VPN方案设计.docx
《VPN方案设计.docx》由会员分享,可在线阅读,更多相关《VPN方案设计.docx(38页珍藏版)》请在冰点文库上搜索。
VPN方案设计
第1章VPN系统整体技术介绍
1.1VPN概述
1.1.1VPN介绍
伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。
VPN(VirtualPrivateNetwork,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。
“虚拟”主要指这种网络是一种逻辑上的网络。
1.1.2VPN特点
VPN有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。
VPN只为特定的企业或用户群体所专用。
从VPN用户角度看来,使用VPN与传统专网没有区别。
VPN作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用;另一方面,VPN提供足够安全性,确保VPN内部信息不受外部的侵扰。
VPN不是一种简单的高层业务。
该业务建立专网用户之间的网络互联,包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等,因此VPN技术就比各种普通的点对点的应用机制要复杂得多。
1.1.3VPN优势
●低成本,通过公用网来建立VPN,就可以节省大量的通信费用。
此外,VPN还可使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备,这些工作都可以由ISP负责完成。
●易扩展,如果用户想扩大VPN的容量和覆盖范围,企业可以与新的ISP签约,建立账户;或者与原有的ISP重签合约,扩大服务范围。
在远程办公室增加VPN能力也很简单,只需通过作适当的设备配置就可。
●在远端用户、分支机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全性。
这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。
●利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利用率。
●只需要通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。
这使得VPN的应用具有很大灵活性。
●支持驻外VPN用户在任何时间、任何地点的移动接入,这将满足不断增长的移动业务需求。
●构建具有服务质量保证的VPN(如MPLSVPN),可为VPN用户提供不同等级的服务质量保证,通过收取不同的业务使用费用可获得超额利润。
1.1.4VPN分类
IPVPN是指利用IP设施(包括公用的Internet或专用的IP骨干网)实现WAN设备专线业务(如远程拨号、DDN等)的仿真。
IPVPN可有以下几种分类方法:
1.按运营模式划分
●CPE-basedVPN
用户不但要安装价格昂贵的设备及专门认证工具,还要负责繁杂的VPN维护(如隧道维护、带宽管理等)。
这种方式组网复杂度高、业务扩展能力弱。
●Network-basedVPN(NBIP-VPN)
将VPN的维护等外包给ISP实施(也允许用户在一定程度上进行业务管理和控制),并且将其功能特性集中在网络侧设备处实现,这样可以降低用户投资、增加业务灵活性和扩展性,同时也可为运营商带来新的收入。
2.按隧道所属的层次划分
根据是在OSI模型的第二层还是第三层实现隧道,隧道协议分为第二层隧道协议和第三层隧道协议。
●第二层隧道协议
第二层隧道协议是将整个PPP帧封装在内部隧道中。
现有的第二层隧道协议有:
✧PPTP(Point-to-PointTunnelingProtocol):
点到点隧道协议,由微软、朗讯、3COM等公司支持,在WindowsNT4.0以上版本中支持。
该协议支持点到点PPP协议在IP网络上的隧道封装,PPTP作为一个呼叫控制和管理协议,使用一种增强的GRE(GenericRoutingEncapsulation)技术为传输的PPP报文提供流控和拥塞控制的封装服务。
✧L2F(Layer2Forwarding)协议:
二层转发协议,由北方电信等公司支持。
支持对更高级协议链路层的隧道封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。
✧L2TP(Layer2TunnelingProtocol):
二层隧道协议,由IETF起草,微软等公司参与,结合了上述两个协议的优点,为众多公司所接受。
并且已经成为标准RFC。
