VPN技术演义

随着Internet访问的增加，传统的Internet接入服务已越来越满足不了用户需求，因为传统的Internet只提供浏览、电子邮件等单一服务，没有服务质量保证，没有权限和安全机制，界面复杂不易掌握，VPN的提出就是来解决这些问题。ＶＰＮ的组网方式为企业提供了一种低成本的网络基础设施，并增加了企业网络功能，扩大了其专用网的范围。本文首先介绍了ＶＰＮ的原理，然后介绍了几种基于Ｉｎｔｅｒｎｅｔ组建ＶＰＮ的技术。

一．什么是ＶＰＮ(ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ，虚拟专用网 )

1．ＶＰＮ的魅力。

随着Internet访问的增加，传统的Internet接入服务已越来越满足不了用户需求，因为传统的Internet只提供浏览、电子邮件等单一服务，没有服务质量保证，没有权限和安全机制，界面复杂不易掌握，VPN的提出就是来解决这些问题。

VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处：

采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用；

公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；

对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系；

电话公司通过开展拨号VPN服务可以减轻终端阻塞；

通过为公司提供安全的外界远程访问服务，ISP能增加收入；通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。

2．VPN的自白

随着企业与外界交流的增加及自身不断地发展，越来越多的企业已开始组建企业计算机内部网络。过去，企业组建自己健全的数据通信网络的唯一办法就是从头做起，当企业局限在某一特定的范围内，可以采用ＬＡＮ技术实现；当企业处在一个很大范围时，大都用ＶＡＮ(Ｖａｌｕｅ-ＡｄｄｅｄＮｅｔｗｏｒｋ，增值网)技术，即在公共网络上租用模拟或数字专线组成专用网络来实现。但这样做的代价太大，很多企业难以承受。另外，现代跨国企业其分支机构和业务范围遍及全球，其负责销售工作的员工在世界各地流动，且越来越多的员工倾向在家上班，内部网络必须满足这部分员工随时对其进行访问。因此传统的租用专线组成ＶＡＮ的方式越来越不适用。ＶＰＮ(ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ，虚拟专用网)技术应运而生。

一般说来，ＶＰＮ就是指利用公共网络，如公共分组交换网、帧中继网、ＩＳＤＮ或Ｉｎｔｅｒｎｅｔ等的一部分来发送专用信息，形成逻辑上的专用网络。目前，Ｉｎｔｅｒｎｅｔ已成为全球最大的网络基础设施，几乎延伸到世界的各个角落，于是基于Ｉｎｔｅｒｎｅｔ的ＶＰＮ技术越来越受到关注。

3．究竟如何在Ｉｎｔｅｒｎｅｔ上组建ＶＰＮ呢?

基于Ｉｎｔｅｒｎｅｔ组建企业ＶＰＮ，第一步就是将其地理上分布的各网段以及各远程用户接入Ｉｎｔｅｒｎｅｔ。远程用户可利用ＭＯＤＥＭ通过ＰＳＴＮ或ＩＳＤＮ拨号至本地ＩＳＰ的ＮＡＳ(ＮｅｔｗｏｒｋＡｃｃｅｓｓＳｅｒｖｅｒ，网络接入服务器)接入Ｉｎｔｅｒｎｅｔ；分支机构网段可通过路由器经专线或通过拨号接入Ｉｎｔｅｒｎｅｔ；公司总部网段配有ＶＰＮ中心，它通过路由器接入Ｉｎｔｅｒｎｅｔ。

Ｉｎｔｅｒｎｅｔ中，只要通信的两端点均支持ＴＣＰ/ＩＰ协议，主机无需特别安排即可连到远程网络。但由于企业内部网络也可能是ＩＰＸ、Ａｐｐｌｅｔａｌｋ或ＯＳＩ网络，或者虽然使用ＩＰ协议，但其内部网络的地址为未经登记的专用地址，不能在Ｉｎｔｅｒｎｅｔ中合法使用。企业数据如要穿越Ｉｎｔｅｒｎｅｔ，必须在ＶＰＮ解决方案中有特别的机制。

