VPN實現技術

虛擬專用網（Virtual Private Network，VPN）是一種“基於公共數據網，給用户一種直接連接到私人局域網感覺的服務”。VPN極大地降低了用户的費用，而且提供了比傳統方法更強的安全性和可靠性。VPN可分為三大類：（1）企業各部門與遠程分支之間的Intranet VPN；（2）企業網與遠程（移動）僱員之間的遠程訪問（Remote Access）VPN；（3）企業與合作伙伴、客户、供應商之間的Extranet VPN。

VPN提供用户一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用户可靠的認證機制。

VPN要發展其性能至少不應該低於傳統方法。儘管網絡速度不斷提高，但在Internet時代，隨着電子商務活動的激增，網絡擁塞經常發生，這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平台，管理員定義管理政策來激活基於重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能，又不會“餓死”，低優先級的應用。

由於網絡設施、應用不斷增加，網絡用户所需的IP地址數量持續增長，對越來越複雜的網絡管理，網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平台要有一個定義安全政策的簡單方法，將安全政策進行分佈，並管理大量設備。

在Extranet VPN中，企業要與不同的客户及供應商建立聯繫，VPN解決方案也會不同。因此，企業的VPN產品應該能夠同其他廠家的產品進行互操作。這就要求所選擇的VPN方案應該是基於工業標準和協議的。這些協議有IPSec、點到點隧道協議（Point to Point Tunneling Protocol，PPTP）、第二層隧道協議（Layer 2 Tunneling Protocol，L2TP）等。

VPN實現的兩個關鍵技術是隧道技術和加密技術，同時QoS技術對VPN的實現也至關重要。

首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術和加密技術。

隧道技術簡單的説就是：原始報文在A地進行封裝，到達B地後把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝（Generic Routing Encapsulation，GRE）L2TP和PPTP。

1、GRE

GRE主要用於源路由和終路由之間所形成的隧道。例如，將通過隧道的報文用一個新的報文頭（GRE報文頭）進行封裝然後帶着隧道終點地址放入隧道中。當報文到達隧道終點時，GRE報文頭被剝掉，繼續原始報文的目標地址進行尋址。 GRE隧道通常是點到點的，即隧道只有一個源地址和一個終地址。然而也有一些實現允許點到多點，即一個源地址對多個終地址。這時候就要和下一跳路由協議（Next-Hop Routing Protocol，NHRP）結合使用。NHRP主要是為了在路由之間建立捷徑。

GRE隧道用來建立VPN有很大的吸引力。從體系結構的觀點來看，VPN就象是通過普通主機網絡的隧道集合。普通主機網絡的每個點都可利用其地址以及路由所形成的物理連接，配置成一個或多個隧道。在GRE隧道技術中入口地址用的是普通主機網絡的地址空間，而在隧道中流動的原始報文用的是VPN的地址空間，這樣反過來就要求隧道的終點應該配置成VPN與普通主機網絡之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網絡的路由信息中隔離出來，多個VPN可以重複利用同一個地址空間而沒有衝突，這使得VPN從主機網絡中獨立出來。從而滿足了VPN的關鍵要求：可以不使用全局唯一的地址空間。隧道也能封裝數量眾多的協議族，減少實現VPN功能函數的數量。還有，對許多VPN所支持的體系結構來説，用同一種格式來支持多種協議同時又保留協議的功能，這是非常重要的。IP路由過濾的主機網絡不能提供這種服務，而只有隧道技術才能把VPN私有協議從主機網絡中隔離開來。基於隧道技術的VPN實現的另一特點是對主機網絡環境和VPN路由環境進行隔離。對VPN而言主機網絡可看成點到點的電路集合，VPN能夠用其路由協議穿過符合VPN管理要求的虛擬網。同樣，主機網絡用符合網絡要求的路由設計方案，而不必受VPN用户網絡的路由協議限制。

雖然GRE隧道技術有很多優點，但用其技術作為VPN機制也有缺點，例如管理費用高、隧道的規模數量大等。因為GRE是由手工配置的，所以配置和維護隧道所需的費用和隧道的數量是直接相關的——每次隧道的終點改變，隧道要重新配置。隧道也可自動配置，但有缺點，如不能考慮相關路由信息、性能問題以及容易形成迴路問題。一旦形成迴路，會極大惡化路由的效率。除此之外，通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文（進入隧道前的）進行的話，就會影響路由發送速率的能力及服務性能。

