2024年1月2日发(作者:)
VPN 技术方案建议书
------VPN 介绍
虚拟私有网络 VPN(Virtual Private Network) 浮现于 Internet 盛行的今天,它使企业网络几乎 可以无限延伸到地球的每一个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供 了发展的舞台。
虚拟专用网(VPN)是利用公众网资源为客户构成专用网的一种业务。我们这里所提的 VPN 有两
层含义:
一、 它是虚拟的网,即没有固定的物理连接,网路惟独用户需要时才建立;
二、 它是利用公众网络设施构成的专用网。
VPN 实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来 实现连接的。 VPN 可以为企业和服务提供商带来以下益处:
采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用;
公司能利用无处不在的 Internet 通过单一网络结构为职员和商业火伴提供无缝和安全
的连接;
对于企业, 基于拨号 VPN 的 Extranet 能加强与用户、 商业火伴和供应商的联系; 电话公司通过开展拨号VPN 服务可以减轻终端阻塞;
通过为公司提供安全的外界远程访问服务, ISP 能增加收入;通过 Extranet 分层和相关 竞争服务, ISP 也可以提供不同的拨号 VPN。
VPN 兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能与专用网的灵便、高 效结合在一起,是介于公众网与专用网之间的一种网。
VPN 能够充分利用现有网路资源,提供经济、灵便的连网方式,为客户节省设备、人员和管理所 需的投资, 降低用户的电信费用, 在近几年得到了迅速的应用。 有专家认为, VPN 将是本世纪
末发展速度最快的业务之一。
1.1 什么是 VPN
通过对网络数据的封包和加密传输,在公网上传输私有数据、达到私有网络的安全级别,从而利
用公网构筑 Virtal Private Network (即 VPN)。 如果接入方式为拨号方式, 则称之为 VPDN。 VPN
通过公众 IP 网络建立了私有数据传输通道,将远程的分支办公室、商业火伴、挪移办公人 员等连接起来。减轻了企业的远程访问费用负担,节省电话费用开支,并且提供了安全的端到端 的数据通讯。
VPN 的建立有三种方式:一种是企业自身建设, 对 ISP 透明;第二种是 ISP 建设, 对企业透明; 第三种是 ISP 和企业共同建设。
1.2 VPN 的工作原理
用户连接 VPN 的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中, PPP (点对点协议)数据包
流是通过专用路线传输的。 在 VPN 中, PPP 数据包流是由一个 LAN 上的路由器发出, 通过共享 IP 网络上的隧道进行传输,再到达另一个 LAN 上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用路线。隧道好比是在 WAN 云海中拉出一根串行 通信电缆。那末,如何形成 VPN 隧道呢?
建立隧道有两种主要的方式:客户启动( Client- Initiated )或者客户透明( Client-
Transparent )。客户启动要求客户和隧道服务器(或者网关)都安装隧道软件。后者通常都安装 在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道, ISP 可以不必支持隧道。客 户和隧道服务器只需建立隧道, 并使用用户 ID 和口令或者用数字许可证鉴权。一旦隧道建立,
就 可以进行通信了,如同 ISP 没有参预连接一样。
另一方面,如果希翼隧道对客户透明, ISP 的 POPs 就必须具有允许使用隧道的接入服务器以及 可能需要的路由器。 客户首先拨号进入服务器, 服务器必须能识别这一连接要与某一特定的远程 点建立隧道, 然后服务器与隧道服务器建立隧道,通常使用用户 ID 和口令进行鉴权。这样客户 端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件, 但客户只能 拨号进入正确配置的访问服务器。
1.3 VPN 涉及的关键技术
VPN 是一个虚拟的网,其重要的意义在于 虚拟 和 专用 。为了实现在公网之上传输私有数据, 必须满足其安全性。VPN 技术主要体现在两个技术要点上: Tunnel、相关隧道协议(包括 PPTP,
L2F,L2TP),数据安全协议( IPSEC )。 下面针对这几项技术做一介绍。加密和用户授权为在公
司网上进行个人通信提供了安全保证。
1.3.1 隧道技术 ( Tunneling )
1.3.1.1 隧道技术介绍
VPN 在表面上是一种联网的方式,比起专线网络来,它具有许多优点。在 VPN 中,通过采用一种
所谓 隧道 的技术,可以通过公共路由网络传送数据分组,例如 Internet 网或者其他商业性网络。
