理論分析IP VPN技術(shù)概述及其應用

 　
　　利用公共網(wǎng)絡(luò)發(fā)展IP VPN，既可以保證互聯(lián)企業(yè)的網(wǎng)絡(luò)安全，還可以就近接入，節(jié)省成本，組成一個虛擬網(wǎng)，IP VPN的蓬勃發(fā)展已經(jīng)成為不爭的事實。本文介紹針對IP VPN路由器所采用的IP VPN組網(wǎng)技術(shù)，其中包括VPN 隧道技術(shù)、加密技術(shù)、密鑰交換和管理技術(shù)等，也介紹了IP VPN技術(shù)的應用方案和例子。

一、概述

IP VPN（虛擬專用網(wǎng)）是指通過共享的IP網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道，將遠程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來，提供端到端的服務質(zhì)量（QoS）保證以及安全服務。隨著IP VPN的興起，用戶和運營商都將目光轉(zhuǎn)向了這種極具競爭力和市場前景的VPN。對用戶而言，IP VPN可以非常方便地替代租用線和傳統(tǒng)的ATM/幀中繼（FR）VPN來連接計算機或局域網(wǎng)（LAN），同時還可以提供租用線的備份、冗余和峰值負載分擔等，大大降低了成本費用；對服務提供商而言，IP VPN則是其未來數(shù)年內(nèi)擴大業(yè)務范圍、保持競爭力和客戶忠誠度、降低成本和增加利潤的重要手段。

IP VPN需要通過一定的隧道機制實現(xiàn)，其目的是要保證VPN中分組的封裝方式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用編址無關(guān)。另外，隧道本身能夠提供一定的安全性，并且隧道機制還可以映射到IP網(wǎng)絡(luò)的流量管理機制之中。

IP VPN本質(zhì)上是對專用網(wǎng)通信的仿真，因此除了隧道協(xié)議外，其邏輯結(jié)構(gòu)（如編址、拓撲、連通性、可達性和接入控制等）都與使用專和設(shè)施的傳統(tǒng)專用網(wǎng)部分或全部相同，也同樣考慮路由、轉(zhuǎn)發(fā)、QoS、業(yè)務管理和業(yè)務提供等問題。

二、HiPER系列VPN路由器的設(shè)計

IP VPN技術(shù)主要是通過隧道機制（Tunneling）來實現(xiàn)的，通常情況下VPN在鏈路層和網(wǎng)絡(luò)層實現(xiàn)了隧道機制。在鏈路層支持隧道機制的有：PPTP（Point to Point Tunneling Protocol，點到點隧道協(xié)議）、L2TP（Layer 2 Tunneling Protocol，鏈路層隧道協(xié)議）、L2F（Layer 2 Forwarding，鏈路層轉(zhuǎn)發(fā)協(xié)議）。

PPTP是一個第2層的協(xié)議，將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報內(nèi)通過IP網(wǎng)絡(luò)傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。RFC草案“點對點隧道協(xié)議”對PPTP協(xié)議進行了說明和介紹。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝（GRE）技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送�？梢詫Ψ庋bPPP楨中的負載數(shù)據(jù)進行加密或壓縮。

GRE（通用路由協(xié)議封裝）規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX和AppleTalk包，并支持各種路由協(xié)議，如RIP2、OSPF等。

GRE協(xié)議提出得比較早，也比較簡單，因此可以說已經(jīng)比較成熟。

L2TP（第二層隧道協(xié)議）定義了利用包交換方式的公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施（如IP網(wǎng)絡(luò)、ATM和幀中繼網(wǎng)絡(luò)）封裝鏈路層PPP（點到點協(xié)議）幀的方法。在L2TP（RFC266）中，被封裝的是鏈路層PPP協(xié)議，封裝協(xié)議由L2TP定義。承載協(xié)議首選網(wǎng)絡(luò)層的IP協(xié)議，也可以采用鏈路層的ATM或幀中繼協(xié)議。L2TP可以支持多種撥號用戶協(xié)議，如IP、IPX和AppleTalk，還可以使用保留IP地址。

目前，L2TP及其相關(guān)標準（如認證與計費）已經(jīng)比較成熟，并且客戶和運營商都已經(jīng)可以組建基于L2TP的遠程接入VPN（Access VPN），因此國內(nèi)外已經(jīng)有不少運營商開展了此項業(yè)務。在實施的Access VPN中， 一般是運營商提供接入設(shè)備，客戶提供網(wǎng)關(guān)設(shè)備（客戶自己管理或委托給運營商）管理。Access VPN的主要吸引力在于委托網(wǎng)絡(luò)任務的方式，ISP可以通過IP骨干網(wǎng)把用戶數(shù)據(jù)從本地呈現(xiàn)點（POP）轉(zhuǎn)發(fā)到企業(yè)用戶網(wǎng)絡(luò)中去，大幅度地節(jié)省企業(yè)客戶的費用。該服務主要面向分散的、具有一定移動性的用戶，為此類用戶遠程接入專用網(wǎng)絡(luò)提供經(jīng)濟的、可控制的并具有一定安全保證的手段。

IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協(xié)議。此外，IPSec也允許提供逐個數(shù)據(jù)流或者逐個連接的安全，所以能實現(xiàn)非常細致的安全控制。對于用戶來說，便可以對于不同的需要定義不同級別地安全保護（即不同保護強度的IPSec通道）。IPSec為網(wǎng)絡(luò)數(shù)據(jù)傳輸提供了：

數(shù)據(jù)機密性
數(shù)據(jù)完整性
數(shù)據(jù)來源認證
抗重播
等安全服務，就使得數(shù)據(jù)在通過公共網(wǎng)絡(luò)傳輸時，就不用擔心被監(jiān)視、篡改和偽造。

IPSec是通過使用各種加密算法、驗證算法、封裝協(xié)議和一些特殊的安全保護機制來實現(xiàn)這些目的，而這些算法及其參數(shù)是保存在進行IPSec通信兩端的SA（Security Association，安全聯(lián)盟），當兩端的SA中的設(shè)置匹配時，兩端就可以進行IPSec通信了。IPSec使用的加密算法包括DES-56位、Triple-Des-168位和AES-128位；驗證算法采用的也是流行的HMAC-MD5和HMAC-SHA算法。

IPSec所采用的封裝協(xié)議是AH（Authentication Header，驗證頭）和ESP（Encapsulating Security Payload，封裝安全性有效負載）。 愛

ESP定義于RFC2406協(xié)議。它用于確保IP數(shù)據(jù)包的機密性（對第三方不可見）、數(shù)據(jù)的完整性以及對數(shù)據(jù)源地址的驗證，同時還具有抗重播的特性。具體來說，是在IP頭（以及任何IP選項）之后，在要保護的數(shù)據(jù)之前，插入一個新的報頭，即ESP頭。受保護的數(shù)據(jù)可以是一個上層協(xié)議數(shù)據(jù)，也可以是整個IP數(shù)據(jù)包，最后添加一個ESP尾。ESP本身是一個IP協(xié)議，它的協(xié)議號為50。這也就是說，ESP保護的IP數(shù)據(jù)包也可以是另外一個ESP數(shù)據(jù)包，形成了嵌套的安全保護.

ESP頭沒有加密保護，只采用了驗證保護，但ESP尾的一部分則進行的加密處理，這是因為ESP頭中包含了一些關(guān)于加/解密的信息。所以ESP頭自然就采用明文形式了。

AH定義于RFC2402中。該協(xié)議用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址驗證和一些有限的抗重播服務，與ESP協(xié)議相比，AH不提供對通信數(shù)據(jù)的加密服務，同樣提供對數(shù)據(jù)的驗證服務，但能比ESP提供更加廣的數(shù)據(jù)驗證服務,它對整個IP數(shù)據(jù)包的內(nèi)容都進行了數(shù)據(jù)完整性驗證處理。在SA中定義了用來負責數(shù)據(jù)完整性驗證的驗證算法（即散列算法，如AH-MD5-HMAC、AH-SHA-HMAC）來進行這項服務。

AH和ESP都提供了一些抗重播服務選項，但是否提供抗重播服務，則是由數(shù)據(jù)包的接收者來決定的。

HiPER系列VPN安全網(wǎng)關(guān)設(shè)計支持L2TP，PPTP和IPSec，支持和多種設(shè)備在Internet上建立VPN，隧道連接了兩個遠端局域網(wǎng)，每個局域網(wǎng)上的用戶都可以訪問另一個局域網(wǎng)網(wǎng)上的資源：對方的設(shè)備可以使用如Windows 2000 服務器，Cisco? PIX, 華為Quidway 等路由器，netscreen，fortigate設(shè)備等其他支持標準的VPN網(wǎng)絡(luò)設(shè)備。

除了以上介紹的隧道技術(shù)以外，作為一個網(wǎng)關(guān)的IP VPN安全網(wǎng)關(guān)還有以下特點，如備份技術(shù)，流量控制技術(shù)，包過濾技術(shù)，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，抗擊打能力和網(wǎng)絡(luò)監(jiān)控和管理技術(shù)等。

三、使用HiPER系列VPN安全網(wǎng)關(guān)的安全解決方案

根據(jù)上面所述的路由器安全特性設(shè)計的要求，HiPER系列VPN安全網(wǎng)關(guān)提供了各種網(wǎng)絡(luò)安全解決方案，以適應不同的應用需求，包括：

電子政務的VPN聯(lián)網(wǎng)
和Internet的安全互聯(lián)
通過Internet構(gòu)建VPN
電子商務應用
教育系統(tǒng)校校通的應用