虛擬專用網
在公用網路建立專用網路的技術
虛擬專用網指的是在公用網路上建立專用網路的技術。其之所以稱為虛擬網,主要是因為整個VPN網路的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網路服務商所提供的網路平台,如Internet、ATM(非同步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網路,用戶數據在邏輯鏈路中傳輸。
在傳統的企業網路配置中,要進行異地區域網之間的互連,傳統的方法是租用DDN(數字數據網)專線或幀中繼。這樣的通訊方案必然導致高昂的網路通訊/維護費用。對於移動用戶(移動辦公人員)與遠端個人用戶而言,一般通過撥號線路(Internet)進入企業的區域網,而這樣必然帶來安全上的隱患。
AceessVPN結構圖
用戶在電信部門租用的幀中繼(Frame Relay)與ATM等數據網路提供固定虛擬線路(PVC-Permanent Virtual Circuit)來連接需要通訊的單位,所有的許可權掌握在別人的手中。如果用戶需要一些別的服務,需要填寫許多的單據,再等上相當一段時間,才能享受到新的服務。更為重要的是兩端的終端設備不但價格昂貴,而且管理也需要一定的專業技術人員,無疑增加了成本,而且幀中繼、ATM數據網路也不會像Internet那樣,可立即與世界上任何一個使用Internet網路的單位連接。而在Internet上,VPN使用者可以控制自己與其他使用者的聯繫,同時支持撥號的用戶。
所以我們說的虛擬專用網一般指的是建築在Internet上能夠自我管理的專用網路,而不是Frame Relay或ATM等提供虛擬固定線路(PVC)服務的網路。以IP為主要通訊協議的VPN,也可稱之為IP-VPN。
由於VPN是在Internet上臨時建立的安全專用虛擬網路,用戶就節省了租用專線的費用,在運行的資金支出上,除了購買VPN設備,企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用,也節省了長途電話費。這就是VPN價格低廉的原因。
越來越多的用戶認識到,隨著Internet和電子商務的蓬勃發展,經濟全球化的最佳途徑是發展基於Internet的商務應用。隨著商務活動的日益頻繁,各企業開始允許其生意夥伴、供應商也能夠訪問本企業的區域網,從而大大簡化信息交流的途徑,增加信息交換速度。這些合作和聯繫是動態的,並依靠網路來維持和加強,於是各企業發現,這樣的信息交流不但帶來了網路的複雜性,還帶來了管理和安全性的問題,因為Internet是一個全球性和開放性的、基於TCP/IP技術的、不可管理的國際網際網路路,因此,基於Internet的商務活動就面臨非善意的信息威脅和安全隱患。
IntranetVPN結構圖
虛擬專用網的提出就是來解決這些問題:
(2)傳輸數據安全可靠——虛擬專用網產品均採用加密及身份驗證等安全技術,保證連接用戶的可靠性及傳輸數據的安全和保密性。
(3)連接方便靈活——用戶如果想與合作夥伴聯網,如果沒有虛擬專用網,雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路,有了虛擬專用網之後,只需雙方配置安全連接信息即可。
(4)完全控制——虛擬專用網使用戶可以利用ISP的設施和服務,同時又完全掌握著自己網路的控制權。用戶只利用ISP提供的網路資源,對於其它的安全設置、網路管理變化可由自己管理。在企業內部也可以自己建立虛擬專用網。
雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網路平台傳輸數據的專用性和安全性。在非面向連接的公用IP網路上建立一個邏輯的、點對點的連接,稱之為建立一個隧道,可以利用加密技術對經過隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者了解,從而保證了數據的私有性和安全性。在安全性方面,由於VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,並且要防止非法用戶對網路資源或私有信息的訪問。ExtranetVPN將企業網擴展到合作夥伴和客戶,對安全性提出了更高的要求。
