一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:460500587
微信公众号:计算机与网络安全
ID:Computer-network
任何技术的诞生都有其特定的应用需求背景,即是由需求驱动产生的。在计算机网络发展初期,各企业的局域网基本上都处于同一地点,无分机构网络,也就无需进行远程连接。但随着经济的发展,计算机网络应用的普及和发展日趋完善,越来越多的企业开始在全国,甚至全球建立分支机构,全国乃至全球的合作伙伴也日益增多,同时公司员工对移动访问公司网络的需求也不断增加。这一切都涉及到一个非常现实的重要问题,那就是如何通过安全、便捷的方式把这些分支机构的内部网络进行互联,实现资源共享;如何使合作伙伴、公司移动办公员工可以方便、快捷地访问公司内部网络。这就是VPN (Virtual Private Network,虚拟专用网)技术诞生的最初背景需求,但最初解决这类需求的方案还不是VPN。
VPN是一类技术的统称,随着技术的发展,产生了多种可以实现以上目的的VPN解决方案,如IPSec VPN、GRE VPN、L2TP VPN、DSVPN和SSL VPN等。但这些VPN解决方案都有两个共同的基本特点:
(1)主要应用于通过公共的Internet进行远程网络连接,满足了远程网络连接的便捷性;
(2)不是直接通过公共的Internet来传输远程网络互联通信中的数据,而是会采取各种安全保密技术(或称“隧道”技术),使得人们担心的安全问题也随之得到解决。
一、VPN的起源
最初,为了解决企业网络远程连接的问题,电信运营商采用的是租赁线路(Leased Line)的方式为客户提供远程网络的专线连接,但这并不是我们现在所说的真正意义上的VPN,两者只是功能类似。
这种专线方式是为企业用户提供物理的二层链路,即以二层的方式为企业用户实现远程网络的连接。这种专线方式有其明显的缺点:网络建设时间长、价格昂贵,不适宜太远距离的连接,因为都需要专门为每一个用户架设物理线路,而且一条物理线路只为一个用户专用,线路利用率低。对用户来说,租用专线的费用的确非常高,不仅限制了用户的使用,同时也阻碍了远程网络连接技术的应用和发展。这不符合我们前面所说到的VPN所具有的便捷、安全这些基本特性。
为了解决租赁专线方案的建设成本、企业用户接入费用昂贵问题,随着 ATM (Asynchronous Transfer Mode,异步传输模式)和FR(Frame Relay,帧中继)技术的兴起,电信运营商转而使用虚电路方式,利用运营商现有的ATM网络,或FR网络为客户提供点到点的二层网络的远程连接,客户再在其上建立自己的三层网络以承载IP等数据流。
在虚电路方式下可以在一条物理线路中构建多条虚拟通道,而且也是在现有的ATM或FR网络基础上建立的,所以这种解决方案与以前的租赁专线方案相比,最大的优势就是运营商网络建设时间短、网络建设成本也得到了大大降低。因为这种解决方案不再需要为每个企业用户专门架设物理线路,而是直接在原物理线路基础上构建一条虚拟通道即可。但这种传统专网也存在以下诸多不足:
依赖于专用的传输介质:为提供基于ATM的VPN服务,运营商需要建立覆盖全部服务范围的ATM网络;为提供基于FR的VPN服务,又需要建立覆盖全部服务范围的FR网络,网络建设成本高,也与飞速发展的IP网络背景不协调(ATM网络和FR网络正慢慢被淘汰)。
安全性较差:在虚电路中传输的数据没有足够的安全技术进行加密保护,仍存在较大的安全隐患。
速率较慢:利用ATM和FR技术进行远距离网络连接时的连接速率通常是只有几十Mb/s,不能满足当前Internet应用在速率方面的要求。
部署复杂:向已有的私有网络加入新的站点时,需要同时修改所有接入此站点的边缘节点的配置,缺乏足够的灵活性和便捷性。
由此可见,以上两种传统专网都难以满足企业对网络灵活性、安全性、经济性、扩展性等方面的要求。这就促使了一种新的替代方案的产生,即在现有IP网络上模拟传统专网的VPN方案。
二、VPN的定义
现在所说的VPN是指依靠ISP(Internet Service Provider,Internet服务提供商)和NSP(Network Service Provider,网络服务提供商)在公共网络(Internet或者企业公共网络)中建立的虚拟专用通信网络。它的基本原理是利用隧道技术,把要传输的原始协议数据包文封装在隧道协议中进行透明(与底层的公共网络无关)远程传输。
隧道技术是一项使用一种协议封装另外一种协议报文的技术,而封装协议本身也可以被其他封装协议所封装或承载,即一个协议的报文可以被其他协议多次封装。封装其他协议的目的就是为了协议报文能够在其他协议对应的链路上识别并传输。常用的隧道协议有L2TP(Layer 2 Tunneling Protocol,二层隧道协议)、PPTP(Point-to-Point Tunneling Protocol,点对点隧道协议)、GRE(Generic Routing Encapsulation,通用路由封装)、IPSec(Internet Protocol Security,Internet协议安全)、MPLS(Multi-Protocol Label Switching,多协议标签交换)等。
