虛擬專用網(wǎng)技術(shù)應(yīng)用研究

莊曉華

（天津濱海職業(yè)學(xué)院，中國 天津 300451）

計算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和新技術(shù)的成熟深刻地改變了企業(yè)用戶的工作方式，企業(yè)對網(wǎng)絡(luò)化、信息化的需求不斷上升。對于企業(yè)來說，實現(xiàn)企業(yè)集團(tuán)不同地點網(wǎng)絡(luò)的內(nèi)部互聯(lián)，使遠(yuǎn)程用戶接入到企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行資源訪問有兩種選擇，一是建立自己的專用網(wǎng)絡(luò)，二是采用虛擬專用網(wǎng)VPN。對于中小企業(yè)來說，專網(wǎng)建設(shè)的高昂費用是難以接受的，VPN是實現(xiàn)自建專網(wǎng)向利用運營商網(wǎng)絡(luò)方向發(fā)展的重要技術(shù)。VPN（虛擬專用網(wǎng)）是一種利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，提供與專用網(wǎng)絡(luò)一樣的安全和功能保障的網(wǎng)絡(luò)技術(shù)。“虛擬”是相對傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的，VPN利用公共網(wǎng)絡(luò)實現(xiàn)安全的遠(yuǎn)程連接。通過VPN，企業(yè)可以更低的成本連接遠(yuǎn)程分支機(jī)構(gòu)，或者在公共的骨干網(wǎng)絡(luò)上承載不同的專用網(wǎng)絡(luò)。

1 VPN的分類

1.1 VPN 的應(yīng)用分類

1）Access VPN（遠(yuǎn)程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量。遠(yuǎn)程接入VPN用于實現(xiàn)出差員工或家庭辦公用等移動用戶安全訪問企業(yè)網(wǎng)絡(luò)。

2）Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源。Intranet VPN用于組建跨地區(qū)的企業(yè)總部與分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全互聯(lián)。

3）Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet,將一個公司與另一個公司的資源進(jìn)行連接。Extranet VPN用于企業(yè)與客戶、合作伙伴之間建立安全的網(wǎng)絡(luò)互聯(lián)。

1.2 VPN網(wǎng)絡(luò)結(jié)構(gòu)分類

1）VPN的遠(yuǎn)程訪問結(jié)構(gòu)：用于提供遠(yuǎn)程移動用戶對企業(yè)內(nèi)部網(wǎng)絡(luò)資源的安全訪問，即Access VPN.單機(jī)通過公共網(wǎng)絡(luò)利用隧道技術(shù)連接到企業(yè)的一個網(wǎng)絡(luò)內(nèi)部，成為網(wǎng)絡(luò)中的一個連接點，這種結(jié)構(gòu)又稱點到站點、桌面到網(wǎng)絡(luò)結(jié)構(gòu)。

2）VPN的網(wǎng)絡(luò)互連結(jié)構(gòu)：用于企業(yè)總部網(wǎng)絡(luò)和分支機(jī)構(gòu)網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)之間的安全互連，即Intranet VPN或Extranet VPN.這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)也稱站點到站點（Site to Site）結(jié)構(gòu)。

3）VPN的點對點通信結(jié)構(gòu)：用于企業(yè)內(nèi)部網(wǎng)的兩臺主機(jī)之間的安全通信，即單機(jī)到單機(jī)結(jié)構(gòu)。

1.3 VPN的隧道協(xié)議分類

隧道技術(shù)是一種使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時所經(jīng)過的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。

從VPN采用的隧道協(xié)議所處的網(wǎng)絡(luò)層次來分，有第二層隧道協(xié)議，如 PPTP、L2F和 L2TP；第三層隧道協(xié)議，如 IPSec、GRE 等；第四層隧道協(xié)議，如SSL；還有跨越第二層和第三層隧道協(xié)議，如MPLS；第二層和第三層配合的隧道協(xié)議，如L2TP/IPSec。

1.4 VPN接入方式分類

一般企業(yè)的局域網(wǎng)，多是通過光纖連接到互聯(lián)網(wǎng)。對于單個出差用戶或家庭用戶，通過撥號（如ADSL）連接到ISP，這種方式建立的VPN，稱為撥號接入VPN。

