ＶＰＮ技术演义[注意]

welf

一．什么是ＶＰＮ(ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ，虚拟专用网)？
1．ＶＰＮ的魅力。
随着Internet访问的增加，传统的Internet接入服务已越来越满足不了用户需求，因为传统的Internet只提供浏览、电子邮件等单一服务，没有服务质量保证，没有权限和安全机制，界面复杂不易掌握，VPN的提出就是来解决这些问题。

VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处：

采用远程访问的企业提前支付了购买和支撑整个企业远程访问基础结构的全部费用；
企业能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；
对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系；
电话企业通过开展拨号VPN服务可以减轻终端阻塞；
通过为企业提供安全的外界远程访问服务，ISP能增加收入；通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。
2．VPN的自白
随着企业与外界交流的增加及自身不断地发展，越来越多的企业已开始组建企业计算机内部网络。过去，企业组建自己健全的数据通信网络的唯一办法就是从头做起，当企业局限在某一特定的范围内，可以采用ＬＡＮ技术实现；当企业处在一个很大范围时，大都用ＶＡＮ(Ｖａｌｕｅ-ＡｄｄｅｄＮｅｔｗｏｒｋ，增值网)技术，即在公共网络上租用模拟或数字专线组成专用网络来实现。但这样做的代价太大，很多企业难以承受。另外，现代跨国企业其分支机构和业务范围遍及全球，其负责销售工作的员工在世界各地流动，且越来越多的员工倾向在家上班，内部网络必须满足这部分员工随时对其进行访问。因此传统的租用专线组成ＶＡＮ的方式越来越不适用。ＶＰＮ(ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ，虚拟专用网)技术应运而生。

一般说来，ＶＰＮ就是指利用公共网络，如公共分组交换网、帧中继网、ＩＳＤＮ或Ｉｎｔｅｒｎｅｔ等的一部分来发送专用信息，形成逻辑上的专用网络。目前，Ｉｎｔｅｒｎｅｔ已成为全球最大的网络基础设施，几乎延伸到世界的各个角落，于是基于Ｉｎｔｅｒｎｅｔ的ＶＰＮ技术越来越受到关注。

3．究竟如何在Ｉｎｔｅｒｎｅｔ上组建ＶＰＮ呢?
基于Ｉｎｔｅｒｎｅｔ组建企业ＶＰＮ，第一步就是将其地理上分布的各网段以及各远程用户接入Ｉｎｔｅｒｎｅｔ。远程用户可利用ＭＯＤＥＭ通过ＰＳＴＮ或ＩＳＤＮ拨号至本地ＩＳＰ的ＮＡＳ(ＮｅｔｗｏｒｋＡｃｃｅｓｓＳｅｒｖｅｒ，网络接入服务器)接入Ｉｎｔｅｒｎｅｔ；分支机构网段可通过路由器经专线或通过拨号接入Ｉｎｔｅｒｎｅｔ；企业总部网段配有ＶＰＮ中心，它通过路由器接入Ｉｎｔｅｒｎｅｔ。

Ｉｎｔｅｒｎｅｔ中，只要通信的两端点均支撑ＴＣＰ/ＩＰ协议，主机无需特别安排即可连到远程网络。但由于企业内部网络也可能是ＩＰＸ、Ａｐｐｌｅｔａｌｋ或ＯＳＩ网络，或者虽然使用ＩＰ协议，但其内部网络的地址为未经登记的专用地址，不能在Ｉｎｔｅｒｎｅｔ中合法使用。企业数据如要穿越Ｉｎｔｅｒｎｅｔ，必须在ＶＰＮ解决方案中有特别的机制。

二．ＶＰＮ解决方案的核心技术：第二层隧道技术。
当前ＶＰＮ解决方案中，很多都采用了第二层隧道技术。所谓“隧道”就是这样一种封装技术，它利用一种网络传输协议，将其他协议产生的数据报文封装在它自己的报文中，在网络中传输。第二层隧道就是将第二层(数据链路层)帧封装在网络层报文中，形成ＩＰ报文，在Ｉｎｔｅｒｎｅｔ中传输。在已问世的第二层隧道解决方案中，以ＰＰＴＰ协议和Ｌ2Ｆ协议最为成熟。

