敖理達
摘 要:討論VPN技術,結合中國電信VPDN工程,采用對比方式詳述VPDN中用戶與企業內部網之間的通信及認證過程。
關鍵詞:虛擬專用網 VPN LAC LNS L2TP 隧道 認證
一、引言
虛擬專用網VPN(Virtual Private Network)的定義有多種形式,如"是建立在實際網絡(或物理網絡)基礎上的一種功能性網絡","是通過公用網絡實現遠程用戶或遠程LAN之間互連,但仍具有專網化點的一種技術","在Internet上實現的一個專用網"等等。在這里我們引用Internet工程任務組(IETF)對虛擬專用網VPN的定義:借助于公用Internet和專用IP網而建立的虛擬廣域網(WAN)。
作為虛擬的專用網,VPN是一個虛信道,該信道可以用來連接兩個專用網;可以通過可靠的加密技術方法保證其安全性;可以作為公共網絡系統的一部分存在。
早期的虛擬專用網是使用幀中繼或ATM的PVC來建構的,它們提供的都是二層服務。現在新的虛擬專用網技術是基于三層的IP協議,它可以使VPN完全建構在公用的Internet或IP網之上。
二、VPN技術原理
遠程用戶通過撥號經由PSTN接入企業服務器,撥號用戶和企業遠程訪問服務器之間通過PSTN建立直接的物理連接。這樣,在企業局域網端,就要求服務器能提供對數據鏈路層的控制(LCP);對請求的認證和對網絡層的控制(NCP)。
LAC和LNS合起來完成了原來由企業訪問服務器完成的工作。在這里,訪問集中器LAC、網絡服務器LNS是當使用L2TP協議時的命名;當使用其它隧道協議時,訪問集中器和網絡服務器就以相對應的名字命名(如PAC和PNS對應于PPTP協議)。
當遠程VPN用戶通過撥號訪問企業局域網時,LAC首先通過Internet和LNS建立隧道(此時假定為合法用戶,不考慮認證問題)。該條隧道的建立分為兩個階段:(1)控制連接的建立;(2)會話的建立。LAC和LNS必須為每一位撥號用戶建立一個會話,但多個會話可以復用同一條隧道。因此對所有會話只需建立一個控制連接;所有會話的建立、維持和終止都通過這個控制連接來傳送控制消息。為保證在控制連接上傳輸控制消息的正確性,控制連接是基于面向連接的傳輸層控制協議TCP會話建立的。
當LAC和LNS間的隧道建立后,遠程VPN用戶就可以與LNS進行PPP握手,握手成功后建立起PPP連接。在此PPP連接建立的過程中要完成數據鏈路層認證和IP地址分配等任務。在這里,LNS經認證后分配給用戶的是內部網地址,而不是Internet的全局IP號。這樣,遠程VPN用戶就與LNS成功建立了PPP連接,從而可以開始通信。由于用戶端發出的數據(即發給LNS的PPP幀)先要在LAC處被封裝成L2TP幀格式,此種幀在通過Internet隧道發送之前又要被再次封裝到IP數據報文中。該報文中的源IP地址即為LAC的全局IP地址;目的IP地址即為LNS的全局IP地址。
由于在虛擬專用網中數據傳送要頻繁通過Internet,所以數據傳輸的安全性顯得十分重要。目前保證安全傳輸采用的是IPSec協議。IPSec使用兩組協議:(1)驗證報頭(AH);(2)封裝安全有效負載(ESP)。
AH是對IP報文用某種認證算法進行計算,將計算后的結果作為AH插在IP首部和數據字段之間;報文被目的終端接收后,按照認證算法重新對IP報文進行計算,將計算后的結果和認證首部中的內容進行比較:若相符,表示IP報文在傳輸過程中未受損,否則認為已被破壞。AH只能保證報文的完整性和可靠性,但不對IP數據加密。
ESP是將IP報文的數據字段內容進行加密,加密后的結果才真正作為IP報文的負荷封裝在IP報文中。IP報文被目的終端接收后,由目的終端重新對IP報文的負荷進行解密,還原成原始的數據字段內容。通過選擇好的加密算法,ESP可以保證IP報文的完整性、可靠性和保密性。
三、中國電信VPDN
VPDN(Virtual Private Dialup Network)--虛擬專用撥號網:它是以撥號接入方式上網、在公網上傳輸數據時通過對網絡數據的封包和加密傳輸專用數據以達到專用網絡安全級別的技術。其實質就是VPN。
