前言
虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用
网络能够利用 Internet 或其它公共互联网络的基础设施为用户创建隧道,并提
供与专用网络一样的安全和功能保障。
虚拟专用网络允许远程通讯方,销售人员或企业分支机构使用 Internet 等
公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务
器建立连接。虚拟专用网络对用户端透明,用户好象使用一条专用线路在客户
计算机和企业服务器之间建立点对点连接,进行数据的传输。
虚拟专用网络技术同样支持企业通过 Internet 等公共互联网络与分支机构
或其它公司建立连接,进行安全的通讯。这种跨越 Internet 建立的 VPN 连接逻
辑上等同于两地之间使用广域网建立的连接。
虽然 VPN 通讯建立在公共互联网络的基础上,但是用户在使用 VPN 时感
觉如同在使用专用网络进行通讯,所以得名虚拟专用网络。
使用 VPN 技术可以解决在当今远程通讯量日益增大,企业全球运作广泛
分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的
通讯的问题。
如果希望企业员工无论身处何地都能够与企业计算资源建立连接,企业必
须采用一个可靠性高、扩展性强的远程访问解决方案。一般的,企业有如下选
择:
管理信息系统(MIS)部门驱动方案。建立一个内部的 MIS 部门专门负责
购买,安装和维护企业 modem 池和专用网络基础设施。
增值网络(VAN)方案。企业雇佣一个外部公司负责购买,安装和维护
modem 池和远程通讯网络基础设施。
1
从费用,可靠性,管理和便于连接等几方面来看,这两种方案都不能最大
程度的满足企业对网络安全性或扩展性的要求。因此,选择一种基于 Internet
技术的廉价方案取代企业花费在 modem 池和专用网络基础设施上的投资就显
得极为重要。
2
摘要
VPN(虚拟专用网)是一种新兴的业务,由于它能够使用现有的公共网络为
企业或特定的用户建立虚拟的专用网络,节省用户的组网与维护成本,因此这种
技术正在受到越来越密切的关注。
MPLS(多协议标记转发)技术是集成的路由/交换解决方案的最新进展,她
无缝的集成了 IP 路由技术的灵活性和二层交换的简洁性,将交换机与路由器
的优点完美的结合在了一起。其基本思想就是使用一个短的定长标签(Label)
来标识数据流。此标签和数据流一起传送,网络节点根据此标签,就知道此数
据流的目的地和其他特征,从而完成数据报的转发。
关键词:MPLS,VPN
3
目录
2.1
前言 .................................................................................................................................................1
摘要 .................................................................................................................................................3
ABSTRACT ................................................................................................. 错误!未定义书签。
第1章 VPN 概述 ....................................................................................................................... 4
1.1 VPN 现状..................................................................................................................... 5
1.1.1 VPN 的基础 ....................................................................................................... 5
1.1.2 VPN 的特点 ....................................................................................................... 7
1.1.3 自建还是外包 .................................................................................................... 8
1.1.4 VPN 安全技术 ................................................................................................. 10
1.1.5 堵住安全漏洞 .................................................................................................. 11
1.2 VPN 的隧道协议........................................................................................................ 13
1.3 VPN 的工作原理........................................................................................................ 14
第 2 章 IPSec VPN 与 SSL VPN ..............................................................................................16
IPSec VPN ...................................................................................................................16
2.1.1 Authentication Header(AH)协议结构........................................................17
2.1.2 Encapsulating Security Payload(ESP)协议结构........................................18
2.1.3 ESP 隧道模式和 AH 隧道模式 ...................................................................... 20
2.2 SSL VPN ......................................................................................................................21
2.2.1 SSL 提出的意义 .............................................................................................. 21
2.2.2 SSL 基础 .......................................................................................................... 21
IPSec VPN 与 SSL VPN 比较 ..................................................................................23
IPSec 方案安全级别高....................................................................................23
2.3.1
IPSec VPN 应用优势.......................................................................................24
2.3.2
2.3.3
IPSec VPN 与 SSL VPN 优劣比较 .................................................................24
第 3 章 基于 MPLS 的 VPN 实现............................................................................................25
3.1 PE 路由器的改造和 VRF 的导入 ..............................................................................26
3.2 MP-BGP 协议对 VPN 用户路由的发布...................................................................26
3.3 MPLS/VPN 中标签分组的转发 ................................................................................ 28
3.4 MPLS/VPN 配置实例 .................................................................................................29
第 4 章 VPN 技术发展趋势 ..................................................................................................... 30
4.1
IPSec VPN 方兴未艾 ..................................................................................................30