2 VPN技術(shù)的應(yīng)用

2.1 企業(yè)的移動用戶或小型分支采用撥號VPN的方式接入企業(yè)的內(nèi)部網(wǎng)絡(luò)

對于一般企業(yè)來說，出差流動性員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室需要訪問企業(yè)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器，可以通過遠(yuǎn)程接入VPN連接訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源。

圖1 遠(yuǎn)程接入VPN（Access VPN）應(yīng)用模式

借助Windows Server 2003的“路由和遠(yuǎn)程訪問”服務(wù)，可以實現(xiàn)基于軟件的VPN。用戶可以在企業(yè)內(nèi)部搭建VPN服務(wù)器，然后通過企業(yè)外部客戶端的VPN撥號連接對企業(yè)內(nèi)部網(wǎng)進(jìn)行訪問。

圖2 遠(yuǎn)程接入VPN（Access VPN）的網(wǎng)絡(luò)結(jié)構(gòu)

VPN服務(wù)器要有兩個網(wǎng)絡(luò)接口，一邊連接外部網(wǎng)絡(luò)，另一邊連接內(nèi)部網(wǎng)絡(luò)。VPN服務(wù)器運行Windows Server 2003系統(tǒng)，通過企業(yè)網(wǎng)接入Internet?？蛻舳诉\行Windows XP系統(tǒng)，通過ADSL接入Internet，連接方式為客戶端通過Internet與服務(wù)器建立VPN連接。在Windows Server 2003系統(tǒng)中，“路由和遠(yuǎn)程訪問”服務(wù)是默認(rèn)安裝的。用戶要啟動該服務(wù)并進(jìn)行必要的配置，才能使VPN服務(wù)生效。

1）配置VPN服務(wù)器

第一步：打開管理工具中路由和遠(yuǎn)程訪問窗口，右擊VPN服務(wù)器，選擇“配置并啟用路由和遠(yuǎn)程訪問”。

第二步：在安裝向?qū)е羞x擇“虛擬專用網(wǎng)絡(luò)（VPN）訪問和NAT”。

第三步：選擇VPN訪問所需的協(xié)議TCP/IP。

第四步：指定服務(wù)器上與互聯(lián)網(wǎng)相連接的網(wǎng)卡。

第五步：指定服務(wù)器上與內(nèi)部網(wǎng)絡(luò)相連接的網(wǎng)卡。

第六步：選擇遠(yuǎn)程拔入客戶的IP地址來源。

第七步：為了安全的客戶端拔入，可以設(shè)置一個RADIUS服務(wù)器，也可以用VPN服務(wù)器來進(jìn)行驗證。

第八步：選擇開始-程序-管理工具中的服務(wù)，可以看到在服務(wù)中的路由和遠(yuǎn)程訪問已經(jīng)啟動。

第九步：配置VPN服務(wù)器中的遠(yuǎn)程訪問策略，例如允許遠(yuǎn)程用戶在任何時間接入。

第十步：若使用VPN服務(wù)器來進(jìn)行身份驗證，在計算機(jī)管理中創(chuàng)建VPN用戶名，并在用戶屬性“撥入”選項卡中設(shè)置允許VPN訪問。

2）VPN網(wǎng)絡(luò)的客戶端的設(shè)置

以Windows XP客戶端的設(shè)置為例，右擊網(wǎng)上鄰居、屬性、選擇新建連接。在連接建立向?qū)?，選擇“連接到我的工作場所的網(wǎng)絡(luò)”；在出現(xiàn)的對話框中單擊“虛擬專用網(wǎng)絡(luò)連接”；在公司名稱對話框中為連接鍵入一個名稱；鍵入目標(biāo)地址即VPN服務(wù)器的IP地址或主機(jī)名；在出現(xiàn)的對話框中，如果限制此連接僅供當(dāng)前登錄用戶使用，選擇“只是我使用”選項；如果允許登錄到該計算機(jī)的任何用戶訪問此撥號連接，選擇“任何使用此計算機(jī)的人”；單擊“完成”按鈕保存新建的連接。

3）測試VPN連接

打開連接對話框，輸入VPN服務(wù)器上允許遠(yuǎn)程拔入的用戶名和密碼。連接成功后會在右下角的任務(wù)欄處出現(xiàn)一個網(wǎng)絡(luò)連接圖標(biāo)。

