浅析VPN技术

摘要：VPN（虚拟专用网）技术是平衡Internet的适用性和价格优势的最有前途的通信手段之一。它利用公共IP网络建立VPN连接，实现远程用户对内部网络的访问，使用户不必选择昂贵的专线租用，也可避免用户自己架设专线给用户带来的高额投入的问题，使复杂的远程访问方案变得简单。

关键词：VPN 隧道协议 PPTP L2TP IPSec

VPN是Virtual Private Network的缩写，即虚拟专用网络。VPN在公共IP网络上建立用户私有的数据传输通道，将远程访问用户与相应企业的内部网络连接起来，并提供安全的端到端的数据通信，从而大大减轻了企业的远程访问费用，节省企业的运行成本。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式）、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

1、VPN的使用隧道协议

VPN的实现，最关键的是在公共网洛上建立用于数据传输的逻辑虚拟信道，而建立虚拟信道是通过使用隧道技术来实现的，隧道的建立可以是在数据链路层和网络层。第二层隧道技术主要是使用PPP连接，使用的隧道协议有PPTP和L2TP，其特点是协议简单，易于加密，适合于远程拨号用户使用；第三层隧道技术是IPinIP，使用的隧道协议是IPSec，其可靠性及扩展性优于第二层隧道协议，但没有前者简单直接。

1.1 PPTP（点对点隧道协议）

点到点隧道协议（PPTP，Point-to-Point Tunneling Protocol），是一种用于使远程用户通过拨号方式连接到本地的ISP，通过Internet安全的远程访问公司内部网络资源的工业标准隧道协议，它在WIN NT 4.0系统中首先得到支持。PPTP是对“PPP（点对点协议）”的扩展，它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输，它增强了PPP的身份验证、压缩和加密机制。PPTP使用TCP（传输控制协议）来创建、维护、终止隧道，并使用GRE（通用路由封装）将PPP帧封装成隧道数据，被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP协议数据包通过使用从MS-SHAP（微软公司的盘问交握式协议）活EAP-TLS（EAP Transport LAN Service，可传输式身份验证协议）身份验证过程中生成的密钥进行加密。

1.2 第二层隧道协议（L2TP）

第二层隧道协议（L2TP）是思科公司开发的，具有RFC隧道协议的一种协议，是PPTP与L2F（第二层转发）的一种综合。它不同于PPTP，Windows系统中的L2TP不使用“MPPE（微软点对点加密）”来加密PPP数据包，它是依赖于加密服务的IPSec（网际协议安全）的协议。现在被广泛使用的是基于IPSec的L2TP。VPN客户机和VPN服务器必须同时支持IPSec和L2TP，L2TP将在IPSec身份验证的过程中生成一个密钥，而采用IPSec加密机制加密L2TP消息。

1.3 Internet协议安全性（IPSec）

IPSec是专门为了IP提供安全服务而设计的一种协议，它可以有效地保护IP数据报的安全，具体通过包括数据源验证、无连接数据的完整性验证、数据内容的机密性保护和抗重播保护等保护形式来实现。IPSec有两种运行模式：传输模式和隧道模式，有两种安全协议：AH（认证头协议）和ESP（封装安全载荷协议）。AH可以验证数据的起源，保障数据的完整性以及防止相同数据包的不断重播。ESP除具有AH的所有能力以外，还可以选择保障数据的机密性，以及为数据流提供有限的机密性保障。即AH提供认证，ESP提供认证和/或加密。通过使用这两种协议，可以对IP数据报或上层协议，如UDP和TCP，进行保护，而这种保护由IPSec的两种工作模式来提供。到目前为止，IPSec被业界认为是最安全的IP协议，但是其过于复杂的问题也是系统安全的一个主要威胁。

2、VPN网络服务的分类

从连接用途以及连接方式上，VPN网络服务可以分为基于Internet的VPN和基于Intranet的VPN。

2.1 基于Internet的VPN

远程访问客户首先要激活与本地ISP所建立的物理连接，然后远程访问客户通过Internet来访问企业的VPN服务器，同时初始化一条虚拟的专用隧道。VPN连接创建以后，远程访问用户就可以访问VPN服务器所在Intranet上的有权限访问的资源了。

2.2 基于Intranet的VPN

对于企业内部的敏感或需保密的部门，这些部门在逻辑上或者物理上与企业Intranet上的其他部门是断开的，即不能互访。如何使需要访问的用户访问这些部门呢？通过VPN链接，这些敏感部门的网络将被允许连接到企业的Intranet内，通过搭建VPN服务器将这些敏感部门和其他部门隔离开。VPN服务器不在企业的Intranet和部门网络之间提供直接的路由连接。那些企业Intranet内有访问敏感部门权限的用户可以与VPN服务器建立远程访问连接，进而访问敏感部门网络。为此，所有通过VPN的通信数据都会被加密。对于那些没有访问敏感部门权限的用户，在Intranet上，敏感部门的网络是隐藏的。

3、VPN的解决方案

3.1 Access VPN

这种方案最适合企业内部有大量的远程办公访问需求和提供B2C（Business-to-Customer商家对顾客）方式的企业。远程访问的企业员工或者客户可以利用当地ISP提供的VPN服务和企业的VPN网关建立专有隧道连接，这建立连接的过程中需对访问者的身份进行验证和授权，这样可以使远程访问用户获得相应的访问权限。

3.2 Intranet VPN

这种解决方案是企业内部各分支机构进行网络互联的最优解决方案。企业特别是大型的跨国企业可以利用VPN技术将分步在各地的分公司、办事处等分支机构通过Internet建立世界范围内的Intranet VPN。这个方案充分利用Internet廉价性和VPN的高安全性组建了安全的、专用的虚拟链路，使企业的数据和信息可以借助互联网安全的在企业的各个分支机构之间传递。

3.3 Extranet VPN

这种方案以Internet为数据链路基础，通过VPN技术，在充分保证企业内部网络的网络安全的基础上，使企业能够像其合作伙伴提供有效的、可靠的信息服务。该方案使得企业和企业之间的联系更加紧密，也保障了企业与企业之间的信息的方便、快捷的传递。

4、VPN的应用

VPN技术主要适用于哪些客户呢？归纳起来以下这些情况需要使用VPN技术。

（1）客户位置众多而且极其分散。

（2）企业的机构分布范围广，而且各个机构的距离远，需要通过长途通信，特别需要使用国际长途通信的企业。

（3）对带宽和时延没有特殊要求的用户。

（4）对线路保密性和可用性没有特别严格要求的用户。