中國電信利用其現有的IP網(并網后的169/163網)作為VPDN的業務承載網,向集團用戶提供IP網絡VPDN業務。該業務可以為企業用戶在Internet上開辟一條安全的專用數據通道,為企業省去了在組建專網時所花費的設備和人員的投資;而且將以前的長途呼叫轉為本地呼叫,大大節約了通信費用;該業務還可以使企業將網絡管理任務交給電信相關部門,減少了企業內部網絡的管理負擔。
中國電信VPDN將用戶分為全國用戶和省內用戶,設立了一個全國業務管理中心和31個省級業務管理中心。它們分別受理全國范圍的VPDN業務和省內范圍的VPDN業務。
從技術角度來看,中國電信VPDN選用了VPN標準中的L2TP協議作為第二層隧道協議。L2TP協議結合了PPTP與L2F的優點。使用L2TP有以下一些好處:(1)作為PPP的擴展,它可以得到對端的用戶名,能區分不同的用戶:比如撥號用戶、采取專線直連的對端路由器等;(2)可以分配企業內部網IP地址;(3)支持信道認證,具有IPSec選項。
VPDN作為VPN技術的一個實體,不但完全使用了VPN技術原理及其標準,而且加入了一些實際應用中必不可少的功能,如認證部分。
認證是根據用戶提交的域名來進行的。VPDN中采用了不同用戶域名結構來標識全國用戶和省內用戶。全國用戶采用"用戶名@集團名"的形式來標識;省內用戶則采用"用戶名@集團名.省市名"來標識。這樣,當用戶進行VPDN業務撥叫時,首先到省級VPDN業務管理中心RADIUS,通過用戶域名判斷是省內業務還是全國業務:如果是省內業務則在省級完成認證,否則轉至全國VPDN業務管理中心完成認證。
具體的認證實施是在LAC和LNS處進行的。用戶首先通過撥待服號179XX發起VPN,在用戶和LAC間建立PPP連接;然后系統將用戶域名和口令送至LAC處(此時如需驗證,就將用戶域名和口令送到認證服務器進行一次認證),LAC根據收到的參數與LNS之間建立L2TP隧道。在L2TP隧道建成后,VPDN用戶與LNS進行PPP握手,LAC向LNS發送用戶域名和口令。這時,企業內部網管理系統認證服務器對用戶進行認證,如果認證成功則向遠端用戶分配內部網地址,讓VPDN用戶與LNS間建立PPP連接。此連接建立后,用戶就可以和企業內部網絡進行通信了。
四、VPN的發展前景
VPN同時為使用它的企業和提供它的ISP帶來了經濟效益:基于Internet的網絡使遠端的用戶能安全方便地訪問本企業的內部資源;企業可以使用VPN與他們的合作伙伴進行安全的通信;ISP可以靠提供帶寬和增值業務來獲利。
近年來,VPN的業務與市場發展迅速。由于VPN能提供良好的性能價格比以及其自身標準的不斷完善,使得使用VPN更經濟、適用。有國外機構預測,到2001年將會有55%的企業有意建立VPN。另外,由于全球經濟的一體化,許多國際業務和地區間業務增長迅速,從事相應商務活動的公司大量增加,以及VPN在擴大全球性業務的同時又降低了長途通信費率,這些都推動了VPN市場的發展。根據Infonetics的研究報告,VPN業務的開展將為企業提供節省長途專線租用成本的20%~47%,節省遠程撥號費用的60%~80%。
對于我國來說,目前全國的公用網,無論是電話網或數據網都已具有相當的規模和水平。X.25、DDN及幀中繼等網絡已經投入運營,全國各省的163/169并網工程也相繼完成,這就為VPN業務提供了較為完備的承載網絡。但由于我國的大多數企業網都不是十分成熟,同時很多企業也沒有真正了解到VPN技術能為其帶來的經濟效益,所以VPN業務的開展還需要中國電信和ISP們花費大力氣在全國進行推廣。
從VPN在全球的發展來看,它對Internet服務提供商和有VPN需求的企業及公司來說,無疑都是一種相當不錯的選擇。據Cahners In-Stat公司估算:在1999年,VPN的市場為26.7億美元。預計到2003年,VPN的市場將增加到320億美元。我國各企業在組建自己的專用網絡時,可以根據各自的情況選用VPN以及何種方式的VPN,以便更經濟、有效、快捷地滿足企業對話音、數據、視象等各種業務的需求。
