各種類型的VPN介紹

當(dāng)一種資源開始稀缺時(shí)，人們總會(huì)創(chuàng)造更多的資源或者尋找更好的替代資源，當(dāng)資源開始豐富的時(shí)候，人們又會(huì)開始浪費(fèi)資源，最終導(dǎo)致資源再次稀缺。網(wǎng)絡(luò)帶寬就是這樣，帶寬和應(yīng)用需求在不斷賽跑，盡管帶寬越來(lái)越寬，但是人們總是有越來(lái)越多的帶寬需求。所以解決帶寬稀缺的方法不僅包括尋找更高的帶寬，同時(shí)也需要充分地利用現(xiàn)有帶寬。

構(gòu)建VPN網(wǎng)絡(luò)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)可以是IP網(wǎng)絡(luò)，也可以是ATM網(wǎng)絡(luò)或者FR網(wǎng)絡(luò)等。基于ATM/FR等網(wǎng)絡(luò)構(gòu)建的虛擬專用網(wǎng)絡(luò)都屬于傳統(tǒng)數(shù)據(jù)專網(wǎng)的范疇，本文重點(diǎn)討論基于IP網(wǎng)絡(luò)構(gòu)建虛擬專用網(wǎng)絡(luò)的若干種技術(shù)。

根據(jù)構(gòu)建VPN的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的層次不同，可以將VPN劃分為二層VPN，比如利用VLAN在以太網(wǎng)絡(luò)上實(shí)現(xiàn)多個(gè)虛擬網(wǎng)絡(luò)；三層VPN，比如利用IPSec 實(shí)現(xiàn)VPN等；四層VPN，比如利用SSL技術(shù)構(gòu)建VPN。至于在國(guó)內(nèi)應(yīng)用較多的基于TDM技術(shù)實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)，比如DDN等，則一般將其稱為數(shù)據(jù)專網(wǎng)，而不再將其納入VPN的概念，盡管數(shù)據(jù)專網(wǎng)也是在電信運(yùn)營(yíng)商提供的統(tǒng)一的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)上利用時(shí)分復(fù)用等技術(shù)構(gòu)建的虛擬的用戶專用網(wǎng)絡(luò)。

鏈路加密機(jī)實(shí)現(xiàn)VPN

鏈路加密機(jī)指的是針對(duì)具體的鏈路層協(xié)議提供數(shù)據(jù)加密功能的設(shè)備，比如ATM加密機(jī)、幀中繼加密機(jī)、DDN加密機(jī)等。加密機(jī)的特點(diǎn)是必須在鏈路兩端配對(duì)使用，比如一個(gè)企業(yè)租用一條64K的鏈路，那么必須在鏈路兩端分別部署加密機(jī)。利用鏈路加密機(jī)可以實(shí)現(xiàn)鏈路兩端的網(wǎng)絡(luò)之間通信的保密性，但是其組網(wǎng)方式也因此受到限制，不能實(shí)現(xiàn)任意兩點(diǎn)之間靈活的加密保護(hù)。

隨著Internet和寬帶網(wǎng)絡(luò)的發(fā)展，鏈路加密機(jī)已經(jīng)不適合在Internet和寬帶網(wǎng)絡(luò)環(huán)境下應(yīng)用了，因?yàn)槠髽I(yè)利用Internet構(gòu)建Intranet時(shí)，企業(yè)兩個(gè)分支機(jī)構(gòu)之間網(wǎng)絡(luò)連接可能會(huì)跨越很多種鏈路，比如一方接入利用ADSL，然后通過(guò)運(yùn)營(yíng)商的骨干ATM網(wǎng)絡(luò)達(dá)到另外一段城域網(wǎng)，在這樣的網(wǎng)絡(luò)環(huán)境下利用鏈路加密機(jī)實(shí)現(xiàn)端到端的網(wǎng)絡(luò)保護(hù)是不可能的。

