摘 要 本文從VPN的概念開始,介紹了VPN的分類,發展前景以及所涉及的技術,並對其核心技術——隧道技術作了重點介紹。
——一、VPN概述
——近年來,隨着因特網的廣泛應用,如何利用因特網的資源組建企業的虛擬專用網絡(VPN),已成爲IT業界的一個新熱點。許多ISP廠商已提供或正計劃提供增值VPN服務。虛擬專用網(VPN:Vitual Private Network)指的是依靠ISP(Internet服務提供者)和其他NSP(網絡服務提供者)在公用網絡中建立專用的數據通信網絡的技術。在虛擬網中,任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是利用某種公衆網的資源動態組成的。IETF草案理解基於IP的VPN爲:“使用IP機制仿真出一個私有的廣域網”是通過私有的“隧道(Tunnel)技術在公共數據網絡上仿真一條點到點的專線技術。
——VPN可以使客戶利用公衆網的資源將分散在各地的機構動態的連接起來,使電信運營公司,電信客戶和最終用戶三者都獲利。通過向企業提供VPN服務,ISP可以與企業建立更加緊密的長期合作關係,同時充分利用現有網絡資源,提高業務量。事實上,VPN用戶的數據流量較普通用戶要大得多,而且時間上也是相互錯開的。VPN用戶通常是上班時間形成流量的高峯,而普通用戶的流量高峯期則在工作時間之外。ISP對外提供兩種服務,資源利用率和業務量都會大大增加。
——對於VPN用戶而言,利用Internet組建私有網,將大筆的專線費用縮減爲少量的市話費用和Internet費用,無疑是非常有吸引力的,如果願意,企業甚至可以不必建立自己的廣域網維護系統,而將這一繁重的任務交由專業的ISP來完成。
——正由於其強大的吸引力,VPN在全球發展得異常紅火,在北美和歐洲,VPN已經是一項相當普遍的業務,在亞太地區,該項服務也迅速開展起來。著名的網絡提供商Global One在香港地區的VPN服務已經大規模開通。而在中國大陸,網絡服務提供商也開始設立VPN服務。
二、VPN類型
——IETF建議的VPN包括四種類型:
——(1)撥號VPN(Virtual Private Dial Networks)——指用戶利用撥號網絡訪問企業數據中心,用戶從企業數據中心獲得一個私有地址,但用戶數據可跨公共數據網絡進行傳送。可利用PPTP、L2F、L2TP實現。
——(2)虛擬專線VLL(Virtual Lease Line)——最簡單的VPN類型,兩端之間通過IP隧道仿真出一條專線,它可利用IPIP、GRE、L2TP、VTP、IPSec、MPLS等方式實現。
——(3)路由VPN(Virtual Private Routed Networks)——企業可以利用公共數據網絡建立自己的私有企業網絡。用戶可自由規劃企業各分支機構之間的地址,路由策略,安全機制等。實現協議包括IPIP、GRE、L2TP、VTP、IPSec、MPLS等。
——(4)局網VPN(Virtual Private LAN Segment)——是利用Internet仿真出一個局網。
——我們目前所指的VPN一般爲VDPN(撥號vpn)。
三、組網實例
——以某企業爲例,通過VPN建立的企業內部網如圖1所示。
——由圖中可以看到,企業內部資源享用者通過PSTN網邊入本地ISP的POP(Point of Presence)服務器,即可相互通信,而利用傳統的WAN組建技術,彼此之間要有專線相連纔可以達到同樣的目的。虛擬網組成後,出差員工和外地客戶甚至不必擁有本地ISP的上網權限就可以訪問企業內部資源。對於流動性很大的出差員工和分佈廣泛的客戶來說是很有意義的。
——企業開設VPN服務所需的設備很少,只需在資源共享處放置一臺VPN的服務器(如一臺WindowsNT或支持VPN的路由器)就可以了。資源享用者通過PSTN連入本地POP服務器後,直接呼叫企業的遠程服務器(VPN服務器)。呼叫的方式和擁有PSTN連接的呼叫方式完全是一樣的,剩下的工作就完全由ISP的接入服務器(Access Server)來完成。
四、VPN的基本技術
——由於傳輸的是私有信息,VPN用戶對數據的安全性比較關心,而VPN技術解決數據安全性包括三個方面:身份驗證(Authentication)、數據保密性(Confidentiality)、數據完整性(Intergrity)。身份驗證保證數據是從正確的發送方所發送的;數據保密性確保數據傳輸時外人無法看到或獲得數據;數據完整性確保數據在傳輸過程中沒有被非法改動過,能夠原樣到達目的地。