L2TP既可用于实现拨号VPN业务(VPDN接入),也可用于实现专线VPN业务。
●第三层隧道协议
第三层隧道协议的起点与终点均在ISP内,PPP会话终止在NAS处,隧道内只携带第三层报文。
现有的第三层隧道协议主要有:
✧GRE(GenericRoutingEncapsulation)协议:
这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。
✧IPSec(IPSecurity)协议:
IPSec协议不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构。
包括AH(AuthenticationHeader)、ESP(EncapsulatingSecurityPayload)、IKE(InternetKeyExchange)等协议。
3.按业务用途划分
●IntranetVPN(企业内部虚拟专网)
IntranetVPN通过公用网络进行企业内部各个分布点互联,是传统的专线网或其它企业网的扩展或替代形式。
●AccessVPN(远程访问虚拟专网)
AccessVPN向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的Intranet和Extranet建立私有的网络连接。
AccessVPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
●ExtranetVPN(扩展的企业内部虚拟专网)
ExtranetVPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处,使不同企业间通过公网来构筑VPN。
4.按组网模型划分
●虚拟租用线(VLL)
VLL(VirtualLeasedLine)是对传统租用线业务的仿真,通过使用IP网络对租用线进行模拟,提供非对称、低成本的“DDN”业务。
从虚拟租用线两端的用户来看,该虚拟租用线近似于过去的租用线。
●虚拟专用拨号网络(VPDN)
VPDN(VirtualPrivateDialupNetwork)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。
●虚拟专用LAN网段(VPLS)业务
VPLS(VirtualPrivateLanSegment)借助IP公共网络实现LAN之间通过虚拟专用网段互连,是局域网在IP公共网络上的延伸。
●虚拟专用路由网(VPRN)业务
VPRN(VirtualPrivateRoutingNetwork)借助IP公共网络实现总部、分支机构和远端办公室之间通过网络管理虚拟路由器进行互连,业务实现包括两类:
一种是使用传统VPN协议(如IPSec、GRE等)实现的VPRN,另外一种是MPLS方式的VPRN。
1.1.5L2TPVPN技术
L2TPVPN技术将整个PPP帧封装在二层隧道中进行数据传输,属于二层隧道技术。
L2TPVPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式,在下图中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备,LAC一般就是一个网络接入服务器NAS(NetworkAccessServer),它通过PSTN/ISDN为用户提供网络接入服务;LNS表示L2TP网络服务器(L2TPNetworkServer),是用于处理L2TP协议服务器端部分的软件。
在一个LNS和LAC对之间存在两种类型的连接,一种是隧道(tunnel)连接,它定义了一个LNS和LAC对;另一种是会话(session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
在一个隧道连接上可以承载多个会话连接。
L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的,这些消息再通过UDP的1701端口承载于TCP/IP之上。
图1-1L2TP典型组网
首先,远端用户通过拨号接入到LAC上,在通过AAA服务器对用户进行合法性验证后,LAC与相应的LNS建立L2TP隧道并开始进行记费,出于安全考虑,一般在LNS上还要对远程访问用户进行二次合法验证,当验证通过了,远程用户才可以真正的访问内部网络。
L2TPVPN服务具有如下几个优点:
●灵活的身份验证机制以及高度的安全性。
●L2TP支持内部地址分配,LNS可以放置于企业网的防火墙之后,它可以对于远端用户的地址进行动态的分配和管理,可以支持DHCP和私有地址应用等方案。
