×××技術

虛拟私有網絡×××(virtual private network)出現于internet盛行的今天,它使企業網絡幾乎可以無限延伸到地球的每個角落,進而以安全、低廉的網絡互聯模式為包羅萬象的應用服務提供了發展的舞台。

　　虛拟專用網（×××）是利用公衆網資源為客戶構成專用網的一種業務。我們這裡所提的×××有兩層含義：

　　一、 它是虛拟的網，即沒有固定的實體連接配接，網路隻有使用者需要時才建立；

　　二、 它是利用公衆網絡設施構成的專用網。

　　×××實際上就是一種服務，使用者感覺好象直接和他們的個人網絡相連，但實際上是通過服務商來實作連接配接的。×××可以為企業和服務提供商帶來以下益處：

　　

　　采用遠端通路的公司提前支付了購買和支援整個企業遠端通路基礎結構的全部費用；

　　公司能利用無處不在的internet通過單一網絡結構為職員和商業夥伴提供無縫和安全的連接配接；

　　對于企業，基于撥号×××的extranet能加強與使用者、商業夥伴和供應商的聯系；

　　電話公司通過開展撥号×××服務可以減輕終端阻塞；

　　通過為公司提供安全的外界遠端通路服務，isp能增加收入；通過extranet分層和相關競争服務，isp也可以提供不同的撥号×××。

　　×××兼備了公衆網和專用網的許多特點，将公衆網可靠的性能、豐富的功能與專用網的靈活、高效結合在一起，是介于公衆網與專用網之間的一種網。

　　×××能夠充分利用現有網路資源，提供經濟、靈活的連網方式，為客戶節省裝置、人員和管理所需的投資，降低使用者的電信費用，在近幾年得到了迅速的應用。 有專家認為，×××将是本世紀末發展速度最快的業務之一。

　　1.1 什麼是×××

　　通過對網絡資料的封包和加密傳輸，在公網上傳輸私有資料、達到私有網絡的安全級别，進而利用公網構築virtal private network（即×××）。如果接入方式為撥号方式，則稱之為vpdn。

　　×××通過公衆ip網絡建立了私有資料傳輸通道，将遠端的分支辦公室、商業夥伴、移動辦公人員等連接配接起來。減輕了企業的遠端通路費用負擔，節省電話費用開支，并且提供了安全的端到端的資料通訊。

　　×××的建立有三種方式：一種是企業自身建設，對isp透明；第二種是isp建設，對企業透明；第三種是isp和企業共同建設。

　　1.2 ×××的工作原理

　　使用者連接配接×××的形式：

　　正常的直接撥接上網與虛拟專網連接配接的異同點在于在前一種情形中，ppp（點對點協定）資料包流是通過專用線路傳輸的。在×××中，ppp資料包流是由一個lan上的路由器發出，通過共享ip網絡上的隧道進行傳輸，再到達另一個lan上的路由器。

　　這兩者的關鍵不同點是隧道代替了實實在在的專用線路。隧道好比是在wan雲海中拉出一根串行通信電纜。那麼，如何形成×××隧道呢？

　　建立隧道有兩種主要的方式：客戶啟動（client－initiated）或客戶透明（client－transparent）。客戶啟動要求客戶和隧道伺服器（或網關）都安裝隧道軟體。後者通常都安裝在公司中心站上。通過客戶軟體初始化隧道，隧道伺服器中止隧道，isp可以不必支援隧道。客戶和隧道伺服器隻需建立隧道，并使用使用者id和密碼或用數字許可證鑒權。一旦隧道建立，就可以進行通信了，如同isp沒有參與連接配接一樣。

　　另一方面，如果希望隧道對客戶透明，isp的pops就必須具有允許使用隧道的接入伺服器以及可能需要的路由器。客戶首先撥号進入伺服器，伺服器必須能識别這一連接配接要與某一特定的遠端點建立隧道，然後伺服器與隧道伺服器建立隧道，通常使用使用者id和密碼進行鑒權。這樣用戶端就通過隧道與隧道伺服器建立了直接對話。盡管這一方針不要求客戶有專門軟體，但客戶隻能撥号進入正确配置的通路伺服器。

　　1.3 ×××涉及的關鍵技術

　　×××是一個虛拟的網，其重要的意義在于"虛拟"和"專用"。為了實作在公網之上傳輸私有資料，必須滿足其安全性。×××技術主要展現在兩個技術要點上：tunnel、相關隧道協定（包括pptp，l2f，l2tp），資料安全協定（ipsec）。下面針對這幾項技術做一介紹。加密和使用者授權為在公司網上進行個人通信提供了安全保證。

　　1.3.1 隧道技術（tunneling）

　　1.3.1.1 隧道技術介紹

　　×××在表面上是一種聯網的方式，比起專線網絡來，它具有許多優點。在×××中，通過采用一種所謂"隧道"的技術，可以通過公共路由網絡傳送資料分組，例如internet網或其他商業性網絡。

