VPN技术分析与实现.docx

VPN技术分析与实现.docx

《VPN技术分析与实现.docx》由会员分享，可在线阅读，更多相关《VPN技术分析与实现.docx（32页珍藏版）》请在冰点文库上搜索。

摘要

摘要

随着Internet已成为全社会的信息基础设施，企业端应用也大都基于IP，在Internet上构筑应用系统已成为必然趋势，因此基于IP的VPN业务获得了极大的增长空间。

本文介绍了虚拟专用网的技术原理和特点，以及利用VPN技术构建企业虚拟专用网的优势，提出利用公网的资源作为企业各级单位间传输信息的通道，在建设内部网实现信息安全共享的同时降低建设和维护成本，因此具有很好的应用前景。

首先对VPN的技术的发展、优点等进行了分析；其次阐述了VPN的解决方案；最后，结合一个网络公司的实例说明企业VPN网络的具体实现。

关键词：

虚拟专用网；虚拟局域网；网络安全；隧道技

II

Abstract

Abstract

AstheInternethasbecomeasociety-wideinformationinfrastructure,enterprise-basedapplicationsaremostlyIP,tobuildapplicationsontheInternethavebecomeaninevitabletrend,sotheservicewhichbasedontheIP-VPNwasgreatroomforgrowth.Thispaperpresentsavirtualprivatenetworktechnologyprinciplesandcharacteristics,andpresentstheadvantagesthatthecompaniesusetheVPNtechnologytobuildthevirtualprivatenetwork,byusingpublicnetworksatalllevelsofresourcesasabusinessunitofthechanneltotransmitinformation,inbuildinginternalnetworkstoshareinformationsecurityAtthesametimereducethecostofconstructionandmaintenance,soVPNhasgoodprospects.ThearticlefirsttellussomethingaboutthedevelopmentoftechnologiesVPNand

otheradvantagesofananalysis;andsecondlyabouttheVPNsolutions;Finally,itcombinatesasecuritiescompanyexamplesofthespecificenterpriseVPNnetworktoachieve.

Keywords:

VPN;VLAN;networksecurity;tunnel

目录

目录

第一章VPN技术概述 1

1.1VPN产生的背景 1

1.2VPN的定义 1

1.3VPN的特点 2

1.4VPN带来的好处 3

第二章隧道技术 5

2.1概述 5

2.2隧道协议 5

2.2.1隧道协议 5

2.2.2VPN协议比较 6

2.3隧道技术实现过程 7

2.4隧道中的源和目标IP地址 8

第三章VPN中的安全技术 10

3.1加解密技术（Encryption&Decryption） 10

3.2密钥管理技术（KeyManagement） 10

3.3身份认证技术（Authentication） 11

第四章VPN解决方案 12

4.1远程访问虚拟网（AccessVPN） 12

4.2企业内部虚拟网（IntranetVPN） 13

4.3企业扩展虚拟网（ExtranetVPN） 14

第五章VPN网络方案设计 16

5.1需求分析 16

5.2拓扑设计 17

5.3设备选型 17

5.4IP地址分配 18

5.5权限设置 19

5.6具体配置 19

5.6.1服务器端配置 19

5.6.2客户端配置 23

第六章总结 27

结束语 28

参考文献 29

第III页

第一章VPN技术概述

1.1VPN产生的背景

随着Internet和电子商务的蓬勃发展，越来越多的用户认识到，经济全球化的最佳途径是发展基于Internet的商务应用。

随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网[1]，从而大大简化信息交流的途径，增加信息交换速度。

这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于

TCP/IP技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

还有一类用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。

因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。

用户的需求正是虚拟专用网技术诞生的直接原因。

移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候，采用传统的远程访问方式不但通讯费用比较高，而且在与内部专用网络中的计算机进行数据传输时，不能保证通信的安全性。

为了避免以上的问题，通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。

1.2VPN的定义

现在有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？

VPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。

顾名思义，虚拟专用网[2]不是真的专用网络，但却能够实现专用网络的功能。

虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。

在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用

第7页

共29页

某种公众网的资源动态组成的。

IETF草案理解基于IP的VPN为：

"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。

所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。

所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。

我们所要构建的虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。

它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个

或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。

这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。

VPN是基于公网,利用隧道加密等技术,为用户提供的虚拟专用网络,它给用户一种直接连接到私人局域网的感觉。

用户在电信部门租用的帧中继[3]（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。

如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。

更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、

ATM数据网络也不会像Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。

而在Internet上，VPN使用者可以控制自己与其它使用者的联系，同时支持拨号的用户。

所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是FrameRelay或ATM等提供虚拟固定线路（PVC）服务的网络。

