VPN實現技術

虛擬專用網（Virtual Private Network，VPN）是一種“基於公共數據網，給用戶一種直接連線到私人區域網路感覺的服務”。VPN極大地降低了用戶的費用，而且提供了比傳統方法更強的安全性和可靠性。VPN可分為三大類：（1）企業各部門與遠程分支之間的Intranet VPN；（2）企業網與遠程（移動）雇員之間的遠程訪問（Remote Access）VPN；（3）企業與合作夥伴、客戶、供應商之間的Extranet VPN。

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可靠的認證機制。

VPN要發展其性能至少不應該低於傳統方法。儘管網路速度不斷提高，但在Internet時代，隨著電子商務活動的激增，網路擁塞經常發生，這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平台，管理員定義管理政策來激活基於重要性的出入口頻寬分配。這樣既能確保對數據丟失有嚴格要求和高優先權套用的性能，又不會“餓死”，低優先權的套用。

由於網路設施、套用不斷增加，網路用戶所需的IP位址數量持續增長，對越來越複雜的網路管理，網路安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平台要有一個定義安全政策的簡單方法，將安全政策進行分布，並管理大量設備。

在Extranet VPN中，企業要與不同的客戶及供應商建立聯繫，VPN解決方案也會不同。因此，企業的VPN產品應該能夠同其他廠家的產品進行互操作。這就要求所選擇的VPN方案應該是基於工業標準和協定的。這些協定有IPSec、點到點隧道協定（Point to Point Tunneling Protocol，PPTP）、第二層隧道協定（Layer 2 Tunneling Protocol，L2TP）等。

VPN實現的兩個關鍵技術是隧道技術和加密技術，同時QoS技術對VPN的實現也至關重要。

首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術和加密技術。

隧道技術簡單的說就是：原始報文在A地進行封裝，到達B地後把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝（Generic Routing Encapsulation，GRE）L2TP和PPTP。

1、GRE

GRE主要用於源路由和終路由之間所形成的隧道。例如，將通過隧道的報文用一個新的報文頭（GRE報文頭）進行封裝然後帶著隧道終點地址放入隧道中。當報文到達隧道終點時，GRE報文頭被剝掉，繼續原始報文的目標地址進行定址。 GRE隧道通常是點到點的，即隧道只有一個源地址和一個終地址。然而也有一些實現允許點到多點，即一個源地址對多個終地址。這時候就要和下一跳路由協定（Next-Hop Routing Protocol，NHRP）結合使用。NHRP主要是為了在路由之間建立捷徑。

GRE隧道用來建立VPN有很大的吸引力。從體系結構的觀點來看，VPN就象是通過普通主機網路的隧道集合。普通主機網路的每個點都可利用其地址以及路由所形成的物理連線，配置成一個或多個隧道。在GRE隧道技術中入口地址用的是普通主機網路的地址空間，而在隧道中流動的原始報文用的是VPN的地址空間，這樣反過來就要求隧道的終點應該配置成VPN與普通主機網路之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網路的路由信息中隔離出來，多個VPN可以重複利用同一個地址空間而沒有衝突，這使得VPN從主機網路中獨立出來。從而滿足了VPN的關鍵要求：可以不使用全局唯一的地址空間。隧道也能封裝數量眾多的協定族，減少實現VPN功能函式的數量。還有，對許多VPN所支持的體系結構來說，用同一種格式來支持多種協定同時又保留協定的功能，這是非常重要的。IP路由過濾的主機網路不能提供這種服務，而只有隧道技術才能把VPN私有協定從主機網路中隔離開來。基於隧道技術的VPN實現的另一特點是對主機網路環境和VPN路由環境進行隔離。對VPN而言主機網路可看成點到點的電路集合，VPN能夠用其路由協定穿過符合VPN管理要求的虛擬網。同樣，主機網路用符合網路要求的路由設計方案，而不必受VPN用戶網路的路由協定限制。

雖然GRE隧道技術有很多優點，但用其技術作為VPN機制也有缺點，例如管理費用高、隧道的規模數量大等。因為GRE是由手工配置的，所以配置和維護隧道所需的費用和隧道的數量是直接相關的——每次隧道的終點改變，隧道要重新配置。隧道也可自動配置，但有缺點，如不能考慮相關路由信息、性能問題以及容易形成迴路問題。一旦形成迴路，會極大惡化路由的效率。除此之外，通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文（進入隧道前的）進行的話，就會影響路由傳送速率的能力及服務性能。

