,是介于公众网与专用网之间的一种网。
VPN能够充分利用现有网路资源,提供经济、灵活的连网方式,为客户节省设备、人员和治理所需的投资,降低用户的电信费用,在近几年得到了迅速的应用。 有专家认为,VPN将是本世纪末发展速度最快的业务之一。
1.1 什么是VPN
通过对网络数据的封包和加密传输,在公网上传输私有数据、达到私有网络的安全级别,从而利用公网构筑Virtal Private Network(即VPN)。假如接入方式为拨号方式,则称之为VPDN。
VPN通过公众ip网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担,节省电话费用开支,并且提供了安全的端到端的数据通讯。
VPN的建立有三种方式:一种是企业自身建设,对ISP透明;第二种是ISP建设,对企业透明;第三种是ISP和企业共同建设。
1.2 VPN的工作原理
用户连接VPN的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的要害不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,假如希望隧道对客户透明,ISP的POPs就必须具有答应使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
1.3 VPN涉及的要害技术
VPN是一个虚拟的网,其重要的意义在于"虚拟"和"专用"。为了实现在公网之上传输私有数据,必须满足其安全性。VPN技术主要体现在两个技术要点上:Tunnel、相关隧道协议(包括PPTP,L2F,L2TP),数据安全协议(IPSEC)。下面针对这几项技术做一介绍。加密和用户授权为在公司网上进行个人通信提供了安全保证。
1.3.1 隧道技术(Tunneling)
1.3.1.1 隧道技术介绍
VPN在表面上是一种联网的方式,比起专线网络来,它具有许多优点。在VPN中,通过采用一种所谓"隧道"的技术,可以通过公共路由网络传送数据分组,例如Internet网或其他商业性网络。
这里,专有的"隧道"类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术答应授权移动用户或已授权的用户在任何时间任何地点访问企业网络。
通过TUNNEL的建立,可实现以下功能:
将数据流量强制到特定的目的地
隐藏私有的网络地址
在IP网上传输非IP协议数据包
提供数据安全支持
协助完成用户基于AAA的治理。
在安全方面可提供数据包认证、数据加密以及密钥治理等手段。
拨号VPNs使用隧道技术远程访问服务器把用户数据打包进IP信息包中,这些信息包通过电信服务提供商网络传递,在Internet里,则需要穿过不同的网络,最后到达隧道终点 ,然后数据拆包,转发成最初的形式。VPN答应网络协议的转换,还答应对来自许多源的流量进行区别,这样可以指定特定的目的地,接受指定级别的服务。公司网进行远程访问通信,从电路交换的,长距离的本地电信服务提供商到ISPs和Internet需要采用隧道技术。隧道技术使用点对点通信协议,代替了交换连接,通过路由网络来连接数据地址。这代替了电话交换网络使用的电话号码连接。隧道技术答应授权移动用户或已授权的用户再任何时间任何地点访问企业网络。应用授权技术,隧道技术也禁止未授权的访问。
下面是一个隧道包典型设计:
要形成隧道,基本的要素有以下几项:
隧道开通器(TI)
有路由能力的公用网络
一个或多个隧道终止器(TT)
必要时增加一个隧道交换机以增加灵活性
隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如:(1)配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机;(2)分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器;(3)网络服务提供商站点中的有VPN能力的访问集中器。
隧道终止器的任务是使隧道到此终止,不再继续向前延伸。也有多种网络设备和软件可完成此项任务,例如:(1)专门的隧道终止器;(2)企业网络中的隧道交换机;(3)NSP网络的Extranet路由器上的VPN网关。