1.3VPN的特点

安全保障 ：

虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。

在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。

在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。

企业必须确保其VPN上传送

的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

ExtranetVPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

服务质量保证（QoS）：

VPN网应当为企业数据提供不同等级的服务质量保证。

不同的用户和业务对服务质量保证的要求差别较大。

如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。

所有以上网络应用均要求网络根据需要提供不同等级的服务质量。

在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。

广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。

QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

可扩充性和灵活性：

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

可管理性：

从用户角度和运营商的角度应可方便地进行管理、维护。

在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。

虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。

所以，一个完善的VPN管理系统是必不可少的。

VPN管理的目标为：

减小网络风险、具有高扩展性、经济性、高可靠性等优点。

事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

1.4VPN带来的好处

VPN的最终目的是服务于企业，为企业带来可观的经济效益，为现代化企业的信息共享提供安全可靠的途径[4]。

由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买

VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。

这就是VPN价格低廉的原因。

哪些用户适于使用VPN呢？

在满足基本应用要求后，有三类用户比较适合采用VPN：

①位置众多，特别是单个用户和远程办公室站点多，例如企业用户、远程教育用户；

②用户/站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信，甚至国际长途手段联系的用户；

③带宽和时延要求相对适中；

④对线路保密性和可用性有一定要求的用户。

相对而言，有四种情况可能并不适于采用VPN：

①非常重视传输数据的安全性；

②不管价格多少，性能都被放在第一位的情况；

③采用不常见的协议，不能在IP隧道中传送应用的情况；

④大多数通信是实时通信的应用，如语音和视频。

但这种情况可以使用公共交换电话网（PSTN）解决方案与VPN配合使用。

第二章隧道技术

2.1概述

众所周知，由于公共IP的短缺，我们在组建局域网时，通常使用保留地址作为内部IP，这些保留地址在Internet上是无法被路由的，所以在正常情况下我们无法直接通过Internet访问到在局域网内的主机。

为了实现这一目的，我们需要使用VPN隧道技术[5]。

隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。

2.2隧道协议

2.2.1隧道协议

隧道是由隧道协议形成的，分为第二、三层隧道协议，两者本质区别在于用户的数据包是被封装到哪一层的数据包在隧道里传输。

第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。

这种双层封装方法形成的数据包靠第二层协议进行传输。

第二层隧道协议有L2F、PPTP、L2TP等。

第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。

第三层隧道协议有VTP、IPSec、GRE等。

①PPTP（PointtoPointTunnelingProtocol）:

PPTP是VPN的基础。

PPTP的封装在数据链路层产生，PPTP协议采用扩展的GRE（Generic Routing

Encapsulation）头对PPP/SLIP报进行封装。

点对点隧道协议（PPTP）是一种网络协议，其通过跨越基于TCP/IP的数据网络创建VPN实现了从远程客户端到专用企业服务器之间数据的安全传输。

PPTP 支持通过公共网络（例如

Internet）建立按需的、多协议的、虚拟专用网络。

PPTP允许加密IP通讯，然后在要跨越公司IP网络或公共IP网络（如Internet）发送的IP头中对其进行封装。

PPTP连接只要求通过基于PPP的身份验证协议进行用户级身份验证。

②L2F（Layer2Forwording）:

L2F可在多种介质（如ATM、帧中继、IP网）上建立多协议的安全虚拟专用网，他将链路层的协议（如PPP等）封装起来传送。

因此网络的链路层完全独立于用户的链路层协议。

③L2TP（（Layer2TunnelingProtocol）:

L2TP协议是目前IETF的标准，由

IETF融合PPTP与L2F而形成,它结合了PPTP和L2F协议的优点，几乎能实现

PPTP和L2F协议能实现的所有服务，并且更加强大、灵活。

第 2 层隧道协议

（L2TP）是一种工业标准Internet隧道协议，其可以为跨越面向数据包的媒体发送点到点协议（PPP）框架提供封装。

L2TP允许加密IP通讯，然后在任何支持点到点数据报交付的媒体上（如IP）进行发送。

Microsoft的L2TP实现使用Internet协议安全（IPSec）加密来保护从VPN客户端到VPN服务器之间的数据流。

IPSec隧道模式允许加密IP数据包，然后在要跨越公司IP网络或公共IP网络（如Internet）发送的IP头中对其进行封装。

④IPSec：

在IP层提供通信安全的一套协议簇，包括封装的安全负载ESP和认证报头AH、ISAKMP，它对所有链路层上的数据提供安全保护和透明服务。

AH用于通信双方验证数据在传输过程中是否被更改并能验证发送方的身份，实现访问控制、数据完整性、数据源的认证功能。

ISAKMP用于通信双方协商加密密钥和加密算法，并且用户的公钥和私钥是由可信任的第三方产生。

IP Sec 上的 L2TP连接不仅需要相同的用户级身份验证，而且还需要使用计算机凭据进行计算机级身份验证。

2.2.2VPN协议比较

PPTP、L2F、L2TP和VTP、IP Sec、GRE，它们各自有自己的优点，但对于隧道的加密和数据加密问题都密钥最佳的解决方案。

同时，无论何种隧道技术，一旦进行加密或验证，都会影响系统的性能。

与PPTP相比，L2TP能够提供差错和流量控制。

两者共有的缺点：

其一、认证的只是终端的实体，密钥对信息流（通道中的数据包）进行认证，对于地址欺骗、非法复制包难以防范；其二、由于缺乏认证信息，如果向通道发送一些错误信息，则可能导致服务的关闭，这也成为常用的攻击手段。

