VPN技术与应用研究.docx
- 文档编号:16454160
- 上传时间:2023-07-13
- 格式:DOCX
- 页数:31
- 大小:604.96KB
VPN技术与应用研究.docx
《VPN技术与应用研究.docx》由会员分享,可在线阅读,更多相关《VPN技术与应用研究.docx(31页珍藏版)》请在冰点文库上搜索。
VPN技术与应用研究
摘要
虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。
其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、FrameRelay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。
它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
关键词:
VPN,Tunnel,L2TP,PPTP,IPsec.
Abstract
VPN(VirtualPrivateNetwork,hereinafterreferredtoasVPN)referstointhepublicNetworkbuildspecial-purposeNetworktechnology.It'scalledthis,mainlybecausetheVPNnetworkofanytwonodesandnottheconnectionbetweenthetraditionalprivatenetworktheend-to-endphysicallink,butarchitectureinthepublicInternetserviceprovidersprovidethenetworkplatform,suchastheInternet,ATM(asynchronoustransfermode>,FrameRelay(FrameRelay)andthelogicofabove,userdatanetworkinthetransmissionoflogicallink.Itcoversthecrosssharingnetworkorthepublicnetworkencapsulation,encryptionandidentityverificationoftheexpansionoftheprivatenetworklinks.VPNmainlyadoptsthecolorchanneltechnology,encryptiontechnology,keymanagementtechnologyandtheuseridentityauthenticationtechnologyandequipment.
Keywords:
VPN,Tunnel,L2TP,PPTP,IPsec.
目录
摘要
Abstract
第一章VPN发展背景1
1.1传统专网的缺陷1
1.2VPN的产生背景1
第二章VPN概述2
2.1什么是VPN2
2.2VPN的意义2
2.3VPN的工作原理2
2.4VPN的特点3
2.5VPN的分类3
2.5.1按VPN的协议分类3
2.5.2按VPN的应用分类3
2.5.3按所用的设备类型进行分类3
第三章实现VPN的关键技术和主要协议4
3.1实现VPN的关键技术4
3.1.1隧道技术4
3.1.2加解密认证技术4
3.1.3密钥管理技术5
3.1.4访问控制技术5
3.2VPN的主要安全协议6
3.2.1 PPTP/L2TP6
3.2.2 IPSec协议7
3.4隧道技术的实现过程8
3.5隧道中的源和目标IP地址9
第四章实例分析10
4.1需求分析10
4.2方案达到的目的11
4.3VPN组建方案网络拓扑图11
第五章各部分VPN设备的配置13
5.1公司总部到分支机构的ISAVPN配置13
5.1.1总部ISAVPN配置14
5.1.2支部ISAVPN配置17
5.1.3VPN连接19
5.1.4连接测试20
5.2公司总部站点到移动用户端的VPN配置21
5.2.1总部ISAVPN配置21
5.2.2移动用户端VPN配置23
5.2.3连接测试24
致谢25
参考文献26
第一章VPN发展背景
1.1传统专网的缺陷
最初,电信运营商是以租赁专线(LeasedLine)的方式为企业提供二层链路,这种方式的主要缺点是:
1)建设时间长
2)价格昂贵
3)难于管理
此后,随着ATM(AsynchronousTransferMode)和帧中继(FrameRelay)技术的兴起,电信运营商转而使用虚电路方式为客户提供点到点的二层连接,客户再在其上建立自己的三层网络以承载IP等数据流。
虚电路方式与租赁专线相比,运营商网络建设时间短、价格低,能在不同专网之间共享运营商的网络结构。
这种传统专网的不足在于:
1)依赖于专用的介质(如ATM或FR):
为提供基于ATM的VPN服务,运营商需要建立覆盖全部服务范围的ATM网络;为提供基于FR的VPN服务,又需要建立覆盖全部服务范围的FR网络。
网络建设成本高。
2)速率较慢:
不能满足当前Internet应用对于速率的要求。
3)部署复杂:
向已有的私有网络加入新的站点时,需要同时修改所有接入此站点的边缘节点的配置。
1.2VPN的产生背景
传统专网的应用,促使了企业效益的日益增长,但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。
这促使了一种新的替代方案的产生——在现有IP网络上模拟传统专网;这种新的解决方案就是虚拟专用网VPN(VirtualPrivateNetwork)。
