基于IP的虛擬專用網技術

2019-11-03 09:08:21

字體：大中小

來源：轉載

供稿：網友

李洪　　隨著世界交流的日益增多，企業不斷發展，分支機構也分布到世界各地。為了加強管理和企業內部聯系，越來越多的企業認識到建立內部網的重要性，并且開始組建企業內部網，有些甚至是跨國跨州的企業內部網。　　目前這些企業內部網大多是靠租借電信部門的模擬或數字專線來組建的，因而費用高昂，沒有一定的經濟實力是難以承擔的，這是許多企業所面臨的一個問題。

　　隨著Internet的迅速發展，TCP／ip組網技術在世界各地流行起來，許多企業轉而使用TCP／IP技術來組建企業網。由于Internet網絡已經非常龐大，幾乎延伸到世界各個角落，為企業組建內部網帶來了極大的方便。起初，人們只是簡單地通過設立一個防火墻（Firewall）與Internet相連的方式來組建企業內部網。這種做法在組網方式、域名、IP地址分配上仍感到不便。為此，采用虛擬專用網（VPN）來組建企業網的技術被提出。VPN技術主要有基于路由器的虛擬專用網組網技術和基于Microsoft NT的端到端VPN解決方案兩種。由于目前VPN的國際標準還未成熟，無論ATM論壇還是IETF組織對VPN都只有參考草案，因此各廠家的VPN組網方案，相互之間不能互通。在基于路由器的VPN方案中，以Cisco提出的IP Tunnelinng（IP隧道）和IP Layer（Layer 2 Forwarding第二層投遞）技術最為完整；基于端到端技術的VPN方案中，以Microsoft和Ascend公司在PPP（Point toPoint PRotocol，點到點協議）基礎上開發的Tunnel（隧道）協議——PPTP（Point to Point TunnelingProtocol，點到點隧道協議）較為典型。本文以這3家公司的產品為例。

1 Cisco的VPN解決方案

　　Cisco提出了一套完整的VPN解決方案，即IPTunneling和VPDN。通過這套方案，用戶或企業可通過電話網、N－ISDN或專用線路方式接入Internet來組建自己的VPN企業網。其中IP Tunneling是提供給具有專線接入方式的用戶或企業組建VPN的解決方案；VPDN（Virtual Private Dialup Network，虛擬專用撥號網絡）是提供給撥號（電話或ISDN）接入的用戶或企業組建VPN的解決方案。

1.1 IP Tunneling的VPN解決方案

　　當公司分支機構和公司總部均通過各自的路由器直接連接到Internet網上時，可以采用IP Tunneling技術來組建基于Internet的企業內部網絡。

　　IP Tunneling技術是把企業內部網的任意信息包封裝在Cisco GRE（Generic Route Encapsulation）封包格式內，通過IP協議透明地穿過Internet，子網與子網（即端點路由器到端點路由器）互連。IP Tunneling技術所支持的被封裝的協議為多協議形式，即其包封可以支持AppleTalk、Banyan VINES、CLNP、DECnet、IP或IPX等等。單就一個通道而言，它是一個點對點的連接，但Cisco把一個通道的端點視為路由器上的虛接口，因而在連接公司總部的路由器上可以有多個通道到下面的多個公司分支機構。

　　IP Tunneling的實現過程如圖1所示。來自各個分支機構的數據包在各個分支機構接入路由器上被封裝在GRE格式中，被IP數據包運載穿過Internet網絡，到達連接公司總部的路由器，該路由器負責解除GRE的封裝，并把解包后的IP數據包送到公司內部網絡進行處理。反之亦然。通過封裝協議，公司內部網絡完全與公網Internet分隔開來，盡管物理上是連在一起的。

　　這種組網方式的特點是非常靈活，且易于擴充。在建網初期，可以只設一個企業網的中心路由器，所有分支機構直接用IP Tunneling的方式接入中心路由器，并由中心路由器負責與公網Internet的互連(即充當網關Gateway）；當網絡規模擴大以后，可以建立多個企業網中心，這些網絡的實現都是靠邏輯虛連接完成的，所以其建設時間較短，成本較低，因而建立龐大的跨國企業內部網將不是什么困難的事情了。

1.2 VPDN解決方案

　　對于一些通過撥號方式連接到Internet的公司分支機構，可以采用VPDN技術接入企業內部網絡。

　　實現VPDN對用戶來說是透明的，用戶端不需增加投資，只需在Internet撥號訪問服務器（NAS）和連接公司總部的路由器上作配置即可，見圖2。

　　采用VPDN技術進行VPN組網時，其用戶應該使用一種有結構層次的用戶名形式，如XXM＠MISSERVER的形式，以便Internet的訪問服務器能根據用戶名的域名來進行處理。