1．ＰＰＴＰ协议
（1）ＰＰＴＰ协议概述

Ｍｉｃｒｏｓｏｆｔ和Ａｓｃｅｎｄ企业在ＰＰＰ协议基础上开发的ＰＰＴＰ协议就是支撑Ｃｌｉｅｎｔ—ＬＡＮ型隧道ＶＰＮ实现的一种隧道传送方案。ＰＰＴＰ对ＰＰＰ协议本身并没有做任何修改，只是将用户的ＰＰＰ帧(对应于ＯＳＩ协议体系结构中的七层协议，ＰＰＰ协议为第二层即数据链路层规范)基于ＧＲＥ封装成ＩＰ报文，在Ｉｎｔｅｒｎｅｔ中经隧道传送。

传统上，ＮＡＳ实行以下的功能：是ＰＳＴＮ或ＩＳＤＮ的本地接口，控制着外部ＭＯＤＥＭ或终端适配器；是ＰＰＰ链路控制协议会话的逻辑终点；是ＰＰＰ鉴别协议的实行者；为ＰＰＰ多链路协议进行信道汇聚管理；是各种ＰＰＰ网络控制协议的逻辑终点。ＰＰＴＰ协议将上述功能分解成由两部分即ＰＡＣ(ＰＰＴＰ接入集中器)和ＰＮＳ(ＰＰＴＰ网络服务器)来分别实行。这样一来，拨号ＰＰＰ链路的终点就延伸至ＰＮＳ。

ＰＰＴＰ协议正是利用了“ＮＡＳ功能的分解”这样的机制支撑在Ｉｎｔｅｒｎｅｔ上的ＶＰＮ实现。ＩＳＰ的ＮＡＳ将实行ＰＰＴＰ协议中指定的ＰＡＣ的功能。而企业ＶＰＮ中心服务器将实行ＰＮＳ的功能，通过ＰＰＴＰ，远程用户首先拨号到本地ＩＳＰ的ＮＡＳ，访问企业的网络和应用，而不再需要直接拨号至企业的网络，这样，由ＧＲＥ将ＰＰＰ报文封装成ＩＰ报文就可在ＰＡＣ—ＰＮＳ之间经由Ｉｎｔｅｒｎｅｔ传递，即在ＰＡＣ和ＰＮＳ之间为用户的ＰＰＰ会话建立了一条ＰＰＴＰ隧道。

（2）　建立ＰＰＴＰ连接

建立ＰＰＴＰ连接，首先需要建立客户端与本地ＩＳＰ的ＰＰＰ连接。一旦成功地接入Ｉｎｔｅｒｎｅｔ，下一步就是建立ＰＰＴＰ连接。

从最顶端ＰＰＰ客户端、ＰＡＣ和ＰＮＳ服务器之间开始，由已经安装好ＰＰＴＰ的ＰＡＣ建立并管理ＰＰＴＰ任务。如果ＰＰＰ客户端将ＰＰＴＰ添加到它的协议中，所有列出来的ＰＰＴＰ通信都会在支撑ＰＰＴＰ的客户端上开始与终止。由于所有的通信都将在ＩＰ包内通过隧道，因此ＰＡＣ只起着通过ＰＰＰ连接进Ｉｎｔｅｒｎｅｔ的入口点作用。从技术上讲，ＰＰＰ包从ＰＰＴＰ隧道的一端传输到另一端，这种隧道对用户是完全透明的。

（3）ＰＰＴＰ的优越性

通过ＰＰＴＰ，远程用户经由Ｉｎｔｅｒｎｅｔ访问企业的网络和应用，而不再需要直接拨号至企业的网络。这样减小了建立和维护专用远程线路的费用。且为企业提供比较充分的安全保证。

