VPN技术白皮书.docx
- 文档编号:23289161
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:20
- 大小:319.35KB
VPN技术白皮书.docx
《VPN技术白皮书.docx》由会员分享,可在线阅读,更多相关《VPN技术白皮书.docx(20页珍藏版)》请在冰豆网上搜索。
VPN技术白皮书
VPN技术白皮书
摘要
本文详细介绍了Quidway系列路由器在VPN特性方面所应用的技术,包括安全、网络优化、VPN管理等诸多方面,并给出了相关应用中的实际解决方案。
关键词
VPN,网络安全,隧道技术,L2TP,GRE,IPSec,IKE,防火墙,QoS,网络管理
1概述
随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:
传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。
于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
华为Quidway系列路由器在安全、网络优化以及管理等方面对VPN给予了强大的支持。
1.1VPN定义
利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,VirtualPrivateNetwork),用于构建VPN的公共网络包括Internet、帧中继、ATM等。
在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。
“虚拟”的概念是相对传统私有网络的构建方式而言的。
对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。
通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图1所示。
图1VPN应用示意图
由图可知,企业内部资源享用者只需连入本地ISP的POP(PointOfPresence,接入服务提供点),即可相互通信;而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。
虚拟网组成后,出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游的话,甚至不必拥有本地ISP的上网权限。
这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。
并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。
1.2VPN的类型
VPN分为三种类型:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
1.2.1AccessVPN
随着当前移动办公的日益增多,远程用户需要及时地访问Intranet和Extranet。
对于出差流动员工、远程办公人员和远程小办公室,AccessVPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。
在AccessVPN的应用中,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据。
AccessVPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
用户发起的VPN连接指的是以下这种情况:
首先,远程用户通过服务提供点(POP)拨入Internet,接着,用户通过网络隧道协议与企业网建立一条的隧道(可加密)连接从而访问企业网内部资源。
在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。
在接入服务器发起的VPN连接应用中,用户通过本地号码或免费号码拨入ISP,然后ISP的NAS再发起一条隧道连接连到用户的企业网。
在这种情况下,所建立的VPN连接对远端用户是透明的,构建VPN所需的协议及软件均由ISP负责管理和维护。
1.2.2IntranetVPN
IntranetVPN通过公用网络进行企业各个分布点互联,是传统的专线网或其他企业网的扩展或替代形式。
利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSec、GRE等。
结合服务商提供的QoS机制,可以有效而且可靠地使用网络资源,保证了网络质量。
基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量,但其不足是互联区域有较大的局限性。
而另一方面,基于Internet构建VPN是最为经济的方式,但服务质量难以保证。
企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。
1.2.3ExtranetVPN
ExtranetVPN是指利用VPN将企业网延伸至合作伙伴与客户。
在传统的专线构建方式下,Extranet通过专线互联实现,网络管理与访问控制需要维护,甚至还需要在Extranet的用户侧安装兼容的网络设备;虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,而同样降低不了复杂度。
因合作伙伴与客户的分布广泛,这样的Extranet建设与维护是非常昂贵的。
因此,诸多的企业常常是放弃构建Extranet,结果使得企业间的商业交易程序复杂化,商业效率被迫降低。
ExtranetVPN以其易于构建与管理为解决以上问题提供了有效的手段,其实现技术与AccessVPN和IntranetVPN相同。
Extranet用户对于ExtranetVPN的访问权限可以通过防火墙等手段来设置与管理。
1.3VPN的优点
利用公用网络构建VPN是个新型的网络概念,它给服务提供商(ISP)和VPN用户(企业)都将带来不少的益处。
