VPN 基础知识详解 虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公
用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接
方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。
VPN 网络同样也需要这三部分,不同的是 VPN 连接不是采用物理的传输介质, 而是使用一种称之为“隧道”的东西来作为传输介质的,这个隧道是建立在公 共网络或专用网络基础之上的,如因特网或专用 Intranet 等。同时要实现 VPN
连接,企业内部网络中必须配置有一台基于 Windows NT 或 Windows2000
Server(目前 Windows 系统是最为普及,也是对 VPN 技术支持最为全面的一
种操作系统)的 VPN 服务器,VPN 服务器一方面连接企业内部专用网络
(LAN),另一方面要连接到因特网或其它专用网络,这就要 VPN 服务器必须拥
有一个公用的 IP 地址,也就是说企业必须先拥有一个合法的 Internet 或专用
网域名。当客户机通过 VPN 连接与专用网络中的计算机进行通信时,先由
NSP(网络服务提供商)将所有的数据传送到 VPN 服务器,然后再由 VPN 服务
器将所有的数据传送到目标计算机。因为在 VPN 隧道中通信能确保通信通道的
专用性,并且传输的数据是经过压缩、加密的,所以 VPN 通信同样具有专用网
络的通信安全性。整个 VPN 通信过程可以简化为以下 4 个通用步骤:
(1) 客户机向 VPN 服务器发出请求;
(2) VPN 服务器响应请求并向客户机发出身份质询,客户机将加密的用户
身份验证响应信息发送到 VPN 服务器;
(3) VPN 服务器根据用户数据库检查该响应,如果账户有效,VPN 服务器
将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限,VPN 服
务器接受此连接;
(4) 最后 VPN 服务器将在身份验证过程中产生的客户机和服务器公有密钥
将用来对数据进行加密,然后通过 VPN 隧道技术进行封装、加密、传输到目的内 部网络。
1. VPN 的优势
VPN 网络给用户所带来的好处主要表现在以下几个方面:
(1) 节约成本
这是 VPN 网络技术的最为重要的一个优势,也是它取胜传统的专线网络的
关键所在。据行业调查公司的研究报告显示拥有 VPN 的企业相比起采用传统租
用专线的远程接入服务器或 Modem 池和拨号线路的企业能够节省 30%到
70%的开销。开销的降低发生在 4 个领域之中:
移动通讯费用的节省:这主要是针对于有许多职工需要移动办公的企业来说
的,因为这样对于出差在外地的移动用户来说只需要接入本地的 ISP 就可以与 公司内部的网络进行互连,大大减少了长途通信费。企业可以从他们的移动办公 用户的电话费用上看到立竿见影的好处。
专线费用的节省:采用 VPN 的费用比起租用专线来要低 40~60%,而无论 是在性能、可管理性和可控性方面两者都没有太大的差别。通过向虚拟专线中加 入语音或多媒体流量,企业还可以进一步获得成本的节约。这一点对于过去有过 租用象 DDN 之类的专线的企业用户就会有更深刻的感受了,租用 DDN 一个小
小的 64k 就得每月花费几千上万元费用,采用 VPN 后不仅这方面的费用会大
大减少(但通常不能全免,因为在企业与 NSP 之间这一段还得租用 NSP 的专用
线路,但这已是相当短的了),而且还可能会在带宽上有更大的优势,因为现在
的 VPN 技术可以支持宽带技术了。
设备投资的节省:VPN 允许将一个单一的广域网接口用作多种用途,从分支
机构的互联到合作伙伴通过外联网(Extranet)的接入。因此,原先需要流经不同 设备的流量可以统一地流经同一设备。由此带来的好处便是企业不再像原先那样 需要大量的广域网接口了,也不必再像以前那样频繁地进行周期性的硬件升级 了,这样就可大大减少了企业固定设备的投资,这对于是、小型企业来说是非常 之重要的。此外,VPN 还使企业得以继续对其关键业务型的旧有系统进行有效 利用,从而达到保护软硬件投资的目的。
