扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
随着Internet访问的增加,传统的Internet接入服务已越来越满足不了用户需求,因为传统的Internet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,VPN的提出就是来解决这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设施,并增加了企业网络功能,扩大了其专用网的范围。本文首先介绍了VPN的原理,然后介绍了几种基于Internet组建VPN的技术。
一.什么是VPN(VirtualPrivateNetwork,虚拟专用网 )
1.VPN的魅力。
随着Internet访问的增加,传统的Internet接入服务已越来越满足不了用户需求,因为传统的Internet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,VPN的提出就是来解决这些问题。
VPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处:
采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用;
公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接;
对于企业,基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系;
电话公司通过开展拨号VPN服务可以减轻终端阻塞;
通过为公司提供安全的外界远程访问服务,ISP能增加收入;通过Extranet分层和相关竞争服务,ISP也可以提供不同的拨号VPN。
2.VPN的自白
随着企业与外界交流的增加及自身不断地发展,越来越多的企业已开始组建企业计算机内部网络。过去,企业组建自己健全的数据通信网络的唯一办法就是从头做起,当企业局限在某一特定的范围内,可以采用LAN技术实现;当企业处在一个很大范围时,大都用VAN(Value-AddedNetwork,增值网)技术,即在公共网络上租用模拟或数字专线组成专用网络来实现。但这样做的代价太大,很多企业难以承受。另外,现代跨国企业其分支机构和业务范围遍及全球,其负责销售工作的员工在世界各地流动,且越来越多的员工倾向在家上班,内部网络必须满足这部分员工随时对其进行访问。因此传统的租用专线组成VAN的方式越来越不适用。VPN(VirtualPrivateNetwork,虚拟专用网)技术应运而生。
一般说来,VPN就是指利用公共网络,如公共分组交换网、帧中继网、ISDN或Internet等的一部分来发送专用信息,形成逻辑上的专用网络。目前,Internet已成为全球最大的网络基础设施,几乎延伸到世界的各个角落,于是基于Internet的VPN技术越来越受到关注。
3.究竟如何在Internet上组建VPN呢?
基于Internet组建企业VPN,第一步就是将其地理上分布的各网段以及各远程用户接入Internet。远程用户可利用MODEM通过PSTN或ISDN拨号至本地ISP的NAS(NetworkAccessServer,网络接入服务器)接入Internet;分支机构网段可通过路由器经专线或通过拨号接入Internet;公司总部网段配有VPN中心,它通过路由器接入Internet。
Internet中,只要通信的两端点均支持TCP/IP协议,主机无需特别安排即可连到远程网络。但由于企业内部网络也可能是IPX、Appletalk或OSI网络,或者虽然使用IP协议,但其内部网络的地址为未经登记的专用地址,不能在Internet中合法使用。企业数据如要穿越Internet,必须在VPN解决方案中有特别的机制。
二.VPN解决方案的核心技术:第二层隧道技术。
当前VPN解决方案中,很多都采用了第二层隧道技术。所谓“隧道”就是这样一种封装技术,它利用一种网络传输协议,将其他协议产生的数据报文封装在它自己的报文中,在网络中传输。第二层隧道就是将第二层(数据链路层)帧封装在网络层报文中,形成IP报文,在Internet中传输。在已问世的第二层隧道解决方案中,以PPTP协议和L2F协议最为成熟。
1.PPTP协议
(1)PPTP协议概述
Microsoft和Ascend公司在PPP协议基础上开发的PPTP协议就是支持Client—LAN型隧道VPN实现的一种隧道传送方案。PPTP对PPP协议本身并没有做任何修改,只是将用户的PPP帧(对应于OSI协议体系结构中的七层协议,PPP协议为第二层即数据链路层规范)基于GRE封装成IP报文,在Internet中经隧道传送。
