摘要:研究虚拟专用网络(VPN)的技术实现,主要包括隧道技术和点对点通道协议(PPTP)、第二层隧道协议(L2TP)及Internet安全协议(IPsec)等3种隧道协议。并针对远程访问VPN(RemoteAccess VPN)、内联网VPN( Intranet VPN}和外联网VPN(Extranet VPN)这3种VPN的典型应用环境:以一个企业为例给出了适用于这3种应用环境的解决办法。
关键词:VPN;IPsec; PPTP; L2TP
进行网络化运作的经济实体称为网络联盟企业。网络联盟企业是通过互联网联接的多个机构组成的组织,具有协作和同盟关系,应能共享知识和资源,协同提供产品或服务,最大限度地发挥合作的优势;并在更好的适应市场和满足顾客需要的同时,实现每个联盟伙伴自己的目标。因此,合作伙伴之间,需要建立一种识别和信任关系。VPN允许在Int ernet内部的安全连接,不同Internet组成的E x tr anet之间的安全连接,同一公司连接远端或分支办公机构Intranet之间的安全连接,以及移动工作人员的安全连接。VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。 1 VPN的技术实现
VPN具体实现是采用隧道技术,将企业网的数据封装在隧道中进行传输。因此,VPN技术首先是建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有GRE, IPS EC, L2TP,PPTP,L2F等。其中GRE,IPSEC属于第3层隧道协议,L2TP,PPTP,L2F属于第2层隧道协
议。
1. 1点对点隧道协议(PPTP)
PPTP(Point-to-Point Tunneling Protocol)协议是PPP协议的扩展,它支持多种网络协议,可以把IP,IPX,Apple Talk,NetBEUL的数据包封装在PPP隧道协议包中,再将整个报文封装至PPTP隧道协议包,然后嵌入IP报文、帧中帧或ATM中进行传输。 PPTP的加密方法采用Microsoft点对点加密算法(MPPE) ,可以选用相对较弱的40位密钥或强大的128位密钥。PPTP提供PPT P客户机与PPTP服务器之间的加密通信。PPT P客户机是指运行了该协议的PC机,如启动该协议的Windows95/98/20000 PPTP服务器是指运行该协议的服务器,如启动该协议的SES2012服务器。 1. 2第2层隧道协议(L2TP)
TPL2 (Layer2 Tunneling Prolocol)协议是将PPTP协议和L2F协议的优点结合在一起形成的。L2TP和PPTP协议一样支持多协议。同时,它还继承了PPTP的流量控制功能,支持M P(Multilink Protocol)协议,把多个物理通道捆绑成为单一的逻辑信道。L2TP使用PPP可靠性发送(RFV 1663)来实现数据包的可靠性发送。L2TP隧道通过在两端VPN服务器之间采用口令握手协议CHA P来验证对方的身份,并可采用IPsec:协议对数据包进行加密传送,以保证数据安全。
L2T P规定了一种在一般媒体上运载PPP分组的工具,是对PPP会话的逻辑延伸,从而形成了虚拟拨号。在这个虚拟拨号中,分组被
不透明传输,用户的身份鉴别、访问记帐和访问授权,都能成功地借用PPP成熟地机制。因此,可用于构建VPDN 。L2TP也提供了对部分敏感信息地机密性保护功能,如利用随机向量和共享密钥对敏感信息进行隐藏传输。但它只对控制信息中的部分信息起作用。 1. 3 Internet安全协议(IPsec)
IPsec( Internet Protocol Security)是IETE(Internet Engneer Task Force)正在完善的安全标准,它把几种安全技术结合在一起形成一个比较完整的体系,通过对数据加密、用户身分认证、数据完整性检查来保证数据传输的可靠性、私有性和完整性。 IPse由IP认证头
AH (Authentication Header) ,IP
安全载荷封装
ESP( Encapsulated Security Payload)和密钥管理协议组成。AH协议保证了隧道中报文的完整性,它对每组IP包进行认证,防止黑客利用IP进行攻击。ESP协议保证数据的保密性,ESP可以在隧道模式和传送模式2种模式下精细。在隧道模式下,ESP对整个IP数据包精细封装和加密,隐藏了IP源和目的IP地址,从外部看不到数据包的路由过程;在传送模式下,ESP只对IP有效数据载荷进行封装和加密,IP源和目的IP地址不加密传送,安全程度相对隧道模式较低l 4l。密钥管理协议是IPs。安全协议的一个重要组成部分,这个协议在通信系统中建立了一个安全的联系,它是一个产生和交换IPsec:密钥材料并对其进行管理的协议。 2 VPN产品的解决方案