VPN是依靠Internet服务提供商ISP(InternetServiceProvider)和网络服务提供商NSP(NetworkServiceProvider)在公共网络中建立的虚拟专用通信网络。
第二章VPN概述
2.1什么是VPN
VPN(VirtualPrivateNetwork,简称VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。
利用公网来构建的私有专用网络称为VPN。
可以用于构建VPN的公共网络包括Internet,帧中继,ATM等。
在公共网络上组建的VPN像企业现有的私有网络一样提供安全性,可靠性和可管理性等。
利用基于IP协议族的Internet实现VPN的核心技术是各种隧道技术。
通过隧道,企业私有数据可以跨越公共网络安全地传递。
对于广域网连接,传承的组网方式是通过专线或者电路交换连接来实现的。
而VPN是利用服务提供商所提供的公共网络来建设虚拟的隧道,在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立广域连接,保证连通性,同时也可以保证安全性。
2.2VPN的意义
在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用DDN(数字数据网)专线或帧中继。
这样的通讯方案必然导致高昂的网络通讯/维护费用。
对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
虚拟专用网的提出就是来解决这些问题:
(1)使用VPN可降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。
(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
(3)连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。
(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。
在企业内部也可以自己建立虚拟专用网。
2.3VPN的工作原理
VPN通过公众IP网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。
减轻了企业的远程访问费用负担,节省电话费用开支,并且提供了安全的端到端的数据通讯。
2.4VPN的特点
1)安全保障
VPN通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有和安全性。
2)服务质量保证(QoS)
VPN可以不同要求提供不同等级的服务质量保证。
3)可扩充性和灵活性
VPN支持通过Internet和Extranet的任何类型的数据流。
4)可管理性
VPN可以从用户和运营商角度方便进行管理。
2.5VPN的分类
根据不同的划分标准,VPN可以按几个标准进行分类划分
2.5.1按VPN的协议分类
VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。
L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
2.5.2按VPN的应用分类
1)AccessVPN(远程接入VPN):
客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量
2)IntranetVPN(内联网VPN):
网关到网关,通过公司的网络架构连接来自同公司的资源
3)ExtranetVPN(外联网VPN):
与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接
2.5.3按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
1)路由器式VPN:
路由器式VPN部署较容易,只要在路由器上添加VPN服务即可
2)交换机式VPN:
主要应用于连接用户较少的VPN网络
3)防火墙式VPN:
防火墙式VPN是最常见的一种VPN的实现方式。
第三章实现VPN的关键技术和主要协议
3.1实现VPN的关键技术
3.1.1隧道技术
隧道技术(Tunneling)是VPN的底层支撑技术,所谓隧道,实际上是一种封装,就是将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用网络的透明性。
这里协议X被称为被封装协议,协议Y被称为封装协议,封装时一般还要加上特定的隧道控制信息,因此隧道协议的一般形式为((协议Y)隧道头(协议X))。
在公用网络(一般指因特网)上传输过程中,只有VPN端口或网关的IP地址暴露在外边。
隧道解决了专网与公网的兼容问题,其优点是能够隐藏发送者、接受者的IP地址以及其它协议信息。
VPN采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务,以确保信息资源的安全。
隧道是由隧道协议形成的。
隧道协议分为第二、第三层隧道协议,第二层隧道协议如L2TP、PPTP、L2F等,他们工作在OSI体系结构的第二层(即数据链路层);第三层隧道协议如IPSec,GRE等,工作在OSI体系结构的第三层(即网络层)。
第二层隧道和第三层隧道的本质区别在于:
用户的IP数据包被封装在不同的数据包中在隧道中传输。
第二层隧道协议是建立在点对点协议PPP的基础上,充分利用PPP协议支持多协议的特点,先把各种网络协议(如IP、IPX等)封装到PPP帧中,再把整个数据包装入隧道协议。
