××× 工作原理
引言
在過去幾十年中,世界發生了很大的變化。現在很多公司除了處理本地或地區性事務外,還要考慮全球市場和物流的問題。很多公司在全國甚至全球都設有分支機構,而這些公司都需要做的一件事情就是:找到能夠與分公司進行快速、安全和可靠通信的方式,而不管這些分公司設在何處。
直到最近為止,要想實作這個目的,還隻能通過利用租用線路的方式來維護廣域網(WAN)。租用線路的範圍從ISDN(內建服務數字網絡,速度為128Kbps)到OC3(光學載波第3級,速度為155Mbps)光纖,這為公司提供了一種可以将其專用網絡擴充到臨近地理位置之外的方法。與網際網路等公用網絡相比,WAN在可靠性、性能和安全性方面都具有明顯的優勢。但要維護一個 WAN,尤其是通過租用線路來維護時,費用是非常昂貴的,而且成本通常還會随着分公司之間距離的增加而增加。
虛拟專用網(×××)工作原理
随着網際網路的興起,企業開始尋求利用網際網路來擴充他們的網絡。首先出現的是Intranet(企業内部網際網路),這是一種專供公司員工使用而設計的站點,受密碼保護。現在,很多公司都搭建了自己的×××(虛拟專用網),以滿足遠端員工和分公司的需求。
red-light-camera-loop.gif (9.65 KB)
2008-10-19 18:10
思科系統公司供圖
一個典型的×××可能包括公司總部的主LAN、遠端分公司或分支機構的其他LAN以及從網絡外部連接配接進來的個人使用者。
從原理上來說,×××就是利用公用網絡(通常是網際網路)把遠端站點或使用者連接配接到一起的專用網絡。與使用實際的專用連接配接(例如租用線路)不同,×××使用的是通過網際網路路由的“虛拟”連接配接,把公司的專用網絡同遠端站點或員工連接配接到一起。在本文中,您将了解到×××的基礎知識,以及基本的×××元件、技術、隧道技術和安全性。
×××由什麼組成?一個設計良好的×××可以給公司帶來很多好處。例如,它可以:
擴充地理連接配接
改進安全性
降低營運成本(同傳統WAN相比)
降低遠端使用者的傳輸時間和傳送成本
提高生産效率
簡化網絡拓撲
可與全球網絡連接配接
提供遠距離工作支援
提供寬帶網絡相容性
提供更快的ROI(投資回報)——同傳統WAN相比
一個設計良好的×××需要什麼功能?它應當內建:
安全性
可靠性
可伸縮性
網絡管理
政策管理
×××有三種類型。在下面幾部分中,我們将詳細地介紹這些類型。
遠端通路×××
常見的×××有兩種。遠端通路也稱為虛拟專用撥号網絡(VPDN),它是一種使用者到LAN的連接配接,通常用于員工需要從各種遠端位置連接配接到專用網絡的公司。一般來說,公司都會把搭建大型遠端通路×××的工作外包給企業服務提供商(ESP)。ESP首先建立一個網絡通路伺服器(NAS),并向遠端使用者提供用于他們計算機的桌面用戶端軟體。然後,遠端工作者就可以通過撥打免費号碼連接配接NAS,并使用他們的×××用戶端軟體通路公司網絡。
典型的需要使用遠端通路×××的公司是擁有數百個銷售人員的大型公司。遠端通路×××能夠通過第三方服務提供商在公司專用網絡和遠端使用者之間實作加密的安全連接配接。
vpn-type.jpg (65.92 KB)
2008-10-19 18:14
三種類型×××的示例
站點到站點式×××
利用專用裝置和大規模加密,公司可以通過公用網絡(如網際網路)連接配接到多個固定的站點。站點到站點式×××有以下兩種類型:
基于Intranet——如果公司有一個或多個遠端位置想要加入到一個專用網絡中,他們可以建立一個Intranet ×××,以便将LAN連接配接到另一個LAN。
基于Extranet——如果公司同其他公司(例如合作夥伴、供應商或客戶)的關系緊密,他們可以建立一個Extranet ×××,以便将LAN連接配接到另一個LAN,同時讓所有公司都能在一個共享環境中工作。
模拟示範:每個區域網路都是一個孤島
假設您生活在廣袤海洋中的一個島上。您周圍還有很多其他的島嶼,有一些離得非常近,有一些則離得比較遠。若要去其他島,通常的方式應該是從您的島乘船前往要去的地方。當然,乘船也就意味着您幾乎沒有什麼隐私——無論您做什麼别人都能看到。
現在我們把每個島看成一個專用區域網路,而海洋就是網際網路。乘船旅行就像通過網際網路連接配接到Web伺服器或其他裝置。您無法控制網際網路的線路和路由器,就像您無法控制船上的其他人一樣。顯然,如果您要使用公用資源連接配接兩個專用網絡的話,這種方式是無法保障安全性的。
