VPN技术分析与实现.docx

1、摘要摘要随着 Internet 已成为全社会的信息基础设施，企业端应用也大都基于 IP， 在 Internet 上构筑应用系统已成为必然趋势，因此基于 IP 的 VPN 业务获得了极大的增长空间。本文介绍了虚拟专用网的技术原理和特点，以及利用 VPN 技术构建企业虚拟专用网的优势，提出利用公网的资源作为企业各级单位间传输信息的通道，在建设内部网实现信息安全共享的同时降低建设和维护成本，因此具有很好的应用前景。首先对 VPN 的技术的发展、优点等进行了分析；其次阐述了 VPN 的解决方案；最后，结合一个网络公司的实例说明企业 VPN 网络的具体实现。关键词：虚拟专用网；虚拟局域网；网络安全；隧道

2、技IIAbstractAbstractAs the Internet has become a society-wide information infrastructure, enterprise-based applications are mostly IP, to build applications on the Internet have become an inevitable trend, so the service which based on the IP-VPN was great room for growth. This paper presents a virtu

3、al private network technology principles and characteristics, and presents the advantages that the companies use the VPN technology to build the virtual private network, by using public networks at all levels of resources as a business unit of the channel to transmit information, in building interna

4、l networks to share information security At the same time reduce the cost of construction and maintenance, so VPN has good prospects. The article first tell us something about the development of technologies VPN andother advantages of an analysis ; and secondly about the VPN solutions; Finally, it c

5、ombinates a securities company examples of the specific enterprise VPN network to achieve.Key words: VPN; VLAN; network security; tunnel目录目录第一章 VPN 技术概述11.1 VPN 产生的背景11.2 VPN 的定义11.3 VPN 的特点21.4 VPN 带来的好处3第二章 隧道技术52.1 概述52.2 隧道协议52.2.1 隧道协议52.2.2 VPN 协议比较62.3 隧道技术实现过程72.4 隧道中的源和目标 IP 地址8第三章 VPN 中的安全

6、技术103.1 加解密技术（Encryption & Decryption）103.2 密钥管理技术（Key Management）103.3 身份认证技术（Authentication）11第四章 VPN 解决方案124.1 远程访问虚拟网（Access VPN）124.2 企业内部虚拟网（Intranet VPN）134.3 企业扩展虚拟网（Extranet VPN）14第五章 VPN 网络方案设计165.1 需求分析165.2 拓扑设计175.3 设备选型175.4 IP 地址分配185.5 权限设置195.6 具体配置195.6.1 服务器端配置195.6.2 客户端配置23第六章 总

7、结27结束语28参考文献29第 III 页第一章 VPN 技术概述1.1 VPN 产生的背景随着 Internet 和电子商务的蓬勃发展，越来越多的用户认识到，经济全球化的最佳途径是发展基于 Internet 的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网1，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为 Internet 是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络，因此，基于 Inte

8、rnet 的商务活动就面临非善意的信息威胁和安全隐患。 还有一类用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。 用户的需求正是虚拟专用网技术诞生的直接原因。移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候，采用传统的远程访问方式不但通讯费用比较高，而且在与内部专用网络中的计算机进行数据传输时，不能保证通信的安全性。为了避免以上的问题，通过拨号与企业内部专用网络建立 VPN 连接是一个理想的选择。1.2 VPN 的定义现在有很多连接都被称作 VPN，用户经常分不

9、清楚，那么一般所说的 VPN 到底是什么呢？VPN 的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网2不是真的专用网络，但却能够实现专用网络 的功能。虚拟专用网指的是依靠 ISP（Internet 服务提供商）和其它 NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中， 任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用第 7 页共 29 页某种公众网的资源动态组成的。IETF 草案理解基于 IP 的 VPN 为：使用 IP 机制仿真出一个私有的广域网是通过私有的隧道技术在公共

10、数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用 Internet 公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。我们所要构建的虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样， 但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线， 但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN 是基于公网,利用隧道加密等技术,为用户提