●能够实现网络计费的灵活性,可以在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业处(用于付费及审记)。
●L2TP具有较高的可靠性,可以支持备份LNS,当一个主LNS不可达之后,LAC(接入服务器)可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。
同任何一种技术一样,L2TPVPN也存在着一定的的缺点:
L2TP的缺点是封装层次多,在数据包上依次封装了PPP->UDP->IP三层,因而效率较低。
将不安全的IP包封装在安全的IP包内,它们用IP包在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的地身份就不再需要,这样可能带来问题。
它不对两个节点间的信息传输进行监视或控制。
端点用户需要在连接前手工建立加密信道。
认证和加密受到限制,没有强加密和认证支持。
1.1.6GREVPN技术
GRE(通用路由协议封装)是由Cisco和Net-smiths等公司于1994年提交给IETF的,标号为RFC1701和RFC1702。
目前有多数厂商的网络设备均支持GRE隧道协议。
GRE规定了如何用一种网络协议去封装另一种网络协议的方法,GREVPN技术属于三层隧道VPN技术。
GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。
通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址。
GRE只提供了数据包的封装,并没有加密功能来防止网络侦听和攻击,所以在实际环境中无法给用户提供更好的安全性。
GRE协议的主要用途有两个:
企业内部协议封装和私有地址封装。
在国内,由于企业网几乎全部采用的是TCP/IP协议,因此在中国建立隧道时没有对企业内部协议封装的市场需求。
企业使用GRE的唯一理由应该是对内部地址的封装。
当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。
基于GRE的VPN技术具有如下的优点:
●多协议的本地网可以通过单一协议的骨干网实现传输;
●将一些不能连续的子网连接起来,用于组建VPN;
●扩大了网络的工作范围,包括那些路由网关有限的协议。
如IPX包最多可以转发16次(即经过16个路由器),而在一个隧道连接中看上去只经过一个路由器
●与其他厂家设备之间的互通性容易实现
●对现有IP网络骨干设备基本不做任何修改
基于GRE的VPN技术具有如下的缺点:
●不提供数据的加密功能,安全性较差;
●不提供QOS功能,需另外协议支持;
●对于组建大型VPN较复杂。
1.1.7IPsecVPN技术
IPsecVPN技术属于三层隧道VPN技术。
IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括
网络安全协议:
lAuthenticationHeader(AH)协议,提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。
AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
lEncapsulatingSecurityPayload(ESP)协议,通过对数据包的全部数据和加载内容进行全加密,进而提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。
与AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。
在IPsec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。
大部分的应用案例都采用了ESP或同时使用ESP和AH。
密钥管理协议:
lInternetKeyExchange(IKE)协议,实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等,这些安全参数的总体称之为安全联盟(SA)。
网络验证及加密的一些算法:
认证算法,HMAC-MD5、HMAC-SHA-1
加密算法,DES、3DES。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。
IPSec协议是一个应用广泛、开放的VPN安全协议。
IPSec适应向IPv6迁移,它提供所有在网络层上的数据保护,进行透明的安全通信。
IPSec提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制。
IPSec工作在网络层,在参加IPSec的设备(如路由器)之间为数据的传输提供保护,主要是对数据的加密和数据收发方的身份认证。