繼續我們的模拟示範。假設您所在的島現在決定建造一座通往另一個島嶼的橋,這樣人們可以更友善、更安全地直接來往于兩個島之間。即使您要連接配接的兩個島離得非常近,建造和維護一座橋的成本還是很高的,但您又特别想找到一種安全可靠的方式前往其他島,是以您不顧一切地建了這座橋。您所在的島可能還想同另外一個離得稍遠的島建立連接配接,但最終發現無法承擔那麼高的成本。
這同使用租用線路的情況非常類似。橋(租用線路)獨立于海洋(網際網路),但它讓您能夠連接配接各個島嶼(區域網路)。很多公司選擇這種路由方式,是因為它們需要安全可靠地連接配接自己的遠端分公司。不過,如果分公司離得非常遠,那麼成本會高得難以承受,這和建造跨度很大的橋的情況一樣。
那麼,×××在這中間又有什麼作用呢?還是使用我們的模拟示範。我們可以給兩個島上的每位居民一艘小型潛水艇。假設您的潛水艇具有一些驚人的特性:
它很快。
您到哪裡都可以友善地帶着它。
它可以讓其他任何船隻或潛水艇都看不到您。
它很可靠。
隻要買了第一艘潛水艇,以後再買其他潛水艇時隻需很少的錢。
vpn-sub.jpg (7.12 KB)
2008-10-19 18:16
在我們的模拟示範中,擁有潛水艇的每個人就
相當于有權通路公司專用網絡的遠端使用者。
盡管這兩個島上的居民還是和其他人一樣在海上航行,但他們卻可以随時穿梭往返,而不會存在隐私和安全性的問題。這就是×××的工作原理。利用網際網路作為媒介連接配接到專用LAN,網絡的每個遠端成員都可以通過一種安全可靠的方式進行通信。與租用線路相比,×××還可以更友善地擴大範圍,進而适應更多使用者和不同位置的需求。事實上,可伸縮性正是×××相對于典型租用線路的主要優勢。與成本随着距離的增加而增加的租用線路不同,地理位置的遠近對×××的影響是微乎其微的。
×××安全性:防火牆一個設計良好的×××可以使用多種方法來保護連接配接和資料的安全性:
防火牆
加密技術
IPSec
AAA伺服器 在接下來的幾部分中,我們将分别介紹這些方法。首先從防火牆說起。
防火牆在專用網絡和網際網路之間提供了一道強大的屏障。您可以設定防火牆來限制開放端口的數量以及允許通過防火牆的資料包類型和協定。有些×××産品,例如思科公司的1700路由器,可以通過運作相應的Cisco IOS進行更新,進而具備防火牆功能。在安裝×××之前,您應該先部署好一個功能強大的防火牆,但防火牆也可以用于終止×××會話。
×××安全性:加密技術加密是指一台計算機把要發送給另一台計算機的所有資料編碼為隻有後者才能解碼的格式的過程。大多數計算機加密系統都屬于以下兩種類型之一:
對稱密鑰加密
公鑰加密
在對稱密鑰加密中,每台計算機都有一個密鑰(代碼),用于對通過網絡發送到另一台計算機的資訊包進行加密。對稱密鑰要求您知道将要進行通信的計算機是哪一台,以便在每台計算機上安裝密鑰。對稱密鑰加密實際上與密碼相同,兩台計算機都必須知道密碼才能對資訊進行解碼。這個代碼提供了用于對資訊進行解碼的密鑰。下面是一個簡單的例子:您建立一條經過編碼的消息,并将原消息中的每個字母都替換為其在字母表中後兩位的字母,然後發送給朋友。這樣“A”變成了“C”,“B”變成了“D”。您告訴自己信任的朋友說代碼是“後移兩位”。這樣您的朋友收到消息時就可以進行解碼,進而得知消息的内容。任何其他看到該消息的人看見的隻是無意義的内容。
Flash: http://static.bowenwang.com.cn/flash/encryption-animation.swf
公鑰加密方法結合使用了私鑰和公鑰。私鑰隻有您自己的計算機知道,而公鑰則由您的計算機提供給其他任何希望進行安全通信的計算機。若要解碼被加密的消息,計算機必須使用發送方的計算機提供的公鑰以及它自己的私鑰。Pretty Good Privacy(PGP)是一種非常流行的公鑰加密實用工具,它幾乎可對任何資料進行加密
×××安全性:IPSec網絡協定安全性協定(IPSec)提供了增強的安全功能,例如更好的加密算法和更全面的身份驗證。
vpn-diagram2.gif (31.08 KB)
2008-10-19 18:26
利用IPSec的遠端通路×××
IPSec具有兩種加密模式:隧道和傳輸。隧道模式對每個資料包的标題和有效負載都加密,而傳輸模式僅加密有效負載。隻有相容IPSec的系統才能使用這種協定。此外,所有裝置都必須使用一個公共密鑰,而且每個網絡的防火牆都必須具有相似的安全政策設定。IPSec可以加密各種裝置之間的資料,例如:
路由器到路由器
防火牆到路由器
個人計算機到路由器
個人計算機到伺服器
×××安全性:AAA伺服器AAA伺服器(驗證、授權和計費)用于在遠端通路×××環境中實作更加安全的通路。當撥号用戶端要求建立會話的請求傳入後,該請求會被代理發送給AAA伺服器。然後,AAA伺服器會檢查以下事項:
您是誰(驗證)
您可以做什麼(授權)