PPTP和L2TP协议主要用于远程访问虚拟专用网。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠网络层协议进行传输。
无论从可扩充性,还是安全性、可靠性方面,第三层隧道协议均优于第二层隧道协议。
IPSec即IP安全协议是目前实现VPN功能的最佳选择。
3.1.2加解密认证技术
加解密技术是VPN的另一核心技术。
为了保证数据在传输过程中的安全性,不被非法的用户窃取或篡改,一般都在传输之前进行加密,在接受方再对其进行解密。
密码技术是保证数据安全传输的关键技术,以密钥为标准,可将密码系统分为单钥密码(又称为对称密码或私钥密码)和双钥密码(又称为非对称密码或公钥密码)。
单钥密码的特点是加密和解密都使用同一个密钥,因此,单钥密码体制的安全性就是密钥的安全。
其优点是加解密速度快。
最有影响的单钥密码就是美国国家标准局颁布的DES算法(56比特密钥)。
而3DES(112比特密钥)被认为是目前不可破译的。
双钥密码体制下,加密密钥与解密密钥不同,加密密钥公开,而解密密钥保密,相比单钥体制,其算法复杂且加密速度慢。
所以现在的VPN大都采用单钥的DES和3DES作为加解密的主要技术,而以公钥和单钥的混合加密体制(即加解密采用单钥密码,而密钥传送采用双钥密码)来进行网络上密钥交换和管理,不但可以提高了传输速度,还具有良好的保密功能。
认证技术可以防止来自第三方的主动攻击。
一般用户和设备双方在交换数据之前,先核对证书,如果准确无误,双方才开始交换数据。
用户身份认证最常用的技术是用户名和密码方式。
而设备认证则需要依赖由CA所颁发的电子证书。
目前主要有的认证方式有:
简单口令如质询握手验证协议CHAP和密码身份验证协议PAP等;动态口令如动态令牌和X.509数字证书等。
简单口令认证方式的优点是实施简单、技术成熟、互操作性好,且支持动态地加载VPN设备,可扩展性强。
3.1.3密钥管理技术
密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥,而不被窃取。
目前密钥管理的协议包括ISAKMP、SKIP、MKMP等。
Internet密钥交换协议IKE是Internet安全关联和密钥管理协议ISAKMP语言来定义密钥的交换,综合了Oakley和SKEME的密钥交换方案,通过协商安全策略,形成各自的验证加密参数。
IKE交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥。
IKE协议是目前首选的密钥管理标准,较SKIP而言,其主要优势在于定义更灵活,能适应不同的加密密钥。
IKE协议的缺点是它虽然提供了强大的主机级身份认证,但同时却只能支持有限的用户级身份认证,并且不支持非对称的用户认证。
3.1.4访问控制技术
虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。
由VPN服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限,以此实现基于用户的细粒度访问控制,以实现对信息资源的最大限度的保护。
访问控制策略可以细分为选择性访问控制和强制性访问控制。
选择性访问控制是基于主体或主体所在组的身份,一般被内置于许多操作系统当中。
强制性访问控制是基于被访问信息的敏感性。
3.2VPN的主要安全协议
在实施信息安全的过程中,为了给通过非信任网络的私有数据提供安全保护,通讯的双方首先进行身份认证,这中间要经过大量的协商,在此基础上,发送方将数据加密后发出,接受端先对数据进行完整性检查,然后解密,使用。
这要求双方事先确定要使用的加密和完整性检查算法。
由此可见,整个过程必须在双方共同遵守的规范(协议)下进行。
VPN区别于一般网络互联的关键是隧道的建立,数据包经过加密后,按隧道协议进行封装、传送以保证安全性。
一般,在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有PPTP,L2TP等;在网络层实现数据封装的协议叫第三层隧道协议,如IPSec。
另外,SOCKSv5协议则在TCP层实现数据安全。
3.2.1 PPTP/L2TP
1996年,Microsoft和Ascend等在PPP协议的基础上开发了PPTP,它集成于WindowsNTServer4.0中,WindowsNTWorkstation和Windows9.X也提供相应的客户端软件。
PPP支持多种网络协议,可把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输。
PPTP提供流量控制,减少拥塞的可能性,避免由于包丢弃而引发包重传的数量。
PPTP的加密方法采用Microsoft点对点加密(MPPE:
MicrosoftPoint-to-Point)算法,可以选用较弱的40位密钥或强度较大的128位密钥。
1996年,Cisco提出L2F(Layer2Forwarding)隧道协议,它也支持多协议,但其主要用于Cisco的路由器和拨号访问服务器。
1997年底,Microsoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起,形成了L2TP协议。
L2TP支持多协议,利用公共网络封装PPP帧,可以实现和企业原有非IP网的兼容。
还继承了PPTP的流量控制,支持MP(MultilinkProtocol),把多个物理通道捆绑为单一逻辑信道。
L2TP使用PPP可靠性发送(RFC1663)实现数据包的可靠发送。
L2TP隧道在两端的VPN服务器之间采用口令握手协议CHAP来验证对方的身份.L2TP受到了许多大公司的支持.