　　這裡，專有的"隧道"類似于點到點的連接配接。這種方式能夠使得來自許多源的網絡流量從同一個基礎設施中通過分開的隧道。這種隧道技術使用點對點通信協定代替了交換連接配接，通過路由網絡來連接配接資料位址。隧道技術允許授權移動使用者或已授權的使用者在任何時間任何地點通路企業網絡。

　　通過tunnel的建立，可實作以下功能：

　　将資料流量強制到特定的目的地

　　隐藏私有的網絡位址

　　在ip網上傳輸非ip協定資料包

　　提供資料安全支援

　　協助完成使用者基于aaa的管理。

　　在安全方面可提供資料包認證、資料加密以及密鑰管理等手段。

　　撥号×××s使用隧道技術遠端通路伺服器把使用者資料打包進ip資訊包中，這些資訊包通過電信服務提供商網絡傳遞，在internet裡，則需要穿過不同的網絡，最後到達隧道終點 ，然後資料拆包，轉發成最初的形式。×××允許網絡協定的轉換，還允許對來自許多源的流量進行差別，這樣可以指定特定的目的地，接受指定級别的服務。公司網進行遠端通路通信，從電路交換的，長距離的本地電信服務提供商到isps和internet需要采用隧道技術。隧道技術使用點對點通信協定，代替了交換連接配接，通過路由網絡來連接配接資料位址。這代替了電話交換網絡使用的電話号碼連接配接。隧道技術允許授權移動使用者或已授權的使用者再任何時間任何地點通路企業網絡。應用授權技術，隧道技術也禁止未授權的通路。

　　下面是一個隧道包典型設計：

　　要形成隧道，基本的要素有以下幾項：

　　隧道開通器（ti）

　　有路由能力的公用網絡

　　一個或多個隧道終止器（tt）

　　必要時增加一個隧道交換機以增加靈活性

　　隧道開通器的任務是在公用網中開出一條隧道。有多種網絡裝置和軟體可完成此項任務，例如：（1）配有模拟式數據機pc卡和×××型撥号軟體的最終使用者膝上型計算機；（2）分支機構的lan或家庭辦公室lan中的有×××功能的extranet路由器；（3）網絡服務提供商站點中的有×××能力的通路集中器。

　　隧道終止器的任務是使隧道到此終止，不再繼續向前延伸。也有多種網絡裝置和軟體可完成此項任務，例如：（1）專門的隧道終止器；（2）企業網絡中的隧道交換機；（3）nsp網絡的extranet路由器上的×××網關。

　　×××網絡中通常還有一個或多個安全伺服器。安全伺服器除提供防火牆和位址轉換功能之外，還通過與隧道裝置的通信來提供加密、身份查驗和授權功能。它們通常也提供各種資訊，如帶寬、隧道端點、網絡政策和服務等級。

　　通過軟體或子產品更新，現有的網絡裝置就可以增加×××能力。一個有×××能力的裝置可以承擔多項×××應用。

　　現在已經有許多internet(ietf)的建議，都是關于隧道技術如何應用的。其中包括點對點隧道協定(pptp)、第二層轉發（l2f）、第二層隧道協定（l2tp）、虛拟隧道協定（vtp）和移動ip。由于得到了不同網絡廠商的支援，建議的标準定義了遠端裝置如何能以簡單安全的方式通路公司網絡和internet。

　　隧道技術非常有用：

　　首先，一個ip隧道可以調整任何形式的有效負載，使用桌面或便攜式計算機的使用者能夠透明地撥号上網來通路他們公司的ip、ipx或appletalk網絡。

　　第二，隧道能夠同時調整多個使用者或多個不同形式的有效負載。這可以利用封裝技術來實作。例如ietf rfc1701定義的一般路由封裝。

　　第三，使用隧道技術通路公司網時，公司網不會向internet報告它的ip網絡位址。

　　第四，隧道技術允許接受者濾掉或報告個人的隧道連接配接。

　　1.3.1.2 第二層隧道與第三層隧道

　　如下圖所示，按照隧道的起始和終止位置可分為第二層和第三層隧道。隧道終止在不同的位置取決于第二層隧道或第三層隧道是否使用。使用第三層隧道時，利用終端裝置在服務提供商的網絡上進行隧道産生和終止。在遠端通路伺服器(ras)上也能終止遠端使用者對點協定(ppp)對話。使用第二層隧道時，隧道的建立可以在ras也可以在服務商提

　　供的網絡上或在ras上 ，第三層隧道終止第二層隧道連接配接。在這個服務提供商網絡的企業内部網或路由駐留，它僅僅通過隧道傳送第三層有效負載到隧道終點。遠端通路伺服器上，另一方面，第二層隧道在服務提供商的骨幹網上把這個ppp幀傳到預先确定的終點。遠端用戶端。隧道的終止則在路由器的使用者端或一般的伺服器上。

第三層隧道技術對于公司網絡還有一些其它優點，網絡管理者采用第三層隧道技術時，不必在他們的遠端節點或客戶原有裝置(cpe)上安裝特殊軟體。