您實際做了什麼(計費)
計費資訊尤其适用于跟蹤用戶端的使用情況,以便進行安全稽核、開票或報告目的。
×××技術
根據×××類型的不同(遠端通路或站點到站點),您需要在建立×××之前事先部署一些元件。這些元件可能包括:
每位遠端使用者的桌面軟體用戶端
專用硬體,例如×××集中器或安全PIX防火牆
用于撥号服務的專用×××伺服器
服務提供商用于遠端使用者×××通路的NAS(網絡通路伺服器)
×××網絡和政策管理中心
由于安裝×××并沒有一個廣泛接受的标準,是以很多公司自主開發了一站式解決方案。在下面幾部分中,我們将讨論思科系統公司(最著名的網絡技術公司之一)提供的幾種解決方案。
×××集中器
Cisco ×××集中器融合了最先進的加密技術和身份驗證技術,專門為建立遠端通路×××而設計。它們提供了高實用性、高性能和可伸縮性,并包括稱為可伸縮加密處理子產品(SEP)的元件,讓使用者可以友善地提高容量和吞吐量。集中器是以模型形式提供的,可以滿足任何企業規模的需求,從最多隻有100位遠端通路使用者的小型企業到最多10,000位并發遠端使用者的大型組織。
vpn-v3000.gif (5.51 KB)
2008-10-19 18:27
專門針對×××優化的路由器思科公司專門針對×××優化的路由器提供了可伸縮性、路由功能、安全性和 QoS(服務品質)。以 Cisco IOS(網際網路作業系統)軟體為基礎,他們提供了一種路由器,可以滿足從通過中心站點×××聚合通路的小型辦公室/家庭辦公室到大規模企業的各種環境需求。
vpn-1750.gif (17.22 KB)
2008-10-19 18:29
PIX防火牆
PIX(專用網際網路交換)防火牆是一項很了不起的技術,它把動态網絡位址轉換、代理伺服器、資料包過濾、防火牆和×××功能全部內建到單個硬體中。
vpn-pix.gif (8.5 KB)
2008-10-19 18:31
隧道技術
大多數×××都依靠隧道技術來建立可通過網際網路通路的專用網絡。從實質上來說,隧道技術就是将整個資料包放入另一個資料包中,并将後者通過網絡發送出去的過程。網絡和資料包進出網絡的入口點和出口點(我們稱為隧道接口)都能夠了解外部資料包的協定。
隧道技術需要使用三種不同協定:
運載協定——網絡作為資訊傳輸媒介的協定
封裝協定——用于封裝原始資料的協定(GRE、IPSec、L2F、PPTP、L2TP)
乘客協定——将要攜帶的原始資料(IPX、NetBeui、IP)
隧道技術對于×××具有重要意義。例如,您可以将使用某種不受網際網路支援的協定(例如NetBeui)的資料包放入IP資料包中,然後通過網際網路将其安全地發送出去。您也可以将使用專有(不可路由)IP位址的資料包放入使用一個通用唯一的IP位址的資料包中,進而通過網際網路擴充專有網絡。
Flash: http://static.bowenwang.com.cn/flash/vpn-site.swf
隧道技術:站點到站點
在站點到站點式×××中,通常使用GRE(通用路由封裝)作為封裝協定,它提供了如何封裝乘客協定的架構,以便在運載協定(通常是基于IP的協定)中傳輸乘客協定。這包括有關要封裝的資料包的類型資訊,以及用戶端和伺服器之間的連接配接資訊。隧道模式中的IPSec有時也用來取代GRE,充當封裝協定。IPSec适用于遠端通路×××和站點到站點式×××。但必須要兩個隧道接口都支援 IPSec才能使用IPSec。
隧道技術:遠端通路在遠端通路×××時,隧道技術通常使用PPP來實作。作為TCP/IP堆棧的一部分,
PPP(端對端協定)在主機通過網絡同遠端系統通信時會作為其他IP協定的載體。遠端通路×××隧道技術能否實作取決于PPP。
下面列出的各種協定都是使用PPP的基本結建構立的,它們都用于遠端通路 ×××。
L2F(第二層轉發)——L2F由思科公司開發,它可以使用PPP支援的任何身份驗證架構。
PPTP(點對點隧道協定)——PPTP由PPTP Forum開發,PPTP Forum 是一個聯盟,其成員包括US Robotics、Microsoft、3COM、Ascend和ECI Telematics。PPTP支援40位和128位加密,并可以使用PPP支援的任何身份驗證架構。
L2TP(第二層隧道協定)——L2TP是由PPTP Forum各成員、思科公司和IETF(網際網路工程工作組)聯手打造的産品。它結合了PPTP和L2F的功能,且完全支援IPSec。
L2TP可以用作站點到站點式×××以及遠端通路×××的隧道協定。事實上,L2TP可以在下列裝置之間建立隧道:
用戶端和路由器
NAS和路由器
路由器和路由器
vpn-ups.jpg (9.91 KB)