二．ＶＰＮ解决方案的核心技术：第二层隧道技术。

当前ＶＰＮ解决方案中，很多都采用了第二层隧道技术。所谓“隧道”就是这样一种封装技术，它利用一种网络传输协议，将其他协议产生的数据报文封装在它自己的报文中，在网络中传输。第二层隧道就是将第二层(数据链路层)帧封装在网络层报文中，形成ＩＰ报文，在Ｉｎｔｅｒｎｅｔ中传输。在已问世的第二层隧道解决方案中，以ＰＰＴＰ协议和Ｌ2Ｆ协议最为成熟。

1．ＰＰＴＰ协议

（1）ＰＰＴＰ协议概述

Ｍｉｃｒｏｓｏｆｔ和Ａｓｃｅｎｄ公司在ＰＰＰ协议基础上开发的ＰＰＴＰ协议就是支持Ｃｌｉｅｎｔ—ＬＡＮ型隧道ＶＰＮ实现的一种隧道传送方案。ＰＰＴＰ对ＰＰＰ协议本身并没有做任何修改，只是将用户的ＰＰＰ帧(对应于ＯＳＩ协议体系结构中的七层协议，ＰＰＰ协议为第二层即数据链路层规范)基于ＧＲＥ封装成ＩＰ报文，在Ｉｎｔｅｒｎｅｔ中经隧道传送。

传统上，ＮＡＳ执行以下的功能：是ＰＳＴＮ或ＩＳＤＮ的本地接口，控制着外部ＭＯＤＥＭ或终端适配器；是ＰＰＰ链路控制协议会话的逻辑终点；是ＰＰＰ鉴别协议的执行者；为ＰＰＰ多链路协议进行信道汇聚管理；是各种ＰＰＰ网络控制协议的逻辑终点。ＰＰＴＰ协议将上述功能分解成由两部分即ＰＡＣ(ＰＰＴＰ接入集中器)和ＰＮＳ(ＰＰＴＰ网络服务器)来分别执行。这样一来，拨号ＰＰＰ链路的终点就延伸至ＰＮＳ。

ＰＰＴＰ协议正是利用了“ＮＡＳ功能的分解”这样的机制支持在Ｉｎｔｅｒｎｅｔ上的ＶＰＮ实现。ＩＳＰ的ＮＡＳ将执行ＰＰＴＰ协议中指定的ＰＡＣ的功能。而企业ＶＰＮ中心服务器将执行ＰＮＳ的功能，通过ＰＰＴＰ，远程用户首先拨号到本地ＩＳＰ的ＮＡＳ，访问企业的网络和应用，而不再需要直接拨号至企业的网络，这样，由ＧＲＥ将ＰＰＰ报文封装成ＩＰ报文就可在ＰＡＣ—ＰＮＳ之间经由Ｉｎｔｅｒｎｅｔ传递，即在ＰＡＣ和ＰＮＳ之间为用户的ＰＰＰ会话建立了一条ＰＰＴＰ隧道。

（2）　建立ＰＰＴＰ连接

建立ＰＰＴＰ连接，首先需要建立客户端与本地ＩＳＰ的ＰＰＰ连接。一旦成功地接入Ｉｎｔｅｒｎｅｔ，下一步就是建立ＰＰＴＰ连接。

从最顶端ＰＰＰ客户端、ＰＡＣ和ＰＮＳ服务器之间开始，由已经安装好ＰＰＴＰ的ＰＡＣ建立并管理ＰＰＴＰ任务。如果ＰＰＰ客户端将ＰＰＴＰ添加到它的协议中，所有列出来的ＰＰＴＰ通信都会在支持ＰＰＴＰ的客户端上开始与终止。由于所有的通信都将在ＩＰ包内通过隧道，因此ＰＡＣ只起着通过ＰＰＰ连接进Ｉｎｔｅｒｎｅｔ的入口点作用。从技术上讲，ＰＰＰ包从ＰＰＴＰ隧道的一端传输到另一端，这种隧道对用户是完全透明的。