VPN网络中通常还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外,还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息,如带宽、隧道端点、网络策略和服务等级。
通过软件或模块升级,现有的网络设备就可以增加VPN能力。一个有VPN能力的设备可以承担多项VPN应用。
现在已经有许多Internet(IETF)的建议,都是关于隧道技术如何应用的。其中包括点对点隧道协议(PPTP)、第二层转发(L2F)、第二层隧道协议(L2TP)、虚拟隧道协议(VTP)和移动IP。由于得到了不同网络厂商的支持,建议的标准定义了远程设备如何能以简单安全的方式访问公司网络和Internet。
隧道技术非常有用:
首先,一个IP隧道可以调整任何形式的有效负载,使用桌面或便携式计算机的用户能够透明地拨号上网来访问他们公司的IP、IPX或AppleTalk网络。
第二,隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利用封装技术来实现。例如IETF RFC1701定义的一般路由封装。
第三,使用隧道技术访问公司网时,公司网不会向Internet报告它的IP网络地址。
第四,隧道技术答应接受者滤掉或报告个人的隧道连接。
1.3.1.2 第二层隧道与第三层隧道
如下图所示,按照隧道的起始和终止位置可分为第二层和第三层隧道。隧道终止在不同的位置取决于第二层隧道或第三层隧道是否使用。使用第三层隧道时,利用终端设备在服务提供商的网络上进行隧道产生和终止。在远程访问服务器(RAS)上也能终止远程用户对点协议(PPP)对话。使用第二层隧道时,隧道的创建可以在RAS也可以在服务商提
供的网络上或在RAS上 ,第三层隧道终止第二层隧道连接。在这个服务提供商网络的企业内部网或路由驻留,它仅仅通过隧道传送第三层有效负载到隧道终点。远程访问服务器上,另一方面,第二层隧道在服务提供商的骨干网上把这个PPP帧传到预先确定的终点。远程客户端。隧道的终止则在路由器的用户端或一般的服务器上。
下面是第二层隧道与第三层隧道比较:
第二层隧道
第三层隧道
优
点
简单
端到端压缩/加密
双向隧道配置
可扩充性
安全性
可靠性
缺
点
标准仍在发展
可扩充性存在问题
可靠性存在问题
有限PPP负载类型
安全存在问题
有限厂商参加
开发复杂
针对IP隧道协议,通过PPTP和IPSec协议建立的隧道从客户端起始,终止于企业端VPN接入设备。如下图所示:
过L2F和L2TP协议建立的隧道从ISP接入设备端起始,终止于企业端VPN接入设备。如下图所示:
第三层隧道技术对于公司网络还有一些其它优点,网络治理者采用第三层隧道技术时,不必在他们的远程节点或客户原有设备(CPE)上安装非凡软件。因为PPP和隧道终点由服务提供商的设备生成,CPE不用负担这些功能,而仅作为一台路由器。第三层隧道技术可采用任意厂家的CPE予以实现。
使用第三层隧道技术的公司网络不需要Internet地址。这种隧道技术的应用也具有安全性。服务提供商网络能够隐藏司网络和远端节点地址。
应用第三层隧道技术,服务提供商不需要参与公司网路由选择。服务提供商控制其网络的全部数据信息包的通信,当选择把第三层隧道技术应用到第二层隧道通路上时服务商能够更方便的估略服务。
1.3.2 相关隧道协议
目前,标准的隧道协议如下:
基于客户,对ISP透明
PPTP
IPSec
由ISP提供,无须客户端具备相关知识
L2F
L2TP(以后需要客户端的支持)
下面对以上协议作一简单介绍。
1.3.2.1 PPTP-Point to Point Tunnel Protocal
这是一个最流行的Internet协议,它提供PPTP客户机与PPTP服务器之间的加密通信,它答应公司使用专用的"隧道",通过公共Internet来扩展公司的网络。通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过Internet实现多功能通信。这就是说,通过PPTP的封装或"隧道"服务,使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行。PPTP是Microsoft和其它厂家支持的标准,它是PPTP协议的扩展,它可以通过Internet建立多协议VPN。PPTP使用 40 或128位的RC4加密算法。