支持费用的节省:通过减少 Modem 池的数量,企业自身支持费用可以被降
至最低。原先用来对远程用户进行支持的、经常超负荷工作的企业支持热线(通常
还需由专人负责)被 NSP 帮助桌面系统所取代。而且,由于 NSP 帮助桌面系统
可以完全实现从总部中心端进行管理,因此 VPN 可以极大地降低对远程网络的
安装和配置成本。在降低费用方面主要表现为:远程用户可以只通过向当地的 ISP
申请账户登录到因特网,以因特网作为隧道与远程企业内部专用网络相连。这样 采用拨号方式的远程用户则不需要采用长途拨号,企业总部也可只支付 ISP 本 地网络使用费,在长途通信费用方面就会大幅度降低,据专业分析机构调查显 示,采用 VPN 与传统的拨号方式相比可以节约通讯成本可达 50%-80%。与租
用专线方式相比更具有明显的费用优势,一般 VPN 每条连接的费用成本只相当
于租用专线的 40%到 60%;VPN 还允许一个单一的 WAN 接口服务多种用途,
因此用户端只需要极少的 WAN 接口和设备。而且由于 VPN 是可以完全管理, 并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置 远端网络接口所需的设备上的开销。另外,由于 VPN 独立于初始的协议,这就 使得远端的接入用户可以继续使用传统的设备,保护了用户在现有硬件和软件 系统上的投资。
(2) 增强的安全性
目前 VPN 主要采用四项技术来保证数据通信安全,这四项技术分别是隧道
技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术
(Key Management)、身份认证技术(Authentication)。
在用户身份验证安全技术方面,VPN 是通过使用点到点协议(PPP)用户级
身份验证的方法来进行验证,这些验证方法包括:密码身份验证协议 (PAP)、质
询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft
质询握手身份验证协议 (MS-CHAP) 和可选的可扩展身份验证协议 (EAP);
在数据加密和密钥管理方面 VPN 采用微软的点对点加密算法(MPPE)和网
际协议安全(IPSec)机制对数据进行加密,并采用公、私密钥对的方法对密钥进
行管理。MPPE 使 Windows 95、98 和 NT 4.0 终端可以从全球任何地方进行
安全的通信。MPPE 加密确保了数据的安全传输,并具有最小的公共密钥开销。
以上的身份验证和加密手段由远程 VPN 服务器强制执行。对于采用拨号方式建
立 VPN 连接的情况下,VPN 连接可以实现双重数据加密,使网络数据传输更 安全。
还有,对于敏感的数据,可以使用 VPN 连接通过 VPN 服务器将高度敏感
的数据服务器物理地进行分隔,只有企业 Intranet 上拥有适当权限的用户才能
通过远程访问建立与 VPN 服务器的 VPN 连接,并且可以访问敏感部门网络中 受到保护的资源。
(3) 网络协议支持
VPN 支持最常用的网络协议,这样基于 IP、IPX 和 NetBEUI 协议网络中的
客户机都可以很容易地使用 VPN。这意味着通过 VPN 连接可以远程运行依赖于
特殊网络协议的应用程序。新的 VPN 技术可以全面支持如
AppleTalk、DECNet、SNA 等几乎所有的局域网协议,应用更加全面。
(4) 容易扩展
如果企业想扩大 VPN 的容量和覆盖范围,企业需做的事情很少,而且能及
时实现,因为这些工作都可以交由专业的 NSP 来负责,从而可以保证工程的质
量,更可以省去一大堆麻烦。企业只需与新的 NSP 签约,建立账户;或者与原有
的 NSP 重签合约,扩大服务范围。VPN 路由器还能对工作站自动进行配置。
(5) 可随意与合作伙伴联网
在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如 何在双方之间建立租用线路或帧中继线路。这样相当麻烦,不便于企业自身的发 展,也就是租用的专线在灵活性方面是非常不够。有了 VPN 之后,这种协商也 毫无必要,真正达到了要连就连,要断就断,可以实现灵活自如的扩展和延伸。
