摘 要 本文从VPN的概念开始,介绍了VPN的分类,发展前景以及所涉及的技术,并对其核心技术——隧道技术作了重点介绍。
——一、VPN概述
——近年来,随着因特网的广泛应用,如何利用因特网的资源组建企业的虚拟专用网络(VPN),已成为IT业界的一个新热点。许多ISP厂商已提供或正计划提供增值VPN服务。虚拟专用网(VPN:Vitual Private Network)指的是依靠ISP(Internet服务提供者)和其他NSP(网络服务提供者)在公用网络中建立专用的数据通信网络的技术。在虚拟网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”是通过私有的“隧道(Tunnel)技术在公共数据网络上仿真一条点到点的专线技术。
——VPN可以使客户利用公众网的资源将分散在各地的机构动态的连接起来,使电信运营公司,电信客户和最终用户三者都获利。通过向企业提供VPN服务,ISP可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。事实上,VPN用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务,资源利用率和业务量都会大大增加。
——对于VPN用户而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用,无疑是非常有吸引力的,如果愿意,企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。
——正由于其强大的吸引力,VPN在全球发展得异常红火,在北美和欧洲,VPN已经是一项相当普遍的业务,在亚太地区,该项服务也迅速开展起来。著名的网络提供商Global One在香港地区的VPN服务已经大规模开通。而在中国大陆,网络服务提供商也开始设立VPN服务。
二、VPN类型
——IETF建议的VPN包括四种类型:
——(1)拨号VPN(Virtual Private Dial Networks)——指用户利用拨号网络访问企业数据中心,用户从企业数据中心获得一个私有地址,但用户数据可跨公共数据网络进行传送。可利用PPTP、L2F、L2TP实现。
——(2)虚拟专线VLL(Virtual Lease Line)——最简单的VPN类型,两端之间通过IP隧道仿真出一条专线,它可利用IPIP、GRE、L2TP、VTP、IPSec、MPLS等方式实现。
——(3)路由VPN(Virtual Private Routed Networks)——企业可以利用公共数据网络建立自己的私有企业网络。用户可自由规划企业各分支机构之间的地址,路由策略,安全机制等。实现协议包括IPIP、GRE、L2TP、VTP、IPSec、MPLS等。
——(4)局网VPN(Virtual Private LAN Segment)——是利用Internet仿真出一个局网。
——我们目前所指的VPN一般为VDPN(拨号vpn)。
三、组网实例
——以某企业为例,通过VPN建立的企业内部网如图1所示。
——由图中可以看到,企业内部资源享用者通过PSTN网边入本地ISP的POP(Point of Presence)服务器,即可相互通信,而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源。对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。
——企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN的服务器(如一台WindowsNT或支持VPN的路由器)就可以了。资源享用者通过PSTN连入本地POP服务器后,直接呼叫企业的远程服务器(VPN服务器)。呼叫的方式和拥有PSTN连接的呼叫方式完全是一样的,剩下的工作就完全由ISP的接入服务器(Access Server)来完成。
四、VPN的基本技术
——由于传输的是私有信息,VPN用户对数据的安全性比较关心,而VPN技术解决数据安全性包括三个方面:身份验证(Authentication)、数据保密性(Confidentiality)、数据完整性(Intergrity)。身份验证保证数据是从正确的发送方所发送的;数据保密性确保数据传输时外人无法看到或获得数据;数据完整性确保数据在传输过程中没有被非法改动过,能够原样到达目的地。
——目前VPN主要采用四项技术:隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Keymanagement)、使用者与设备身份认证技术(Authentication)。
——隧道技术是VPN的基本技术,类似于点对点连接技术,在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。L2TP的工作过程如下:LAC接收用户的PPP请求,当LAC认为用户是需要VPN服务时,即向LNS(LNS地址可以由管理员根据用户身份配置,也可以由用户提供)发出L2TP隧道建立申请;LAN与LNS之间通过交换AVP建立L2TP隧道,用户的PPP数据被LAC封装上L2TP包头后向LNS发出,LNS也许会对用户进行多次认证;LAC-LNS之间通过“HELLOW”包维护L2TP隧道,隧道安全性可以LAC-LNS保证,也可以“用户-LNS”之间保证。L2TP数据报格式如图2。
|
Media |
IP |
L2TP |
PPP |
IP |
用户数据 |
图2 L2TP数据报格式
——第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法、确定服务所使用密钥等服务,从而在IP层提供安全保障。IPSec由IPSec框架,AH和ESP、IKE、ISAKMP、Oak1ey 及其他加密算法等几部分组成。IPSec使用AH(Authentication Header)和ESP(Encapsulating Security Payload)两个协议来提供数据流量的安全性。AH提供数据完整性、数据源认证以及可选的反重放服务;ESP可提供数据的保密性,它同时也可提供类似AH的服务(如数据完整性、数据源认证等)。AH和ESP可单独使用,也可以共同使用。IPSec的帧格式如图3所示。
|
Media |
IP HEAD |
AH |
ESP |
用户数据 |
图2 IPSec帧格式
——加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥,在ISAKMP中,双方都有两把密钥,分别用于公用、私用。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
五、VPN的发展现状及其展望
——VPN对于服务提供商和公司企业来说,都蕴含着极大的商机。业界分析家已意识到了VPN将带给服务提供商的极大利润。国外3Com、Cisco、Shiva、Ascend等厂商已纷纷推出各自的VPN产品,急于抢占VPN市场。中国的VPN市场也开始启动了,据悉,中国电信、ISP均考虑开拓VPN业务。而今年2月份吉通瓮和Cisco公共共同在国内率先推出了VPN业务,可根据用户的需求提供VPN组网方案。虽然目前国内企业计划利用VPN的还不多,但相信随着企业对VPN的认识的深入,市场竞争的加剧、分支机构范围的扩大,构建VPN的国内企业将越来越多。
——当然,目前VPN还存在一些缺陷。VPN协议还未完全标准化而各VPN产品厂商对VPN的认识也不尽相同,产品门的互通性还有待解决;ISP无法跨越自己的骨干网保证Qos,SLA(服务水平协议)只能对ISP运营管理的网段起作用,对于跨国企业而言,全球IP VPN仍有赖于未来漫游技术及更先进的IP帐务系统发展与普及方能实现。(《邮电商情》1999.19)
无线局域网(wlan)
ipv6双冒号在地址中只能出现一次(;;)
ipv6地址=前缀 (相当于v4地址中的网络id)+ 接口标识(相当于vp4地址中的主机id)
ipv6地址没有分类,防止浪费太多。
internet 2 下一代internet计划(NGI):
NGI是Next-Generation Internet的缩写,这个由美国克林顿政府支持开发的项目,目标是将连接速率提高至今天Internet速率的100倍到1000倍。突破网络瓶颈的限制,解决交换机、路由器和局域网络之间的兼容问题。