对于服务提供商来说,在通过向企业提供VPN这种增值服务,ISP可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。
事实上,VPN用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。
VPN用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。
ISP对外提供两种服务,资源利用率和业务量都会大大增加,将给ISP带来新的商业机会。
而对于企业而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用。
据报道,局域网互联费用可降低20~40%,而远程接入费用更可减少60~80%,这无疑是非常有吸引力的;VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,另一方面,企业甚至可以不必建立自己的广域网和接入网维护系统,而将这一繁重的任务交由专业的ISP来完成;VPN提高了整个企业网的互联性,良好的扩展性使得企业更好、更快地适应Internet经济的发展,把握商机;另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。
2VPN设计原则
VPN的设计包含以下原则:
•安全性
•网络优化
•VPN管理
2.1安全性
VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
VPN的安全性包含以下特征:
•隧道与加密:
隧道能实现多协议封装,增加VPN应用的灵活性,可以在无连接的IP网上提供点到点的逻辑通道。
在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
•数据验证:
在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。
数据验证使接收方可识别这种篡改,保证了数据的完整性。
•用户验证:
VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。
通过AAA,路由器可以提供用户验证、访问级别以及必要的访问记录等功能。
这一点对于AccessVPN和ExtranetVPN具有尤为重要的意义。
•防火墙与攻击检测:
防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,并产生非法访问记录。
2.2网络优化
构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
一般地,二层和三层的QoS具有以下功能:
•流分类:
根据不同的用户、应用、服务器或URL地址等对数据流进行分类,然后才可以在不同的数据流上实施不同的QoS策略。
流分类是实现带宽管理以及其他QoS功能的基础。
ACL就是流分类的手段之一。
•流量整形与监管:
流量整形是指根据数据流的优先级,在流量高峰时先尽量保证优先级高的数据流的接收/发送,而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送,使网络上的流量趋于稳定;流量监管则是指带宽大的路由器限制出口的发送速率,从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包,消除网络瓶颈。
•拥塞管理与带宽分配:
根据一定的比例给不同的优先级的数据流分配不同的带宽资源,并对网络上的流量进行预测,在流量达到上限之前丢弃若干数据包,避免过多的数据包因发送失败同时进行重传而引起更严重的资源紧张,进而提高网络的总体流量。
2.3VPN管理
VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。
虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。
所以,一个完善的VPN管理系统是必不可少的。
VPN管理的目标为:
•减小网络风险:
从传统的专线网络扩展到公用网络基础设施上,VPN面临着新的安全与监控的挑战。
网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时,还要确保公司数据资源的完整性。
•扩展性:
VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应,包括网络硬、软件的升级、网络质量保证、安全策略维护等。
•经济性:
保证VPN管理的扩展性的同时不应过多地增加操作和维护成本。
•可靠性:
VPN构建于公用网之上,不同于传统的专线广域网,其受控性大大降低,故VPN可靠而稳定地运行是VPN管理必需考虑的问题。
•VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。
3Quidway系列路由器的VPN技术
Quidway系列路由器所采用的VPN技术主要包括:
•隧道技术
•IPSec
•密钥交换技术
•防火墙技术
•QoS
•配置管理
3.1隧道技术
对于构建VPN来说,网络隧道(Tunneling)技术是个关键技术。
网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。
网络隧道技术涉及了三种网络协议,网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。
现有两种类型的隧道协议:
一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建AccessVPN和ExtranetVPN;另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建IntranetVPN和ExtranetVPN。
3.1.1二层隧道协议
