虛擬專(zhuān)用網(wǎng)（VPN）技術(shù)概述

　　VPN技術(shù)
　
　　虛擬專(zhuān)用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專(zhuān)用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 　　
　　
　　虛擬專(zhuān)用網(wǎng)可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專(zhuān)用網(wǎng)解決方案將大幅度地減少用戶(hù)花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶(hù)和網(wǎng)站。另外，虛擬專(zhuān)用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶(hù)的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專(zhuān)用網(wǎng)解決方案可以使用戶(hù)將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專(zhuān)用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶(hù)的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專(zhuān)用線(xiàn)路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶(hù)的安全外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)。
　　　　
　　虛擬專(zhuān)用網(wǎng)至少應(yīng)能提供如下功能：
　　　　
　　·加密數(shù)據(jù)，以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰�人截獲也不會(huì)泄露。
　　
　　·信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶(hù)的身份。
　　
　　·提供訪(fǎng)問(wèn)控制，不同的用戶(hù)有不同的訪(fǎng)問(wèn)權(quán)限。
　　　　
　　VPN的分類(lèi)
　　　　
　　根據(jù)VPN所起的作用，可以將VPN分為三類(lèi)：VPDN、Intranet VPN和Extranet VPN。
　　　　
　　1. VPDN（Virtual Private Dial Network）
　　
遠(yuǎn)程用戶(hù)或移動(dòng)雇員和公司內(nèi)部網(wǎng)之間的VPN，稱(chēng)為VPDN。實(shí)現(xiàn)過(guò)程如下：用戶(hù)撥號(hào)NSP（網(wǎng)絡(luò)服務(wù)提供商）的網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)器NAS（Network Access Server），發(fā)出PPP連接請(qǐng)求，NAS收到呼叫后，在用戶(hù)和NAS之間建立PPP鏈路，然后，NAS對(duì)用戶(hù)進(jìn)行身份驗(yàn)證，確定是合法用戶(hù)，就啟動(dòng)VPDN功能，與公司總部?jī)?nèi)部連接，訪(fǎng)問(wèn)其內(nèi)部資源。
　　
　　2. Intranet VPN 　　
　　
　　在公司遠(yuǎn)程分支機(jī)構(gòu)的LAN和公司總部LAN之間的VPN。通過(guò)Internet這一公共網(wǎng)絡(luò)將公司在各地分支機(jī)構(gòu)的LAN連到公司總部的LAN，以便公司內(nèi)部的資源共享、文件傳遞等，可節(jié)省DDN等專(zhuān)線(xiàn)所帶來(lái)的高額費(fèi)用。 　　
　　
　　3. Extranet VPN 　　
　　
　　在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN。由于不同公司網(wǎng)絡(luò)環(huán)境的差異性，該產(chǎn)品必須能兼容不同的操作平臺(tái)和協(xié)議。由于用戶(hù)的多樣性，公司的網(wǎng)絡(luò)管理員還應(yīng)該設(shè)置特定的訪(fǎng)問(wèn)控制表ACL（Access Control List），根據(jù)訪(fǎng)問(wèn)者的身份、網(wǎng)絡(luò)地址等參數(shù)來(lái)確定他所相應(yīng)的訪(fǎng)問(wèn)權(quán)限，開(kāi)放部分資源而非全部資源給外聯(lián)網(wǎng)的用戶(hù)。
　　　　
　　VPN的隧道協(xié)議 　　
　　
　　VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵于隧道的建立，然后數(shù)據(jù)包經(jīng)過(guò)加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保安全性。一般，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP、L2TP等；在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec；另外，SOCKS v5協(xié)議則在TCP層實(shí)現(xiàn)數(shù)據(jù)安全。
　　　　
　　1. PPTP（Point-to-Point Tunneling Protocol）/ L2TP（Layer 2 Tunneling Protocol）
　　　　
　　1996年，Microsoft和Ascend等在PPP協(xié)議的基礎(chǔ)上開(kāi)發(fā)了PPTP，它集成于Windows NT Server4.0中，Windows NT Workstation和Windows 9.X也提供相應(yīng)的客戶(hù)端軟件。PPP支持多種網(wǎng)絡(luò)協(xié)議，可把IP、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點(diǎn)對(duì)點(diǎn)加密（MPPE:Microsoft Point-to-Point Encryption）算法，可以選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。
　　　　
　　1996年，Cisco提出L2F（Layer 2 Forwarding）隧道協(xié)議，它也支持多協(xié)議，但其主要用于Cisco的路由器和撥號(hào)訪(fǎng)問(wèn)服務(wù)器。1997年底，Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP協(xié)議。L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝PPP幀，可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。還繼承了PPTP的流量控制，支持MP（Multilink Protocol），把多個(gè)物理通道捆綁為單一邏輯信道。L2TP使用PPP可靠性發(fā)送（RFC1663）實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務(wù)器之間采用口令握手協(xié)議CHAP來(lái)驗(yàn)證對(duì)方的身份。L2TP受到了許多大公司的支持。
　　　　
　　●優(yōu)點(diǎn)：PPTP/L2TP對(duì)用微軟操作系統(tǒng)的用戶(hù)來(lái)說(shuō)很方便，因?yàn)槲④浺寻阉�作為路由軟件的一部分。PPTP/L2TP支持其他網(wǎng)絡(luò)協(xié)議，如Novell的IPX，NetBEUI和Apple Talk協(xié)議，還支持流量控制。它通過(guò)減少丟棄包來(lái)改善網(wǎng)絡(luò)性能，這樣可減少重傳。
　　　　
　　●缺點(diǎn)：PPTP和L2TP將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開(kāi)數(shù)據(jù)通道，一旦通道打開(kāi)，源和目的用戶(hù)身份就不再需要，這樣可能帶來(lái)問(wèn)題。它不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。PPTP和L2TP限制同時(shí)最多只能連接255個(gè)用戶(hù)。端點(diǎn)用戶(hù)需要在連接前手工建立加密信道。認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持。
　　
　　PPTP和L2TP最適合用于遠(yuǎn)程訪(fǎng)問(wèn)虛擬專(zhuān)用網(wǎng)。