现在很多连接都被称作VPN(Virtual Private Ntwork),让很多人分不清楚。那么,一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但是它却能够实现专用网络的功能。
熟悉VPN
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接,并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
对于VPN的定义有很多说法,但是都基于这样一种思想:VPN利用公共网络基础设施,通过一定的技术手段,达到类似私有专网的数据安全传输。从定义上看,VPN首先是虚拟的,也就是说VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但是,VPN同时又具有专线的数据传输功能,因为VPN 能够像专线一样在公共网络上处理自己公司的信息。
VPN在类型与应用方式上有访问虚拟专网(Access VPN)、企业内部虚拟专网(Intranet VPN)和扩展的企业内部虚拟专网(Extranet VPN)之分。
VPN技术比较
从总体来说,VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,VPN主要包含隧道技术与安全技术。
隧道技术 隧道技术对于构建 VPN 来说,是一个要害性技术。它的基本过程是在源局域网与公网的接口处,将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。这样,被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。 目前VPN隧道协议有四种。
点对点隧道协议PPTP PPTP(Point to Point Tunneling Protocol)协议将控制包与数据包分开。控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE(通用路由协议封装) V2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
第二层隧道协议L2TP L2TP(Layer 2 Tunneling Protocol)协议是国际标准隧道协议。它结合了PPTP协议以及第二层转发L2F(Layer 2 Forwarding,二层转发协议)协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是,L2TP没有任何加密措施,更多的是和IPSec协议结合使用,提供隧道验证。
IPSec协议 IPSec(网络协议安全)协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构。它包括网络安全协议AH (Authentication Header)协议和ESP (Encapsulating Security Payload)协议、密钥治理协议IKE (Internet Key Exchange)协议和用于网络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。
现在一种发展趋势,是将L2TP和IPSec结合起来,即用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN都采用这类技术。 它的优点是定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上VPN之间的互操作性;不足之处在于,除了包过滤外,它没有指定其他访问控制方法,对于采用NAT(网络地址翻译)方式访问公共网络的情况难以处理,为此最适合于可信LAN到LAN之间VPN的场合应用。
SOCKS v5协议 SOCKS v5工作在OSI(Open System Internet)模型中的第五层——会话层,可作为建立高度安全的VPN基础。SOCKS v5协议的优势在于访问控制,因此适用于安全性较高的VPN。 SOCKS v5现在被IETF(互联网工程任务组),建议作为建立VPN的标准。 它的优点是能够非常具体地进行访问控制,即在网络层只能根据源目的的IP地址答应或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥治理提供“插件”模块,让用户自由地采用所需要的技术;SOCKS v5可根据规则过滤数据流,包括Java Applet和Actives控制。但是,它也有不少令人遗憾之处:性能比低层次协议差,必须制定更复杂的安全治理策略。这样,它最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。
安全技术 VPN经常需要在不安全的Internet 中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证和密钥交换与治理技术组成。
认证技术 认证技术防止数据的伪造和被篡改。它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有验证数据的完整性和用户认证两种用途。
加密技术 IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES(Data Encryption Stamdard)、3DES等。DES密钥长度为56位,轻易被破译,3DES使用三重加密增加了安全性。
密钥交换与治理 VPN中密钥的分发与治理非常重要。密钥的分发有两种方法:一种是通过手工配置;另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况;密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN的安全性。目前主要的密钥交换与治理标准有IKE(互联网密钥交换)、SKIP(互联网简单密钥治理)和Oakley。
VPN应用实例
北京有一家电力建设公司共有30多家分公司,700多台计算机。公司原有的网络系统比较复杂,总公司与分支机构、甲方、监理之间是通过拨号方式连接,每月费用在2万元以上;而受上网速度的限制,公司内部的文件处理速度非凡慢,导致公司的办公业务也受到影响,同时还会造成公司数据不能共享。另外,网络安全也得不到有效地保证。为此,该公司决定对原有网络进行改造,选择了一套基于ADSL的VPN解决方案。由此,该公司实现了各个节点之间的VPN互联;同时,实现了总部与10个分支机构,共500多台计算机的互联。试运行结果表明,每月费用从原来的2万多元下降至3500元。与此同时,公司办公可以做到及时发布信息,实现数据共享,还可以方便地进行网络维护。