　　當撥號用戶發出一個呼叫到Internet的訪問服務器（NAS）時，它發出PPP的連接請求。NAS接收此呼叫后，就在撥號用戶和NAS之間建立了一條PPP的鏈路。接下來NAS可以使用CHAP（Challenge Handshakes Authentication PassWord）或PAP（PasswordAuthenticaton Protocol）的協商協議對終端系統／用戶進行身份驗證，只有NAS發現用戶名中有一個域名指明該用戶屬于某一個VPDN的服務時，它才會啟動VPDN功能，否則NAS將視為一個普通的Internet用戶。因此，NAS對撥號的用戶名檢驗是部分的而非全部。

　　當上述步驟執行后，Internet上具有VPDN功能的撥號服務器（NAS）會檢查有沒有到公司總部路由器的L2F連接。L2F是第二層轉發協議，它在第二層上建立一個隧道，把上層的信息透過Internet進行傳輸。當撥號用戶第一次撥入時，NAS會啟動一個到VPN中心路由器的L2F Tunnel協商。

　　如果VPN中心路由器接收這個呼叫連接，它會返回一個CHAP AUTHEN＿OK的信號，經NAS轉發給撥號用戶一方，建立一個端到端的連接，并為PPP創建一個虛擬接口，用于直接撥入的連接。借助這一個虛擬接口，鏈路層的幀就可通過隧道透明傳輸。以后就是撥號用戶和VPN中心路由器之間的雙向PPP信息交換過程，即從撥號用戶發出的幀被NAS接收到以后，被封裝在L2F中，通過IP隧道被轉發到VPN中心路由器。

　　采用VPDN后，Internet的訪問服務器和網絡對用戶而言是透明的，撥號用戶的地址分配和身份驗證均是由VPN中心路由器側來進行的，并且NAS和VPN中心路由器雙方均可以對撥號用戶進行計費和驗證。

　　當撥號用戶與VPN中心路由器建立連接之后，VPDN就為用戶在本端與VPN中心路由器之間建立一條IP隧道，在該隧道上運載的是L2F包；而對非VPN內的用戶，由于在撥號進入NAS時不能啟動VPDN功能，也就不能進入VPN中心路由器，所以也不能進入所定義的企業VPN網絡了。

2 Microsoft和Ascend提出的端到端VPN解決方案

　　盡管Cisco提出的VPN解決方案很吸引人, 但由于它是Cisco公司專有的，當網絡中有非Cisco公司的路由器時，顯然不能互通。為了解決這個問題，Microsoft和Ascend公司在PPP協議基礎上開發了PPTP協議（Point to Point Tunneling Protocol）。

　　PPTP協議是在PPP基礎上開發的、基于GRE封裝的協議，增加了流控制機制。

　　PPTP協議是一個真正的端到端技術，它可建立用戶到服務器的直接端到端隧道連接，對于接入路由器NAS和Internet網絡來說，這些都是透明的。建立一個PPTP的連接過程如下：

　　不管用戶是通過專線或撥號網接入Internet網絡，用戶端都可以與VPN中心服務器建立IP連接；然后通過用戶端的一個PPTP虛擬接口“撥號”到VPN中心服務器建立PPTP連接。PPTP的內層協議可以支持IP／IPX／CLNP等多種協議。換言之，通過PPTP協議的隔離作用，用戶端和VPN中心服務器端可以建立端到端的VPN網絡。如圖3所示。

2.1 VPN與公用Internet網的互通

　　VPN網絡是一個專用于企業內部信息交流的網絡，一般情況下外部用戶沒有權利訪問企業的重要信息，但為了擴大企業的影響，必要時企業要開放VPN上的部分非機密信息，如企業簡介等，這樣就使得VPN與Internet的互通顯得很有必要了。

　　企業VPN與Internet的互通有兩種方法：一種是采用NAT（Network Address Translate，地址轉換）；另一種是在相關服務器上使用兩套IP地址。

2.2 NAT地址轉換方法

　　一般來說，企業VPN內部采用自己的內部IP地址，如172.16．x．x，與公網IP地址區分開來。因此，當擁有公用IP地址的Internet用戶或主機想訪問這些VPN內部服務器時，一般需要NAT地址轉換，這個功能由VPN中心的接入路由器來實現，如圖4所示。同樣地，通過NAT地址轉換，企業內部的用戶也可以訪問公用Internet網，獲得Internet上的各種服務，比如：WWW、E－mail、FTP等。所以說，通過NAT功能，VPN內部網絡可以與lnternet網絡實現互通。

　　另外，NAT地址轉換功能也支持過濾器功能，可以在NAT上設置一些過濾選項來達到防火墻的目的。

2.3 使用兩套IP地址的方法

　　為了節省NAT地址轉換造成的額外開銷，我們可以在需要與Internet互通的VPN內部服務器上設置兩個IP地址，一個是VPN內部的私有地址，另一個是公網合法的IP地址，如圖5所示。同時，在VPN中心的接入路由器上作一些訪問控制，使得當Internet的用戶或主機訪問VPN內部服務器時，可以直接與VPN內部服務器建立連接，而不必經過繁瑣的地址轉換過程。對于VPN內部用戶，由于他們只擁有內部地址，當他們訪問Internet時，仍然需通過NAT地址轉換過程。通過NAT過程，也可對他們訪問公網實施限制。