基于IPSec 的VPN

基于IPSec的VPN主要目的是解決網(wǎng)絡(luò)通信的安全性和利用開放的Internet實(shí)現(xiàn)異地的局域網(wǎng)絡(luò)之間的虛擬連接，IPSec VPN既可以在IPv4網(wǎng)絡(luò)也可以在IPv6網(wǎng)絡(luò)中部署。圖1是典型的基于IPSec的VPN組網(wǎng)模式，其中體現(xiàn)了移動(dòng)用戶接入VPN（Access VPN）、企業(yè)分支機(jī)構(gòu)同總部之間構(gòu)建的Intranet VPN，以及企業(yè)同合作伙伴之間構(gòu)建的Extranet VPN。

基于IPSec的VPN不依賴于網(wǎng)絡(luò)接入方式，它可以在任意基礎(chǔ)網(wǎng)絡(luò)上部署，而且可以實(shí)現(xiàn)端到端的安全保護(hù)，即兩個(gè)異地局域網(wǎng)絡(luò)的出口上只要部署了基于IPSec 的網(wǎng)關(guān)設(shè)備，那么不管采用何種廣域網(wǎng)絡(luò)都能夠保證兩個(gè)局域網(wǎng)絡(luò)安全地互聯(lián)在一起。

基于SSL的VPN

SSL (Secure Socket Layer，安全套接字層)是Netscape公司開發(fā)的協(xié)議軟件，目的是保護(hù)HTTP協(xié)議，但是這個(gè)協(xié)議本身可以保護(hù)任何一種基于TCP協(xié)議的應(yīng)用。

基于SSL也可以構(gòu)建VPN，因?yàn)镾SL在Socket層上實(shí)施安全措施，因此它可以針對(duì)具體的應(yīng)用實(shí)施安全保護(hù)，目前應(yīng)用最多的就是利用SSL實(shí)現(xiàn)對(duì)Web應(yīng)用的保護(hù)。

在應(yīng)用服務(wù)器前面需要部署一臺(tái)SSL服務(wù)器，它負(fù)責(zé)接入各個(gè)分布的SSL客戶端。這種應(yīng)用模式也是SSL主要的應(yīng)用模式，類似于IPSec VPN中的Access VPN模式，如果企業(yè)分布的網(wǎng)絡(luò)環(huán)境下只有這種基于C/S或B/S架構(gòu)的應(yīng)用，不要求各分支機(jī)構(gòu)之間的計(jì)算機(jī)能夠相互訪問(wèn)，則可以選擇利用SSL構(gòu)建簡(jiǎn)單的VPN。具備這種應(yīng)用模式的企業(yè)有：證券公司為股民提供的網(wǎng)上炒股，金融系統(tǒng)的網(wǎng)上銀行，中小企業(yè)的ERP等。

基于SSL的VPN部署起來(lái)非常簡(jiǎn)單，只需要一臺(tái)服務(wù)器和若干客戶端軟件。

基于MPLS的VPN

MPLS（Multi Protocol Label Switch，多協(xié)議標(biāo)簽交換）協(xié)議設(shè)計(jì)的目的是希望利用三層以太網(wǎng)交換機(jī)一次路由多次轉(zhuǎn)發(fā)的思想，用來(lái)提高路由器的轉(zhuǎn)發(fā)性能，其基本的原理則是在報(bào)文中增加一個(gè)TAG字段，在數(shù)據(jù)報(bào)文經(jīng)過(guò)的路徑上的設(shè)備根據(jù)該標(biāo)簽決定下一步的轉(zhuǎn)發(fā)方向。這是完全不同于傳統(tǒng)路由器通過(guò)查路由表確定數(shù)據(jù)報(bào)文下一步轉(zhuǎn)發(fā)方向的方法，路徑上的路由轉(zhuǎn)發(fā)設(shè)備需要運(yùn)行LDP標(biāo)簽分發(fā)協(xié)議，來(lái)相互通知對(duì)不同TAG的處理辦法。利用MPLS協(xié)議，可以在純粹的IP網(wǎng)絡(luò)上實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)，但是此虛擬專用網(wǎng)絡(luò)不能保證用戶數(shù)據(jù)的安全性。

