IP隧道技术在企业网的应用研究

【摘要】本文探讨了常见隧道技术与VPN技术在企业网络融合、远程访问、应用系统隔离、安全加密等场景的应用。

【关键词】IP隧道技术；VPN应用研究

1.前言

在企业发展过程中，分支机构的地理位置跨度全球；企业自行建设私有网络几乎不可能，只能租用运营商专线。但专线的价格通常是根据距离和带宽收费，价格昂贵。TCP/IP技术以其诸多优势占据了网络互联技术的主流地位，而由于网络的分布式建设，各自为政，私有网络与互联网、防火墙/NAT设备、运营商垄断等给互联互通造成了许多隔阂。人们尝试着使用网络技术让跨越Internet或第三方的网络模拟出专线连接的效果，这种技术就是隧道技术（Tunnel），也就是当前很常见的VPN（Virtual Private Network）技术。本文探讨了各种IP隧道VPN技术在企业网络融合、远程访问、应用系统隔离、安全加密等场景的应用。

2.IP隧道技术

所谓隧道，实际上是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程。发送路由器将被传送的协议包进行封装，经过网络传送，接收路由器解开收到的包，取出原始协议；而在传输过程中的中间路由器并不在意封装的协议是什么。这里的封装协议，称之为传输协议，是跨过网络传输被封装协议的一种协议，IP协议是ISO唯一选择的传输协议。而被封装的协议在此为IPX协议或者AppleTalk协议，通常可以称之为乘客协议。需要特别注意的是：隧道技术是一种点对点的链接，因而必须在链接的两端配置隧道协议。

隧道技术是一种数据包封装技术，它是将原始IP包（其报头包含原始发送者和最终目的地）封装在另一个数据包（称为封装的IP包）的数据净荷中进行传输。在移动IP中，隧道包目的地址就是转交地址，当外地（或移动节点）收到这个隧道包后，解封装该包，把里面的净荷提交给移动节点，如图1所示。

3.隧道技术的应用

实现VPN，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。

目前流行的各种VPN技术的实质就是建立一个跨越其他网络建立隧道传输数据的过程，常见的VPN技术分为如下几类：1）GRE；2）IPSEC；3）L2TP；4）PPTP；5）SSL/TLS；6）MPLS/VPN。

3.1 GRE

GRE（通用路由封装）是一种最传统的隧道协议，其根本功能就是要实现隧道功能，通过隧道连接的两个远程网络就如同直连，GRE在两个远程网络之间模拟出直连链路，从而使网络间达到直连的效果，为此，GRE需要完成多次封装，总共有3次，隧道传递数据包的过程如下：

1）接收原始IP数据包当作乘客协议，原始IP数据包包头的IP地址为私有IP地址。

2）将原始IP数据包封装进GRE协议，GRE协议称为封装协议（Encapsulation Protocol），封装的包头IP地址为虚拟直连链路两端的IP地址。

3）将整个GRE数据包当作数据，在外层封装公网IP包头，也就是隧道的起源和终点，从而路由到隧道终点。

GRE定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议，其优点是开销小，实现简单，不仅只支持IP网络，支持动态路由协议，因此适合各种类型的网络融合、应用隔离的场景。GRE本身没有额外的安全加密机制，因此只适合对安全性要求不高的企业内部场景。GRE也经常与后文中的IPSec机制结合（GRE Over IPSec）以提供加密、认证等安全特性。

3.2 PPTP

PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE（通用路由封装）将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP的协定规范本身并未描述加密或身份验证的特性，通常可以和加密协议IPSec一起使用。

因为PPTP需要2个网络状态，因此会对穿越防火墙造成困难。很多防火墙不能完整地传递连接，导致无法连接。在Windows或Mac OS平台，通常PPTP可搭配MSCHAP-v2或EAP-TLS进行身份验证，也可配合微软点对点加密（MPPE）进行连接时的加密。

3.3 L2TP

L2TP协议是由IETF起草，微软、Ascend、Cisco、3COM等公司参与制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关2层通道协议的工业标准，此协议基于微软的点对点隧道协议（PPTP）和思科2层转发协议（L2F）之上，这种虚拟私有网络可以被因特网服务提供商和公司通过因特网使用。但这些隧道协议只是实现隧道而已，无法保证数据安全，所以利用IPSec来保护数据更为理想。

如果将L2TP结合IPSec来使用，则称为L2TP over IPSec，但通常我们在路由器上都不配置IPSec，由于L2TP不仅支持路由器，同时还支持PIX防火墙和ASA防火墙，但在防火墙上必须同时使用L2TP和IPSec，不能单独使用L2TP，所以我们在防火墙上总是配置L2TP over IPSec。

3.4 IPSec

“Internet协议安全性（IPSec）”是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议（IP）网络上进行保密而安全的通讯。

常见的IPSec VPN类型有站到站（Site to Site或者是LAN to LAN）、Easy VPN（远程访问VPN）、DMVPN（动态多点VPN）、GET VPN（Group Encrypted Transport（GET）VPN）等。IPSec协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。