(6) 完全控制主动权
借助 VPN,企业可以利用 ISP 的设施和服务,同时又完全掌握着自己网络
的控制权。比方说,企业可以把拨号访问交给 ISP 去做,由自己负责用户的查验 访问权、网络地址、安全性和网络变化管理等重要工作。
(7) 安全的 IP 地址
因为 VPN 是加密的,VPN 数据包在因特网中传输时,因特网上的用户只
看到公用的 IP 地址,看不到数据包内包含的专有网络地址。因此远程专用网络
上指定的地址是受到保护的。IP 地址的不安全性也是在早期的 VPN 没有被充分 重视的根本原因之一。
(8) 支持新兴应用
许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作 交互式应用。VPN 则可以支持各种高级的应用,如 IP 语音,IP 传真,还有各种
协议,如 RSIP、IPv6、MPLS、SNMPv3 等,而且随着网络接入技术的发展,新
型的 VPN 技术可以支持诸如 ADSL、Cable Modem 之类的宽带技术。
上面介绍了 VPN 的主要优势,那么哪些用户适合采用 VPN 网络连接呢?综合
VPN 技术的特点,可以得出主要有以下四类用户适合采用 VPN 进行网络连接:
a. 网络接入位置众多,特别是单个用户和远程办公室站点多,例如多分支
机构企业用户、远程教育用户;
b. 用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长
途电信,甚至国际长途手段联系的用户,如一些跨国公司;
c. 带宽和时延要求相对适中,如一些提供 IDG 服务的 ISP;
d. 对线路保密性和可用性有一定要求的用户,如大企业用户和政府网。
根据 VPN 的应用平台可分为:软件平台、专用硬件平台及辅助硬件平台三类
(1)软件平台 VPN
当对数据连接速率较低要求不高,对性能和安全性要求不强时,可以利用 一些软件公司所提供的完全基于软件的 VPN 产品来实现简单的 VPN 的功能,
如 checkpoint software 和 Aventail Corp 等公司的产品。甚至可以不需要另
外购置软件,仅依靠微软的 Windows 操作系统,特别是自 Windows 2000 版
本以后的系统就可实现纯软件平台的 VPN 连接。
这类 VPN 网络一般性能较差,数据传输速率较低,同时在安全性方面也比 较低,一般仅适用于连接用户较少的小型企业。
(2)专用硬件平台 VPN
使用专用硬件平台的 VPN 设备可以满足企业和个人用户对高数据安全及通
信性能的需求,尤其是从加密及数据乱码等对 CPU 处理能力需求很高的功能。
提供这些平台的硬件厂商比较多,比较有名的如国外的:Nortel、Cisco、3Com 等,国内的如华为、联想等。
这类 VPN 平台虽然投资了大量的硬件设备,但是它具有先天的不足,就是 成本太高,对于中、小型企业很难承受。并且由于全是由硬件来构成的平台,因 此在管理的灵活性方面和可管理性方面就显得不如人意。通常是对于专业的 VPN 网络服务提供商来说选择这一平台较为合适,因为它们都有这方面的人才
和资金优势。不过现在的主流 VPN 硬件设备制造商都能提供相应的管理软件来
支持,如 Cisco、3COM 公司等,这在后面章节中将具体介绍它们的 VPN 解决 方案。
(3)辅助硬件平台 VPN
这类 VPN 的平台介于软件平台和指定硬件平台的之间,辅助硬件平台的
VPN 主要是指以现有网络设备为基础,再增添适当的 VPN 软件以实现 VPN 的
功能。这是一种最为常见的 VPN 平台,性能也是最好的一种。但是通常这种平台
中的硬件也不能完全由原来的网络硬件来完成,必要时还得添加专业的 VPN 设
备,如 VPN 交换机、VPN 网关或路由器等,对于一个完善的、高性能的 VPN 网 络这些设备在一定程度上来说是非常必要的。
这种平台是最为通用的一种方式,它既具备了硬件平台的高性能、高安全性, 同时也具有了软件平台的灵活性,并且可以利用绝大多数现有硬件设备,节省 了总体投资。目前绝大多数企业 VPN 方案选用。
2. 主要 VPN 协议
通过前面的介绍知道 VPN 隧道协议主要有三种
PTP、L2TP 和