利用MPLS構(gòu)建的VPN網(wǎng)絡(luò)需要全網(wǎng)的設(shè)備都支持MPLS協(xié)議，而IPSec VPN則僅僅需要部署在網(wǎng)絡(luò)邊緣上的設(shè)備具備IPSec協(xié)議的支持即可，從這一點(diǎn)上來(lái)看，IPSec VPN非常適合企業(yè)用戶在公共IP網(wǎng)絡(luò)上構(gòu)建自己的虛擬專用網(wǎng)絡(luò)，而MPLS則只能由運(yùn)營(yíng)商進(jìn)行統(tǒng)一部署。這種建立VPN的方式有一點(diǎn)利用IP網(wǎng)絡(luò)模擬傳統(tǒng)的DDN/FR等專線網(wǎng)絡(luò)的味道，因?yàn)樵谟脩羰褂肕PLS VPN之前，需要網(wǎng)絡(luò)運(yùn)營(yíng)者根據(jù)用戶的需求在全局的MPLS網(wǎng)絡(luò)中為用戶設(shè)定通道。MPLS VPN隧道劃分的原理是網(wǎng)絡(luò)中MPLS路由器利用數(shù)據(jù)包自身攜帶的通道信息來(lái)對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，而不再向傳統(tǒng)的路由器那樣要根據(jù)IP包的地址信息來(lái)匹配路由表查找轉(zhuǎn)發(fā)路徑。這種做法可以減少路由器尋址的時(shí)間，而且能夠?qū)崿F(xiàn)資源預(yù)留保證制定VPN通道的服務(wù)質(zhì)量。

MPLS本身不能提供對(duì)數(shù)據(jù)的安全性，MPLS協(xié)議封裝的數(shù)據(jù)沒(méi)有經(jīng)過(guò)任何的加密處理，僅僅是在報(bào)文中增加一個(gè)TAG標(biāo)識(shí)，這個(gè)標(biāo)識(shí)被路由設(shè)備用來(lái)進(jìn)行數(shù)據(jù)鏈路的識(shí)別和對(duì)數(shù)據(jù)的快速轉(zhuǎn)發(fā)使用。

MPLS更適合運(yùn)營(yíng)商部署，而不適合企業(yè)用戶自己建設(shè)，運(yùn)營(yíng)商部署了MPLS網(wǎng)絡(luò)之后，可以向企業(yè)用戶提供具有服務(wù)質(zhì)量保證的網(wǎng)絡(luò)傳輸服務(wù)。但是如果用戶希望保障自己的數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全性還是需要借助IPSec VPN或者SSL VPN來(lái)實(shí)現(xiàn)。

基于L2TP的VPN

L2TP協(xié)議由 IETF 起草，微軟、 Ascend 、Cisco、 3Com 等公司參與。該協(xié)議結(jié)合了眾多公司支持的PPTP（Point to Point Tunneling Protocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議），和 Cisco、北方電信等公司支持的 L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）。 L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）結(jié)合了上述兩個(gè)協(xié)議的優(yōu)點(diǎn)，將很快地成為 IETF 有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。 L2TP 作為更優(yōu)更新的標(biāo)準(zhǔn)，已經(jīng)得到了諸多廠商的支持，將是使用最廣泛的 VPN 協(xié)議。

利用L2TP來(lái)構(gòu)建企業(yè)的VPN，一樣需要運(yùn)營(yíng)商支持，因?yàn)長(zhǎng)AC一般是在傳統(tǒng)電話交換網(wǎng)絡(luò)中部署的，并且一個(gè)公司的分支機(jī)構(gòu)以及移動(dòng)辦公的員工在地域上分布很廣，所以需要各地的運(yùn)營(yíng)商都具備LAC才能夠?qū)崿F(xiàn)企業(yè)大范圍構(gòu)建VPN網(wǎng)絡(luò)。當(dāng)然企業(yè)也可以構(gòu)建自己的基于L2TP的VPN網(wǎng)絡(luò)。

在L2TP VPN中，用戶端的感覺(jué)就像是利用PPP協(xié)議直接接到了企業(yè)總部的PPP端接設(shè)備上一樣，其地址分配可以由企業(yè)通過(guò)DHCP來(lái)分配，認(rèn)證方式可以沿用PPP一直沿用的各種認(rèn)證方式，并且L2TP是IETF定義的，其MIB庫(kù)也將定義出來(lái)從而可以實(shí)現(xiàn)全局的網(wǎng)絡(luò)管理。