ＰＰＴＰ还在ＩＰ网络中支撑非ＩＰ协议，ＰＰＴＰ“隧道”将ＩＰ，ＩＰＸ，Ａｐｐｌｅｔａｌｋ等协议封装在ＩＰ包中，使用户能够运行基于特定网络协议的应用程序。同时，“隧道”采用现有的安全检测和鉴别政策，还允许管理员和用户对数据进行加密，使数据更安全。ＰＰＴＰ还提供了灵活的ＩＰ地址管理。如果企业专用网络使用未经注册的ＩＰ地址，那么ＰＮＳ将把此地址和企业专用地址联系起来。

2．　Ｌ2Ｆ及Ｌ2ＴＰ协议
除ＰＰＴＰ协议外，ＣＩＳＣＯ企业的Ｌ2Ｆ协议也是一种第二层隧道协议，它通过提供“虚拟拨号”服务，支撑ＬＡＮ—ＬＡＮ型的ＶＰＮ连接。

综合了ＰＰＴＰ协议和Ｌ2Ｆ协议的另一种第二层隧道协议Ｌ2ＴＰ(ＬａｙｅｒＴｗｏＴｕｎｎｅｌｉｎｇＰｒｏｔｏｃｏｌ)具有ＰＰＴＰ协议和Ｌ2Ｆ协议两者的特点，它既支撑Ｃｌｉｅｎｔ—ＬＡＮ型的ＶＰＮ连接，也支撑ＬＡＮ—ＬＡＮ型的ＶＰＮ连接。

Ｌ2ＴＰ协议正在进行当中。Ｌ2ＴＰ协议通过“虚拟拨号”业务将初始拨号服务器的地点和拨号协议所连接的终点分离开来。当“虚拟拨号”客户开始接入时，远程用户和它们的ＩＳＰ的ＮＡＳ之间就建立了一个ＰＰＰ链路。ＩＳＰ接着对端系统或用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务，一旦确定需要，那么此用户名就会和ＶＰＮ网络中心服务器联系起来。然后，ＮＡＳ将检查有没有至ＶＰＮ中心服务器的Ｌ2ＴＰ连接存在，如果没有，那么Ｌ2ＴＰ协议就会在ＮＡＳ端启动一个到ＶＰＮ中心服务器的Ｌ2ＴＰ隧道协商。如果协商成功，那么在ＮＡＳ和ＶＰＮ中心服务器之间就建立了一条Ｌ2ＴＰ隧道，并建立了用户和ＶＰＮ中心之间端到端的连接。Ｌ2ＴＰ协议还定义了一些隧道的管理与维护操作，如定期发送Ｈｅｌｌｏ报文以判断隧道的连通性，利用协议提供的发送序号(Ｎｓ)域和接收序号(Ｎｒ)域进行隧道的流量控制和拥塞控制等。

3．　第二层隧道协议的不足
第二层隧道协议具有简单易行的优点，但是它们的可扩展性都不好。更重要的是，它们都没有提供内在的安全机制，它们不能支撑企业和企业的外部客户以及供应商之间会话的保密性需求，因此它们不支撑用来连接企业内部网和企业的外部客户及供应商的企业外部网Ｅｘｔｒａｎｅｔ的概念。Ｅｘｔｒａｎｅｔ需要对隧道进行加密并需要相应的密钥管理机制。

三．　ＩＰｓｅｃ解决方案
在使用ＴＣＰ/ＩＰ协议的Ｉｎｔｅｒｎｅｔ协议体系结构中，ＩＰ层是一个附加安全措施的很好场所，因为：ＩＰ层处于整个协议体系的中间点，它既能捕获所有从高层来的报文，也能捕获所有从低层来的报文；从ＩＰ层的定义来看，在这一层附加安全措施是与低层协议无关的，可对高层协议和应用进程透明。许多Ｉｎｔｅｒｎｅｔ网络应用可以从ＩＰ层提供的安全服务中得益。ＩＥＴＦ已制定了安全协议标准ＩＰｓｅｃ和ＩＫＭＰ密钥管理协议，用来提供ＩＰ层安全服务。目前已有多种产品支撑ＩＰｓｅｃ安全协议。ＩＰｓｅｃ和一些密钥管理协议为组建ＶＰＮ提供了另一条很好的途径。