2.2 采用IPSec VPN技術(shù)實現(xiàn)企業(yè)不同地點網(wǎng)絡(luò)的互聯(lián)

使用IPSec VPN技術(shù)實現(xiàn)基于路由器的站點到站點模式的VPN，使遠(yuǎn)程企業(yè)分支機(jī)構(gòu)通過公共網(wǎng)絡(luò)連接成一個內(nèi)部網(wǎng)絡(luò)，為企業(yè)總部和分支用戶實現(xiàn)對內(nèi)部數(shù)據(jù)資源的安全互訪。

圖3 Intranet VPN應(yīng)用模式

1）IPSec協(xié)議

IPSec是一組開放的網(wǎng)絡(luò)安全協(xié)議的總稱，提供訪問控制、數(shù)據(jù)來源驗證、加密及數(shù)據(jù)流分類加密等服務(wù)。IPSec在IP層提供以上服務(wù)，包括兩個安全協(xié)議AH（報文驗證頭協(xié)議）和ESP（報文安全封裝協(xié)議）。AH主要提供數(shù)據(jù)來源驗證、數(shù)據(jù)完整性驗證和防報文重放功能。ESP在AH協(xié)議的功能之外提供對IP報文的加密功能。

通信雙方如果要用IPSec建立一條安全的傳輸通路，需要協(xié)商將要采用的安全策略，包括使用的加密算法、密鑰、密鑰的生存期等。當(dāng)雙方協(xié)商好使用的安全策略后，我們就說雙方建立了一個安全關(guān)聯(lián)SA。SA就是能向其上的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個簡單連接。當(dāng)給定了一個SA，就確定了IPSec要執(zhí)行的處理，如加密，認(rèn)證等。SA可以進(jìn)行兩種方式的組合，分別為傳輸模式和隧道模式。

為進(jìn)行加密和認(rèn)證需要有密鑰的管理和交換功能，這是由IKE（Internet密鑰交換協(xié)議）實現(xiàn)的。IKE是一種為IPSec管理和交換密鑰的標(biāo)準(zhǔn)方法，可以將IKE分為兩個階段：階段 1進(jìn)行認(rèn)證，建立一個IKE SA；階段 2進(jìn)行密鑰交換，利用階段1中的IKE SA來協(xié)商IPSec SA。安全關(guān)聯(lián)SA是從由IPSec提供安全服務(wù)的數(shù)據(jù)流的發(fā)送者到接收者的一個單向邏輯關(guān)系，用來表示IPSec如何為SA所承載的數(shù)據(jù)通信提供安全服務(wù)。AH和ESP都需要使用SA，IKE的主要功能之一就是SA的建立與維護(hù)。

2）站點到站點IPsec VPN的實現(xiàn)

圖4 站點到站點VPN的網(wǎng)絡(luò)結(jié)構(gòu)

IPsec VPNs在企業(yè)與分支機(jī)構(gòu)的應(yīng)用中較常見，對于企業(yè)的實現(xiàn)也不受限制，IPsec VPN為三層VPN技術(shù)，下面重點就IPsec VPNs組成與功能特性中的站點到站點IPsec VPNs進(jìn)行介紹。基于思科路由器的站點到站點IPsecVPN操作的5個步驟如下：

第一步，在路由器R1和R2上配置訪問控制列表定義VPN數(shù)據(jù)流，非VPN數(shù)據(jù)流通過配置NAT進(jìn)行轉(zhuǎn)換；

第二步，路由器R1和R2協(xié)商IKE第1階段會話 （IKE安全關(guān)聯(lián)）；

1）選用協(xié)商模式：main mode或aggressive mode；

2）選用一種身份認(rèn)證方法：Preshare Key或非對稱加密算法級數(shù)字證書方式；

3）選用一種加密算法：des或3des；

4）選用一種驗證算法：sha或md5；

5）選用一組diffie-hellman公鑰密碼系統(tǒng)組：dh1或dh2；

6）定義IKE Sa的生存周期；

第三步，路由器R1和R2協(xié)商IKE第2階段會話（IPsec安全關(guān)聯(lián)）；

1）選用協(xié)議封裝：ESP或AH；

2）選用一種加密算法和驗證算法：esp-des或esp-md5-hmac；

3）選擇是否使用diffie-hellman公鑰密碼系統(tǒng)來執(zhí)行PFS完美向前保密：默認(rèn)為none；

4）選用變換集的模式：tunnel或transport；

5）定義IPSec SA生存時間；

第四步，VPN數(shù)據(jù)流信息通過IPsec隧道進(jìn)行交換傳輸；第五步，IPsec隧道終止。

2.3 大型企業(yè)集團(tuán)在專用網(wǎng)絡(luò)上采用MPLS VPN技術(shù)