IPSec,PPTP 和 L2TP 协议是工作在 OSI/RM 开放模型中的第二层,所以又称 之为第二层隧道协议。其实在第二层隧道协议中还有一种不是很主流的协议,那 就是 Cisco 公司的 L2F(Layer 2 Forwarding)协议。在 VPN 网络中最常见的第
三层隧道协议是 IPSec,但另一种 GRE(Generic Routing Encapsulation,
通用路由封装协议,在 RFC 1701 中早有描述)也是属于一个第三隧道协议。
第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层 的数据包隧道里传输的。第二层隧道协议和第三层隧道协议一般来说分别使用, 但合理的运用两层协议,将具有更好的安全性。例如
2TP 与 IPSec 协议的配
合使用,可以分别形成 L2TP VPN、IPSec VPN 网络,也可混合使用
L2TP、IPSec 协议形成性能更强的 L2TP VPN 网络,且这一 VPN 网络形式是目 前性能最好、应用最广的一种,因为它能提供更加安全的数据通信,解决了用户
的后顾之忧。
3. VPN 的部署模式
VPN 的部署模式从本质上描述了 VPN 通道的起始点和终止点,不同的
VPN 模式适用于不同的应用环境,满足不同的用户需求,总的来说有 3 种 VPN
部署模式:
(1)端到端(End-to-End)模式;
该模式是自建 VPN 的客户所采用的典型模式,也是最为彻底的 VPN 网络。
在这种模式中企业具有完全的自主控制权,但是要建立这种模式的 VPN 网络需 要企业自身具备足够的资金和人才实力,这种模式在总体投金上是最多的。最常 见的隧道协议是 IPSec 和 PPTP。这种模式一般只有大型企业才有条件采用,这
种模式最大的好处,也是最大的不足之处就是整个 VPN 网络的维护权都是由企
业自身完成,需花巨资购买成套昂贵的 VPN 设备,配备专业技术人员,同时整 个网络都是在加密的隧道中完成通信的,非常安全,不像外包方式中存在由企 业到 NSP 之间的透明段。
(2)供应商―企业(Provider-Enterprise)模式;
这是一种外包方式,也是目前一种主流的 VPN 部署方式,适合广大的中、
小型企业组建 VPN 网络。在该模式中,客户不需要购买专门的隧道设备、软件,
由 VPN 服务提供商(NSP)提供设备来建立通道并验证。然而,客户仍然可以通 过加密数据实现端到端的全面安全性。在该模式中,最常见的隧道协议有 L2TP、L2F 和 PPTP。
(3)内部供应商(Intra-Provider)模式。
这也是一种外包方式,与上一种方式最大的不同就在于用户对 NSP 的授权 级别不同,这种模式非常适合小型企业用户,因为这类企业一般没有这方面的 专业人员,自身维护起来比较困难,可以全权交给 NSP 来维护。这是很受电信
公司欢迎的模式,因为在该模式中,VPN 服务提供商保持了对整个 VPN 设施
的控制。在该模式实现中,通道的建立和终止都是在 NSP 的网络设施中实现的。
对客户来说,该模式的最大优点是他们不需要做任何实现 VPN 的工作,客户不
需要增加任何设备或软件投资,整个网络都由 VPN 服务提供商维护。最大的不 足也就是用户自身自主权不足,存在一定的不安全因素。 4. VPN 的服务类型
根据 VPN 应用的类型来分,VPN 的应用业务大致可分为 3 类:
IntranetVPN、Access VPN 与 Extranet VPN,但更多情况下是需要同时用到
这三种 VPN 网络类型,特别是对于大型企业。
(1)Access VPN
Access VPN 又称为拨号 VPN(即 VPDN),是指企业员工或企业的小分支 机构通过公网远程拨号的方式构筑的虚拟网。如果企业的内部人员移动或有远程 办公需要,或者商家要提供 B2C 的安全访问服务,就可以考虑使用
AccessVPN。
Access VPN 通过一个拥有与专用网络相同策略的共享基础设施,提供对
企业内部网或外部网的远程访问。AccessVPN 能使用户随时、随地以其所需的
方式访问企业资源。Access VPN 包括能随时使用如模拟拨号 Modem、ISDN、
数字用户线路(xDSL)、无线上网和有线电视电缆等拨号技术,安全地连接移动