PPTP的一个主要优势在于微软的支持。在Windows95、98以及NT中都进行了良好的集成(在Win98中已经集成了L2TP)。PPTP也很好地集成进了NT Domain。对于ISP来讲无须任何非凡的支持。另外一个优点在于支持流量控制,可以防止客户与服务器因业务而导致崩溃,并通过减少丢弃报文及由此而引起的重发提高了性能。
PPTP的工作方式
网络协议的工作方式是交换被称为包(packet)的数据块。包是由协议特定的控制信息以及要发送的真正数据(通常称为负载,payload)组成的。作为网络用户,我们只关心负载。只要数据能无差错地尽快交换,我们不介意协议出于自己的目的选择添加什么控制信息。但是,假如两台计算机要通信的话,无论它们使用何种连接媒介,控制信息都是至关重要的并且必须完整保留。
PPTP的工作方式是在TCP/IP包中封装原生(native)包--例如IPX包。包括控制信息在内的整个IPX包都将成为TCP/IP包的负载, 然后它通过Internet传输。另一端的软件打开包并将其发送给原来的协议进行常规处理。该过程被称为通道(tunneling)。
除了节省长途拨入费用,通道还增强了数据安全性。由于通道将兼容协议连接到Windows NT 网络,该操作系统能执行在LAN本身执行的广泛的安全性检查。这样,连接能通过PAP(Pass-Word Authentication Protocol)或CHAP(Challenge Handshake Authentication Protocol)使用Windows NT 的用户身份验证。另外,PPTP能传送由RSA RC-4 或DES 加密的数据。假如拨入安全性对于VPN来说非常重要, 那么服务器治理员能指定服务器仅接收来自远程连接的PPTP包,但这会妨碍将服务器用作公共Web 或FTP 访 问。 然而,假如有多台服务器可用,并且需要最高的安全性,那么这就是可采纳的方案。然而即使采取所有这些安全措施,客户端唯一需要的非凡软件也只是PPTP协议本身,以 及能连接VPN的拨号程序。甚至连Internet服务提供者是否支持PPTP 也不是必要的,在这种情况下,一切都能通过标准的点对点协议(Point-to-Point Protocol,PPP)安全地进 行。对于不支持PPTP的提供者,Windows NT通过双重拨号系统提供安全保障。
PPTP 执 行 过 程
既然远程访问的整个想法是答应客户机拨号进入服务器,那么PPTP连接就始于客户 端,它使用Windows NT的远程访问服务(Remote access Service,RAS)来建立到ISP 的PPP连接。当激活PPP连接,而且服务器连接到Internet并作为RAS服务器后,客户使用RAS进行第二次拨号。这次,在电话号码域指定IP地址(名字或数字),并且客户使用VPN端口代替COM端口进行连接 (VPN端口是在安装PPTP 的过程中同时添加到客户端和服务器端的)。
用IP地址拨号会给服务器发送开始会话的请求。客户端等待服务器验证用户名和口 令并返回连接完成的信息。此时PPTP通道启动, 客户可以着手给服务器传送包。由于它们可能是IPX 或NetBEUI包,因此服务器能对其执行常规的安全操作。
PPTP数据交换的核心是PPTP控制连接,它是建立和维护通道的一系列控制消息。 整 个PPTP 连接仅包含唯一的TCP/IP连接,它需要响应命令集合以便在发生事务处理时保 持打开状态。
PPTP的治理
在拨接VPN的用户治理方面,VPN沿用NTS的用户数据库,可把其中的某些用户组别设定为可接受VPN接入。VPN的安全性对用户信息来说是十分重要的,其中用于加密的密匙根本不经线上传送,因而普通人是无法将40bits RC-4加密的密匙推算出来的。如能采用128bit加密算法的话,则通过VPN传输信息是绝对有保障的。在对付网络"黑客"攻击方面,PPTP路由器可将非PPTP用户名单上的人员自连线闸道上排除,这样"黑客"便无法进行攻击了。
1.3.2.2 IPSec (IP Security)