11、供的虚拟专用网络,它给用户一种直接连接到私人局 域网的感觉。用户在电信部门租用的帧中继3（FrameRelay）与 ATM 等数据网络提供固定虚拟线路（PVC-PermanentVirtualCircuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据， 再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但 价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM 数据网络也不会像 Internet 那样，可立即与世界上任何一个使用 Internet 网络的单位连接。而在 Internet 上，VPN 使

12、用者可以控制自己与其它使用者的联系，同时支持拨号的用户。所以我们说的虚拟专用网一般指的是建筑在 Internet 上能够自我管理的专用网络，而不是 Frame Relay 或 ATM 等提供虚拟固定线路（PVC）服务的网络。1.3 VPN 的特点安全保障：虽然实现 VPN 的技术和方式很多，但所有的 VPN 均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用 IP 网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于 VPN 直接构建在公

13、用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其 VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访 问。Extranet VPN 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。服务质量保证（QoS） ：VPN 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供 广泛的连接和覆盖性是保证 VPN 服务的一个主要因素；而对于拥有众多分支机构的专线 VPN 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络

14、时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方 面，构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时 引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流 量低谷时又造成大量的网络带宽空闲。QoS 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送， 并预防阻塞的发生。可扩充性和灵活性 ：VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流，方便增加新的节点，支

15、持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。可管理性 ：从用户角度和运营商的角度应可方便地进行管理、维护。在 VPN 管理方面，VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成， 企业自己仍需要完成许多网络管理任务。所以，一个完善的 VPN 管理系统是必不可少的。VPN 管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS 管理等内容。1.4 VPN 带来的好处VP

16、N 的最终目的是服务于企业，为企业带来可观的经济效益，为现代化企业的信息共享提供安全可靠的途径4。由于 VPN 是在 Internet 上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN 设备，企业所付出的仅仅是向企业所在地的 ISP 支付一定的上网费用，也节省了长途电话费。这就是 VPN 价格低廉的原因。哪些用户适于使用 VPN 呢？在满足基本应用要求后，有三类用户比较适合采用 VPN：位置众多，特别是单个用户和远程办公室站点多，例如企业用户、远程教育用户；用户/站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信， 甚至国际长途手段联系的

17、用户；带宽和时延要求相对适中；对线路保密性和可用性有一定要求的用户。相对而言，有四种情况可能并不适于采用 VPN：非常重视传输数据的安全性；不管价格多少，性能都被放在第一位的情况；采用不常见的协议，不能在 IP 隧道中传送应用的情况；大多数通信是实时通信的应用，如语音和视频。但这种情况可以使用公共交换电话网（PSTN）解决方案与 VPN 配合使用。第二章 隧道技术2.1 概述众所周知，由于公共 IP 的短缺，我们在组建局域网时，通常使用保留地址作为内部 IP，这些保留地址在 Internet 上是无法被路由的，所以在正常情况下我们无法直接通过 Internet 访问到在局域网内的主机。为了实现

18、这一目的，我们需要使用 VPN 隧道技术5。隧道技术是 VPN 的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。2.2 隧道协议2.2.1 隧道协议隧道是由隧道协议形成的，分为第二、三层隧道协议，两者本质区别在于用户的数据包是被封装到哪一层的数据包在隧道里传输。第二层隧道协议是先把各种网络协议封装到 PPP 中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有 L2F、PPTP、L2TP 等。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有 VTP

19、、IP Sec、GRE 等。 PPTP(Point to Point Tunneling Protocol): PPTP 是 VPN 的基础。PPTP 的封装在数据链路层产生，PPTP 协议采用扩展的 GRE(GenericRoutingEncapsulation)头对 PPP/SLIP 报进行封装。点对点隧道协议 (PPTP) 是一种网络协议，其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP支持通过公共网络（例如Internet）建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯， 然后在要跨越公司 IP 网