PPTP/L2TP协议的优点:
PPTP/L2TP对用微软操作系统的用户来说很方便,因为微软己把它作为路由软件的一部分。
PPTP/L2TP支持其它网络协议。
如NOWELL的IPX,NETBEUI和APPLETALK协议,还支持流量控制。
它通过减少丢弃包来改善网络性能,这样可减少重传。
PPTP/L2TP协议的缺点:
PM和L2TP将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的用户身份就不再需要,这样可能带来问题,它不对两个节点间的信息传输进行监视或控制。
PPTP和L2TP限制同时最多只能连接255个用户,端点用户需要在连接前手工建立加密信道,认证和加密受到限制,没有强加密和认证支持。
PPTP/L2TP最适合于远程访问VPN.
3.2.2 IPSec协议
IPSec是IETF(InternetEngineerTaskForce)正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。
通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。
IPSec由IP认证头AH(AuthenticationHeader)、IP安全载荷封载ESP(EncapsulatedSecurityPayload)和密钥管理协议组成。
IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。
IPSec适应向IPv6迁移,它提供所有在网络层上的数据保护,提供透明的安全通信。
IPSec用密码技术从三个方面来保证数据的安全。
即:
认证:
用于对主机和端点进行身份鉴别。
完整性检查:
用于保证数据在通过网络传输时没有被修改。
加密:
加密IP地址和数据以保证私有性。
IPSec协议可以设置成在两种模式下运行:
一种是隧道模式,一种是传输模式。
在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中,这样保护从一个防火墙到另一个防火墙时的安全性。
在隧道模式下,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。
隧道模式是最安全的,但会带来较大的系统开销。
IPSec现在还不完全成熟,但它得到了一些路由器厂商和硬件厂商的大力支持。
预计它今后将成为虚拟专用网的主要标准。
IPSec有扩展能力以适应未来商业的需要。
在1997年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(InternetSecurityAssociationandKayManagementProtocol)协议,其中还包括一个密钥分配协议Oakley。
ISAKMP/Oakley支持自动建立加密信道,密钥的自动安全分发和更新。
IPSec也可用于连接其它层己存在的通信协议,如支持安全电子交易(SET:
SecureElectronicTransaction)协议和SSL(SecureSocketlayer)协议。
即使不用SET或SSL,IPSec都能提供认证和加密手段以保证信息的传输。
3.3VPN协议的比较
3.4隧道技术的实现过程
通常情况下,VPN网关采用的双网卡的结构卡使用公共的IP接入Internet;
如果网络一的终端A需要访问网络二的终端B,其发出的访问数据包的目标地址为终端B的IP(内部IP);
网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新的数据包(VPN数据包),并将封装后的原数据包作VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址;
网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关外部地址,所以该数据包将被Internet中的路由正确地发送到网关;
网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判断该数据包为VPN数据包,并对该数据包进行解包处理。
解包的过程主要是先将VPN数据包的包头剥离,在将负载通VPN技术反向处理还原成原始的数据包;
网络二的VPN网关将还原以后的原始数据包发送至目标终端,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送端B。
在终端B看来。
它收到的数据包就从终端A直接发过来的一样;
从终端B返回终端A的数据包处理过程与上述过程一样,这样两个网络内的终端就可以相互通讯了。
3.5隧道中的源和目标IP地址
隧道是封装、路由与解封装的整个过程。
隧道将原始数据包隐藏(或封装)在新的数据包内部。
该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传输。
隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。
封装的数据包头用于将数据包路由到最终目的地。
隧道本身是封装数据经过的逻辑数据路径。
对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。
连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。
将隧道和数据保护密性结合使用时,可用于提供VPN。
通过上述说明我们可以发下,在VPN网关对数据包进行处理时,有两个参数对于VPN
隧道通讯十分重要:
原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。
根据VPN目标地址,VPN网关能够判断对哪些数据包需要进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。
由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
第四章实例分析
VPN的具体实现方案有很多,实际应用中应根据用户的需求、用户资源现状、承载网络资源现状、投资效益以及相关技术比较等多种因
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 技术 应用 研究