这里,专有的 隧道 类似于点到点的连接。 这种方式能够使得来自许多源的网络流量从同一个基
础设施中通过分开的隧道。 这种隧道技术使用点对点通信协议代替了交换连接, 通过路由网络来
连接数据地址。隧道技术允许授权挪移用户或者已授权的用户在任何时间任何地点访问企业网络。
通过 TUNNEL 的建立,可实现以下功能:
将数据流量强制到特定的目的地
隐藏私有的网络地址
在 IP 网上传输非 IP 协议数据包
提供数据安全支持
协助完成用户基于 AAA 的管理。
在安全方面可提供数据包认证、 数据加密以及密钥管理等手段。
拨号 VPNs 使用隧道技术远程访问服务器把用户数据打包进 IP 信息包中,这些信息包通过电信服
务提供商网络传递,在 Internet 里,则需要穿过不同的网络, 最后到达隧道终点 ,然后数据拆
包,转发成最初的形式。 VPN 允许网络协议的转换,还允许对来自许多源的流量进行区别,这样
可以指定特定的目的地,接受指定级别的服务。公司网进行远程访问通信,从电路交换的, 长距
离的本地电信服务提供商到 ISPs 和 Internet 需要采用隧道技术。隧道技术使用点对点通信协议, 代替了交换连接,通过路由网络来连接数据地址。这代替了电话交换网络使用的电话号码连接。
隧道技术允许授权挪移用户或者已授权的用户再任何时间任何地点访问企业网络。应用授权技术,
隧道技术也禁止未授权的访问。
下面是一个隧道包典型设计:
要形成隧道,基本的要素有以下几项:
隧道开通器( TI )
有路由能力的公用网络
一个或者多个隧道终止器( TT)
必要时增加一个隧道交换机以增加灵便性
隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务, 例如:
( 1 ) 配有摹拟式调制解调器 PC 卡和 VPN 型拨号软件的最终用户膝上型计算机; ( 2 ) 分支机构 的 LAN
或者家庭办公室 LAN 中的有 VPN 功能的 Extranet 路由器; ( 3 ) 网络服务提供商站点中的有 VPN 能力的访问集中器。
隧道终止器的任务是使隧道到此终止, 再也不继续向前延伸。也有多种网络设备和软件可完成此项 任务, 例如:( 1 )专门的隧道终止器;(2)企业网络中的隧道交换机; ( 3 ) NSP 网络的 Extranet 路由器上的 VPN 网关。
VPN 网络中通常还有一个或者多个安全服务器。 安全服务器除提供防火墙和地址转换功能之
外,还通过与隧道设备的通信来提供加密、 身份查验和授权功能。 它们通常也提供各种信息,如
带宽、 隧道端点、网络策略和服务等级。
通过软件或者模块升级, 现有的网络设备就可以增加 VPN 能力。 一个有 VPN 能力的设备可以承
担多项VPN 应用。
现在已经有许多 Internet(IETF)的建议, 都是关于隧道技术如何应用的。 其中包括点对点隧道 协议(PPTP)、第二层转发( L2F ) 、第二层隧道协议( L2TP ) 、虚拟隧道协议(VTP)和挪移 IP。 由于得到了不同网络厂商的支持,建议的标准定义了远程设备如何能以简单安全的方式访问公司 网络和 Internet。
隧道技术非常实用:
首先,一个 IP 隧道可以调整任何形式的有效负载,使用桌面或者便携式计算机的用户能 够透明地拨号上网来访问他们公司的 IP、IPX 或者AppleTalk 网络。
第二,隧道能够同时调整多个用户或者多个不同形式的有效负载。这可以利用封装技术来 实现。例如 IETF RFC1701 定义的普通路由封装。
第三,使用隧道技术访问公司网时,公司网不会向 Internet 报告它的 IP 网络地址。 第四,隧道技术允许接受者滤掉或者报告个人的隧道连接。
1.3.1.2 第二层隧道与第三层隧道
如下图所示,按照隧道的起始和终止位置可分为第二层和第三层隧道。 隧道终止在不同的位置取
决于第二层隧道或者第三层隧道是否使用。 使用第三层隧道时, 利用终端设备在服务提供商的网络 上进行隧道产生和终止。 在远程访问服务器(RAS)上也能终止远程用户对点协议(PPP)对话。 使用 第二层隧道时,隧道的创建可以在 RAS 也可以在服务商提
供的网络上或者在 RAS 上 ,第三层隧道终止第二层隧道连接。在这个服务提供商网络的企业内部
网或者路由驻留, 它仅仅通过隧道传送第三层有效负载到隧道终点。 远程访问服务器上, 另一方面,
第二层隧道在服务提供商的骨干网上把这个 PPP 帧传到预先确定的终点。 远程客户端。 隧道的终
止则在路由器的用户端或者普通的服务器上。
下面是第二层隧道与第三层隧道比较:
第二层隧道
第三层隧道
优
简单
可扩充性
点
端到端压缩/加密
安全性
双向隧道配置
可靠性
缺
标准仍在发展
有限厂商参加
点
如下图所示:
示:
可扩充性存在问题
开辟复杂
可靠性存在问题
有限 PPP 负载类型
安全存在问题
针对 IP 隧道协议, 通过 PPTP 和 IPSec 协议建立的隧道从客户端起始, 终止于企业端 VPN 接入设 备。过 L2F 和 L2TP 协议建立的隧道从 ISP 接入设备端起始,终止于企业端 VPN 接入设备。如下图所
