虛擬專用網(wǎng)(VPN)技術(shù)與應(yīng)用

相關(guān)專題: 中國(guó)電信

虛擬專用網(wǎng)(VPN)技術(shù)與應(yīng)用(敖理達(dá))

摘 要:討論VPN技術(shù),結(jié)合中國(guó)電信VPDN工程,采用對(duì)比方式詳述VPDN中用戶與企業(yè)內(nèi)

部網(wǎng)之間的通信及認(rèn)證過(guò)程。

關(guān)鍵詞:虛擬專用網(wǎng) VPN LAC LNS L2TP 隧道 認(rèn)證

一、引言

虛擬專用網(wǎng)VPN(Virtual Private Network)的定義有多種形式,如“是建立在實(shí)際網(wǎng)

絡(luò)(或物理網(wǎng)絡(luò))基礎(chǔ)上的一種功能性網(wǎng)絡(luò)”,“是通過(guò)公用網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程用戶或遠(yuǎn)程LAN之

間互連,但仍具有專網(wǎng)化點(diǎn)的一種技術(shù)”,“在Internet上實(shí)現(xiàn)的一個(gè)專用網(wǎng)”等等。在這

里我們引用Internet工程任務(wù)組(IETF)對(duì)虛擬專用網(wǎng)VPN的定義:借助于公用Internet和專

用IP網(wǎng)而建立的虛擬廣域網(wǎng)(WAN)。

作為虛擬的專用網(wǎng),VPN是一個(gè)虛信道,該信道可以用來(lái)連接兩個(gè)專用網(wǎng);可以通過(guò)可靠

的加密技術(shù)方法保證其安全性;可以作為公共網(wǎng)絡(luò)系統(tǒng)的一部分存在。

早期的虛擬專用網(wǎng)是使用幀中繼或ATM的PVC來(lái)建構(gòu)的,它們提供的都是二層服務(wù),F(xiàn)在

新的虛擬專用網(wǎng)技術(shù)是基于三層的IP協(xié)議,它可以使VPN完全建構(gòu)在公用的Internet或IP網(wǎng)之

上。

二、VPN技術(shù)原理

遠(yuǎn)程用戶通過(guò)撥號(hào)經(jīng)由PSTN接入企業(yè)服務(wù)器,撥號(hào)用戶和企業(yè)遠(yuǎn)程訪問(wèn)服務(wù)器之間通過(guò)

PSTN建立直接的物理連接。這樣,在企業(yè)局域網(wǎng)端,就要求服務(wù)器能提供對(duì)數(shù)據(jù)鏈路層的控

制(LCP);對(duì)請(qǐng)求的認(rèn)證和對(duì)網(wǎng)絡(luò)層的控制(NCP)。

LAC和LNS合起來(lái)完成了原來(lái)由企業(yè)訪問(wèn)服務(wù)器完成的工作。在這里,訪問(wèn)集中器LAC、網(wǎng)

絡(luò)服務(wù)器LNS是當(dāng)使用L2TP協(xié)議時(shí)的命名;當(dāng)使用其它隧道協(xié)議時(shí),訪問(wèn)集中器和網(wǎng)絡(luò)服務(wù)器

就以相對(duì)應(yīng)的名字命名(如PAC和PNS對(duì)應(yīng)于PPTP協(xié)議)。

當(dāng)遠(yuǎn)程VPN用戶通過(guò)撥號(hào)訪問(wèn)企業(yè)局域網(wǎng)時(shí),LAC首先通過(guò)Internet和LNS建立隧道(此時(shí)

假定為合法用戶,不考慮認(rèn)證問(wèn)題)。該條隧道的建立分為兩個(gè)階段:(1)控制連接的建立

;(2)會(huì)話的建立。LAC和LNS必須為每一位撥號(hào)用戶建立一個(gè)會(huì)話,但多個(gè)會(huì)話可以復(fù)用同

一條隧道。因此對(duì)所有會(huì)話只需建立一個(gè)控制連接;所有會(huì)話的建立、維持和終止都通過(guò)這個(gè)