作为隧道协议,IPSec属于IPV6包协议族的内容之一。由于其主要用于IP网上面两点之间的数据加密,所以被应用于VPN隧道协议。在IPV6数据包中,具有认证包头AH(Authentication Header)和数据加密格式ESP (Encapsulating Security Payload)。接收端根据AH和ESP对数据包进行认证和解密。其运营模式有两种,一种是隧道模式,另一种是传输模式。在下面数据安全章节中将进行描述。
IPSec用于客户端之间建立VPN隧道,对ISP无非凡的要求。
1.3.2.3 L2F (Layer 2 Forwarding)
L2F为CISCO公司制定的关于VPDN的二层转发协议,它在第二层上建立一个隧道。目前,在几大网络厂家的ROUTERS设备中均支持此协议。L2F需要ISP支持,并且要求传输两端设备都支持L2F。对客户端无非凡要求。满足VPN的路由器需以下条件:
目前,L2F没有对数据的加密机制。
以CISCO路由器为例,简单介绍L2F的运行机制。在CISCO路由器的设备中,对L2F的支持需要以下条件:
Cisco IOS版本
Flash的容量
DRAM的容量
2以上的Desktop或Enterprise版本 8M
6M
NAS 和GATAWAY的L2F_TUNNEL协商过程为一个使用CHAP协议相互进行协商,验证,建链的过程,在此过程中,双方共享一个公用的密码。首先, NAS向GATAWAY发出一个L2F_CONF包,携带有NAS的名字和一个随机的challenge值A。当GATAWAY 收到来自NAS的L2F_TUNNEL包后,它也向NAS发回一个L2F_TUNNEL包,携带有自己的名字和一个随机的challenge值B,并附带有一个新的KEY A'',新的KEY A''是用md5的加密算法对A和GZHGW的密码进行整体加密后形成的。在NAS 端一旦收到L2F_CONF包后,用MD5算法对KEY A''进行解密,然后用自己的A和解密后的A''''进行比较,假如它们匹配,NAS就向GATAWAY发回一个L2F_CONF的信息包,这次携带的是Key B''(用MD5算法对NAS的密码和B进行整体加密后得到的)。在GATAWAY侧,当收到L2F_OPEN信息包后,把解密后的B''''与B进行比较,若匹配,向NAS发回一个L2F_OPEN信息包,附带Key值为A''。
以后,所有从NAS发向GATAWAY的信息包都携带Key B'',所有从GATAWAY发向NAS的信息包都携带Key A''。
1.3.2.4 L2TP-Layer2 Tunneling Protocol
除Microsft外,另有一些厂家也做了许多开发工作,PPTP能支持Macintosh和Unix,Cisco的L2F(Layer2 Forwarding)就是又一个隧道协议。L2TP集和了PPTP和L2F隧道协议,PPTP和L2TP十分相似,因为L2TP有一部分就是采用PPTP协议,两个协议都答应客户通过其间的网络建立隧道,有带客户端软件的扩展。L2TP还支持信道认证,但它没有规定信道保护的方法。L2TP具有IPSec选项。在98年9月正式标准化。
L2TP沿袭了PPTP的握手信息模式和L2F的工作模式。L2TP由访问服务器端发起,到企业网的GATAWAY端结束。
L2TP使一个远程用户通过拨号就近拨入一个ISP,并且能够跨过INTERNET公网连接到私有网络之上。它是以往拨号用户与私有网络PPP连接的一个扩展。L2TP是CISCO的L2F与Microsoft的PPTP协议的组合。PPTP是对PPP协议的一个扩展,L2TP被设计在OSI的第二层之上建立隧道而取代PPTP(三层隧道)。
1.3.2.5 SOCKs
SOCKs是一个网络连接的代理协议,它使SOCKs一端的主机完全访问SOCKs;而另一端的主机不要求IP直接可达。SOCKs能将连接请求进行鉴别和授权,并建立代理连接和传送数据。SOCKs通常用作网络防火墙,它使SOCKs后面的主机能通过Internet取得完全的访问权,而避免了通过Internet对内部主机进行未授权访问。目前,有SOCKsV4和SOCKsV5二个版本,SOCKsV5可以处理UDP,而SOCKsV4则不能。
1.3.3 安全性
VPN技术的最重要的环节是数据的安全性。目前,国际流行的数据安全策略有数据认证、数据加密、数据签名等。针对隧道的安全数据传输,目前已制定了一些专用的安全协议。这些协议采用加密和数字签名技术,以确保数据的机密性和完整性,并可对收方和发方进行身份查验。