第三层隧道技术对于公司网络还有一些其它优点, 网络管理者采用第三层隧道技术时, 不必在他
们的远程节点或者客户原有设备(CPE)上安装特殊软件。因为PPP 和隧道终点由服务提供商的设备 生成, CPE 不用负担这些功能,而仅作为一台路由器。第三层隧道技术可采用任意厂家的 CPE 予
以实现。
使用第三层隧道技术的公司网络不需要 Internet 地址。这种隧道技术的应用也具有安全性。服
务提供商网络能够隐藏司网络和远端节点地址。
应用第三层隧道技术, 服务提供商不需要参预公司网路由选择。 服务提供商控制其网络的全部数
据信息包的通信, 当选择把第三层隧道技术应用到第二层隧道通路上时服务商能够更方便的估略
服务。
1.3.2 相关隧道协议
目前,标准的隧道协议如下:
基于客户,对 ISP 透明
PPTP
IPSec
由 ISP 提供, 无须客户端具备相关知识
L2F
L2TP ( 以后需要客户端的支持)
下面对以上协议作一简单介绍。
1.3.2.1 PPTP- Point to Point Tunnel Protocal
这是一个最流行的 Internet 协议,它提供 PPTP 客户机与PPTP 服务器之间的加密通信,它允许 公司使用专用的 隧道 ,通过公共 Internet 来扩展公司的网络。 通过 Internet 的数据通信, 需 要对数据流进行封装和加密,PPTP 就可以实现这两个功能, 从而可以通过 Internet 实现多功能 通信。这就是说,通过 PPTP 的封装或者 隧道 服务,使非 IP 网络可以获得进行 Internet 通信的 优点。但是PPTP 会话不可通过代理器进行。PPTP 是 Microsoft 和其它厂家支持的标准,它是 PPTP 协议的扩展,它可以通过 Internet 建立多协议 VPN。PPTP 使用 40 或者 128 位的 RC4 加密算法。 PPTP 的一个主要优势在于微软的支持。在Windows95、98 以及 NT 中都进行了良好的集成(在Win98 中已经集成为了 L2TP ) 。PPTP 也很好地集成进了 NT Domain。对于 ISP 来讲无须任何特殊的支持。 此外一个优点在于支持流量控制, 可以防止客户与服务器因业务而导致崩溃,并通过减少丢弃报 文及由此而引起的重发提高了性能。
PPTP 的工作方式
网络协议的工作方式是交换被称为包 ( packet ) 的数据块。包是由协议特定的控制信息以及要发 送的真正数据 (通常称为负载,payload)组成的。作为网络用户, 我们只关心负载。只要数据 能无差错地尽快交换,我们不介意协议出于自己的目的选择添加什么控制信息。 但是,如果两台 计算机要通信的话,无论它们使用何种连接媒介,控制信息都是至关重要的并且必须完整保留。
PPTP 的工作方式是在 TCP/IP 包中封装原生 ( native ) 包--例如 IPX 包。包括控制信息在内的整 个 IPX
包都将成为TCP/IP 包的负载, 然后它通过 Internet 传输。另一端的软件打开包并将其 发送给原来的协议进行常规处理。 该过程被称为通道 ( tunneling ) 。
除了节省长途拨入费用,通道还增强了数据安全性。由于通道将兼容协议连接到 Windows NT 网
络, 该操作系统能执行在LAN 本身执行的广泛的安全性检查。这样,连接能通过 PAP ( Pass-word
Authentication Protocol )或者 CHAP ( Challenge Handshake Authentication Protocol )使用
Windows NT 的用户身份验证。此外, PPTP 能传送由 RSA RC-4 或者 DES 加密的数据。如果拨入安
全性对于 VPN 来说非常重要, 那末服务器管理员能指定服务器仅接收来自远程连接的 PPTP 包,
但这会妨碍将服务器用作公共 Web 或者 FTP 访 问。 然而,如果有多台服务器可用,并且需要最
高的安全性, 那末这就是可采用的方案。 然而即使采取所有这些安全措施, 客户端惟一需要的特
殊软件也只是 PPTP 协议本身,以 及能连接 VPN 的拨号程序。甚至连 Internet 服务提供者是否 支持 PPTP 也不是必要的,在这种情况下,一切都能通过标准的点对点协议( Point-to-Point
Protocol,PPP)安全地进 行。对于不支持 PPTP 的提供者, Windows NT 通过双重拨号系统提供
安全保障。
PPTP 执 行 过 程
既然远程访问的整个想法是允许客户机拨号进入服务器, 那末 PPTP 连接就始于客户 端, 它使用
Windows NT 的远程访问服务( Remote Access Service,RAS)来建立到 ISP 的 PPP 连接。 当激 活
PPP 连接, 而且服务器连接到 Internet 并作为RAS 服务器后,客户使用 RAS 进行第二次拨号。 这次,在电话号码域指定 IP 地址 (名字或者数字),并且客户使用 VPN 端口代替 COM 端口进行连 接
(VPN 端口是在安装 PPTP 的过程中同时添加到客户端和服务器端的)。
用 IP 地址拨号会给服务器发送开始会话的请求。客户端等待服务器验证用户名和口 令并返回连