用户、远程工作者或分支机构。典型网络拓扑结构如图 1.3 所示。这种方式相对传 统的拨号访问具有明显的费用优势,对于需要移动办公的企业来说不失为一种 经济安全、灵活自由的好方式,所以这种方式通常也是许多大、中型企业所必需 的。当然它也可以独自存在,如一些小型商务企业。
(2) Intranet VPN
Intranet VPN 即企业的总部与分支机构间通过 VPN 虚拟网进行网络连接。 随着企业的跨地区、国际化经营,这是绝大多数大、中型企业所必需的。如果要进 行企业内部各分支机构的互联,使用 Intranet VPN 是很好的方式。这种 VPN 是通过公用因特网或者第三方专用网进行连接的,有条件的企业可以采用光纤 作为传输介质。它的特点就是容易建立连接、连接速度快,最大特点就是它为各 分支机构提供了整个网络的访问权限。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研 究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司 增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用 VPN 特性可
以在因特网上组建世界范围内的 IntranetVPN。利用因特网的线路保证网络的
互联性,而利用隧道、加密等 VPN 特性可以保证信息在整个 IntranetVPN 上安
全传输。IntranetVPN 通过一个使用专用连接的共享基础设施,连接企业总部、 远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量
(QoS)、可管理性和可靠性。如图 1.4 所示的是企业自建的 IntranetVPN 网络拓 扑结构示意图。
(3) Extranet VPN
Extranet VPN 即企业间发生收购、兼并或企业间建立战略联盟后,使不同
企业网通过公网来构筑的虚拟网。如果是需要提供 B2B 电子商务之间的安全访
问服务,则可以考虑选用 Extranet VPN。
随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供 给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业 之间的合作关系也越来越多,信息交换日益频繁。因特网为这样的一种发展趋势 提供了良好的基础,而如何利用因特网进行有效的信息管理,是企业发展中不 可避免的一个关键问题。利用 VPN 技术可以组建安全的 Extranet,既可以向客 户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
Extranet VPN 通过一个使用专用连接的共享基础设施,将客户、供应商、 合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括 安全、服务质量(QoS)、可管理性和可靠性。典型结构如图 1.5 所示。
Extranet VPN 对用户的吸引力在于:能容易地对外部网进行部署和管理,
外部网的连接可以使用与部署内部网和远端访问 VPN 相同的架构和协议进行部 署。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人 的网络,并且只拥有部分网络资源访问权限,这要求企业用户对各外部用户进 行相应访问权限的设定。典型网络结构如图 1.5 所示。
以上三种 VPN 模式,其实在后面将要介绍的 Windows 2000 系统中的
VPN 网络中都统归于两种模式,即:远程访问 VPN 和路由器到路由器 VPN,“
远程访问 VPN”对应于本节所介绍的 Access VPN(VPDN)模式,而“Extranet
VPN”和“Intranet VPN”则可统归“路由器到路由器 VPN”模式。但是又不能
完全这么划分,因为不同系统中对 VPN 模式的分类标准和前提不太一样,本节
所介绍的这三种 VPN 模式是基于整个 VPN 网络来划分的,而在 Windows
2000 系统中的这种 VPN 模式划分的前提是在纯软件方式下进行的。