IPSec用密码技术提供以下安全服务:
接入控制,无连接完整性,数据源认证,防重放,加密,防传输流分析。
IPSec协议可以设置成在两种模式下运行:
一种是隧道(tunnel)模式,一种是传输(transport)模式。
在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。
传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。
隧道模式是最安全的,但会带来较大的系统开销。
在1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)协议、密钥分配协议IKE(InternetKeyExchange)、Oakley。
ISAKMP/IKE/Oakley支持自动建立加密、认证信道,以及密钥的自动安全分发和更新。
IPsec是主要用于在网络层实现VPN的技术。
根据用户对在内部网络中传输数据的安全性和处理速度要求的情况,可采用IPsec技术组建企业VPN。
它比较适用于对网络数据保密要求高的用户。
IPSec的实现是靠两个IPSec的对端维系的,因此它实际上是一种端到端的安全实现,从技术的角度上说,在端到端客户的路由器上实现是最安全合理的方式,中间任何一个路由器都不需要做相应设置。
因此,它的实现是一种与接入网络无关的VPN技术。
但这并不等于说它就是与网络服务提供商无关的,我们可以作为网络服务维护者的角度,帮助客户建立并维护VPN网络,使得用户不必投入人力资源去维护一个VPN网络。
下图是IPSEC的一个应用组网图,图中的粗线代表IPSEC隧道。
图1-1IPsecVPN组网图
IPSec的特点是较为适用于各分支机构之间的互联,对于IP地址要求做较为完善的规划,在一定程度上制约了IPSec的应用范围。
针对这个问题,目前华为3Com已经支持野蛮模式,所谓野蛮模式就是通过实现注册的用户名来进行IKE协商,优点避免了解决方案中必须是固定IP地址的困惑,可以是分支上网自动获取IP地址,然后与总部进行协商,极大的增强了IPsec的功能。
1.1.8动态VPN技术
动态VPN提供了一种灵活的建立VPN方式,能够在动态获得IP地址的设备之间自动创建、维护隧道,并且在同一个VPN的设备能够互相访问。
同时动态VPN提供了认证、加密等安全特性,从而VPN内部的数据能够安全可靠地在公网上传输。
1.动态VPN需求
在现有的VPN组网方案中,一般采用GRE隧道、L2TP、IPSec以及MPLS等方式。
除了MPLS主要应用在主干转发层之外,其他的三种方式在访问接入层被普遍采用。
但是目前的这些方案都存在一个弊端,就是必须是按照事先的配置进行组网,并且要完成一个全联通的网络时,结构和配置就变得复杂。
由于要建立一对一的连接,所以当有N个网络设备进行互联时,网络的就必须建立N×(N-1)/2个连接,这样不仅造成了组网和配置的复杂,而且配置时必须知道对端设备的基本信息,试想如果其中有一个节点的设备修改了配置,那么其他所有节点都必须针对这台设备修改本地配置,这给维护造成了很大的成本。
图1-1传统VPN方式下的全联通
动态VPN的关键就是解决了以上传统VPN的缺陷,动态VPN采用了Client和Server的方式,任意一个Client设备只需要知道Server的信息就能够和其他Client设备进行互通,并且这种互通是自动的,不需要任何人为的干预。
比如企业的总部放置一台路由器作为Server,那么其他设备完全就可以随时通过拨号方式进行VPN的互联,并且每个属于该VPN内的Client设备都能够互相访问(如图3-4所示)。
通过这种方案进行VPN的组网不尽降低了维护成本,而且使得网络应用更加灵活,加上动态VPN提供的认证和加密特性完全保证了用户的网络安全。
图1-2动态VPN组网方式
2.动态VPN的基本原理
动态VPN采用了Client/Server的方式,一台路由器作为Server,其他的路由器作为Client。
每个Client都需要到Server进行注册,注册成功之后Client就可以互相通讯了。
Server在一个VPN当中的主要任务就是获得Client的注册信息,当有一个Client需要访问另一个Client时通知该Client所要到达目的地的真正地址。
动态VPN采用了隧道技术,即在每对互相通讯的路由器上都自动打通一条隧道,所有的数据都在隧道中传输,当该隧道没有数据流量的时候又会自动切断该隧道以节约资源或成本。
目前动态VPN支持两种隧道方式,即GRE隧道和UDP隧道。
这两种隧道方式各有千秋,GRE隧道方式可以很好的和以前的GRETunnel进行互通;而UDP隧道方式是华为公司提出的专利方式,这种方式能够很好的解决穿透防火墙的问题,这是GRE方式所不及的。