在大多数情况下,加密手段和隧道技术被捆绑使用,如PPTP包含了RC4加密技术(40或128位),IPSec能够支持多种类型的加密手段,如DES,Triple DES等。用户申请进入企业网之前,首先要进行访问控制过滤,过滤的主要内容有Protocol ID、Direction、Source, Destination IP Addresses、Source, Destination Port、TCP Connection Establishment等。
1.3.3.1 数据加密算法
目前,数据加密算法有:
- 国际数据加密算法(IDEA:International DataEncryption Algorithm):128 位长密钥,把64位的明文块加密成64位的密文块。
- MS点对点加密算法(MPPE:Microsoft Point to Point Encryption):可以选用相对较弱的40位密钥或强度较大的128位密钥。
Microsoft公司的Dial-Up Networking(拨号联网)软件已增加了MPPE加密能力。这个改进型软件的40位版本已捆绑在Windows 95中,128位版本则与Windows NT捆绑在一起。
MPPE先在客户端工作站上对PPP数据包进行加密,然后才把它们送入PPTP隧道。传输途中的隧道交换机无法对这些PPP数据包进行解密。这就提高了数据的保密性。MPPE还使用增强型的口令握手协议(MS-CHAP)来加强对用户身份的查验。
- DES和DES3加密算法 (The Data Encryption Standard)
1.3.3.2 数据安全标准IPSec
IPSec是TETF制定的标准,其中包括一整套IP协议,用于在两个IP站之间商定所用的加密和数字签名方法。IPSec提供IP包级的安全验证、数据完整性、通过加密提供数据安全,与应用无关。IPSec提供两种操作模式:
隧道模式,它对传经不安全的链路或INTERNET的专用IP内部数据包进行加密和封装(此种模式适合于有NAT的环境)。
传输模式,直接对IP负载内容(即TCP或UDP数据)加密(适合于无NAT的环境)。
任何加密算法在两种模式中都可以使用。目前,IPSec有两种版本,一种是IPV4,另一种是IPV6。
Ipsec内容主要有数据验证和完整(Authentication&Integrity)、信任(Confidentiality)。所谓数据验证(Authentication)主要确保接收的数据与发出的相同,并且确保发送数据者的真实性;所谓数据完整(Integrity)主要确保数据在传输过程中没有被篡改;所谓信任(Confidentiality)主要确认通信双方的相互信任关系,确保冒名者的通信,通常使用Encryption (加密)用来确立信任。IPSEC包含内容可分开使用也可合并使用,视具体方案而定。
IPsec比MPPE更可靠,它包括查验、加密和数据完整性功能。它还可以越过隧道终止器而直达目的地的主工作站。IPsec的另一个优点是它的查验和安全性功能与它的密钥治理系统松散耦合。因此,假如未来的密钥治理系统发生变化时,IPsec的安全机制不需要进行修改。
安装和应用拨号VPN的第二个重要问题是网络的安全性,例如既答应远程拨号连接,又要防止未授权访问和偷听。
在一些网络设计里,隧道终止在用户的防火墙之后.某些类型的IP隧道技术需要客户直接与Internet连接,这会对客户到来危险.为了保护网络不受未授权用户的访问,许多公司用户在他们的Internet路由器上建立了防火墙.这限制了Internet对资源的访问.例如对公司Web服务器的访问.假如设备在防火墙之后,防火墙必须打开答应隧道信息包通过,传输到和它们无关的设备.在这方面有很多方法,然而它们都会使防火墙配置程序复杂.再有,不是所有的防火墙都能够有效地控制那些并不终止在防火墙的通信。
基于第三层隧道技术的拨号VPN服务应用比起基于第二层隧道技术的拨号VPN服务应用更安全,这是因为使用第二层隧道技术,隧道不需要到达客户网络,而是终止在服务提供商标的网关。
1.4 网络治理和运行
VPN治理的目标是使VPN可以像专用网络一样对待。实现这个目标的第一步是推出的VPN治理工具能够像治理专网那样去治理VPN,比如监测网络的容量利用率、服务质量、安全性违例如分析隧道利用率。第二步是推出统一的治理工具,这种工具必须能够治理常规网络和VPN。