20、络或公共 IP 网络（如 Internet）发送的 IP 头中对其进行封装。PPTP 连接只要求通过基于 PPP 的身份验证协议进行用户级身份验证。 L2F(Layer 2 Forwording): L2F 可在多种介质（如 ATM、帧中继、IP 网）上建立多协议的安全虚拟专用网，他将链路层的协议（如 PPP 等）封装起来传送。因此网络的链路层完全独立于用户的链路层协议。 L2TP(Layer 2 Tunneling Protocol ): L2TP 协议是目前 IETF 的标准，由IETF 融合 PPTP 与 L2F 而形成,它结合了 PPTP 和 L2F 协议的优点，几乎能实现PPTP 和

21、 L2F 协议能实现的所有服务，并且更加强大、灵活。第2层隧道协议(L2TP) 是一种工业标准 Internet 隧道协议，其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。L2TP 允许加密 IP 通讯，然后在任何支持点到点数据报交付的媒体上（如 IP）进行发送。Microsoft 的 L2TP 实现使用 Internet 协议安全 (IP Sec) 加密来保护从 VPN 客户端到 VPN 服务器之间的数据流。IP Sec 隧道模式允许加密 IP 数据包，然后在要跨越公司 IP 网络或公共 IP 网络（如 Internet）发送的 IP 头中对其进行封装。 IP Sec：

22、在 IP 层提供通信安全的一套协议簇，包括封装的安全负载 ESP 和认证报头 AH、ISAKMP，它对所有链路层上的数据提供安全保护和透明服务。AH 用于通信双方验证数据在传输过程中是否被更改并能验证发送方的身份，实现访问控制、数据完整性、数据源的认证功能。ISAKMP 用于通信双方协商加密密钥和加密算法，并且用户的公钥和私钥是由可信任的第三方产生。IPSec上的L2TP 连接不仅需要相同的用户级身份验证，而且还需要使用计算机凭据进行计算机级身份验证。2.2.2 VPN 协议比较PPTP、L2F、L2TP 和 VTP、IPSec、GRE，它们各自有自己的优点，但对于隧道的加密和数据加密问题都密

23、钥最佳的解决方案。同时，无论何种隧道技术，一旦进行加密或验证，都会影响系统的性能。与 PPTP 相比，L2TP 能够提供差错和流量控制。两者共有的缺点：其一、认证的只是终端的实体，密钥对信息流（通道中的数据包）进行认证，对于地址欺骗、非法复制包难以防范；其二、由于缺乏认证信息，如果向通道发送一些错误信息，则可能导致服务的关闭，这也成为常用的攻击手段。GRE 只提供了数据包的封装，它并没有使用加密功能来防止网络侦听和攻击。在实际环境中它常和 IP Sec 一起使用，由 IP Sec 提供用户数据的加密，从而给用户提供更好的安全性6。只有 IPSec 协议集合多种安全技术，建立了一个安全可靠的隧道

24、。这些技术包括 Diffie-Hellman 密钥交换技术、DES、RC4、IDEA 数据加密技术、哈希散列算法 HMAC、MD5、SHA、数字签名技术等7。IP Sec 不仅可以保证隧道的安全， 同时还有一整套保证用户数据安全的措施，由此建立的隧道更具有安全性和可靠性。IP Sec 还可以和 L2TP、GRE 等其它隧道协议一同使用，提供更大的灵活性和可靠性。IP Sec 可以运行于网络的任意一部分，他可以在路由器和防火墙之间、路由器和路由器之间、PC 机和服务器之间、PC 机和拨号和访问设备之间。IPSec 应作为目前较满意的解决方案。下面对 VPN 协议进行了比较,如表 2.1 所示。表

25、 2.1 VPN 协议的比较协议用途安全注释IP Sec 隧道模式连接到第三方 VPN 服务器高这是在您连接到非 Microsoft VPN 服务器时可以使用的唯一选项。IP Sec 上的L2TP连接到 ISA Server 2004 计算机、ISA Server 2000 计算机或 Windows VPN 服务器高使用路由和远程访问在复杂性方面比IPSec 隧道解决方案低，但是需要远程 VPN服务器是 ISA 服务器计算机或 WindowsVPN 服务器。PPTP连接到 ISA Server 2004 计算机、ISA Server 2000 计算机或 Windows VPN 服务器中使用路由

