李洪
隨著世界交流的日益增多,企業(yè)不斷發(fā)展,分支機構也分布到世界各地。為了加強管理和企業(yè)內(nèi)部聯(lián)系,越來越多的企業(yè)認識到建立內(nèi)部網(wǎng)的重要性,并且開始組建企業(yè)內(nèi)部網(wǎng),有些甚至是跨國跨州的企業(yè)內(nèi)部網(wǎng)。
目前這些企業(yè)內(nèi)部網(wǎng)大多是靠租借電信部門的模擬或數(shù)字專線來組建的,因而費用高昂,沒有一定的經(jīng)濟實力是難以承擔的,這是許多企業(yè)所面臨的一個問題。
隨著Internet的迅速發(fā)展,TCP/IP組網(wǎng)技術在世界各地流行起來,許多企業(yè)轉(zhuǎn)而使用TCP/IP技術來組建企業(yè)網(wǎng)。由于Internet網(wǎng)絡已經(jīng)非常龐大,幾乎延伸到世界各個角落,為企業(yè)組建內(nèi)部網(wǎng)帶來了極大的方便。起初,人們只是簡單地通過設立一個防火墻(Firewall)與Internet相連的方式來組建企業(yè)內(nèi)部網(wǎng)。這種做法在組網(wǎng)方式、域名、IP地址分配上仍感到不便。為此,采用虛擬專用網(wǎng)(VPN)來組建企業(yè)網(wǎng)的技術被提出。VPN技術主要有基于路由器的虛擬專用網(wǎng)組網(wǎng)技術和基于Microsoft NT的端到端VPN解決方案兩種。由于目前VPN的國際標準還未成熟,無論ATM論壇還是IETF組織對VPN都只有參考草案,因此各廠家的VPN組網(wǎng)方案,相互之間不能互通。在基于路由器的VPN方案中,以Cisco提出的IP Tunnelinng(IP隧道)和IP Layer(Layer 2 Forwarding第二層投遞)技術最為完整;基于端到端技術的VPN方案中,以Microsoft和Ascend公司在PPP(Point toPoint Protocol,點到點協(xié)議)基礎上開發(fā)的Tunnel(隧道)協(xié)議——PPTP(Point to Point TunnelingProtocol,點到點隧道協(xié)議)較為典型。本文以這3家公司的產(chǎn)品為例。
1 Cisco的VPN解決方案
Cisco提出了一套完整的VPN解決方案,即IPTunneling和VPDN。通過這套方案,用戶或企業(yè)可通過電話網(wǎng)、N-ISDN或?qū)S镁路方式接入Internet來組建自己的VPN企業(yè)網(wǎng)。其中IP Tunneling是提供給具有專線接入方式的用戶或企業(yè)組建VPN的解決方案;VPDN(Virtual Private Dialup Network,虛擬專用撥號網(wǎng)絡)是提供給撥號(電話或ISDN)接入的用戶或企業(yè)組建VPN的解決方案。
1.1 IP Tunneling的VPN解決方案
當公司分支機構和公司總部均通過各自的路由器直接連接到Internet網(wǎng)上時,可以采用IP Tunneling技術來組建基于Internet的企業(yè)內(nèi)部網(wǎng)絡。
IP Tunneling技術是把企業(yè)內(nèi)部網(wǎng)的任意信息包封裝在Cisco GRE(Generic Route Encapsulation)封包格式內(nèi),通過IP協(xié)議透明地穿過Internet,子網(wǎng)與子網(wǎng)(即端點路由器到端點路由器)互連。IP Tunneling技術所支持的被封裝的協(xié)議為多協(xié)議形式,即其包封可以支持AppleTalk、Banyan VINES、CLNP、DECnet、IP或IPX等等。單就一個通道而言,它是一個點對點的連接,但Cisco把一個通道的端點視為路由器上的虛接口,因而在連接公司總部的路由器上可以有多個通道到下面的多個公司分支機構。
