首先为需要通信的两个私有网络地址定义一个IP流,流的建立可以使用IP层以上某个协议的端口。定义IPSec隧道的源和目的地址信息,这个源和目的地址是公网信息。配置缺省路由,下一跳指向IPSec隧道源地址所在链路的对端地址。在进行VPN通信时,所有去往对端VPN的报文在出接口时进行IPSec封装,到对端后拆封装,然后再进行转发。
3.L2TP隧道
L2TP有v2和v3两个版本,提供对L2TPv2的支持,其封装形式如图2-4所示:
L2TPv2:IPUDPL2TPPDU (L2 Frame)图 2-4 L2TPv2的报文封装格式
L2TPv2支持PPP方式的二层封装,通过UDP承载。L2TPv2应用于VPDN,只要实现L2TP就可以完成VPDN的功能。L2TP隧道支持拥塞控制和隧道端点验证。在L2TP隧道两端建立IPSec安全机制可以保证VPDN的安全性。
4.LSP
在MPLS网络中,边缘路由器对报文打上MPLS标签,网络内部路由器根据标签对报文进行转发。标签报文所经过的路径称为标签交换路径LSP(Label Switched Path)。
VPN既可以让客户连接到公网所能够达到的任何地方,也可以容易地解决保密性、安全性、可管理性等问题,降低网络的使用成本。
VPN的具体实现是采用隧道技术,在公网中建立企业之间的链接,将用户的数据封装在隧道中进行传输。隧道技术与接入方式无关,它可以支持各种形式的接入,如拨号方式接入、CABLE Modem、xDSL以及ISDN、E1专线和无线接入等。一个隧道协议通常包括以下几个方面:
1)乘客协议——被封装的协议,如PPP、SLIP;
2)封装协议——隧道的建立、维持和断开,如L2TP、IPSec等; 3)承载协议——承载经过封装后的数据包的协议,如IP和ATM等。 目前因特网上较为常见的隧道协议大致有两类:第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPSec。第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。其中GRE和IPSec主要用于实现专线VPN业务,L2TP主要用于实现拨号VPN业务,也可用于实现专线VPN业务。
2.5 VPN的安全问题
VPN直接构建在公用网上,其实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。VPN的安全措施包括以下方面:
1.隧道与加密:
第 8 页 共29 页
隧道能实现多协议封装,增加VPN应用的灵活性,可以在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
2.数据验证:
在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。采用数据验证可以使接收方识别这种篡改,保证了数据的完整性。
3.用户验证:
VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通过路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。
4.防火墙与攻击检测: 防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,并产生非法访问记录。
VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的公用网络上,一个企业的虚拟专用网将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。要实现这些功能需要我们构建一个合理的VPN方案。
2.6 构建VPN的要求
根据不同的需求、选择适合自身业务和网络需求的方案,并综合考虑产品的性能、特点和整体投资,是企事业IT人员甚至高层决策的根本出发点。一些对数据的稳定性和保密性要求特别高的用户,例如银行、证券、重要的政府机关等等,绝对禁止网络接入Internet,当然会优先考虑采用专用线路。即使选择VPN产品也存在着不同的层次,有适合大型企业的产品、有适合中等规模网络的产品、也有适用于小企业的产品;不同层次的产品又有不同的性能、技术特点和价格。但无论哪个层次的VPN产品,由于其在Internet上构建网络平台的共同特征,有以下几点是用户在选择VPN时都必须考虑的问题:
第 9 页 共29 页
1.稳定性:
VPN是企业的基础网络平台之一,企业的很多应用系统都将在VPN平台上进行。所以,VPN系统的稳定性必须满足企业的业务应用需要,而不能出现经常性的网络中断,导致业务的中断。一般来说,规模越大的企业、对VPN平台的使用越频繁,对稳定性的要求就越高。也有部分中小规模的企业,由于其对系统的依赖性非常强,所以也需要稳定的VPN网络。
2.安全性:
VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是企业的私密信息、不允许为无关人员所知,同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。
所以,综合考虑用户的具体应用和需求,VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。
3.速度: 虽然说现有的宽带已经远远好于过去的窄带网络(如MODEM),但用户对带宽的要求是无止境的。另外,由于VPN网络承载的是企业的内部应用,如文件共享、拷贝等,习惯了局域网内10M/100M速度的用户,对速度的要求也非常高,应用的速度也会极大的影响企业的运作效率。
VPN由于对数据进行了安全性的封装,同时进行了加密处理,从原理上说、就会比实际的Internet接入带宽要低。高端的VPN处理速度快,而低端的设备由于处理器性能较差极大的影响了VPN速度。
2.7 构建VPN的步骤
1.建立VPN网络之前,应首先考虑整个VPN架构,是实现远程局域网互联,还是提供远程用户访问,还是两者兼有。针对不同的要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)。
2.另外还要考虑VPN隧道连接的启动方式,是单向启动还是双向。若VPN隧道需长时间工作,则可采用单向启动隧道连接,在这种方式下,通常将总部VPN路由器作为VPN服务器,只能接受隧道建立请求;分支VPN路由器作为VPN客户机,只能请求建立隧道。若隧道按需建立,可考虑采用双向启动连接。
3.要确定选择何种VPN隧道协议。
4.要决定选择硬件VPN还是软件VPN方案。VPN的加密传输机制需要系统开销,硬件VPN的加密和解密由硬件完成,因此性能较好。软件VPN方案价格低廉且更具灵活性,但在性能及安全性上不及硬件VPN。实际应用中可采取软硬结合,以现有网络设备为基础,再配以适当的VPN软件来实现VPN。
第 10 页 共29 页
2.8 构建VPN的安全问题及解决方法
为了实现网络信息系统的安全目标,保证内部网与公网之间信息安全传输,实现不同层级互访的加密保护、访问控制和安全身份认证等安全措施,需要为VPN网络设计安全解决方案。
为了实现VPN的授权用户与企业局域网资源的自由连接、不同分支机构之间的资源共享,并且能够确保企业数据在公网或企业内部网上传输时安全性不受到破坏,可行的VPN方案必须满足以下所有要求:
1.用户验证。VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外,方案还必须能够提供审计和计费功能,显示何人在何时访问了何种信息。
2.地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。
3.数据加密。对通过公网传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。
4.密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。 5.多协议支持。VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP等。
第 11 页 共29 页