接完成的信息。此时 PPTP 通道启动, 客户可以着手给服务器传送包。由于它们可能是 IPX 或者
NetBEUI 包, 因此服务器能对其执行常规的安全操作。
PPTP 数据交换的核心是 PPTP 控制连接,它是建立和维护通道的一系列控制消息。整 个 PPTP 连
接仅包含惟一的TCP/IP 连接, 它需要响应命令集合以便在发生事务处理时保 持打开状态。
PPTP 的管理
在拨接 VPN 的用户管理方面,VPN 沿用 NTS 的用户数据库,可把其中的某些用户组别设定为可接受
VPN 接入。 VPN 的安全性对用户信息来说是十分重要的,其中用于加密的密匙根本不经线上传送,
于是普通人是无法将 40bits RC-4 加密的密匙推算出来的。 如能采用 128bit 加密算法的话,则通 过
VPN 传输信息是绝对有保障的。在对付网络 黑客 攻击方面,PPTP 路由器可将非PPTP 用户名 单上的人员自连线闸道上排除,这样 黑客 便无法进行攻击了。
1.3.2.2 IPSec ( IP Security )
作为隧道协议, IPSec 属于 IPV6 包协议族的内容之一。由于其主要用于 IP 网上面两点之间的数 据加密,所以被应用于 VPN 隧道协议。在 IPV6 数据包中,具有认证包头 AH ( Authentication Header )
和数据加密格式 ESP (Encapsulating Security Payload)。接收端根据 AH 和 ESP 对 数据包进行认证和解密。 其运营模式有两种, 一种是隧道模式,另一种是传输模式。在下面数据 安全章节中将进行描述。
IPSec 用于客户端之间建立 VPN 隧道,对 ISP 无特殊的要求。
1.3.2.3 L2F ( Layer 2 Forwarding )
L2F 为 CISCO 公司制定的关于 VPDN 的二层转发协议, 它在第二层上建立一个隧道。 目前,在几 大网络厂家的ROUTERS 设备中均支持此协议。 L2F 需要 ISP 支持,并且要求传输两端设备都支持
L2F。对客户端无特殊要求。满足 VPN 的路由器需以下条件:
目前,L2F 没有对数据的加密机制。
以 CISCO 路由器为例,简单介绍 L2F 的运行机制。在 CISCO 路由器的设备中,对 L2F 的支持需要 以下条件:
Cisco IOS 版本 FLASH 的容量 DRAM 的容量
2 以上的 Desktop 或者 Enterprise 版本 8M 6M
NAS 和 GATAWAY 的 L2F_TUNNEL 商议过程为一个使用 CHAP 协议相互进行商议, 验证,建链的过程,
在此过程中,双方共享一个公用的密码。首先, NAS 向 GATAWAY 发出一个 L2F_CONF 包,携带有
NAS 的名字和一个随机的 challenge 值 A。当 GATAWAY 收到来自 NAS 的 L2F_TUNNEL 包后,它也向
NAS 发回一个 L2F_TUNNEL 包, 携带有自己的名字和一个随机的 challenge 值 B,并附带有一个新 的
KEY A',新的 KEY A'是用 MD5 的加密算法对 A 和 GZHGW 的密码进行整体加密后形成的。在 NAS 端一旦收到 L2F_CONF 包后,用 MD5 算法对 KEY A'进行解密,然后用自己的A 和解密后的A''进 行比较,如果它们匹配, NAS 就向 GATAWAY 发回一个 L2F_CONF 的信息包,这次携带的是 Key B' (用 MD5
算法对 NAS 的密码和 B 进行整体加密后得到的)。在 GATAWAY 侧,当收到 L2F_OPEN 信 息包后,把解密后的 B''与B 进行比较,若匹配,向NAS 发回一个 L2F_OPEN 信息包,附带 Key 值为 A'。
以后,所有从 NAS 发向 GATAWAY 的信息包都携带 Key B',所有从 GATAWAY 发向 NAS 的信息包都
携带 Key A'。
1.3.2.4 L2TP- Layer2 Tunneling Protocol
除 Microsft 外,另有一些厂家也做了许多开辟工作, PPTP 能支持 Macintosh 和 Unix,Cisco 的 L2F (
Layer2 Forwarding )就是又一个隧道协议。 L2TP 集和了 PPTP 和 L2F 隧道协议, PPTP 和 L2TP 十分相似,因为 L2TP 有一部份就是采用PPTP 协议, 两个协议都允许客户通过此间的网络 建立隧道,
有带客户端软件的扩展。L2TP 还支持信道认证, 但它没有规定信道保护的方法。 L2TP 具有 IPSec 选项。在 98 年 9 月正式标准化。
L2TP 沿袭了 PPTP 的握手信息模式和 L2F 的工作模式。L2TP 由访问服务器端发起,到企业网的
GATAWAY 端结束。
L2TP 使一个远程用户通过拨号就近拨入一个 ISP,并且能够跨过 INTERNET 公网连接到私有网络
之上。它是以往拨号用户与私有网络 PPP 连接的一个扩展。L2TP 是 CISCO 的 L2F 与 Microsoft 的