1.1.9小结
IPsec三层隧道技术与L2TP二层隧道技术相比,优势在于它的安全性、可扩展性与可靠性。
从安全性的角度看,由于L2TP一般终止在用户侧设备上,对用户网的安全及防火墙技术提出十分严峻的挑战;而IPsec技术一般终止在网关上,因此不会对用户网的安全构成威胁。
L2TP二层隧道技术对于远程接入的用户认证可以提供很好的保证,一旦用户认证通过就无法对传输数据的安全性保证了。
一般地,二层隧道协议和三层隧道协议都是独立使用的,如果合理地将这两层协议结合起来使用,将可能为用户提供更好的安全性(如将L2TP和IPSec协议配合使用)和更佳的性能。
1.2VPN安全系统分析
VPN系统是在公网上构建私有的网络,本身公网是不安全的一个网络,如何在一个不安全的网络上构建一个既私有又安全的网络是首要解决的问题。
安全应该包括用户的安全和数据传输的安全两部分内容,同时在网络上应该存在网络管理系统对网络的运行情况进行监控,一旦网络发生问题,除了网络本身的防御之外,网管系统应该对发生的不安全事件进行报警、记录形成日志,通知网络管理人员。
1.2.1来自Internet的威胁
基于Internet的开放性、国际性与自由性,而伊利集团网络与Internet连接,这样内部网络将面临严重的安全危胁。
因为,每天黑客都在试图闯入Internet节点,假如网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。
各个行业内部网络中其办公系统及个人主机上都有一些涉密的信息,假如内部网络系统的一台机器安全受损(被攻击或者被病毒感染),就会同时影响到同一网络系统上的许多其他系统,透过网络传播,还会影响到与本系统网络有连接的外单位网络。
来自Internet的主要攻击手段有:
●信息窃取:
攻击者从传输信道、存储介质等处窃取信息。
如传输信号侦收、搭线窃听、窃收数据文件等。
●入侵:
通过系统或网络的漏洞,进行远程访问、盗取口令、借系统管理之便等方法进入系统,非法查阅文件资料、更改数据、拷贝数据,甚至破坏系统,使系统瘫痪等。
●假冒:
假冒合法用户身份、执行与合法用户同样的操作。
●阻塞:
投放巨量垃圾电子邮件或无休止访问资源、数据库等手段造成网络的阻塞,影响网络系统正常运行。
●篡改:
篡改数据、文件、资料(增加、删除、修改)。
●信息流量和流向分析:
对网络中的信息流量和信息流向进行分析,然后得出有价值的情报。
因此,可以在网络出口处放置防火墙,通过严谨有效的安全策略防止未授权的用户访问公司内部网络,以保证公司网络信息的安全。
1.2.2用户管理
每一个隧道的建立都是由用户发起,然后通过VPN的用户认证系统加以认证,为合法的用户提供安全的数据传输通道。
一般都是通过用户名和密码两个元素决定用户的合法性,这只是一种静态的用户认证,密码和用户名可以在网络上窃取到的,所以静态的用户名和密码是无法保证访问网络用户的合法性。
因此应该加强网络访问分支用户的合法性,确保访问的用户的唯一性和合法性。
1.2.3数据传输
网络安全不仅是入侵者到内部网络系统上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性。
总公司的各分支机构之间经常会有一些重要的数据传输,因此,对重要信息传输的网络,应该采用建立VPN通道,对传输的数据在链路上采取加密,并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、可靠性及完整性。
1.2.4安全审计
对系统进行安全审计是非常重要的,它主要是通过检察网络系统中所有业务活动的记录,并对记录进行实时、半实时或脱机分析,以发现、告警网络系统中存在的非法活动,追查攻击活动,以降低遭受攻击的后果和风险。
网络系统的安全审计和监控主要体现在以下几个方面:
●数据库、操作系统的审计。
●防火墙出入口数据、日志审计。
●应用业务软件、平台的审计安全。
1.2.5网络安全目标
通过对网络结构、网络安全风险分析,再加上黑客、病毒等安全危胁日益严重。
网络安全问题的解决势在必行。
针对不同安全风险必须采用相应的安全措施来解决。
使网络安全达到一定的安全目标。
安全需求包括:
●加密传输需求
●访问控制需求
✧防范非法用户非法访问
✧访问控制需求
✧防范假冒合法用户非法访问
●入侵检测系统需求
●安全风险评估(漏洞扫描)系统需求
●防病毒系统需求
●安全管理体制
●构建CA系统(RSA)
基于以上的需求分析,我们认为网络系统可以实现以下安全目标:
●保护网络系统的可用性
●保护网络系统服务的连续性
●防范网络资源的非法访问及非授权访问
●防范入侵者的恶意攻击与破坏
●保护信息通过网上传输