IPSec方案安全级别高，基于Internet实现专用网安全连接是比较理想的方案。IPSec工作于网络层，对终端站点间所有传输数据进行保护，而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网，使远程客户端拥有内部网用户一样的权限和操作功能。IPSec VPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。

3.5 SSL/TLS

SSL（Secure Sockets Layer安全套接层），及其继任者TLS（Transport Layer Security 传输层安全）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。

任何安装浏览器的设备都可以使用SSL VPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。SSL VPN可在NAT装置上以透明模式工作；SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强。SSL VPN是一个安全协议，数据全程加密传输。另外，由于SSL网关隔离了内部服务器和客户端，只留下一个WEB浏览接口，客户端的大多数病毒木马感染不到内部服务器。而IPSec VPN就不一样，实现的是IP级别的访问，远程网络和本地网络几乎没有区别。局域网能够传播的病毒，通过VPN一样能够传播。

SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问到更多的企业网络资源，同时降低了部署和支持费用；客户端安全检查和授权访问等操作，实现起来更加方便。IPSec VPN通常不能支持复杂的网络，这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲，SSL VPN是企业远程安全接入的最佳选择。如今有的机构同时采用IPSec和SSL远程接入方案，IT主管利用IPSec VPN实现网络层接入，进行网络管理，其他人员要访问的资源有限，一般也就是电子邮件、传真，以及接入公司内部网（Web浏览），因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能和SSL的便利。

3.6 MPLS VPN

MPLS VPN是指采用MPLS技术在骨干的宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起，为用户提供高质量的服务。

MPLS VPN网络主要由CE、PE和P等3部分组成：

1）CE（Customer Edge Router）用户网络边缘路由器设备，直接与服务提供商网络相连，它“感知”不到VPN的存在；

2）PE（Provider Edge Router）服务提供商边缘路由器设备，与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者；

3）P（Provider Router）服务提供商核心路由器设备，负责快速转发数据，不与CE直接相连。

在整个MPLS VPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。图2所示为MPLS骨干网。

MPLS VPN的网络采用标签交换，一个标签对应一个用户数据流，非常易于用户间数据的隔离，利用区分服务体系可以轻易地解决困扰传统IP网络的QoS/CoS问题，MPLS自身提供流量工程的能力，可以最大限度地优化配置网络资源，自动快速修复网络故障，提供高可用性和高可靠性。MPLS提供了电信、计算机、有线电视网络三网融合的基础，除了ATM，是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。因此基于MPLS技术的MPLS VPN，在灵活性、扩展性、安全性各个方面是当前技术最先进的VPN。此外，MPLS VPN提供灵活的策略控制，可以满足不同用户的特殊要求，快速实现增值服务（VAS），在带宽价格比、性能价格比上，相比其他广域VPN也具有较大的优势。

对于企业来说，MPLS VPN只是信息化的基础部分，在企业有了一定的规模，有了两个或者两个以上的分支机构，而且这些机构是跨区域性的，超出了城域网的范畴，加上企业本身要集中管理，统一管理企业的人，财，物，供应链，市场等等，所以需要将总部和分支机构有效互联，搭建一个统一的网络平台，为以后的信息化做好生命线工程。企业需要和自己的实际应用结合，本身进行了融合通信方面（企业语音建设、视频会议建设、统一通信）以及大型ERP的建设，这个时候数据的流量快速增长，需要一个专门的企业网络来承载，用传统的DDN或者FR等技术去组建网络，企业方面的重复投入就比较严重，以及不适合企业未来信息化建设的要求，这个时候采用MPLS VPN就是一种很好的选择，很容易做到物理共享、逻辑独立的效果。技术的先进性、可靠性、安全性等都可以满足企业未来发展的需要。

4.结论

利用IP隧道技术的VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接（如DSL、有线电视或者WiFi网络）连接到企业网络。当企业在应用VPN技术穿过第三方网络或公共Internet时，必须使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触企业机密数据。

需要注意的是企业不能直接控制基于互联网的VPN的可靠性和性能。机构必须依靠提供VPN的互联网服务提供商保证服务的运行。这个因素使企业与互联网服务提供商签署一个保证各种性能指标的服务级协议非常重要。另外不同厂商的VPN产品和解决方案总是不兼容的，因为许多厂商不愿意或者不能遵守VPN技术标准。因此，混合使用不同厂商的产品可能会出现技术问题。另一方面，使用一家供应商的设备可能会提高成本。

企业在使用VPN技术时需要根据业务的特点和需求，慎重选者技术方案，认真详细的前期规划，需要高技能的人员保证系统的安全运行。因此在某些情况下，选择大型运营商提供的VPN解决方案也是一种可用的选择。

参考文献

[1]何宝宏，田辉等.IP虚拟专用网技术（第2版）[M].人民邮电出版社，2008，06.

[2]（美）Ivan Pepelnjak.MPLS和VPN体系结构[M].人民邮电出版社，2010，07.

作者简介：曾爱斌（1977―），男，1999年毕业于湖北财经高等专科学校投资专业，网络工程师，CIW安全分析师，信息系统项目管理师，现供职于中海油信息科技有限公司。