PPTP 协议的组合。PPTP 是对 PPP 协议的一个扩展,L2TP 被设计在 OSI 的第二层之上建立隧道 而取代 PPTP ( 三层隧道)。
1.3.2.5 SOCKs
SOCKs 是一个网络连接的代理协议,它使 SOCKs 一端的主机彻底访问 SOCKs;而另一端的主机不
要求 IP 直接可达。SOCKs 能将连接请求进行鉴别和授权,并建立代理连接和传送数据。SOCKs
通常用作网络防火墙,它使 SOCKs 后面的主机能通过 Internet 取得彻底的访问权,而避免了通 过
Internet 对内部主机进行未授权访问。 目前,有 SOCKsV4 和 SOCKsV5 二个版本, SOCKsV5 可 以处理 UDP,而 SOCKsV4 则不能。
1.3.3 安全性
VPN 技术的最重要的环节是数据的安全性。 目前,国际流行的数据安全策略有数据认证、数据加
密、数据签名等。针对隧道的安全数据传输, 目前已制定了一些专用的安全协议。这些协议采用
加密和数字签名技术,以确保数据的机密性和完整性,并可对收方和发方进行身份查验。
在大多数情况下, 加密手段和隧道技术被捆绑使用, 如 PPTP 包含了 RC4 加密技术( 40 或者 128 位),
IPSec 能够支持多种类型的加密手段,如 DES,Triple DES 等。用户申请进入企业网之前,首先 要进行访问控制过滤,过滤的主要内容有 Protocol ID、Direction、Source, Destination IP Addresses、Source, Destination Port、TCP Connection Establishment 等。
1.3.3.1 数据加密算法
目前,数据加密算法有:
- 国际数据加密算法( IDEA:International Data Encryption Algorithm): 128 位 长密钥,把
64 位的明文块加密成 64 位的密文块。
- MS 点对点加密算法( MPPE:Microsoft Point to Point Encryption):可以选用相对较弱的
40 位密钥或者强度较大的 128 位密钥。
Microsoft 公司的 Dial- Up Networking (拨号联网)软件已增加了 MPPE 加密能力。这个改进型 软件的 40 位版本已捆绑在 Windows 95 中, 128 位版本则与 Windows NT 捆绑在一起。
MPPE 先在客户端工作站上对 PPP 数据包进行加密, 然后才把它们送入 PPTP 隧道。 传输途中的隧
道交换机无法对这些PPP 数据包进行解密。这就提高了数据的保密性。 MPPE 还使用增强型的 口
令握手协议 ( MS- CHAP ) 来加强对用户身份的查验。
- DES 和 DES3 加密算法 (The Data Encryption Standard)
1.3.3.2 数据安全标准 IPSec
IPSec 是TETF 制定的标准,其中包括一整套 IP 协议,用于在两个 IP 站之间商定所用的加密和 数字签名方法。 IPSec 提供 IP 包级的安全验证、数据完整性、 通过加密提供数据安全,与应用 无关。
IPSec 提供两种操作模式:
隧道模式,它对传经不安全的链路或者 INTERNET 的专用 IP 内部数据包进行加密和封装( 此
种模式适合于有 NAT 的环境)。
传输模式,直接对 IP 负载内容( 即 TCP 或者 UDP 数据)加密(适合于无 NAT 的环境)。
任何加密算法在两种模式中都可以使用。 目前, IPSec 有两种版本, 一种是 IPV4,另一种是 IPV6。
Ipsec 内容主要有数据验证和完整(Authentication&Integrity )、 信任 (Confidentiality )。 所谓数据验证 (Authentication) 主要确保接收的数据与发出的相同,并且确保发送数据者的真 实性;所谓数据完整( Integrity)主要确保数据在传输过程中没有被篡改;所谓信任 (Confidentiality)主要确认通信双方的相互信任关系,确保冒名者的通信,通常使用 Encryption (加密)用来确立信任。IPSEC 包含内容可分开使用也可合并使用, 视具体方案而定。 IPsec 比 MPPE 更可靠,它包括查验、加密和数据完整性功能。 它还可以越过隧道终止器而直达 目的地的主工作站。 IPsec
的另一个优点是它的查验和安全性功能与它的密钥管理系统松散耦 合。 因此,如果未来的密钥管理系统发生变化时,IPsec 的安全机制不需要进行修改。
安装和应用拨号 VPN 的第二个重要问题是网络的安全性,例如既允许远程拨号连接,又要防止未
授权访问和偷听。
在一些网络设计里,隧道终止在用户的防火墙之后.某些类型的 IP 隧道技术需要客户直接与
Internet 连接,这会对客户到来危(wei)险.为了保护网络不受未授权用户的访问,许多公司用户在他 们的Internet 路由器上建立了防火墙.这限制了Internet 对资源的访问.例如对公司Web 服务器
的访问.如果设备在防火墙之后,防火墙必须打开允许隧道信息包通过,传输到和它们无关的设备.