控制連接來(lái)傳送控制消息。為保證在控制連接上傳輸控制消息的正確性,控制連接是基于面向

連接的傳輸層控制協(xié)議TCP會(huì)話建立的。

當(dāng)LAC和LNS間的隧道建立后,遠(yuǎn)程VPN用戶就可以與LNS進(jìn)行PPP握手,握手成功后建立起

PPP連接。在此PPP連接建立的過(guò)程中要完成數(shù)據(jù)鏈路層認(rèn)證和IP地址分配等任務(wù)。在這里,LNS

經(jīng)認(rèn)證后分配給用戶的是內(nèi)部網(wǎng)地址,而不是Internet的全局IP號(hào)。這樣,遠(yuǎn)程VPN用戶就與

LNS成功建立了PPP連接,從而可以開(kāi)始通信。由于用戶端發(fā)出的數(shù)據(jù)(即發(fā)給LNS的PPP幀)先

要在LAC處被封裝成L2TP幀格式,此種幀在通過(guò)Internet隧道發(fā)送之前又要被再次封裝到IP數(shù)據(jù)

報(bào)文中。該報(bào)文中的源IP地址即為L(zhǎng)AC的全局IP地址;目的IP地址即為L(zhǎng)NS的全局IP地址。

由于在虛擬專用網(wǎng)中數(shù)據(jù)傳送要頻繁通過(guò)Internet,所以數(shù)據(jù)傳輸?shù)陌踩燥@得十分重要。

目前保證安全傳輸采用的是IPSec協(xié)議。IPSec使用兩組協(xié)議:(1)驗(yàn)證報(bào)頭(AH);(2)封

裝安全有效負(fù)載(ESP)。

AH是對(duì)IP報(bào)文用某種認(rèn)證算法進(jìn)行計(jì)算,將計(jì)算后的結(jié)果作為AH插在IP首部和數(shù)據(jù)字段之

間;報(bào)文被目的終端接收后,按照認(rèn)證算法重新對(duì)IP報(bào)文進(jìn)行計(jì)算,將計(jì)算后的結(jié)果和認(rèn)證首

部中的內(nèi)容進(jìn)行比較:若相符,表示IP報(bào)文在傳輸過(guò)程中未受損,否則認(rèn)為已被破壞。AH只能

保證報(bào)文的完整性和可靠性,但不對(duì)IP數(shù)據(jù)加密。

ESP是將IP報(bào)文的數(shù)據(jù)字段內(nèi)容進(jìn)行加密,加密后的結(jié)果才真正作為IP報(bào)文的負(fù)荷封裝在

IP報(bào)文中。IP報(bào)文被目的終端接收后,由目的終端重新對(duì)IP報(bào)文的負(fù)荷進(jìn)行解密,還原成原始

的數(shù)據(jù)字段內(nèi)容。通過(guò)選擇好的加密算法,ESP可以保證IP報(bào)文的完整性、可靠性和保密性。

三、中國(guó)電信VPDN

VPDN(Virtual Private Dialup Network)——虛擬專用撥號(hào)網(wǎng):它是以撥號(hào)接入方式上

網(wǎng)、在公網(wǎng)上傳輸數(shù)據(jù)時(shí)通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸專用數(shù)據(jù)以達(dá)到專用網(wǎng)絡(luò)安全級(jí)別

的技術(shù)。其實(shí)質(zhì)就是VPN。

中國(guó)電信利用其現(xiàn)有的IP網(wǎng)(并網(wǎng)后的169/163網(wǎng))作為VPDN的業(yè)務(wù)承載網(wǎng),向集團(tuán)用戶

提供IP網(wǎng)絡(luò)VPDN業(yè)務(wù)。該業(yè)務(wù)可以為企業(yè)用戶在Internet上開(kāi)辟一條安全的專用數(shù)據(jù)通道,為