——目前VPN主要採用四項技術:隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Keymanagement)、使用者與設備身份認證技術(Authentication)。
——隧道技術是VPN的基本技術,類似於點對點連接技術,在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分爲第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F而形成。L2TP的工作過程如下:LAC接收用戶的PPP請求,當LAC認爲用戶是需要VPN服務時,即向LNS(LNS地址可以由管理員根據用戶身份配置,也可以由用戶提供)發出L2TP隧道建立申請;LAN與LNS之間通過交換AVP建立L2TP隧道,用戶的PPP數據被LAC封裝上L2TP包頭後向LNS發出,LNS也許會對用戶進行多次認證;LAC-LNS之間通過“HELLOW”包維護L2TP隧道,隧道安全性可以LAC-LNS保證,也可以“用戶-LNS”之間保證。L2TP數據報格式如圖2。
|
Media |
IP |
L2TP |
PPP |
IP |
用戶數據 |
圖2 L2TP數據報格式
——第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法、確定服務所使用密鑰等服務,從而在IP層提供安全保障。IPSec由IPSec框架,AH和ESP、IKE、ISAKMP、Oak1ey 及其他加密算法等幾部分組成。IPSec使用AH(Authentication Header)和ESP(Encapsulating Security Payload)兩個協議來提供數據流量的安全性。AH提供數據完整性、數據源認證以及可選的反重放服務;ESP可提供數據的保密性,它同時也可提供類似AH的服務(如數據完整性、數據源認證等)。AH和ESP可單獨使用,也可以共同使用。IPSec的幀格式如圖3所示。
|
Media |
IP HEAD |
AH |
ESP |
用戶數據 |
圖2 IPSec幀格式
——加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分爲SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰,在ISAKMP中,雙方都有兩把密鑰,分別用於公用、私用。身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
五、VPN的發展現狀及其展望
——VPN對於服務提供商和公司企業來說,都蘊含着極大的商機。業界分析家已意識到了VPN將帶給服務提供商的極大利潤。國外3Com、Cisco、Shiva、Ascend等廠商已紛紛推出各自的VPN產品,急於搶佔VPN市場。中國的VPN市場也開始啓動了,據悉,中國電信、ISP均考慮開拓VPN業務。而今年2月份吉通甕和Cisco公共共同在國內率先推出了VPN業務,可根據用戶的需求提供VPN組網方案。雖然目前國內企業計劃利用VPN的還不多,但相信隨着企業對VPN的認識的深入,市場競爭的加劇、分支機構範圍的擴大,構建VPN的國內企業將越來越多。
——當然,目前VPN還存在一些缺陷。VPN協議還未完全標準化而各VPN產品廠商對VPN的認識也不盡相同,產品門的互通性還有待解決;ISP無法跨越自己的骨幹網保證Qos,SLA(服務水平協議)只能對ISP運營管理的網段起作用,對於跨國企業而言,全球IP VPN仍有賴於未來漫遊技術及更先進的IP帳務系統發展與普及方能實現。(《郵電商情》1999.19)
無線局域網(wlan)
ipv6雙冒號在地址中只能出現一次(;;)
ipv6地址=前綴 (相當於v4地址中的網絡id)+ 接口標識(相當於vp4地址中的主機id)
ipv6地址沒有分類,防止浪費太多。
internet 2 下一代internet計劃(NGI):
NGI是Next-Generation Internet的縮寫,這個由美國克林頓政府支持開發的項目,目標是將連接速率提高至今天Internet速率的100倍到1000倍。突破網絡瓶頸的限制,解決交換機、路由器和局域網絡之間的兼容問題。