在没有建立专门的隧道前,VPN两端的设备已可通过公共网络连接,即VPN两端的网关设备必须已成功接入到公共网络中。
VPN隧道是在现有公共网络(如Internet)的通信路径上建立的,无需另外建立专门的网络连接,这是VPN隧道之所以可以很快捷地完成建立、价格也不昂贵的根本原因,从而区别于专线连接。
VPN隧道虽说是虚拟的(不是真实的隧道),但隧道中的通信路径不是虚拟的,也是公共网络中真实的物理通信路径,必须依靠公共网络中实际的路由路径进行一级级的数据包转发,而不是真的可以从隧道一端直达另一端的。
VPN隧道是专用的,不是什么数据都可以通过隧道进行传输的。虽然多路VPN用户的隧道可以共享同一个公共网络,但对每一路VPN用户来说,使用的都是专用通道,如图1所示,互不干扰。VPN与底层承载的公共网络之间也保持资源独立,即一个VPN通道的资源不会被网络中非该VPN的用户所使用。
图1 多路VPN用户共享同一个公共网络的示意
VPN隧道并不都是点对点建立的,中间也可以有其他三层设备,但这些三层设备对VPN隧道中传输的数据是作透明传输的(NAT设备除外,此时需要开启NAT穿越功能),因为路径中间的普通三层设备只负责根据IP报头的地址信息查找路由表进行转发,而不会对数据包进行处理(不能识别隧道协议报头内容,只有VPN端点的网关设备才会对到达隧道端点的数据进行处理)。
隧道中传输的数据是经过一定安全保护的,因为在一些VPN方案中,隧道是采用身份认证、加密保护措施的,所以传输的数据也往往有各种加密、数据完整性检查等安全措施,如IPSec VPN。就像专用的高速公路车道会有许多不同于普通公路的一些交通法规和设施一样。
三、VPN的主要优势
通过VPN可将远程用户、公司分支机构、合作伙伴与公司总部的网络建立可信的安全连接,从而实现数据的安全传输。利用VPN的专用和虚拟的特征,可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富:可以用在解决企业不同部门或分支机构间的互连;也可以用来提供新的业务,如为IP电话业务专门开辟一个VPN,就可以解决IP网络地址不足、QoS保证,以及开展新的增值服务等问题。
从客户角度看,VPN和传统的数据专网相比具有以下优势:
安全连接:通过一系列的安全技术,可确保在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠、安全的网络连接,保证数据传输的安全性,比直接通过公共网络通信安全。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
经济可行:利用广泛使用、廉价的公共网络进行远程网络互联,企业可以用更低的成本(许多VPN方案分支机构或远程终端可以采用廉价的动态IP地址的Internet接入方式)连接远程办事机构、出差人员和业务伙伴网络,轻松实现原来想都不敢想的意愿。
支持移动业务:支持驻外VPN用户在任何时间和地点通过目前已非常普及的各种廉价Internet接入方式连接到远程的公司内部网络(当然,不同VPN方案对移动接入的支持程度会有所不同,如GRE VPN就不支持),能够满足不断增长的移动业务需求。
服务质量保证:构建具有服务质量保证的VPN(如MPLS VPN),可为VPN用户提供不同等级的服务质量保证。
从运营商角度看,VPN具有以下优势:
提高资源利用率:因为VPN是利用已有的公共网络来建立,所以这样可以提高运营商的公共网络资源利用率,有助于增加ISP的收益。
方便、快捷:这种无需专门构建专线连接的VPN方案,通过软件配置就可以方便、快捷地增加、删除VPN用户,修改用户的VPN方案配置,无需改动硬件设施。在实际的VPN方案部署和应用上都具有很大的灵活性。
多业务支持:通过为用户部署VPN方案,服务提供商(NSP)在为用户提供VPN互连的基础上,还可以承揽用户的网络外包、业务外包、客户化专业服务的多业务经营,进一步增加运营商的营收。
VPN以其独具特色的优势赢得了越来越多企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业商业目标的实现。另外,运营商可以只管理和运行一个公共网络,并在这个公共网络上同时提供多种服务,如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。VPN在保证网络的安全性、可靠性、可管理性的同时,还可为用户提供更强的扩展性和灵活性。
微信公众号:计算机与网络安全
ID:Computer-network