GRE隧道技術是用在路由器中的，可以滿足Extranet VPN以及Intranet VPN的需求。但是在遠程訪問VPN中，多數用户是採用撥號上網。這時可以通過L2TP和PPTP來加以解決。

2、L2TP和PPT

L2TP是L2F（Layer 2 Forwarding）和PPTP的結合。但是由於PC機的桌面操作系統包含着PPTP，因此PPTP仍比較流行。隧道的建立有兩種方式即：“用户初始化”隧道和“NAS初始化”（Network Access Server）隧道。前者一般指“主動”隧道，後者指“強制”隧道。“主動”隧道是用户為某種特定目的的請求建立的，而“強制”隧道則是在沒有任何來自用户的動作以及選擇的情況下建立的。

L2TP作為“強制”隧道模型是讓撥號用户與網絡中的另一點建立連接的重要機制。建立過程如下：①用户通過Modem與NAS建立連接；②用户通過NAS的L2TP接入服務器身份認證；③在政策配置文件或NAS與政策服務器進行協商的基礎上，NAS和L2TP接入服務器動態地建立一條L2TP隧道；④用户與L2TP接入服務器之間建立一條點到點協議（Point to Point Protocol，PPP）訪問服務隧道；⑤用户通過該隧道獲得VPN服務。

與之相反的是，PPTP作為“主動”隧道模型允許終端系統進行配置，與任意位置的PPTP服務器建立一條不連續的、點到點的隧道。並且，PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網絡服務。PPTP建立過程如下：①用户通過串口以撥號IP訪問的方式與NAS建立連接取得網絡服務；②用户通過路由信息定位PPTP接入服務器；③用户形成一個PPTP虛擬接口；④用户通過該接口與PPTP接入服務器協商、認證建立一條PPP訪問服務隧道；⑤用户通過該隧道獲得VPN服務。

在L2TP中，用户感覺不到NAS的存在，彷彿與PPTP接入服務器直接建立連接。而在PPTP中，PPTP隧道對NAS是透明的；NAS不需要知道PPTP接入服務器的存在，只是簡單地把PPTP流量作為普通IP流量處理。

採用L2TP還是PPTP實現VPN取決於要把控制權放在NAS還是用户手中。L2TP比PPTP更安全，因為L2TP接入服務器能夠確定用户從哪裏來的。L2TP主要用於比較集中的、固定的VPN用户，而PPTP比較適合移動的用户。

數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權者不能瞭解被保護信息的內容。加密算法有用於Windows95的RC4、用於IPSec的DES和三次DES。RC4雖然強度比較弱，但是保護免於非專業人士的攻擊已經足夠了；DES和三次DES強度比較高，可用於敏感的商業信息。

加密技術可以在協議棧的任意層進行；可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”：加密只在路由器中進行，而終端與第一跳路由之間不加密。這種方法不太安全，因為數據從終端系統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統的標準；而“隧道模式”方案，VPN安全粒度只達到子網標準。在鏈路層中，目前還沒有統一的加密標準，因此所有鏈路層加密方案基本上是生產廠家自己設計的，需要特別的加密硬件。

通過隧道技術和加密技術，已經能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩定，管理上不能滿足企業的要求，這就要加入QoS技術。實行QoS應該在主機網絡中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用户要求的隧道。