（3）ＰＰＴＰ的优越性

通过ＰＰＴＰ，远程用户经由Ｉｎｔｅｒｎｅｔ访问企业的网络和应用，而不再需要直接拨号至企业的网络。这样大大减小了建立和维护专用远程线路的费用。且为企业提供比较充分的安全保证。

ＰＰＴＰ还在ＩＰ网络中支持非ＩＰ协议，ＰＰＴＰ“隧道”将ＩＰ，ＩＰＸ，Ａｐｐｌｅｔａｌｋ等协议封装在ＩＰ包中，使用户能够运行基于特定网络协议的应用程序。同时，“隧道”采用现有的安全检测和鉴别政策，还允许管理员和用户对数据进行加密，使数据更安全。ＰＰＴＰ还提供了灵活的ＩＰ地址管理。如果企业专用网络使用未经注册的ＩＰ地址，那么ＰＮＳ将把此地址和企业专用地址联系起来。

2．　Ｌ2Ｆ及Ｌ2ＴＰ协议

除ＰＰＴＰ协议外，ＣＩＳＣＯ公司的Ｌ2Ｆ协议也是一种第二层隧道协议，它通过提供“虚拟拨号”服务，支持ＬＡＮ—ＬＡＮ型的ＶＰＮ连接。

综合了ＰＰＴＰ协议和Ｌ2Ｆ协议的另一种第二层隧道协议Ｌ2ＴＰ(ＬａｙｅｒＴｗｏＴｕｎｎｅｌｉｎｇＰｒｏｔｏｃｏｌ)具有ＰＰＴＰ协议和Ｌ2Ｆ协议两者的特点，它既支持Ｃｌｉｅｎｔ—ＬＡＮ型的ＶＰＮ连接，也支持ＬＡＮ—ＬＡＮ型的ＶＰＮ连接。

Ｌ2ＴＰ协议正在进行当中。Ｌ2ＴＰ协议通过“虚拟拨号”业务将初始拨号服务器的地点和拨号协议所连接的终点分离开来。当“虚拟拨号”客户开始接入时，远程用户和它们的ＩＳＰ的ＮＡＳ之间就建立了一个ＰＰＰ链路。ＩＳＰ接着对端系统或用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务，一旦确定需要，那么此用户名就会和ＶＰＮ网络中心服务器联系起来。然后，ＮＡＳ将检查有没有至ＶＰＮ中心服务器的Ｌ2ＴＰ连接存在，如果没有，那么Ｌ2ＴＰ协议就会在ＮＡＳ端启动一个到ＶＰＮ中心服务器的Ｌ2ＴＰ隧道协商。如果协商成功，那么在ＮＡＳ和ＶＰＮ中心服务器之间就建立了一条Ｌ2ＴＰ隧道，并建立了用户和ＶＰＮ中心之间端到端的连接。Ｌ2ＴＰ协议还定义了一些隧道的管理与维护操作，如定期发送Ｈｅｌｌｏ报文以判断隧道的连通性，利用协议提供的发送序号(Ｎｓ)域和接收序号(Ｎｒ)域进行隧道的流量控制和拥塞控制等。

3．　第二层隧道协议的不足

第二层隧道协议具有简单易行的优点，但是它们的可扩展性都不好。更重要的是，它们都没有提供内在的安全机制，它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求，因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网Ｅｘｔｒａｎｅｔ的概念。Ｅｘｔｒａｎｅｔ需要对隧道进行加密并需要相应的密钥管理机制。

三．　ＩＰｓｅｃ解决方案

在使用ＴＣＰ/ＩＰ协议的Ｉｎｔｅｒｎｅｔ协议体系结构中，ＩＰ层是一个附加安全措施的很好场所，因为：ＩＰ层处于整个协议体系的中间点，它既能捕获所有从高层来的报文，也能捕获所有从低层来的报文；从ＩＰ层的定义来看，在这一层附加安全措施是与低层协议无关的，可对高层协议和应用进程透明。许多Ｉｎｔｅｒｎｅｔ网络应用可以从ＩＰ层提供的安全服务中得益。ＩＥＴＦ已制定了安全协议标准ＩＰｓｅｃ和ＩＫＭＰ密钥管理协议，用来提供ＩＰ层安全服务。目前已有