在ＩＰｓｅｃ中，定义了两个特殊的报头，它们分别是ＡＨ(ＡｕｔｈｅｎｔｉｃａｔｉｏｎＨｅａｄｅｒ，鉴别报头)和ＥＳＰ(ＥｎｃａｐｓｕｌａｔｉｎｇＳｅｃｕｒｉｔｙＰａｙｌｏａｄ，封装安全载荷)。ＡＨ报头用来在没有ＩＰ报文加密机制的条件下提供多个主机或网关之间通信的数据完整性保护和鉴别功能。在缺少加密措施的情况下，ＡＨ在Ｉｎｔｅｒｎｅｔ中被广泛使用。而ＥＳＰ报头用来对在多个主机或网关之间通信的ＩＰ报文提供完整性保护、鉴别和加密。

ＳＡ(ＳｅｃｕｒｉｔｙＡｓｓｏｃｉａｔｉｏｎ)的概念是ＩＰｓｅｃ协议的基础。一个特定的ＳＡ由一特定的ＳＰＩ(ＳｅｃｕｒｉｔｙＰａｒａｍｅｔｅｒＩｎｄｅｘ，安全参数索引)和ＤＡ(ＤｅｓｔｉｎａｔｉｏｎＡｄｄｒｅｓｓ，目的地址)的组合唯一确定。ＳＡ通常包括下列参数：ＡＨ的实现中所使用的鉴别算法和算法模式；ＡＨ的实现中鉴别算法所使用的密钥；ＥＳＰ的实现中所使用的加密算法和算法模式；ＥＳＰ的实现中加密算法所使用的密钥；密码同步器的存在与否及大小或ＥＳＰ中加密算法的初始向量域；密钥生存周期或密钥修改的时间；ＳＡ的生存周期；ＳＡ的源地址；敏感性级别。ＳＡ通常是单向的，两主机间的信任会话通常都有两个ＳＰＩ在使用，每个方向使用一个。

1．ＩＰｓｅｃ的安全机制
ＡＨ对ＩＰ报文提供鉴别信息和强大的完整性保护。如果鉴别算法以及密钥采用非对称密码体制如ＲＳＡ，则还可提供无否认的数字签名。ＡＨ通过对ＩＰ报文增加鉴别信息来提供完整性保护，此鉴别信息是通过计算整个ＩＰ报文，包括ＩＰ报头、其他报头和用户数据中的所有信息而得到的。ＡＨ通常总是出现在ＩＰ报头之后。鉴别算法在计算前必须将ＡＨ的数据域本身以及其他在发送中改变的域作为全“0”考虑。

发送方计算发出ＩＰ报文的鉴别数据的第一步就是为发送端分配恰当的ＳＡ。所有的ＳＡ都是单向的。ＳＡ的选择基于发送方标识和目的地址，将指定鉴别算法、密钥和其他安全应用的参数。鉴别数据得到以后，被放入ＡＨ的鉴别数据区。

当接收方收到包含ＩＰＡＨ的报文时，首先利用地址和ＳＰＩ值得到恰当的ＳＡ，然后独立校验鉴别数据区和接收的报文数据是否一致。如果一致且此ＩＰ报文在发送过程中未被非法修改，则接收。否则，接收方放弃此ＩＰ报文，并在系统中记录此次失效。

ＩＰＥＳＰ是通过对数据进行加密来提供数据的私密性和完整性保护的，从而避免数据在传输过程中的泄密和非法篡改。根据用户的安全需求，ＥＳＰ机制可用于只对运输层ＰＤＵ(ＰｒｏｔｏｃｏｌＤａｔａＵｎｉｔ，协议数据单元)加密或对整个ＩＰ报文进行加密。与此相对应的是ＥＳＰ有两种工作模式，一是隧道模式，二是运输模式。