最后也是不可缺的是网络治理和维护。治理拨号VPN的两个要害是网络层地址治理(NLAM)和隧道治理.隧道治理指外部软件应用,它用来建立隧道并维护用户信息和执行客户层帐户治理.传统的软件治理功能,例如性能监测,需要用来治理拨号VPN 服务,这和它们在其它网络和网络治理上的功能是一样的。
1.4.1 用户IP地址治理
对于用户IP地址治理,主要体现在用户网络和公共网络之间的IP地址分配办法。根据隧道协议的不同,采用不同的用户IP地址分配策略。
对于用户内部企业网的治理,可采用合法或保留IP地址策略。企业内部的IP地址对于公网来说是透明的。VPN将企业内部的数据进行重新封包之后在公网之上传输。对于远程用户来讲,其分配的IP地址策略根据VPN连接所采用的隧道协议而变化。
假如采用L2F或L2TP隧道协议,用户只须一次拨号,并且只分配企业网内部IP地址;假如采用PPTP或IPSEC隧道协议,用户需要二次拨号,即在拥有公网IP的基础之上,需要对企业网VPN GATAWAY进行拨号,然后分配企业网内部IP。
1.4.2 网络层地址治理
网络层地址治理(NLAM)是指拨号VPN建立远端节点的网络层有关协议配置(滤波器,路由协议,子网屏蔽等)和域名登记的能力.具有适当容量的VPN结构能够支持以下服务:远端授权拨号上网用户服务(RADIUS,要有厂商的正确配置)、动态主机控制协议(DHCP或功能相同的协议)和域名服务(DNS)。RADIUS不仅用于用户授权,还用来执行一部分或全部的网络层配置信息。DHCP能与RADIUS相连并从地址池中选择地址然后分配给远程用户。显然,这种方法比起在RADIUS数据库用手工构造地址应用范围更广。有一点很重要,即治理第三层地址系统必须很有权威,这意味着一旦对话终止,地址必须返回与用户域名有关的地址池。
网络层地址治理和IP地址治理恰恰相反。许多公司网依然使用IPX和AppleTalk协议,所以支持这些协议和IP协议的地址治理服务依然存在。不幸的是,还没有更多标准编址的非IP地址池,因此支持远端节点的IPX或AppleTalk地址治理的产品很少。
1.4.3 对VPN成员的治理
对VPN成员的治理,主要包括用户连接的认证、授权、计费治理以及内部IP地址分配,VPN"隧道"建立,数据加密,用户访问权限治理等多个重要功能。
一、 成员认证(Authentication)
在远程成员接入企业内部之前必须对其进行用户身份认证。用户数据(如用户名称、口令等)集中存储于外部的数据库之中。对用户数据库的访问需要一个中间协议来完成,如LDAP 或者RADIUS等认证协议。该用户数据库对用户透明。VPN接入服务器针对相应的成员组进行定义(如数据加密格式、过滤定义、服务属性定义等)。
LDAP(Lightweight Directory Access Protocol)体现在X.500目录治理服务内容之中,LDAP就象INTERENET的目录模式一样被迅速接受,Microsoft, Netscape, 以及 Novell 均在其目录服务策略中支持 。LDAP是基于条目进行治理的,它可对INTERNET上的个人进行标准的和扩展的Attributes定义。用户目录服务器(directory service)是用户信息中心。
RADIUS(Remote Authentication Dial-In User Service)分布式安全系统,通过认证服务器来验证拨号连接属性和认证连接权限。在远程接入认证中,RADIUS有广泛应用。
二、 访问控制过滤和用户优先级定义
在用户接入之后,要对用户进行访问控制过滤,主要过滤内容为用户源、目的IP、目的端口号、TCP连接定制等。在对用户进行访问控制之后,要根据用户认证数据库内容对用户进行呼叫优先级定义,主要是解决大量用户接入带来的网络拥塞问题,在网络拥塞到一定程度之后,将只答应优先级较高的连接建立。但一旦连接建立之后将不再中断。
三、 计费结算
VPN接入服务器将对用户访问企业网将进行日志记录,根据用户日志记录可对用户访问企业网进行计费结算。其记录内容包括:用户访问时长和数据通信量;安全因素拒绝记录、以及系统配置修改记录等。
目前,针对各厂家VPN设备的不同,对成员的治理也有很大的区别。