IP Tunneling的實現(xiàn)過程如圖1所示。來自各個分支機構的數(shù)據(jù)包在各個分支機構接入路由器上被封裝在GRE格式中,被IP數(shù)據(jù)包運載穿過Internet網(wǎng)絡,到達連接公司總部的路由器,該路由器負責解除GRE的封裝,并把解包后的IP數(shù)據(jù)包送到公司內(nèi)部網(wǎng)絡進行處理。反之亦然。通過封裝協(xié)議,公司內(nèi)部網(wǎng)絡完全與公網(wǎng)Internet分隔開來,盡管物理上是連在一起的。
這種組網(wǎng)方式的特點是非常靈活,且易于擴充。在建網(wǎng)初期,可以只設一個企業(yè)網(wǎng)的中心路由器,所有分支機構直接用IP Tunneling的方式接入中心路由器,并由中心路由器負責與公網(wǎng)Internet的互連(即充當網(wǎng)關Gateway);當網(wǎng)絡規(guī)模擴大以后,可以建立多個企業(yè)網(wǎng)中心,這些網(wǎng)絡的實現(xiàn)都是靠邏輯虛連接完成的,所以其建設時間較短,成本較低,因而建立龐大的跨國企業(yè)內(nèi)部網(wǎng)將不是什么困難的事情了。
1.2 VPDN解決方案
對于一些通過撥號方式連接到Internet的公司分支機構,可以采用VPDN技術接入企業(yè)內(nèi)部網(wǎng)絡。
實現(xiàn)VPDN對用戶來說是透明的,用戶端不需增加投資,只需在Internet撥號訪問服務器(NAS)和連接公司總部的路由器上作配置即可,見圖2。
采用VPDN技術進行VPN組網(wǎng)時,其用戶應該使用一種有結構層次的用戶名形式,如XXM@MISSERVER的形式,以便Internet的訪問服務器能根據(jù)用戶名的域名來進行處理。
當撥號用戶發(fā)出一個呼叫到Internet的訪問服務器(NAS)時,它發(fā)出PPP的連接請求。NAS接收此呼叫后,就在撥號用戶和NAS之間建立了一條PPP的鏈路。接下來NAS可以使用CHAP(Challenge Handshakes Authentication Password)或PAP(PasswordAuthenticaton Protocol)的協(xié)商協(xié)議對終端系統(tǒng)/用戶進行身份驗證,只有NAS發(fā)現(xiàn)用戶名中有一個域名指明該用戶屬于某一個VPDN的服務時,它才會啟動VPDN功能,否則NAS將視為一個普通的Internet用戶。因此,NAS對撥號的用戶名檢驗是部分的而非全部。
當上述步驟執(zhí)行后,Internet上具有VPDN功能的撥號服務器(NAS)會檢查有沒有到公司總部路由器的L2F連接。L2F是第二層轉(zhuǎn)發(fā)協(xié)議,它在第二層上建立一個隧道,把上層的信息透過Internet進行傳輸。當撥號用戶第一次撥入時,NAS會啟動一個到VPN中心路由器的L2F Tunnel協(xié)商。
如果VPN中心路由器接收這個呼叫連接,它會返回一個CHAP AUTHEN_OK的信號,經(jīng)NAS轉(zhuǎn)發(fā)給撥號用戶一方,建立一個端到端的連接,并為PPP創(chuàng)建一個虛擬接口,用于直接撥入的連接。借助這一個虛擬接口,鏈路層的幀就可通過隧道透明傳輸。以后就是撥號用戶和VPN中心路由器之間的雙向PPP信息交換過程,即從撥號用戶發(fā)出的幀被NAS接收到以后,被封裝在L2F中,通過IP隧道被轉(zhuǎn)發(fā)到VPN中心路由器。
采用VPDN后,Internet的訪問服務器和網(wǎng)絡對用戶而言是透明的,撥號用戶的地址分配和身份驗證均是由VPN中心路由器側(cè)來進行的,并且NAS和VPN中心路由器雙方均可以對撥號用戶進行計費和驗證。