企業(yè)省去了在組建專網(wǎng)時(shí)所花費(fèi)的設(shè)備和人員的投資;而且將以前的長(zhǎng)途呼叫轉(zhuǎn)為本地呼叫,

大大節(jié)約了通信費(fèi)用;該業(yè)務(wù)還可以使企業(yè)將網(wǎng)絡(luò)管理任務(wù)交給電信相關(guān)部門,減少了企業(yè)內(nèi)

部網(wǎng)絡(luò)的管理負(fù)擔(dān)。

中國(guó)電信VPDN將用戶分為全國(guó)用戶和省內(nèi)用戶,設(shè)立了一個(gè)全國(guó)業(yè)務(wù)管理中心和31個(gè)省級(jí)

業(yè)務(wù)管理中心。它們分別受理全國(guó)范圍的VPDN業(yè)務(wù)和省內(nèi)范圍的VPDN業(yè)務(wù)。

從技術(shù)角度來(lái)看,中國(guó)電信VPDN選用了VPN標(biāo)準(zhǔn)中的L2TP協(xié)議作為第二層隧道協(xié)議。L2TP協(xié)

議結(jié)合了PPTP與L2F的優(yōu)點(diǎn)。使用L2TP有以下一些好處:(1)作為PPP的擴(kuò)展,它可以得到對(duì)端

的用戶名,能區(qū)分不同的用戶:比如撥號(hào)用戶、采取專線直連的對(duì)端路由器等;(2)可以分配

企業(yè)內(nèi)部網(wǎng)IP地址;(3)支持信道認(rèn)證,具有IPSec選項(xiàng)。

VPDN作為VPN技術(shù)的一個(gè)實(shí)體,不但完全使用了VPN技術(shù)原理及其標(biāo)準(zhǔn),而且加入了一些實(shí)

際應(yīng)用中必不可少的功能,如認(rèn)證部分。

認(rèn)證是根據(jù)用戶提交的域名來(lái)進(jìn)行的。VPDN中采用了不同用戶域名結(jié)構(gòu)來(lái)標(biāo)識(shí)全國(guó)用戶和省

內(nèi)用戶。全國(guó)用戶采用“用戶名@集團(tuán)名”的形式來(lái)標(biāo)識(shí);省內(nèi)用戶則采用“用戶名@集團(tuán)名.

省市名”來(lái)標(biāo)識(shí)。這樣,當(dāng)用戶進(jìn)行VPDN業(yè)務(wù)撥叫時(shí),首先到省級(jí)VPDN業(yè)務(wù)管理中心RADIUS,通

過(guò)用戶域名判斷是省內(nèi)業(yè)務(wù)還是全國(guó)業(yè)務(wù):如果是省內(nèi)業(yè)務(wù)則在省級(jí)完成認(rèn)證,否則轉(zhuǎn)至全國(guó)

VPDN業(yè)務(wù)管理中心完成認(rèn)證。

具體的認(rèn)證實(shí)施是在LAC和LNS處進(jìn)行的。用戶首先通過(guò)撥待服號(hào)179XX發(fā)起VPN,在用戶和LAC

間建立PPP連接;然后系統(tǒng)將用戶域名和口令送至LAC處(此時(shí)如需驗(yàn)證,就將用戶域名和口令送

到認(rèn)證服務(wù)器進(jìn)行一次認(rèn)證),LAC根據(jù)收到的參數(shù)與LNS之間建立L2TP隧道。在L2TP隧道建成后

,VPDN用戶與LNS進(jìn)行PPP握手,LAC向LNS發(fā)送用戶域名和口令。這時(shí),企業(yè)內(nèi)部網(wǎng)管理系統(tǒng)認(rèn)證

服務(wù)器對(duì)用戶進(jìn)行認(rèn)證,如果認(rèn)證成功則向遠(yuǎn)端用戶分配內(nèi)部網(wǎng)地址,讓VPDN用戶與LNS間建立