二层隧道协议主要有三种:
PPTP(PointtoPointTunnelingProtocol,点对点隧道协议)、L2F(Layer2Forwarding,二层转发协议)和L2TP(Layer2TunnelingProtocol,二层隧道协议)。
其中L2TP结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持,将是使用最广泛的VPN二层隧道协议。
下面简单介绍一下L2TP网络协议。
应用L2TP构建的典型VPN服务的结构如下图所示:
图2典型拨号VPN业务示意图
其中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备,LAC一般就是一个网络接入服务器NAS(NetworkAccessServer),它通过PSTN/ISDN为用户提供网络接入服务;LNS表示L2TP网络服务器(L2TPNetworkServer),是用于处理L2TP协议服务器端部分的软件。
在一个LNS和LAC对之间存在两种类型的连接,一种是隧道(tunnel)连接,它定义了一个LNS和LAC对;另一种是会话(session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
在一个隧道连接上可以承载多个会话连接。
L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的,这些消息再通过UDP的1701端口承载于TCP/IP之上。
L2TP消息可以分为控制消息和数据消息两种类型。
控制消息用于隧道连接和会话连接的建立与维护;数据消息则用于承载用户的PPP会话数据包。
控制消息中的参数用AVP值对(AttributeValuePair)来表示,使得协议具有很好的扩展性;在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性。
L2TP数据消息的传输不采用重传机制,所以它无法保证传输的可靠性,但这一点可以通过上层协议如TCP等得到保证;数据消息的传输可以根据应用的需要灵活地采用流控或非流控机制,甚至可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流控功能;在采用流控的过程中,对于失序消息的处理采用了缓存重排序的方法来提高数据传输的有效性。
L2TP还具有以下几个特性:
•安全的身份验证机制:
与PPP类似,L2TP可以对隧道端点进行验证。
不同的是PPP可以选择采用PAP方式以明文传输用户名及密码,而L2TP规定必须使用类似PPPCHAP的验证方式。
•内部地址分配支持:
LNS放置于企业网的防火墙之后,可以对远端用户的地址进行动态分配和管理,还可以支持DHCP和私有地址应用(RFC1918)。
远端用户所分配的地址不是Internet地址而是企业内部的私有地址,方便了地址管理并可以增加安全性。
•网络计费的灵活性:
可以在LAC(一般为ISP)和LNS(一般为企业)两处同时计费,前者用于产生帐单,而后者用于付费及审记。
L2TP能够提供数据传输的出入包数、字节数及连接的起始、结束时间等计费数据。
•可靠性:
L2TP协议可以支持备份LNS,当一个主LNS不可达之后,LAC(接入服务器)可以重新与备份LNS建立连接,以增加VPN服务的可靠性和容错性。
•统一的网络管理:
L2TP协议已成为标准的RFC协议,有关L2TP的标准MIB也已制定,这样可以统一地采用SNMP网络管理方案进行方便的网络维护与管理。
3.1.1三层隧道协议
用于传输三层网络协议的隧道协议叫三层隧道协议。
三层隧道协议并非是一种很新的技术,早已出现的RFC1701GenericRoutingEncapsulation(GRE)协议就是一个三层隧道协议,此外还有IETF的IPSec协议。
下面仅介绍GRE协议,IPSec协议将在第4节单独介绍。
GRE与IPinIP、IPXoverIP等封装形式很相似,但比他们更通用。
在GRE的处理中,很多协议的细微差异都被忽略,这使得GRE不限于某个特定的“XoverY”应用,而是一种最基本的封装形式。
在最简单的情况下,路由器接收到一个需要封装和路由的原始数据报文(Payload),这个报文首先被GRE封装而成GRE报文,接着被封装在IP协议中,然后完全由IP层负责此报文的转发。
原始报文的协议被称之为乘客协议,GRE被称之为封装协议,而负责转发的IP协议被称之为传递(Delivery)协议或传输(Transport)协议。
注意到在以上的流程中不用关心乘客协议的具体格式或内容。
整个被封装的报文具有下图所示格式:
图3通过GRE传输报文形式
GRE具有如下的优点:
•多协议的本地网可以通过单一协议的骨干网实现传输;
•将一些不能连续的子网连接起来,用于组建VPN;
•扩大了网络的工作范围,包括那些路由网关有限的协议。
如IPX包最多可以转发16次(即经过16个路由器),而在一个Tunnel连接中看上去只经过一个路由器。
如下图所示:
图4GREtunnel连接示意图
3.2IPSec
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。
而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
IPSec提供以下几种网络安全服务:
Ÿ私有性-IPSec在传输数据包之前将其加密.以保证数据的私有性;
Ÿ完整性-IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;
Ÿ真实性-IPSec端要验证所有受IPSec保护的数据包;
Ÿ防重放-IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
IPSec在两个端点之间通过建立安全联盟(SecurityAssociation)进行数据传输。
安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。