GRE只提供了数据包的封装，它并没有使用加密功能来防止网络侦听和攻击。

在实际环境中它常和IPSec一起使用，由IPSec提供用户数据的加密，从而给用户提供更好的安全性[6]。

只有IP Sec协议集合多种安全技术，建立了一个安全可靠的隧道。

这些技术包括Diffie-Hellman密钥交换技术、DES、RC4、IDEA数据加密技术、哈希散列算法HMAC、MD5、SHA、数字签名技术等[7]。

IPSec不仅可以保证隧道的安全，同时还有一整套保证用户数据安全的措施，由此建立的隧道更具有安全性和可靠性。

IPSec还可以和L2TP、GRE等其它隧道协议一同使用，提供更大的灵活性和可靠性。

IPSec可以运行于网络的任意一部分，他可以在路由器和防火墙之间、路由器和路由器之间、PC机和服务器之间、PC机和拨号和访问设备之间。

IP

Sec应作为目前较满意的解决方案。

下面对VPN协议进行了比较,如表2.1所示。

表2.1VPN协议的比较

协议

用途

安全

注释

IPSec隧道模式

连接到第三方VPN服务器

高

这是在您连接到非MicrosoftVPN服务器时可以使用的唯一选项。

IPSec上的

L2TP

连接到ISAServer2004计算机、ISAServer2000计算机或WindowsVPN服务器

高

使用路由和远程访问在复杂性方面比 IP

Sec隧道解决方案低，但是需要远程VPN

服务器是ISA服务器计算机或Windows

VPN服务器。

PPTP

连接到ISAServer2004计算机、ISAServer2000计算机或WindowsVPN服务器

中

使用路由和远程访问在限制方面与L2TP相同，不同之处在于其更易于配置。

由于使用IPSec加密，因此L2TP被视为是一种更加安全的解决方案。

2.3隧道技术实现过程

其实现过程如图1所示：

图1 隧道示意图

通常情况下，VPN网关采用双网卡结构，外网卡使用公共IP接入Internet；如果网络一的终端A需要访问网络二的终端B，其发出的访问数据包的目标地址为终端B的IP（内部IP）；

网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新的数据包（VPN数据包），并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址；

网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网关；

网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。

解包的过程主要是先将VPN数据包的包头剥离，在将负载通VPN技术反向处理还原成原始的数据包；

网络二的VPN网关将还原后的原始数据包发送至目标终端，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。

在终端B看来，它收到的数据包就从终端A直接发过来的一样；

从终端B返回终端A的数据包处理过程与上述过程一样，这样两个网络内的终端就可以相互通讯了。

2.4隧道中的源和目标IP地址

隧道是封装、路由与解封装的整个过程。

隧道将原始数据包隐藏（或封装）在新的数据包内部。

该新的数据包可能会有新的寻址与路由信息，从而使其能够通过网络传输。

隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目标）。

封装的数据包在网络中的隧道内部传输。

封装的数据包到达目的地后，会删除封装，原始数据包头用于将数据包路由到最终目的地。

第22页

共29页

隧道本身是封装数据经过的逻辑数据路径。

对原始的源和目的端，隧道是不可见的，而只能看到网络路径中的点对点连接。

连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。

将隧道和数据保密性结合使用时，可用于提供VPN。

通过上述说明我们可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN隧道通讯十分重要：

原始数据包的目标地址（VPN目标地址）和远程

VPN网关地址。

根据VPN目标地址，VPN网关能够判断对哪些数据包需要进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由[8]；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端

VPN网关地址。

由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

第三章VPN中的安全技术

由于传输的是私有信息，VPN用户对数据的安全性都比较关心。

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）、使用

者与设备身份认证技术（Authentication）[9]。

隧道技术在第二章已经加已说明,下面就其它三种安全技术[6]做相应说明。

3.1加解密技术（Encryption&Decryption）

加解密技术是数据通信中较成熟的技术，VPN可以直接利用现有的技术。

用于VPN上的加密技术由IPSec的ESP（EncapsulatingSecurityPaylcad）实现。

主要是发送者在发送数据以前对数据加密，当数据到达接收者时由接收者对数据进行解密处理，算法主要种类包括：

对称加密算法、不对称加密算法等，如

DES、IDEA、RSA。

对称加密算法，通信双方共享一个密钥。

发送方使用该密钥将明文加密成密文。

接收方使用相同的密钥将密文还原成明文，对称加密算法运算速度快。

不对称加密算法是通信双方各使两个不同的密钥，一个是只有发送方知道的密钥，另一个则是与之对应的公开密钥，公开密钥不需保密。

在通信过程中，发送方用接收方的公开密钥加密信息，并且可以用发送方的秘密密钥