(QoS)
VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對於擁有眾多分支機構的專線VPN網路,互動式的內部企業網應用則要求網路能提供良好的穩定性;對於其它應用(如視頻等)則對網路提出了更明確的要求,如網路時延及誤碼率等。所有以上網路應用均要求網路根據需要提供不同等級的服務質量。在網路優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低,在流量高峰時引起網路阻塞,產生網路瓶頸,使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網路帶寬空閑。QoS通過流量預測與流量控制策略,可以按照優先順序分配帶寬資源,實現帶寬管理,使得各類數據能夠被合理地先後發送,並預防阻塞的發生。
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面,VPN要求企業將其網路管理功能從區域網無縫地延伸到公用網,甚至是客戶和合作夥伴。雖然可以將一些次要的網路管理任務交給服務提供商去完成,企業自己仍需要完成許多網路管理任務。所以,一個完善的VPN管理系統是必不可少的。VPN管理的目標為:減小網路風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
由於傳輸的是私有信息,VPN用戶對數據的安全性都比較關心。
VPN主要採用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
隧道技術是VPN的基本技術類似於點對點連接技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分為第二、三層隧道協議。第二層隧道協議是先把各種網路協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是IETF的標準,由IETF融合PPTP與L2F而形成。
第三層隧道協議是把各種網路協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全演演算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演演演算法則,在網路上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用於公用、私用。
使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
安全問題是VPN的核心問題。VPN的安全保證主要是通過防火牆技術、路由器配以隧道技術、加密協議和安全密鑰來實現的,可以保證企業員工安全地訪問公司網路。
但是,如果一個企業的VPN需要擴展到遠程訪問時,就要注意,這些對公司網直接或始終在線的連接將會是黑客攻擊的主要目標。因為,遠程工作員工通過防火牆之外的個人計算機可以接觸到公司預算、戰略計劃以及工程項目等核心內容,這就構成了公司安全防禦系統中的弱點。雖然,員工可以雙倍地提高工作效率,並減少在交通上所花費的時間,但同時也為黑客、競爭對手以及商業間諜提供了無數進入公司網路核心的機會。
但是,企業並沒有對遠距離工作的安全性予以足夠的重視。大多數公司認為,公司網路處於一道網路防火牆之後是安全的,員工可以撥號進入系統,而防火牆會將一切非法請求拒之其外;還有一些網路管理員認為,為網路建立防火牆並為員工提供VPN,使他們可以通過一個加密的隧道撥號進入公司網路就是安全的。這些看法都是不對的。
在家辦公是不錯,但從安全的觀點來看,它是一種極大的威脅,因為,公司使用的大多數安全軟體並沒有為家用計算機提供保護。一些員工所做的僅僅是進入一台家用計算機,跟隨它通過一條授權的連接進入公司網路系統。雖然,公司的防火牆可以將侵入者隔離在外,並保證主要辦公室和家庭辦公室之間VPN的信息安全。但問題在於,侵入者可以通過一個被信任的用戶進入網路。因此,加密的隧道是安全的,連接也是正確的,但這並不意味著家庭計算機是安全的。