在隧道模式的ＥＳＰ中，发送方首先利用自己的标识和目的地址来分派恰当的ＳＡ，用它指定的加密算法和密钥对整个ＩＰ报文(包括ＩＰ报头)进行加密，构成ＥＳＰ报文，此ＥＳＰ报文然后作为载荷被ＩＰ协议再封装一次，加上全新的ＩＰ报头和路由报头，在Ｉｎｔｅｒｎｅｔ中透明传送。接收方收到后，首先剥去ＩＰ报头，它利用目的地址和ＳＰＩ的组合得到正确的会话密钥对ＥＳＰ报文解密。

在运输模式的ＥＳＰ中，其工作流程和隧道差不多，只是被加密的部分仅仅是ＩＰ报文的载荷即运输层ＰＤＵ，其中不包括ＩＰ报头。

如果ＥＳＰ中没有采用鉴别机制，那么ＡＨ就必须和ＥＳＰ联合使用，根据哪些数据需要鉴别(ＡＨ报头的位置表明了哪些数据是经鉴别的)采用以下两种方法联合使用ＡＨ和ＥＳＰ。

第一种用法是：整个接收到的ＩＰ报文都是经鉴别的，包括经加密和未经加密部分。在这种用法中，发送方首先利用ＥＳＰ进行加密，接着一个明文的ＩＰ报头添加到ＥＳＰ报头前，形成一个新的ＩＰ报文。然后，再用ＡＨ对此新的ＩＰ报文进行鉴别，此鉴别过程和前面描述过的ＡＨ工作过程一样。对接收方来讲，接收者首先对利用常规ＩＰＡＨ过程整个报文进行校验。如果鉴别成功，再利用常规ＥＳＰ过程进行解密。解密过程完成后，结果被提交至高层协议处理。

第二种用法是：首先由ＡＨ对初始ＩＰ报文进行鉴别，ＡＨ报头添加到ＩＰ报头和载荷之间，得到一经鉴别的ＩＰ报文，再用ＥＳＰ对此ＩＰ报文进行加密。

如果鉴别过程仅仅用来对隧道模式的ＥＳＰ所保护的数据进行鉴别，那么ＡＨ报头通常被放入此经保护的报文。可是如果有人应用了运输模式的ＥＳＰ，那么ＡＨ报头将被放在ＥＳＰ报头前面，ＡＨ也将对整个ＩＰ报文进行计算得到鉴别信息。

ＩＰ层的安全机制需要密钥管理协议。有几种密钥管理系统可用于ＩＰｓｅｃ的安全机制ＡＨ和ＥＳＰ中，包括人工密钥分配、自动密钥分配。ＩＥＴＦ也正在进行Ｉｎｔｅｒｎｅｔ标准密钥管理协议(ＩＳＫＭＰ)的开发。

2．用ＩＰｓｅｃ构筑ＶＰＮ
ＩＰｓｅｃ可以在网络中主机内实现，也可在位于内部网和外部网的边界上实现访问控制功能的防火墙(Ｆｉｒｅｗａｌｌ)中实现。利用ＩＰｓｅｃ构筑的ＶＰＮ可以在企业网络的各站点间提供安全ＩＰ隧道(由隧道模式ＥＳＰ加密并重新构造的新ＩＰ报文的源到目的地址之间的网段称为安全ＩＰ隧道)，使企业的敏感数据不被偷窥和篡改。

如远程站点Ａ需和位于防火墙Ｆ后的站点Ｂ通信，有下列几种方法：

（1）从Ａ构筑ＩＰ隧道至防火墙Ｆ

在Ａ主机本身和防火墙Ｆ之间建立一个ＳＡ，ＩＰ报文通过ＩＰ隧道至Ｆ再转发给Ｂ。在这种情况下，Ｆ对报文进行解密/鉴别操作，并根据规则决定是否将报文转发给Ｂ。Ｆ和Ｂ之间的报文可以是明文。对于由Ｂ向外部发出给Ａ的报文来说，必也经过Ｆ，Ｂ并不对报文进行保护。防火墙Ｆ在收到目的地址为Ａ的报文后，对报文进行保护。这种情况的前提是端系统Ｂ必须和防火墙Ｆ之间存在信任关系。其内部网络也是可信任的。