GRE隧道技術是用在路由器中的，可以滿足Extranet VPN以及Intranet VPN的需求。但是在遠程訪問VPN中，多數用戶是採用撥接。這時可以通過L2TP和PPTP來加以解決。

2、L2TP和PPT

L2TP是L2F（Layer 2 Forwarding）和PPTP的結合。但是由於PC機的桌面作業系統包含著PPTP，因此PPTP仍比較流行。隧道的建立有兩種方式即：“用戶初始化”隧道和“NAS初始化”（Network Access Server）隧道。前者一般指“主動”隧道，後者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的，而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。

L2TP作為“強制”隧道模型是讓撥號用戶與網路中的另一點建立連線的重要機制。建立過程如下：①用戶通過Modem與NAS建立連線；②用戶通過NAS的L2TP接入伺服器身份認證；③在政策配置檔案或NAS與政策伺服器進行協商的基礎上，NAS和L2TP接入伺服器動態地建立一條L2TP隧道；④用戶與L2TP接入伺服器之間建立一條點到點協定（Point to Point Protocol，PPP）訪問服務隧道；⑤用戶通過該隧道獲得VPN服務。

與之相反的是，PPTP作為“主動”隧道模型允許終端系統進行配置，與任意位置的PPTP伺服器建立一條不連續的、點到點的隧道。並且，PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網路服務。PPTP建立過程如下：①用戶通過串口以撥號IP訪問的方式與NAS建立連線取得網路服務；②用戶通過路由信息定位PPTP接入伺服器；③用戶形成一個PPTP虛擬接口；④用戶通過該接口與PPTP接入伺服器協商、認證建立一條PPP訪問服務隧道；⑤用戶通過該隧道獲得VPN服務。

在L2TP中，用戶感覺不到NAS的存在，仿佛與PPTP接入伺服器直接建立連線。而在PPTP中，PPTP隧道對NAS是透明的；NAS不需要知道PPTP接入伺服器的存在，只是簡單地把PPTP流量作為普通IP流量處理。

採用L2TP還是PPTP實現VPN取決於要把控制權放在NAS還是用戶手中。L2TP比PPTP更安全，因為L2TP接入伺服器能夠確定用戶從哪裡來的。L2TP主要用於比較集中的、固定的VPN用戶，而PPTP比較適合移動的用戶。

數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權者不能了解被保護信息的內容。加密算法有用於Windows95的RC4、用於IPSec的DES和三次DES。RC4雖然強度比較弱，但是保護免於非專業人士的攻擊已經足夠了；DES和三次DES強度比較高，可用於敏感的商業信息。

加密技術可以在協定棧的任意層進行；可以對數據或報文頭進行加密。在網路層中的加密標準是IPSec。網路層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”：加密只在路由器中進行，而終端與第一跳路由之間不加密。這種方法不太安全，因為數據從終端系統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統的標準；而“隧道模式”方案，VPN安全粒度只達到子網標準。在鏈路層中，目前還沒有統一的加密標準，因此所有鏈路層加密方案基本上是生產廠家自己設計的，需要特別的加密硬體。

通過隧道技術和加密技術，已經能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩定，管理上不能滿足企業的要求，這就要加入QoS技術。實行QoS應該在主機網路中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。