IPSec在转发加密数据时产生新的AH和/或ESP附加报头,用于保证IP数据包的安全性。
IPSec有隧道和传输两种工作方式。
在隧道方式中,用户的整个IP数据包被用来计算附加报头,且被加密,附加报头和加密用户数据被封装在一个新的IP数据包中;在传输方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算附加报头,附加报头和被加密的传输层数据被放置在原IP报头后面。
AH报头用以保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。
考虑到计算效率,AH没有采用数字签名,而是采用了安全哈希算法来对数据包进行保护。
AH没有对用户数据进行加密。
AH在IP包中的位置如图5所示(隧道方式):
图5AH处理示意图
ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP可以保证数据的完整性、真实性和私有性。
ESP头在IP包中的位置如下(隧道方式):
图6ESP处理示意图
AH和ESP可以单独使用,也可以同时使用。
使用IPSec,数据就可以在公网上安全传输,而不必担心数据被监视、修改或伪造。
IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。
在两个端点之间可以建立多个安全联盟,并结合访问控制列表(access-list),IPSec可以对不同的数据流实施不同的保护策略,达到不同的保护效果。
安全联盟是有方向性的(单向)。
通常在两个端点之间存在四个安全联盟,每个端点两个,一个用于数据发送,一个用于数据接收。
IPSec的安全联盟可以通过手工配置的方式建立,但是当网络中结点增多时,手工配置将非常困难,而且难以保证安全性。
这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程。
3.3密钥交换技术
Internet密钥交换协议(IKE)用于通信双方协商和建立安全联盟,交换密钥。
IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。
IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,通信双方最终计算出共享的密钥。
其中的核心技术就是DH(DiffieHellman)交换技术。
DH交换基于公开的信息计算私有信息,数学上已经证明,破解DH交换的计算复杂度非常高从而是不可实现的。
所以,DH交换技术可以保证双方能够安全地获得公有信息,即使第三方截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
在身份验证方面,IKE提供了共享验证字(Pre-sharedKey)、公钥加密验证、数字签名验证等验证方法。
后两种方法通过对CA(CertificateAuthority)中心的支持来实现。
IKE密钥交换分为两个阶段,其中阶段1建立ISAKMPSA,有主模式(MainMode)和激进模式(AggressiveMode)两种;阶段2在阶段1ISAKMPSA的保护下建立IPSecSA,称之为快速模式(QuickMode)。
IPSecSA用于最终的IP数据安全传送。
另外,IKE还包含有传送信息的信息交换(InformationalExchange)和建立新DH组的组交换(DHGroupExchange)。
3.4防火墙技术
防火墙一方面用于阻止来自Internet的对受保护网络的未授权或未验证的访问,另一方面允许内部网络用户对Internet在授权范围内的访问,如WWW服务、E-mail服务。
现代的许多防火墙还具有其他的一些特性,包括身份鉴别、信息安全处理等。
Quidway系列路由器上的防火墙主要是指包过滤、地址转换和智能防火墙。
IP层的包过滤通常使用到IP报文的源、目的地址、协议域及相应的源、目的端口、标志域等属性进行组合形成不同的包过滤规则,对IP报文进行过滤,从而决定某类报文能否被转发(通过防火墙)或被丢弃。
同样,在NovellIPX和AppleAppleTalk协议中,也可相应地设置各自的包过滤规则。
Quidway系列安全路由器提供了基于接口的包过滤,即可以在一个接口的进出两个方向上对报文进行过滤。
同时还提供了基于时间段的包过滤,可以规定过滤规则发生作用的时间范围,比如可设置每周一的8:
00至20:
00允许FTP报文进入以完成必要的服务,而其余时间则禁止FTP连接。
在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用,在应用上具有极大的灵活性。
并且这样的时间段可以方便地提供给其他的功能模块使用,如地址转换、IPSec等。
地址转换,用来实现私有网络地址与公有网络地址之间的转换。
地址转换的优点在于屏蔽了内部网络的实际地址;外部网络基本上不可能穿过地址代理来直接访问内部网络。
Quidway系列安全路由器实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址,与按需拨号相结合,使局域网内用户通过一台路由器即可轻松上网。
Quidway系列安全路由器支持带访问控制列表的地址转换。
通过配置,用户可以指定能够通过地址转换的主机,以有效地控制内部网络对外部网络的访问。
结合地址池,还可以支持多对多的地址转换,更有效地利用用户的合法IP地址资源。
Quidway系列安全路由器可以提供灵活的内部服务器的支持,对外提供WEB、FTP、SMTP等必要的服务。
而这些服务器放置在内部网络中,既保证了安全,又可方便地进行服务器的维护。
Quidway系列安全路由器提供基于报文内容的访问控制,即智能防火墙,能够对应用层的一部分攻击加以检测和防范,包括对于SMTP命令的检测、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 技术 白皮书