黑客為了侵入員工的家用計算機,需要探測IP地址。有統計表明,使用撥號連接的IP地址幾乎每天都受到黑客的掃描。因此,如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路(通常這種連接具有一個固定的IP地址),會使黑客的入侵更為容易。因為,撥號連接在每次接入時都被分配不同的IP地址,雖然它也能被侵入,但相對要困難一些。一旦黑客侵入了家庭計算機,他便能夠遠程運行員工的VPN客戶端軟體。因此,必須有相應的解決方案堵住遠程訪問VPN的安全漏洞,使員工與網路的連接既能充分體現VPN的優點,又不會成為安全的威脅。在個人計算機上安裝個人防火牆是極為有效的解決方法,它可以使非法侵入者不能進入公司網路。當然,還有一些提供給遠程工作人員的實際解決方法:
* 所有遠程工作人員必須被批准使用VPN
* 所有遠程工作人員需要有個人防火牆,它不僅防止計算機被侵入,還能記錄連接被掃描了多少次
* 所有的遠程工作人員應具有入侵檢測系統,提供對黑客攻擊信息的記錄
* 監控安裝在遠端系統中的軟體,並將其限制只能在工作中使用
* IT人員需要對這些系統進行與辦公室系統同樣的定期性預定檢查
* 外出工作人員應對敏感文件進行加密
* 安裝要求輸入密碼的訪問控制程序,如果輸入密碼錯誤,則通過Modem向系統管理員發出警報
* 當選擇DSL供應商時,應選擇能夠提供安全防護功能的供應商。
VPN有三種解決方案,用戶可以根據自己的情況進行選擇。這三種解決方案分別是:遠程訪問虛擬網(AccessVPN)、企業內部虛擬網(IntranetVPN)和企業擴展虛擬網(ExtranetVPN),這三種類型的VPN分別與傳統的遠程訪問網路、企業內部的Intranet以及企業網和相關合作夥伴的企業網所構成的Extranet相對應。
如果企業的內部人員移動或有遠程辦公需要,或者商家要提供B2C的安全訪問服務,就可以考慮使用AccessVPN。
AccessVPN通過一個擁有與專用網路相同策略的共享基礎設施,提供對企業內部網或外部網的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業資源。AccessVPN包括模擬、撥號、ISDN、數字用戶線路(xDSL)、移動IP和電纜技術,能夠安全地連接移動用戶、遠程工作者或分支機構。
AccessVPN最適用於公司內部經常有流動人員遠程辦公的情況。出差員工利用當地ISP提供的VPN服務,就可以和公司的VPN網關建立私有的隧道連接。RADIUS伺服器可對員工進行驗證和授權,保證連接的安全,同時負擔的電話費用大大降低。
AccessVPN對用戶的吸引力在於:
* 減少用於相關的數據機和終端服務設備的資金及費用,簡化網路
* 實現本地撥號接入的功能來取代遠距離接入或800電話接入,這樣能顯著降低遠距離通信的費用
* 極大的可擴展性,簡便地對加入網路的新用戶進行調度
* 遠端驗證撥入用戶服務(RADIUS)基於標準,基於策略功能的安全服務
* 將工作重心從管理和保留運作撥號網路的工作人員轉到公司的核心業務上來。
如果要進行企業內部各分支機構的互聯,使用IntranetVPN是很好的方式。
越來越多的企業需要在全國乃至世界範圍內建立各種辦事機構、分公司、研究所等,各個分公司之間傳統的網路連接方式一般是租用專線。顯然,在分公司增多、業務開展越來越廣泛時,網路結構趨於複雜,費用昂貴。利用VPN特性可以在Internet上組建世界範圍內的IntranetVPN。利用Internet的線路保證網路的互聯性,而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IntranetVPN通過一個使用專用連接的共享基礎設施,連接企業總部、遠程辦事處和分支機構。企業擁有與專用網路的相同政策,包括安全、服務質量(QoS)、可管理性和可靠性。
IntranetVPN對用戶的吸引力在於:
* 減少WAN帶寬的費用
* 能使用靈活的拓撲結構,包括全網路連接
* 新的站點能更快、更容易地被連接
* 通過設備供應商WAN的連接冗餘,可以延長網路的可用時間。
如果是提供B2B之間的安全訪問服務,則可以考慮ExtranetVPN。