在这方面有不少方法,然而它们都会使防火墙配置程序复杂.再有,不是所有的防火墙都能够有效
地控制那些并不终止在防火墙的通信。
基于第三层隧道技术的拨号 VPN 服务应用比起基于第二层隧道技术的拨号VPN 服务应用更安全,
这是因为使用第二层隧道技术,隧道不需要到达客户网络,而是终止在服务提供商标的网关。
1.4 网络管理和运行
VPN 管理的目标是使 VPN 可以像专用网络一样对待。 实现这个目标的第一步是推出的 VPN 管理工
具能够像管理专网那样去管理 VPN,比如监测网络的容量利用率、服务质量、安全性违例如分析
隧道利用率。第二步是推出统一的管理工具,这种工具必须能够管理常规网络和 VPN。
最后也是不可缺的是网络管理和维护。管理拨号 VPN 的两个关键是网络层地址管理(NLAM)和隧道 管理.隧道管理指外部软件应用,它用来建立隧道并维护用户信息和执行客户层帐户管理.传统的 软件管理功能,例如性能监测,需要用来管理拨号 VPN 服务,这和它们在其它网络和网络管理上
的功能是一样的。
1.4.1 用户 IP 地址管理
对于用户 IP 地址管理, 主要体现在用户网络和公共网络之间的 IP 地址分配办法。根据隧道协议 的不同,采用不同的用户 IP 地址分配策略。
对于用户内部企业网的管理, 可采用合法或者保留 IP 地址策略。企业内部的 IP 地址对于公网来说
是透明的。 VPN 将企业内部的数据进行重新封包之后在公网之上传输。对于远程用户来讲,其分
配的 IP 地址策略根据 VPN 连接所采用的隧道协议而变化。
如果采用L2F 或者 L2TP 隧道协议,用户只须一次拨号, 并且只分配企业网内部 IP 地址; 如果采用
PPTP 或者 IPSEC 隧道协议,用户需要二次拨号, 即在拥有公网 IP 的基础之上,需要对企业网 VPN
GATAWAY 进行拨号,然后分配企业网内部 IP。
1.4.2 网络层地址管理
网络层地址管理(NLAM)是指拨号VPN 建立远端节点的网络层有关协议配置(滤波器,路由协议,子
网屏蔽等)和域名登记的能力.具有适当容量的VPN 结构能够支持以下服务:远端授权拨号上网用
户服务(RADIUS,要有厂商的正确配置)、动态主机控制协议(DHCP 或者功能相同的协议) 和域名服 务 ( DNS ) 。RADIUS 不仅用于用户授权,还用来执行一部份或者全部的网络层配置信息。DHCP
能与 RADIUS 相连并从地址池中选择地址然后分配给远程用户。 显然,这种方法比起在 RADIUS 数据库 用手工构造地址应用范围更广。有一点很重要, 即管理第三层地址系统必须很有权威,这意味着 一旦对话终止,地址必须返回与用户域名有关的地址池。
网络层地址管理和 IP 地址管理恰恰相反。许多公司网依然使用 IPX 和 AppleTalk 协议,所以支 持这些协议和 IP 协议的地址管理服务依然存在。不幸的是,还没有更多标准编址的非 IP 地址池, 因此支持远端节点的 IPX 或者AppleTalk 地址管理的产品很少。
1.4.3 对 VPN 成员的管理
对 VPN 成员的管理, 主要包括用户连接的认证、授权、计费管理以及内部 IP 地址分配, 隧
道 建立,数据加密,用户访问权限管理等多个重要功能。
一、 成员认证( Authentication )
在远程成员接入企业内部之前必须对其进行用户身份认证。 用户数据(如用户名称、 口令等) 集
中存储于外部的数据库之中。对用户数据库的访问需要一个中间协议来完成,如 LDAP 或者
RADIUS 等认证协议。 该用户数据库对用户透明。 VPN 接入服务器针对相应的成员组进行定义 (如
数据加密格式、过滤定义、服务属性定义等)。
LDAP ( Lightweight Directory Access Protocol )体现在 X.500 目录管理服务内容之 中,
LDAP 就象 INTERENET 的目录模式一样被迅速接受, Microsoft, Netscape, 以及 Novell 均在其目录服务策略中支持 。LDAP 是基于条目进行管理的,它可对 INTERNET 上的个人进行标准的和扩展的 Attributes 定义。 用户目录服务器 ( directory service ) 是用户信息中心。
RADIUS ( Remote Authentication Dial-In User Service)分布式安全系统,通过认证 服务器来验证拨号连接属性和认证连接权限。在远程接入认证中, RADIUS 有广泛应用。
二、 访问控制过滤和用户优先级定义
在用户接入之后,要对用户进行访问控制过滤, 主要过滤内容为用户源、目的 IP、目的端口号、
TCP 连接定制等。在对用户进行访问控制之后,要根据用户认证数据库内容对用户进行呼叫优先
级定义, 主要是解决大量用户接入带来的网络拥塞问题,在网络拥塞到一定程度之后,将只允许
优先级较高的连接建立。但一旦连接建立之后将再也不中断。
三、 计费结算
VPN 接入服务器将对用户访问企业网将进行日志记录, 根据用户日志记录可对用户访问企业网进
行计费结算。其记录内容包括: 用户访问时长和数据通信量; 安全因素拒绝记录、以及系统配置
修改记录等。
目前,针对各厂家 VPN 设备的不同,对成员的管理也有很大的区别。
新太集团已经开辟了基于 VPDN 的系统管理软件,可以对网络层和信息层的用户进行认证, 授权,
计费 (AAA)管理,通过 BWD (浏览器/WEB 服务器/数据库)的体系结构实现动态的用户数据库更
新,这种体系结构对用户端要求少,管理升级只需在服务器端或者数据库端完成, 利用数据库的大 容量数据处理能力,实现大规模数据并发访问和海量存储的功能。这套管理系统采用 Radius
认 证体系, 经过全面数据库改造,运用模块化设计模型,在电信领域已经大面积采用, 是经过实践 考验的系统管软件。
VPN 技术方案建议书
------建立用户的 VPN 网络