4.2 MPLS VPN 发展强劲 .................................................................................................31
4.3 VPN 管理有待加强 .................................................................................................... 32
结束语 ...........................................................................................................................................34
致谢 ...............................................................................................................................................35
参考文献 .......................................................................................................................................35
2.3
4
第1章 VPN 概述
1.1 VPN 现状
1.1.1 VPN 的基础
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一
个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚
拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司
的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到
低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费
在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速
连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用
户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到
自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球
因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用
线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
在国外,VPN 已经迅速发展起来,2001 年全球 VPN 市场将达到 120 亿美
元。在中国,虽然人们对 VPN 的定义还有些模糊不清,对 VPN 的安全性、服
务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理
由相信,中国的 VPN 市场将逐渐热起来。
现在有很多连接都被称作 VPN,用户经常分不清楚,那么一般所说的 VPN
到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用
网络的功能。虚拟专用网指的是依靠 ISP(Internet 服务提供商)和其它 NSP
(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟
5
专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链
路,而是利用某种公众网的资源动态组成的。IETF 草案理解基于 IP 的 VPN 为:
使用 IP 机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络
上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途
数据线路,而是使用 Internet 公众数据网络的长途数据线路。所谓专用网络,
是指用户可以为自己制定一个最符合自己需求的网络。
用户现在在电信部门租用的帧中继(Frame Relay)与 ATM 等数据网络提
供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所
有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单
据,再等上相当一段时间,才能享受到新的服务。更为重要的是两端的终端设
备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而
且帧中继、ATM 数据网络也不会像 Internet 那样,可立即与世界上任何一个使
用 Internet 网络的单位连接。而在 Internet 上,VPN 使用者可以控制自己与其
他使用者的联系,同时支持拨号的用户。
所以我们说的虚拟专用网一般指的是建筑在 Internet 上能够自我管理的专
用网络,而不是 Frame Relay 或 ATM 等提供虚拟固定线路(PVC)服务的网
络。以 IP 为主要通讯协议的 VPN,也可称之为 IP-VPN。
由于 VPN 是在 Internet 上临时建立的安全专用虚拟网络,用户就节省了租
用专线的费用,在运行的资金支出上,除了购买 VPN 设备,企业所付出的仅
仅是向企业所在地的 ISP 支付一定的上网费用,也节省了长途电话费。这就是
VPN 价格低廉的原因。
越来越多的用户认识到,随着 Internet 和电子商务的蓬勃发展,经济全球
化的最佳途径是发展基于 Internet 的商务应用。随着商务活动的日益频繁,各
企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化
信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络
6
来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,
还带来了管理和安全性的问题,因为 Internet 是一个全球性和开放性的、基于
TCP/IP 技术的、不可管理的国际互联网络,因此,基于 Internet 的商务活动就
面临非善意的信息威胁和安全隐患。
还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越
来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息
技术部门在连接分支机构方面也感到日益棘手。
用户的需求正是虚拟专用网技术诞生的直接原因。
1.1.2 VPN 的特点
在实际应用中,用户需要的是什么样的 VPN 呢?一般情况下,一个高效、
成功的 VPN 应具备以下几个特点:
1.安全保障
虽然实现 VPN 的技术和方式很多,但所有的 VPN 均应保证通过公用网络
平台传输数据的专用性和安全性。在非面向连接的公用 IP 网络上建立一个逻
辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传
输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了
数据的私有性和安全性。在安全性方面,由于 VPN 直接构建在公用网上,实
现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其 VPN
上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有
信息的访问。ExtranetVPN 将企业网扩展到合作伙伴和客户,对安全性提出了
更高的要求。
2.服务质量保证(QoS)
VPN 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务
对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性
是保证 VPN 服务的一个主要因素;而对于拥有众多分支机构的专线 VPN 网络,
7
交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如
视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网
络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建
VPN 的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可
靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起
网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量
低谷时又造成大量的网络带宽空闲。QoS 通过流量预测与流量控制策略,可以
按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发
送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流,方便增
加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据
等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在 VPN 管理方面,
VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和
合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业
自己仍需要完成许多网络管理任务。所以,一个完善的 VPN 管理系统是必不
可少的。VPN 管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠
性等优点。事实上,VPN 管理主要包括安全管理、设备管理、配置管理、访问
控制列表管理、QoS 管理等内容。
1.1.3 自建还是外包
由于 VPN 低廉的使用成本和良好的安全性,许多大型企业及其分布在各
地的办事处或分支机构成了 VPN 顺理成章的用户群。对于那些最需要 VPN 业
务的中小企业来说,一样有适合的 VPN 策略。当然,不论何种 VPN 策略,它
8