26、和远程访问在限制方面与 L2TP 相同，不同之处在于其更易于配置。由于使用 IP Sec 加密，因此 L2TP 被视为是一种更加安全的解决方案。2.3 隧道技术实现过程其实现过程如图 1 所示：图 1隧道示意图通常情况下，VPN 网关采用双网卡结构，外网卡使用公共 IP 接入Internet；如果网络一的终端 A 需要访问网络二的终端 B，其发出的访问数据包的目标地址为终端 B 的 IP （内部 IP）；网络一的 VPN 网关在接收到终端 A 发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的 VPN 技术不同而不同，同时 VPN

27、 网关会构造一个新的数据包（VPN 数据包），并将封装后的原数据包作为 VPN 数据包的负载，VPN 数据包的目标地址为网络二的 VPN 网关的外部地址；网络一的 VPN 网关将 VPN 数据包发送到 Internet，由于 VPN 数据包的目标地址是网络二的 VPN 网关的外部地址，所以该数据包将被 Internet 中的路由正确地发送到网关；网络二的 VPN 网关对接收到的数据包进行检查，如果发现该数据包是从网络一的 VPN 网关发出的，即可判定该数据包为 VPN 数据包，并对该数据包进行解包处理。解包的过程主要是先将 VPN 数据包的包头剥离，在将负载通 VPN 技术反向处理还原成原始的

28、数据包；网络二的 VPN 网关将还原后的原始数据包发送至目标终端，由于原始数据包的目标地址是终端 B 的 IP，所以该数据包能够被正确地发送到终端 B。在终端 B 看来，它收到的数据包就从终端 A 直接发过来的一样；从终端 B 返回终端 A 的数据包处理过程与上述过程一样，这样两个网络内的终端就可以相互通讯了。2.4 隧道中的源和目标 IP 地址隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏（或封装） 在新的数据包内部。该新的数据包可能会有新的寻址与路由信息，从而使其能够通过网络传输。隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目标）。封装

29、的数据包在网络中的隧道内部传输。封装的数据包到达目的地后，会删除封装，原始数据包头用于将数据包路由到最终目的地。第 22 页共 29 页隧道本身是封装数据经过的逻辑数据路径。对原始的源和目的端，隧道是不可见的，而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时，可用于提供 VPN。通过上述说明我们可以发现，在 VPN 网关对数据包进行处理时，有两个参数对于 VPN 隧道通讯十分重要：原始数据包的目标地址（VPN 目标地址）和远程VPN 网关地址。根据 VPN 目标地址，VPN 网关能够判断对哪些数据包

30、需要进行 VPN 处理，对于不需要处理的数据包通常情况下可直接转发到上级路由8；远程 VPN 网关地址则指定了处理后的 VPN 数据包发送的目标地址，即 VPN 隧道的另一端VPN 网关地址。由于网络通讯是双向的，在进行 VPN 通讯时，隧道两端的 VPN 网关都必须知道 VPN 目标地址和与此对应的远端 VPN 网关地址。第三章 VPN 中的安全技术由于传输的是私有信息，VPN 用户对数据的安全性都比较关心。 目前 VPN 主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Manag

31、ement）、使用者与设备身份认证技术（Authentication）9。 隧道技术在第二章已经加已说明,下面就其它三种安全技术6做相应说明。3.1 加解密技术（Encryption & Decryption）加解密技术是数据通信中较成熟的技术，VPN 可以直接利用现有的技术。用于 VPN 上的加密技术由 IP Sec 的 ESP(Encapsulating Security Paylcad)实现。主要是发送者在发送数据以前对数据加密，当数据到达接收者时由接收者对数据进行解密处理，算法主要种类包括：对称加密算法、不对称加密算法等，如DES、IDEA、RSA。对称加密算法，通信双方共享一个密钥。发送方使用该密钥将明文加密成密文。接收方使用相同的密钥将密文还原成明文，对称加密算法运算速度快。不对称加密算法是通信双方各使两个不同的密钥，一个是只有发送方知道的密钥，另一个则是与之对应的公开密钥，公开密钥不需保密。在通信过程中，发送方用接收方的公开密钥加密信息，并且可以用发送方的秘密密钥