MPLS最初是為提高網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)速度而提出的一個協(xié)議,使用一個短的定長標(biāo)簽(Label)來標(biāo)識數(shù)據(jù)流,用固定長度的標(biāo)簽搜索實現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。隨著交換芯片技術(shù)的突破及高性能網(wǎng)絡(luò)處理器的出現(xiàn),網(wǎng)絡(luò)設(shè)備普遍可以線速處理數(shù)據(jù),MPLS技術(shù)轉(zhuǎn)而被應(yīng)用于提供QoS以及VPN服務(wù)。

MPLS VPN是業(yè)界近幾年發(fā)展迅速的新興技術(shù)，融合了ATM技術(shù)與IP技術(shù)的優(yōu)點，成為解決當(dāng)前廣域VPN的最佳技術(shù)選擇。在MPLS VPN中,各站點之間使用兩層標(biāo)簽封裝報文,在入口運營商邊緣路由器（入口PE）處為報文打上兩層標(biāo)簽,作為骨干網(wǎng)絡(luò)設(shè)備提供相應(yīng)服務(wù)的依據(jù)。外層標(biāo)簽在骨干網(wǎng)內(nèi)部進(jìn)行交換,標(biāo)識從運營商邊緣設(shè)備（PE）到對端運營商邊緣設(shè)備（對端PE）的一條隧道,保證VPN沿著標(biāo)簽交換通道LSP到達(dá)對端運營商邊緣設(shè)備,內(nèi)層標(biāo)簽則確定在出口運營商邊緣路由器（出口PE）處應(yīng)該向哪個站點轉(zhuǎn)發(fā)數(shù)據(jù)。

MPLS VPN提供了靈活的地址管理。由于采用單獨的虛擬路由表，允許每個VPN使用單獨的地址空間，稱為VPN-IPv4地址空間，采用私有地址的用戶不必再進(jìn)行地址轉(zhuǎn)換NAT。NAT只有在兩個有沖突地址的用戶需要建立Extranet進(jìn)行通信時才需要。MPLS VPN的作用并不局限于企業(yè)內(nèi)部互聯(lián)，對于建設(shè)了專用網(wǎng)絡(luò)的大企業(yè)集團(tuán)，利用MPLS VPN可以實現(xiàn)數(shù)據(jù)、語音、視頻的多業(yè)務(wù)承載和不同業(yè)務(wù)系統(tǒng)之間的隔離。MPLS VPN在保證不同業(yè)務(wù)的QoS和業(yè)務(wù)系統(tǒng)的安全隔離方面具有天然的優(yōu)勢。

3 結(jié)束語

隨著全球經(jīng)濟(jì)的不斷發(fā)展，企業(yè)的合作伙伴日益增多，需要移動辦公的人員也隨之增加。在這樣的背景下，企業(yè)的各分支機(jī)構(gòu)、企業(yè)與合作伙伴、企業(yè)與客戶之間都可能需要建立連接通道以進(jìn)行信息傳送。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的公共網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案可以保證數(shù)據(jù)的傳輸安全、降低組網(wǎng)成本，使組建的網(wǎng)絡(luò)易于擴(kuò)展，VPN技術(shù)必將有更廣泛的應(yīng)用。

［1］蔣青泉.虛擬技術(shù)在現(xiàn)代通信網(wǎng)絡(luò)中的應(yīng)用與研究[J].通信技術(shù)，2009.

［2］李艷梅.基于IPSec的Windows VPN客戶端系統(tǒng)的研究與實現(xiàn)[D].濟(jì)南：山東大學(xué)，2005.

［3］盧峰.企業(yè)骨干網(wǎng)絡(luò)VPN技術(shù)的應(yīng)用研究[D].北京：華北電力大學(xué)，2011.

［4］徐曉.局域網(wǎng)內(nèi)VPN教學(xué)方案的設(shè)計與研究[J].計算機(jī)時代，2011.