（2）经保护的报文直到端系统

在这种情况下，防火墙Ｆ仅仅作为它两端的端系统的密钥管理代理，当Ａ想要和Ｂ开始安全会话时，它必须和Ｆ进行密钥管理交换，这时Ｆ代表Ｂ。从Ａ的观点来看，它已经和Ｂ之间建立了一个ＳＡ，尽管报文将由Ｆ转发给Ｂ，Ｆ可以对报文进行解密并察看其内容以决定是否转发至Ｂ还是丢弃。在这里防火墙Ｆ仅仅作为一个报文过滤设备，并不对流量作任何修改。

（3）报文保护至端系统并由隧道至防火墙在这种情况下，内部载荷由运输模式的ＥＳＰ及ＡＨ保护至端系统Ｂ，外部载荷由隧道至防火墙Ｆ，防火墙Ｆ可以不用报文过滤规则而对报文进行鉴别以决定是否转发，在利用拨号ＰＰＰ网络进入企业网络的连接中，这种方法是非常典型的。对从Ｂ发往Ａ的报文来讲，Ｂ用运输模式ＥＳＰ及ＡＨ对报文进行保护。防火墙Ｆ至Ａ之间由隧道传送。

假定专用网内部是可信任的而仅仅Ｉｎｔｅｒｎｅｔ是不可信任的，在此条件下，可仅由在地理上分布的各ＬＡＮ的边界路由器之间对ＩＰ报文用ＡＨ和ＥＳＰ机制进行保护。即仅在两个边界路由器之间建立ＳＡ，边界路由器代表了它内部的所有端系统。ＩＰｓｅｃ机制仅由边界路由器实现。

用ＩＰｓｅｃ机制实现ＶＰＮ，当企业内部网使用了专用ＩＰ地址时，必须采用ＮＡＴ(ＮｅｔｗｏｒｋＡｄｄｒｅｓｓＴｒａｎｓｌａｔｉｏｎ，网络地址转换)。对使用专用ＩＰ地址的ＩＰ报文，必须由ＩＰｓｅｃ网关用隧道模式ＥＳＰ封装，新的ＩＰ报文的地址由ＩＰｓｅｃ网关用合法地址进行替换。

四．VPN展望：前景广阔！
由于Ｉｎｔｅｒｎｅｔ最初的设计不保证网络服务质量ＱｏＳ，所以现有的ＶＰＮ解决方案必须和一些ＱｏＳ解决方案结合在一起，才能给用户提供高性能的虚拟专用网络。目前ＩＥＴＦ已经提出了支撑ＱｏＳ解决方案的带宽资源预留协议ＲＳＶＰ。ＲＳＶＰ协议将保证在数据流经过的各个节点预留相应的网络资源，具有ＲＳＶＰ功能的路由器能实时地调整网络的能力以适应不同的ＱｏＳ的需求。ＩＰｖ6协议也提供了处理ＱｏＳ业务的能力。随着ＱｏＳ在技术上越来越成熟，ＶＰＮ技术可以通过ＱｏＳ保证来获得越来越好的Ｉｎｔｅｒｎｅｔ服务，享受到和真正的专用网络一样的应用。

ＶＰＮ是计算机网络的新技术，它将使Ｉｎｔｅｒｎｅｔ成为一种商业工具，并为Ｉｎｔｒａｎｅｔ及Ｅｘｔｒａｎｅｔ的应用带来良好的前景。在几种ＶＰＮ解决方案中，ＩＰｓｅｃ因为利用了Ｉｎｔｅｒｎｅｔ固有的可用性而代表了未来的方向。