传统上,NAS执行以下的功能:是PSTN或ISDN的本地接口,控制着外部MODEM或终端适配器;是PPP链路控制协议会话的逻辑终点;是PPP鉴别协议的执行者;为PPP多链路协议进行信道汇聚管理;是各种PPP网络控制协议的逻辑终点。PPTP协议将上述功能分解成由两部分即PAC(PPTP接入集中器)和PNS(PPTP网络服务器)来分别执行。这样一来,拨号PPP链路的终点就延伸至PNS。
PPTP协议正是利用了“NAS功能的分解”这样的机制支持在Internet上的VPN实现。ISP的NAS将执行PPTP协议中指定的PAC的功能。而企业VPN中心服务器将执行PNS的功能,通过PPTP,远程用户首先拨号到本地ISP的NAS,访问企业的网络和应用,而不再需要直接拨号至企业的网络,这样,由GRE将PPP报文封装成IP报文就可在PAC—PNS之间经由Internet传递,即在PAC和PNS之间为用户的PPP会话建立了一条PPTP隧道。
(2) 建立PPTP连接
建立PPTP连接,首先需要建立客户端与本地ISP的PPP连接。一旦成功地接入Internet,下一步就是建立PPTP连接。
从最顶端PPP客户端、PAC和PNS服务器之间开始,由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中,所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道,因此PAC只起着通过PPP连接进Internet的入口点作用。从技术上讲,PPP包从PPTP隧道的一端传输到另一端,这种隧道对用户是完全透明的。
(3)PPTP的优越性
通过PPTP,远程用户经由Internet访问企业的网络和应用,而不再需要直接拨号至企业的网络。这样大大减小了建立和维护专用远程线路的费用。且为企业提供比较充分的安全保证。
PPTP还在IP网络中支持非IP协议,PPTP“隧道”将IP,IPX,Appletalk等协议封装在IP包中,使用户能够运行基于特定网络协议的应用程序。同时,“隧道”采用现有的安全检测和鉴别政策,还允许管理员和用户对数据进行加密,使数据更安全。PPTP还提供了灵活的IP地址管理。如果企业专用网络使用未经注册的IP地址,那么PNS将把此地址和企业专用地址联系起来。
2. L2F及L2TP协议
除PPTP协议外,CISCO公司的L2F协议也是一种第二层隧道协议,它通过提供“虚拟拨号”服务,支持LAN—LAN型的VPN连接。
综合了PPTP协议和L2F协议的另一种第二层隧道协议L2TP(LayerTwoTunnelingProtocol)具有PPTP协议和L2F协议两者的特点,它既支持Client—LAN型的VPN连接,也支持LAN—LAN型的VPN连接。
L2TP协议正在进行当中。L2TP协议通过“虚拟拨号”业务将初始拨号服务器的地点和拨号协议所连接的终点分离开来。当“虚拟拨号”客户开始接入时,远程用户和它们的ISP的NAS之间就建立了一个PPP链路。ISP接着对端系统或用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务,一旦确定需要,那么此用户名就会和VPN网络中心服务器联系起来。然后,NAS将检查有没有至VPN中心服务器的L2TP连接存在,如果没有,那么L2TP协议就会在NAS端启动一个到VPN中心服务器的L2TP隧道协商。如果协商成功,那么在NAS和VPN中心服务器之间就建立了一条L2TP隧道,并建立了用户和VPN中心之间端到端的连接。L2TP协议还定义了一些隧道的管理与维护操作,如定期发送Hello报文以判断隧道的连通性,利用协议提供的发送序号(Ns)域和接收序号(Nr)域进行隧道的流量控制和拥塞控制等。
3. 第二层隧道协议的不足
第二层隧道协议具有简单易行的优点,但是它们的可扩展性都不好。更重要的是,它们都没有提供内在的安全机制,它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求,因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网Extranet的概念。Extranet需要对隧道进行加密并需要相应的密钥管理机制。
三. IPsec解决方案
在使用TCP/IP协议的Internet协议体系结构中,IP层是一个附加安全措施的很好场所,因为:IP层处于整个协议体系的中间点,它既能捕获所有从高层来的报文,也能捕获所有从低层来的报文;从IP层的定义来看,在这一层附加安全措施是与低层协议无关的,可对高层协议和应用进程透明。许多Internet网络应用可以从IP层提供的安全服务中得益。IETF已制定了安全协议标准IPsec和IKMP密钥管理协议,用来提供IP层安全服务。目前已有
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者