不同的套用對網路通信有不同的要求，這些要求可用如下參數給予體現：

·頻寬：網路提供給用戶的傳輸率；

·反應時間：用戶所能容忍的數據報傳遞延時；

·抖動：延時的變化；

·丟失率：數據包丟失的比率。

網路資源是有限的，有時用戶要求的網路資源得不到滿足、通過QoS機制對用戶的網路資源分配進行控制以滿足套用的需求。QoS機制具有通信處理機制以及供應（Provisioning）和配置（Configuration）機制。通信處理機制包括802.1p、區分服務（differentiated service per-hop-behaviors，DiffServ）、綜合服務（integrated services，IntServ）等等。現在大多數區域網路是基於IEEE802技術的，如乙太網、令牌環、FDDI等，802.1p為這些區域網路提供了一種支持QoS的機制。802.1p對鏈路層的802報文定義了一個可表達8種優先權的欄位。802.1p優先權只在區域網路中有效，一旦出了區域網路，通過第三層設備時就被移走。DiffServ則是第三層的QoS機制，它在IP報文中定義了一個欄位稱DSCP（DiffServ codepoint）。DSCP有六位，用作服務類型和優先權，路由器通過它對報文進行排隊和調度。與802.1p、DiffServ不同的是，IntServ是一種服務框架，目前有兩種：保證服務和控制負載服務。保證服務許諾在保證的延時下傳輸一定的通信量；控制負載服務則同意在網路輕負載的情況下傳輸一定的通信量。典型地，IntServ與資源預留協定（Resource reservation Protocol，RSVP）相關。IntServ服務定義了允許進入的控制算法，決定多少通信量被允許進入網路中。

供應和配置機制包括RSVP、子網頻寬管理（subnet bandwidth manager，SBM）、政策機制和協定以及管理工具和協定。這裡供應機制指的是比較靜態的、比較長期的管理任務，如：網路設備的選擇、網路設備的更新、接口添加刪除、拓撲結構的改變等等。而配置機制指的是比較動態、比較短期的管理任務，如：流量處理的參數。

RSVP是第三層協定，它獨立於各種的網路媒介。因此，RSVP往往被認為介於套用層（或作業系統）與特定網路媒介QoS機制之間的一個抽象層。RSVP有兩個重要的訊息：PATH訊息，從傳送者到接收者；RESV訊息，從接收者到始發者。 RSVP訊息包含如下信息：①網路如何識別一個會話流（分類信息）；②描述會話流的定量參數（如數據率）；③要求網路為會話流提供的服務類型；④政策信息（如用戶標識）。RSVP的工作流程如下：

·會話傳送者首先傳送PATH訊息，沿途的設備若支持RSVP則進行處理，否則繼續傳送；

·設備若能滿足資源要求，並且符合本地管理政策的話，則進行資源分配，PATH訊息繼續傳送，否則向傳送者傳送拒絕訊息；

·會話接收者若對傳送者要求的會話流認同，則傳送RESV訊息，否則傳送拒絕訊息；

·當傳送者收到RESV訊息時，表示可以進行會話，否則表示失敗。

SBM是對RSVP功能的加強，擴大了對共享網路的利用。在共享子網或LAN中包含大量交換機和網路集線器，因此標準的RSVP對資源不能充分利用。支持RSVP的主機和路由器同意或拒絕會話流，是基於它們個人有效的資源而不是基於全局有效的共享資源。結果，共享子網的RSVP請求導致局部資源的負載過重。SBM可以解決這個問題：協調智慧型設備。包括：具有SBM能力的主機、路由器以及交換機。這些設備自動運行一選舉協定，選出最合適的設備作為DSBM（designated SBM）。當交換機參與選舉時，它們會根據第二層的拓撲結構對子網進行分割。主機和路由器發現最近的DSBM並把RSVP訊息傳送給它。然後，DSBM查看所有訊息來影響資源的分配並提供允許進入控制機制。

網路管理員基於一定的政策進行QoS機制配置。政策組成部分包括：政策數據，如用戶名；有權使用的網路資源；政策決定點（policy decsion point，PDP）；政策加強點（policy enforcement point，PEP）以及它們之間的協定。傳統的由上而下（TopDown）的政策協定包括簡單網路管理協定（Simple Network Management Protocol，SNMP）、命令行接口（Command Line Interface，CLI）、命令開放協定服務（Command Open Protocol Services，COPS）等。這些QoS機制相互作用使網路資源得到最大化利用，同時又向用戶提供了一個性能良好的網路服務。

基於公共網的VPN通過隧道技術、數據加密技術以及QoS機制，使得企業能夠降低成本、提高效率、增強安全性。VPN產品從第一代：VPN路由器、交換機，發展到第二代的VPN集中器，性能不斷得到提高。在網路時代，企業發展取決於是否最大限度地利用網路。VPN將是企業的最終選擇。