根据技术应用环境的特点,VPN大致包括3种典型的应用环境,
即Intranet VPN,Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提供虚拟子网和用户管理认证功能;Remote Access VPN侧重远程用户接入访问过程中对信息资源的保护;而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。在公司总部和它的分支机构之间建立VPN,称为“内部网VPN\"。在公司与商业伙伴、顾客、供应商、投资者之间在公司总部和远地雇员或旅行中的雇员建立VPN,称为“外部网VPN\"。在公司总部和远的雇员或旅行中的雇员之间建立VPN,成为“远程访问VPN\"。
目前先进的VPN产品一般都是CPE端设备,它不依赖于ISP提供VPN服务,完全由用户自己建立和发起VPN,其灵活性和安全性完全由用户自己掌握。它可以提供目前国际上加密位数最高的三重 DES(168位)加密算法,其动态变换会话密钥的功能允许管理者定义多长时间必须修改一次会话密钥,完全保证了用数据的安全性。 2. 1远程访问VPN(Remote Access VPN)
这种应用既可适应企业内部人员移动和远程办公需要,又可用于商家提供B2C的安全访问服务。以图1所示为例,某家公司在全国有几十个业务人员,公司总部有自己的基于Lotus Notes的电子邮件服务器,因为收发E mail的关系,业务人员需要经常访问总部的电子邮件服务器。先进公司的VPN解决方案可以使他们方便地通过拨入本地ISP,然后建立V PN安全通道而连入总部地 Email服务器。方案中在总公司安装一台SE52012路由器,采用的安全解决方案:隧道技术、加密、分组验证、防火墙、入侵检测系统和用户验证。其中基于
硬件的集成式IPsec:加密,把DES或3DES加密算法与PP P压缩结合起来,在加密之前实现数据压缩。 SES 2012路由器系列具有一个可选的硬件加密模块,这是可以用于低端路由器的第一种硬件加密模块。对于流动工作人员,则先拨号到Internet上,通过Internet进入到虚拟专网。另外,PIX防火墙、NetRanger入侵检测系统和NetSon二安全扫描程序三者配合,最大限度地保证了企业VPN的可靠性和安全性。
2. 2内联网VPN(Intranet VPN)
图2所示某家公司,它在全国巧个省市甚至国外都有自己的办事处,因无业务需要,欲经常访问总部的专用应用服务器和数据库服务器。先进的VPN解决方案不仅节省了巨额的线路费用和通信费用,而且本地ISP的DDN接入和调试时间比起申请自己内部的长途DDN来要快得多,公司业务得以在当地迅速开展。在总公司和分支机构配置一台SE S2 012路由器,接收所有远程局域网发来的连接请求,同时也处理移动用户的连接请求。它通过内部局域网接口连接本地局域网,通过自身的公共局域网接口连接路由器。中心局域网的路由器通过一条专线连接Internet网,通过以太网接口连接SES 2012的公共局域网接口。在分支机构安装一台SES 2012。路由器通过专线连接Internet网的本地接入点,通过局域网接口连接SES 2012。SES 2012通过其公共局域网接口连接本地路由器,通过内部局域网端口连接本地的局域网。
2. 3外联网VPN(Extranet VPN)
如图3所示,公司甲、乙、丙虽是不同的公司,但它们之间却存在着合作关系。假定公司乙使总部位于北京的一厂家,公司甲和公司丙分别位于上海和广州,两家公司同为乙提供汽车零配件的厂家。要求公司甲和公司丙不能够访问公司乙内部的服务器,但公司甲和 公司丙又要和公司乙共同管理和维护各自零配件供应情况的数据库服务器,而且为了保证公司甲和公司丙各自的商业机密,公司乙又要它们不能够查看到和修改对方的商业数据。在成功布置和实施了先进的VPN解决方案后,上述问题迎刃而解。
3结 语
VPN作为一种组网技术概念,本身并不是一个具有“固定”形态的实体。由于这样一种技术具有独特优势,对于企事业单位、党政机关、金融系统等跨地域组建‘私有专用”的网络提供了经济能力可承受且相对安全的技术手段。可以预见,它将是企事业单位、党政机关、金融系统等组成内联网、外联网和实现远程接入网的基本、主要方法。与此同时,各种IS P也必将投入更大的力量,为各种用户提供V PN服务。
因篇幅问题不能全部显示,请点此查看更多更全内容