不同的應用對網絡通信有不同的要求，這些要求可用如下參數給予體現：

·帶寬：網絡提供給用户的傳輸率；

·反應時間：用户所能容忍的數據報傳遞延時；

·抖動：延時的變化；

·丟失率：數據包丟失的比率。

網絡資源是有限的，有時用户要求的網絡資源得不到滿足、通過QoS機制對用户的網絡資源分配進行控制以滿足應用的需求。QoS機制具有通信處理機制以及供應（Provisioning）和配置（Configuration）機制。通信處理機制包括802.1p、區分服務（differentiated service per-hop-behaviors，DiffServ）、綜合服務（integrated services，IntServ）等等。現在大多數局域網是基於IEEE802技術的，如以太網、令牌環、FDDI等，802.1p為這些局域網提供了一種支持QoS的機制。802.1p對鏈路層的802報文定義了一個可表達8種優先級的字段。802.1p優先級只在局域網中有效，一旦出了局域網，通過第三層設備時就被移走。DiffServ則是第三層的QoS機制，它在IP報文中定義了一個字段稱DSCP（DiffServ codepoint）。DSCP有六位，用作服務類型和優先級，路由器通過它對報文進行排隊和調度。與802.1p、DiffServ不同的是，IntServ是一種服務框架，目前有兩種：保證服務和控制負載服務。保證服務許諾在保證的延時下傳輸一定的通信量；控制負載服務則同意在網絡輕負載的情況下傳輸一定的通信量。典型地，IntServ與資源預留協議（Resource reservation Protocol，RSVP）相關。IntServ服務定義了允許進入的控制算法，決定多少通信量被允許進入網絡中。

供應和配置機制包括RSVP、子網帶寬管理（subnet bandwidth manager，SBM）、政策機制和協議以及管理工具和協議。這裏供應機制指的是比較靜態的、比較長期的管理任務，如：網絡設備的選擇、網絡設備的更新、接口添加刪除、拓撲結構的改變等等。而配置機制指的是比較動態、比較短期的管理任務，如：流量處理的參數。

RSVP是第三層協議，它獨立於各種的網絡媒介。因此，RSVP往往被認為介於應用層（或操作系統）與特定網絡媒介QoS機制之間的一個抽象層。RSVP有兩個重要的消息：PATH消息，從發送者到接收者；RESV消息，從接收者到始發者。 RSVP消息包含如下信息：①網絡如何識別一個會話流（分類信息）；②描述會話流的定量參數（如數據率）；③要求網絡為會話流提供的服務類型；④政策信息（如用户標識）。RSVP的工作流程如下：

·會話發送者首先發送PATH消息，沿途的設備若支持RSVP則進行處理，否則繼續發送；

·設備若能滿足資源要求，並且符合本地管理政策的話，則進行資源分配，PATH消息繼續發送，否則向發送者發送拒絕消息；

·會話接收者若對發送者要求的會話流認同，則發送RESV消息，否則發送拒絕消息；

·當發送者收到RESV消息時，表示可以進行會話，否則表示失敗。

SBM是對RSVP功能的加強，擴大了對共享網絡的利用。在共享子網或LAN中包含大量交換機和網絡集線器，因此標準的RSVP對資源不能充分利用。支持RSVP的主機和路由器同意或拒絕會話流，是基於它們個人有效的資源而不是基於全局有效的共享資源。結果，共享子網的RSVP請求導致局部資源的負載過重。SBM可以解決這個問題：協調智能設備。包括：具有SBM能力的主機、路由器以及交換機。這些設備自動運行一選舉協議，選出最合適的設備作為DSBM（designated SBM）。當交換機參與選舉時，它們會根據第二層的拓撲結構對子網進行分割。主機和路由器發現最近的DSBM並把RSVP消息發送給它。然後，DSBM查看所有消息來影響資源的分配並提供允許進入控制機制。

網絡管理員基於一定的政策進行QoS機制配置。政策組成部分包括：政策數據，如用户名；有權使用的網絡資源；政策決定點（policy decsion point，PDP）；政策加強點（policy enforcement point，PEP）以及它們之間的協議。傳統的由上而下（TopDown）的政策協議包括簡單網絡管理協議（Simple Network Management Protocol，SNMP）、命令行接口（Command Line Interface，CLI）、命令開放協議服務（Command Open Protocol Services，COPS）等。這些QoS機制相互作用使網絡資源得到最大化利用，同時又向用户提供了一個性能良好的網絡服務。 ^[1] 

基於公共網的VPN通過隧道技術、數據加密技術以及QoS機制，使得企業能夠降低成本、提高效率、增強安全性。VPN產品從第一代：VPN路由器、交換機，發展到第二代的VPN集中器，性能不斷得到提高。在網絡時代，企業發展取決於是否最大限度地利用網絡。VPN將是企業的最終選擇。