隨著信息時代的到來,各個企業越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務,通過各種方式了解客戶的需要,同時各個企業之間的合作關係也越來越多,信息交換日益頻繁。Internet為這樣的一種發展趨勢提供了良好的基礎,而如何利用Internet進行有效的信息管理,是企業發展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet,既可以向客戶、合作夥伴提供有效的信息服務,又可以保證自身的內部網路的安全。
ExtranetVPN通過一個使用專用連接的共享基礎設施,將客戶、供應商、合作夥伴或興趣群體連接到企業內部網。企業擁有與專用網路的相同政策,包括安全、服務質量(QoS)、可管理性和可靠性。
ExtranetVPN對用戶的吸引力在於:能容易地對外部網進行部署和管理,外部網的連接可以使用與部署內部網和遠端訪問VPN相同的架構和協議進行部署。主要的不同是接入許可,外部網的用戶被許可只有一次機會連接到其合作人的網路。
Internet服務提供商(ISP)和企業將是VPN的直接受益者。ISP將VPN作為一項增值業務推向企業,並從企業得到回報。因此,VPN的最終目的是服務於企業,為企業帶來可觀的經濟效益,為現代化企業的信息共享提供安全可靠的途徑。
對於ISP來說,VPN提供了巨大商機。世紀互聯的薛滔先生介紹說:世紀互聯使用的是基於網通的全國網路,有很好的硬體條件。面對IDC在2001年更加激烈的競爭狀況,世紀互聯希望在IDC基礎之上找到新的增長點。因為網站縮水,所以世紀互聯將目光轉向大中型傳統企業,分析他們對電信資源有哪些需求,結果覺得VPN是一個機會。世紀互聯正在探索,VPN的方案和技術已經準備就緒。世紀互聯的目標用戶是全國有分支機構,信息化建設已經達到一定水平的單位,世紀互聯將整合現有資源,包括網路、託管和技術力量來為用戶提供服務。通過向企業提供VPN增值服務,ISP可以與企業建立更加緊密的長期合作關係,同時充分利用現有網路資源,提高業務量。事實上,VPN用戶的數據流量較普通用戶要大得多,而且時間上也是相互錯開的。VPN用戶通常是上班時間形成流量的高峰,而普通用戶的流量高峰期則在工作時間之外。ISP對外提供兩種服務,資源利用率和業務量都會大大增加。同時,VPN使ISP能夠經濟地維持開發客戶群、增加利潤、提供增強服務,如視頻會議、電子商務、IP電話、遠程教學、多媒體商務應用等等。
哪些用戶適於使用VPN呢?在滿足基本應用要求后,有三類用戶比較適合採用VPN:
1)位置眾多,特別是單個用戶和遠程辦公室站點多,例如企業用戶、遠程教育用戶;
2)用戶/站點分佈範圍廣,彼此之間的距離遠,遍布全球各地,需通過長途電信,甚至國際長途手段聯繫的用戶
3)帶寬和時延要求相對適中;
4)對線路保密性和可用性有一定要求的用戶。
相對而言,有四種情況可能並不適於採用VPN:
1)非常重視傳輸數據的安全性
2)不管價格多少,性能都被放在第一位的情況;
3)採用不常見的協議,不能在IP隧道中傳送應用的情況
4)大多數通信是實時通信的應用,如語音和視頻。但這種情況可以使用公共交換電話網(PSTN)解決方案與VPN配合使用。
對於企業來說,VPN提供了安全、可靠的Internet訪問通道,為企業進一步發展提供了可靠的技術保障。而且VPN能提供專用線路類型服務,是方便快捷的企業私有網路。企業甚至可以不必建立自己的廣域網維護系統,而將這一繁重的任務交由專業的ISP來完成。
由於VPN的出現,用戶可以從以下幾方面獲益:
具有高度的安全性,對於網路是極其重要的。新的服務如在線銀行、在線交易都需要絕對的安全,而VPN以多種方式增強了網路的智能和安全性。首先,它在隧道的起點,在現有的企業認證伺服器上,提供對分佈用戶的認證。另外,VPN支持安全和加密協議,如SecureIP(IPsec)和Microsoft點對點加密(MPPE)。
網路管理者可以使用VPN替代租用線路來實現分支機構的連接。這樣就可以將對遠程鏈路進行安裝、配置和管理的任務減少到最小,僅此一點就可以極大地簡化企業廣域網的設計。另外,VPN通過撥號訪問來自於ISP或NSP的外部服務,減少了數據機池,簡化了所需的介面,同時簡化了與遠程用戶認證、授權和記賬相關的設備和處理。
VPN可以立即且顯著地降低成本。當使用Internet時,實際上只需付短途電話費,卻收到了長途通信的效果。因此,藉助ISP來建立VPN,就可以節省大量的通信費用。此外,VPN還使企業不必投入大量的人力和物力去安裝和維護WAN設備和遠程訪問設備,這些工作都可以交給ISP。VPN使用戶可以降低如下的成本:
移動用戶通信成本。VPN可以通過減少長途費或800費用來節省移動用戶的花費。
租用線路成本。VPN可以以每條連接的40%到60%的成本對租用線路進行控制和管理。對於國際用戶來說,這種節約是極為顯著的。對於話音數據,節約金額會進一步增加。
主要設備成本。VPN通過支持撥號訪問外部資源,使企業可以減少不斷增長的數據機費用。另外,它還允許一個單一的WAN介面服務多種目的,從分支網路互連、商業夥伴的外連網終端、本地提供高帶寬的線路連接到撥號訪問服務提供者,因此,只需要極少的WAN介面和設備。由於VPN可以完全管理,並且能夠從中央網站進行基於策略的控制,因此可以大幅度地減少在安裝配置遠端網路介面所需設備上的開銷。另外,由於VPN獨立於初始協議,這就使得遠端的接入用戶可以繼續使用傳統設備,保護了用戶在現有硬體和軟體系統上的投資。
如果企業想擴大VPN的容量和覆蓋範圍。企業需做的事情很少,而且能及時實現:企業只需與新的IPS簽約,建立賬戶;或者與原有的ISP重簽合約,擴大服務範圍。在遠程辦公室增加VPN能力也很簡單:幾條命令就可以使Extranet路由器擁有Internet和VPN能力,路由器還能對工作站自動進行配置。
在過去,企業如果想與合作夥伴連網,雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之後,這種協商也毫無必要,真正達到了要連就連,要斷就斷。
藉助VPN,企業可以利用ISP的設施和服務,同時又完全掌握著自己網路的控制權。比方說,企業可以把撥號訪問交給ISP去做,由自己負責用戶的查驗、訪問權、網路地址、安全性和網路變化管理等重要工作。
許多專用網對許多新興應用準備不足,如那些要求高帶寬的多媒體和協作互動式應用。VPN則可以支持各種高級的應用,如IP語音,IP傳真,還有各種協議,如RSIP、IPv6、MPLS、SNMPv3等。
正由於VPN能給用戶帶來諸多的好處,VPN在全球發展得異常紅火,在北美和歐洲,VPN已經是一項相當普遍的業務;在亞太地區,該項服務也迅速開展起來。
在國外,Internet已成為全社會的信息基礎設施,企業端應用也大都基於IP,在Internet上構築應用系統已成為必然趨勢,因此基於IP的VPN業務獲得了極大的增長空間。Infornetics Research公司預言,在2001年,全球VPN市場將達到120億美元。據預測,到2004年,北美的VPN業務收入將增至88億美元。
在中國,制約VPN的發展、普及的因素大致可分為客觀因素和主觀因素兩方面。
1.客觀因素包括網際網路帶寬和服務質量QoS問題。
在過去無論網際網路的遠程接入還是專線接入,以及骨幹傳輸的帶寬都很小,QoS更是無法保障,造成企業用戶寧願花費大量的金錢去投資自己的專線網路或是寧願花費巨額的長途話費來提供遠程接入。隨著ADSL、DWDM、MPLS等新技術的大規模應用和推廣,上述問題將得到根本改善和解決。譬如,過去專線接入速率最高才2Mbps,而以後,中國的企業用戶可以享受到10Mbps,乃至100Mbps的Internet專線接入,而骨幹網現在最高已達到40Gbps,並且今後幾年內將發展到上百乃至上千個Gbps,這已不是技術問題而是時間問題。隨著網際網路技術的發展,可以說VPN在未來幾年內將會得到迅猛發展。
2.主觀因素之一是用戶總害怕自己內部的數據在Internet上傳輸不安全。
其實前面介紹的VPN技術已經能夠提供足夠安全的保障,可以使用戶數據不被查看、修改。主觀因素之二,也是VPN應用最大的障礙,是客戶自身的應用跟不上,只有企業將自己的業務完全和網路聯繫上,VPN才會有了真正的用武之地。
可以想象,當我們消除了所有這些障礙因素后,VPN將會成為我們網路生活的主要組成部分。在不遠的將來,VPN技術將成為廣域網建設的最佳解決方案,它不僅會大大節省廣域網的建設和運行維護費用,而且增強了網路的可靠性和安全性。同時,VPN會加快企業網的建設步伐,使得集團公司不僅僅只是建設內部區域網,而且能夠很快地把全國各地分公司的區域網連起來,從而真正發揮整個網路的作用。VPN對推動整個電子商務、電子貿易將起到不可低估的作用。
虛擬專用網
虛擬專用網