當撥號用戶與VPN中心路由器建立連接之后,VPDN就為用戶在本端與VPN中心路由器之間建立一條IP隧道,在該隧道上運載的是L2F包;而對非VPN內(nèi)的用戶,由于在撥號進入NAS時不能啟動VPDN功能,也就不能進入VPN中心路由器,所以也不能進入所定義的企業(yè)VPN網(wǎng)絡了。
2 Microsoft和Ascend提出的端到端VPN解決方案
盡管Cisco提出的VPN解決方案很吸引人, 但由于它是Cisco公司專有的,當網(wǎng)絡中有非Cisco公司的路由器時,顯然不能互通。為了解決這個問題,Microsoft和Ascend公司在PPP協(xié)議基礎上開發(fā)了PPTP協(xié)議(Point to Point Tunneling Protocol)。
PPTP協(xié)議是在PPP基礎上開發(fā)的、基于GRE封裝的協(xié)議,增加了流控制機制。
PPTP協(xié)議是一個真正的端到端技術,它可建立用戶到服務器的直接端到端隧道連接,對于接入路由器NAS和Internet網(wǎng)絡來說,這些都是透明的。建立一個PPTP的連接過程如下:
不管用戶是通過專線或撥號網(wǎng)接入Internet網(wǎng)絡,用戶端都可以與VPN中心服務器建立IP連接;然后通過用戶端的一個PPTP虛擬接口“撥號”到VPN中心服務器建立PPTP連接。PPTP的內(nèi)層協(xié)議可以支持IP/IPX/CLNP等多種協(xié)議。換言之,通過PPTP協(xié)議的隔離作用,用戶端和VPN中心服務器端可以建立端到端的VPN網(wǎng)絡。如圖3所示。
2.1 VPN與公用Internet網(wǎng)的互通
VPN網(wǎng)絡是一個專用于企業(yè)內(nèi)部信息交流的網(wǎng)絡,一般情況下外部用戶沒有權利訪問企業(yè)的重要信息,但為了擴大企業(yè)的影響,必要時企業(yè)要開放VPN上的部分非機密信息,如企業(yè)簡介等,這樣就使得VPN與Internet的互通顯得很有必要了。
企業(yè)VPN與Internet的互通有兩種方法:一種是采用NAT(Network Address Translate,地址轉(zhuǎn)換);另一種是在相關服務器上使用兩套IP地址。
2.2 NAT地址轉(zhuǎn)換方法
一般來說,企業(yè)VPN內(nèi)部采用自己的內(nèi)部IP地址,如172.16.x.x,與公網(wǎng)IP地址區(qū)分開來。因此,當擁有公用IP地址的Internet用戶或主機想訪問這些VPN內(nèi)部服務器時,一般需要NAT地址轉(zhuǎn)換,這個功能由VPN中心的接入路由器來實現(xiàn),如圖4所示。同樣地,通過NAT地址轉(zhuǎn)換,企業(yè)內(nèi)部的用戶也可以訪問公用Internet網(wǎng),獲得Internet上的各種服務,比如:WWW、E-mail、FTP等。所以說,通過NAT功能,VPN內(nèi)部網(wǎng)絡可以與lnternet網(wǎng)絡實現(xiàn)互通。
另外,NAT地址轉(zhuǎn)換功能也支持過濾器功能,可以在NAT上設置一些過濾選項來達到防火墻的目的。
2.3 使用兩套IP地址的方法
為了節(jié)省NAT地址轉(zhuǎn)換造成的額外開銷,我們可以在需要與Internet互通的VPN內(nèi)部服務器上設置兩個IP地址,一個是VPN內(nèi)部的私有地址,另一個是公網(wǎng)合法的IP地址,如圖5所示。同時,在VPN中心的接入路由器上作一些訪問控制,使得當Internet的用戶或主機訪問VPN內(nèi)部服務器時,可以直接與VPN內(nèi)部服務器建立連接,而不必經(jīng)過繁瑣的地址轉(zhuǎn)換過程。對于VPN內(nèi)部用戶,由于他們只擁有內(nèi)部地址,當他們訪問Internet時,仍然需通過NAT地址轉(zhuǎn)換過程。通過NAT過程,也可對他們訪問公網(wǎng)實施限制。
摘自 北極星電技術網(wǎng)