PPP連接。此連接建立后,用戶就可以和企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行通信了。

四、VPN的發(fā)展前景

VPN同時(shí)為使用它的企業(yè)和提供它的ISP帶來(lái)了經(jīng)濟(jì)效益:基于Internet的網(wǎng)絡(luò)使遠(yuǎn)端的用戶

能安全方便地訪問(wèn)本企業(yè)的內(nèi)部資源;企業(yè)可以使用VPN與他們的合作伙伴進(jìn)行安全的通信;ISP

可以靠提供帶寬和增值業(yè)務(wù)來(lái)獲利。

近年來(lái),VPN的業(yè)務(wù)與市場(chǎng)發(fā)展迅速。由于VPN能提供良好的性能價(jià)格比以及其自身標(biāo)準(zhǔn)的不

斷完善,使得使用VPN更經(jīng)濟(jì)、適用。有國(guó)外機(jī)構(gòu)預(yù)測(cè),到2001年將會(huì)有55%的企業(yè)有意建立VPN。

另外,由于全球經(jīng)濟(jì)的一體化,許多國(guó)際業(yè)務(wù)和地區(qū)間業(yè)務(wù)增長(zhǎng)迅速,從事相應(yīng)商務(wù)活動(dòng)的公司

大量增加,以及VPN在擴(kuò)大全球性業(yè)務(wù)的同時(shí)又降低了長(zhǎng)途通信費(fèi)率,這些都推動(dòng)了VPN市場(chǎng)的發(fā)

展。根據(jù)Infonetics的研究報(bào)告,VPN業(yè)務(wù)的開(kāi)展將為企業(yè)提供節(jié)省長(zhǎng)途專線租用成本的20%~

47%,節(jié)省遠(yuǎn)程撥號(hào)費(fèi)用的60%~80%。

對(duì)于我國(guó)來(lái)說(shuō),目前全國(guó)的公用網(wǎng),無(wú)論是電話網(wǎng)或數(shù)據(jù)網(wǎng)都已具有相當(dāng)?shù)囊?guī)模和水平。

X.25、DDN及幀中繼等網(wǎng)絡(luò)已經(jīng)投入運(yùn)營(yíng),全國(guó)各省的163/169并網(wǎng)工程也相繼完成,這就為VPN

業(yè)務(wù)提供了較為完備的承載網(wǎng)絡(luò)。但由于我國(guó)的大多數(shù)企業(yè)網(wǎng)都不是十分成熟,同時(shí)很多企業(yè)也

沒(méi)有真正了解到VPN技術(shù)能為其帶來(lái)的經(jīng)濟(jì)效益,所以VPN業(yè)務(wù)的開(kāi)展還需要中國(guó)電信和ISP們花費(fèi)

大力氣在全國(guó)進(jìn)行推廣。

從VPN在全球的發(fā)展來(lái)看,它對(duì)Internet服務(wù)提供商和有VPN需求的企業(yè)及公司來(lái)說(shuō),無(wú)疑都

是一種相當(dāng)不錯(cuò)的選擇。據(jù)Cahners In-Stat公司估算:在1999年,VPN的市場(chǎng)為26.7億美元。

預(yù)計(jì)到2003年,VPN的市場(chǎng)將增加到320億美元。我國(guó)各企業(yè)在組建自己的專用網(wǎng)絡(luò)時(shí),可以根據(jù)

各自的情況選用VPN以及何種方式的VPN,以便更經(jīng)濟(jì)、有效、快捷地滿足企業(yè)對(duì)話音、數(shù)據(jù)、視

象等各種業(yè)務(wù)的需求。

摘自《數(shù)據(jù)通信》


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書(shū)
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書(shū)-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):6G至簡(jiǎn)無(wú)線接入網(wǎng)白皮書(shū)
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國(guó)聯(lián)通5G終端白皮書(shū)》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國(guó)電信5GNTN技術(shù)白皮書(shū)
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國(guó)移動(dòng)算力并網(wǎng)白皮書(shū)
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

    業(yè)界最新資訊


      最新招聘信息