2.1 整个网络的外部处理
客户十分关心外部处理他们的远程访问基础结构。未来, 有些企业将把它们的整个网络放在服务
提供商的网络上。 这种模式下,用户有自己的数据和主机,然而网络彻底由服务提供商来管理。
2.2 可选的VPN 访问形式
今天,大多数的 VPN 厂商都是基于交换连接到拨号 VPN 上的。大多数公司网或者 Internet 的连接
最初是通过 ISDN 或者摹拟调制解调器呼叫, 但现在, 其它方式的访问, 包括电缆调制解调器和 XDSL
已成为可能并对服务提供商提出了新的挑战。
2.3 协议
今天,特殊的隧道协议例如挪移 IP 或者L2TP 都可用于实现 VPN 功能。新浮现的标准例如 ISECHEIP6
版保证用户数据安全加密封装。 由于用户对公司网传输个人数据很敏感, 更高集成度的 VPN 技术
毫无疑问会流行起来。
2.4 结论
VPN 服务代表一种新的工业和服务,它依然处于起步阶段。用户将希翼得到高性能的 VPN 服务,
他们愿意为保证服务水平支付额外的费用。
针对目前 VPN 的产品,可例举出三个应用模型:
接入服务器-企业,基于端口的 VPN
接入服务器-企业,基于用户的 VPN
用户端-企业,基于用户的 VPN
2.4.1 接入服务器/路由器-企业,基于端口的 VPN
如下图所示:
此方案的TUNNEL 起始于用户接入设备(包括接入服务器和路由器),终止于用户企业网络的
HOME GATEWAY。
l 用户端要求: 能够拨号接入 ISP (或者通过专线) ,但不需要 ISP 帐号, 只需企业网帐号 l 企业端要求:支持 L2TP 的 VPN Server,在 ISP 上注册 VPN 域名、 VPN Server 地址 l ISP 要求:支持 L2TP 的 NAS,对 NAS 端口进行配置,建立 VPN 管理中心(计费和结算) 此方案的优点在于:
o 用户端不需支持 L2TP,简单易用
o ISP 不需对 VPN 用户进行认证, 直接建立至企业的隧道, 管理相对简单
o ISP 拥有对 VPN 的全部控制权,便于集中管理
但缺点是:
o 用户的可挪移性差,只能从固定的端口接入
o ISP 的所有 NAS 必须支持同一种 VPN 协议, 互操作性差 此种方案的典型应用是 ISP 接入端口出租
2.4.2 接入服务器-企业,基于用户的 VPN
如下图所示:
用户端要求: 能够拨号接入 ISP,但不需要 ISP 帐号, 只需企业网帐号
企业端要求:支持 L2TP 的 VPN Server,在 ISP 上注册 VPN 域名、 VPN Server 地址
ISP 要求:支持 L2TP 的 NAS,支持漫游认证系统,建立 VPN 管理中心(VPN 注册、计费
和结算)
此方案的优点在于:
o 用户端不需支持 L2TP,简单易用
o 用户的可挪移性强,服务范围广, VPN 可扩展到任何 ISP 可达的地方
o ISP 拥有对 VPN 的全部控制权,便于集中管理
此方案的缺点在于:
o ISP 的所有 NAS 必须同时支持一种 VPN 协议,必须支持 VPN 对 RADIUS 的扩充属性,互操作性 差
o VPN 管理复杂
典型应用于企业的 Mobile 用户
2.4.3 用户端-企业,基于用户的 VPN
如下图所示,此方案的 TUNNEL 的起始位置为拨号用户,终止于企业的 HOME GATAWAT。
o 用户端要求:以任何方式接入 ISP,软件支持 VPN 协议
o 企业端要求:支持 VPN 协议的 VPN Server,向 ISP 传送 VPN 计费信息
o ISP 要求:建立 VPN 管理中心(VPN 计费和结算)
此方案的优点在于:
o 用户的可挪移性强,服务范围广,以任何方式接入 ISP 均可进入 VPN
o ISP 的 NAS 不必支持 VPN 协议, ISP 也不负责 VPN 用户的认证,实现简单、管理简单 此方案的缺点为:
o 用户端必须支持 VPN 协议
o ISP 只负责 VPN 的计费
典型应用于企业挪移用户通过公网访问私有网络
2.5 典型 VPN 实现方案
根据目前各 ISP 对于 VPN 服务的支持情况,成熟的 VPN 系统建设主要有两种情况:一种以 ISP 为主,对用户透明;另一种以用户为主,对 ISP 透明。
2.5.1 基于 ISP 的 VPN 解决方案
ISP 向用户提供透明的服务, 用户只须以特殊用户(包括专线和拨号用户) 的身份接入 ISP 即可, ISP
负责用户整个VPN 系统的建设和维护工作。此方案要求 ISP在用户端能够提供支持L2F或者L2TP (包括 IPSEC)的接入设备,并且要求各厂家设备的支持。
如下图所示:
2.5.2 基于用户的 VPN 解决方案
目前,基于用户端的 VPN 解决方案, 主要建立在 PPTP、L2TP 和 IPSec 隧道协议基础之上。 目前 针对此解决方案的产品较成熟的有 BAY EXTRANET SWITCH。下面,针对此产品将此 VPN 解决方案
作一介绍。
BAY 公司在 VPN 方面提供了业界先进的、完整的解决方案,其系列产品为 CONTIVITY
EXTRANET SWITCH,其中有三个产品,分别为
CES 4000
CES 2000
CES 1000
其可支持并发的用户数分别为 2000,200 和 50 个。
BAY 向用户提供了支持基于 L2F、L2TP、PPTP 和 IPSec 隧道协议的 VPN 解决方案。 概括来讲, CES 对
VPN 的管理包含了以下内容:隧道管理、数据加密、带宽管理、路由功能、防火墙过滤以及 VPN
访问认证、 计费等。 其内部自带了一整套 VPN 管理模块, 对用户可进行基于策略的定制功能, 可对用户单独或者成组管理。
在数据由公网进入企业网之前, BAY EXTRANET SWITCH 进行如下处理:
在公共 IP 网络之上, EXTRANET SWITCH 支持 PPTP、L2F、IPSec、L2TP 隧道协议,公网数据包进
入 ES 之前, 首先过滤掉非协议信息, 在 VPN 数据进入 ES 之后, 进行数据的安全认证和对用户进 行基于策略的定制。 在此之后, 对数据进行数据传送带宽的定义, 根据用户级别分配相应的数据 带宽。 最后对用户进行基于数据内容的认证、数据流量的统计以及日志管理记录。
如下图所示,对于 VPN 的企业一端,典型 EXTRANET SWITCH 的应用主要有以下四种:
ES 设备还支持 Multi-link PPP,如下图所示:
CES 之间依靠IPSEC 协议建立隧道,对于拨号用户可采取四种隧道协议中的任一种协议进行通信。
对于 L2F 和 L2TP 协议, 需要 ISP 对该协议的支持。 用户进行一次认证;对于 PPTP 和 IPSEC 协议, 无须
ISP 对此协议的支持,用户需要进行两次认证。
在其它方面, ES 设备还具有端到端的 QoS 的保证和方便统一的网络管理策略。在用户之间,ES 设备定义四种流量限制,以及对两点之间的最大连接数进行了限制,在 ES 设备之间,支持 RSVP 协议。 对 ES 设备的管理方面, 其提供了基于 WEB 的统一的管理界面, 支持系统管理员随处管理。
Extranet Switch 设备的基本性能参数如下:
1、Tunneling Protocols:
PPTP, L2F, Ipsec, L2TP
2、Authentication services
LDAP、RADIUS、NT Domains
3、Encryption
Up to 128-bit key length
DES, Triple-DES, and RC4
4、Filtering
Individual User or Group Profile
Source and Destination IP address
Port, service, and protocol type
SYN/ACK bit
5、Bandwidth Management
Four internal priority levels using Random Early Detection (RED)
Four connection priority levels
External Quality of Service (RSVP)
6、Accounting
RADIUS databases
Event, System, Security, and Configuration
7、Management
Full HTML and Java configuration
Scriptable SNMP alerts
Four levels of administrator access
8、Reliability
Powerful and market leading Intel processor architecture
Multi-level authentication servers
Automatic backup of all system data
9、Client Software
IPsec
Requires Windows 95 or Windows NT 4.0 or later
VPN 这一服务的许多标准还在不断地发展。这一点很重要,因为彻底基于标准的解决方案将保证 企业用户在外围网络服务上的投资得到可行的、 安全的和性能价格比高的服务。 提供彻底基于标 准的解决方案的厂商将会最终控制市场。
VPN 技术方案建议书
------Bay 公司 VPN 解决方案
VPN 网络的建设,主要是要求建立利用覆盖各地的公用 INTERNET 网络平台建设自己专用的网络 平台。
通过公网 CHINANET 实现全省甚至全国的 VPN 网络的互联,利用公网所提供的接入平台(包
括专线和拨号)实现用户的接入,是目前较为可行的一种 VPN 方案。
基于此,我们建议采用 BAY NETWORKS 公司的 EXTRANET SWITCH 产品(简称 ES)实现 VPN 的系统
的组建。企业建立了 VPN 之后,分散在全国范围乃至世界范围的分支机构都可以通过 INTERNET
网络建立其与总部连接的专用通道 ( Tunnel ), 同时,为便于我们管理 VPN 的接入用户,在管理 中心可设立 VPN 用户管理服务器, 以便统一进行管理。
我们对 VPN 用户定义为:
1. 基于拨号接入(PSTN/ISDN)的虚拟网用户
2. 基于专线接入的虚拟网用户
针对此普通建设虚拟专用网的要求(我们以园区网表示各地的网络),对于企业总部网络的设置如
下:
我们采用的 Bay 公司的 Extranet,它主要是提供企业与 ISP/公网间的连接、 TUNNEL、协议转换
等功能, 而 VPN 系统管理软件 (企业端)为企业端提供了对VPN 用户、 信息等系统管理手段或者为
ISP 等网络运营商提供 IP 上的 VPN 用户、 计费等管理。
我公司提供的 VPN 系统管理软件--VPNMS 对用户提供了详尽的管理条目, 其中包括:
1) 用户登录管理;
2) 用户 口令管理;
3) 用户权限管理;
4) 用户在 VPN 上网时长管理;
5) 用户计费信息管理;
6) 用户费率设置管理;
7) 用户计费统计管理;
8) 用户安全管理。
此外,在我们提供的 VPN 系统管理方面,还有 VPN 网络的监控、 VPN 网络的安全等多方面的管理
功能。
以下为某园区网 VPN 整体解决方案:
此方案为整体解决方案, 网络管理中心负责整个 VPN 的集中接入, 在各成员网的终端上加载拨号
软件,通过拨号软件实现 VPN 的接入,对用户的认证、计费、结算由 AAA 服务器实现。如果成员
网需要对各终端进行管理,需要配置 ES,负责对本成员网内部的各终端的管理。拨号用户 (
ISDN/PSTN)通过拨号接入 163,作为特殊用户实现 VPN 的接入。
发布评论