1.VPN概述
近年來��,隨著Internet的快速增長以及網(wǎng)絡(luò)經(jīng)濟的發(fā)展��,企業(yè)網(wǎng)的應(yīng)用也不斷發(fā)展��,范圍也不斷擴大��,企業(yè)網(wǎng)已經(jīng)從一個單一的本地網(wǎng)絡(luò)發(fā)展到跨地區(qū)跨城市甚至是跨國家的網(wǎng)絡(luò)��。在這 種情況下��,傳統(tǒng)網(wǎng)絡(luò)固定的專線連接方式已經(jīng)很難適應(yīng)現(xiàn)代企業(yè)的需求��。因此企業(yè)對于自身網(wǎng)絡(luò)的建設(shè)提出了更高的要求��,主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性��、經(jīng)濟性��、擴展性等方面��。VPN技術(shù)的出現(xiàn),使得企業(yè)能夠在公用通信網(wǎng)絡(luò)中靈活��、安全地進行數(shù)據(jù)交換��,顯著節(jié)省使用專用網(wǎng)絡(luò)的長途費用,降低公司建設(shè)自己的廣域網(wǎng)(WAN)的成本��,而且同時實現(xiàn)信息資源的充分利用��。
上海博達數(shù)據(jù)通信有限公司作為國內(nèi)著名的數(shù)據(jù)網(wǎng)絡(luò)產(chǎn)品制造商��,其開發(fā)研制的博達BDCOM系列路由器在安全��、網(wǎng)絡(luò)優(yōu)化以及管理等方面對VPN均給予了強大的支持��。
2.博達BDCOM系列路由器的VPN技術(shù)
BDCOM系列路由器所采用的VPN技術(shù)主要包括:
隧道技術(shù)
GRE
ipSec
密鑰交換技術(shù)
2.1 隧道技術(shù)
對于構(gòu)建VPN而言��,網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是一項關(guān)鍵技術(shù)��,指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議��,它主要利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能��。
現(xiàn)有的兩種類型隧道協(xié)議:第二層隧道協(xié)議��,用于傳輸二層網(wǎng)絡(luò)協(xié)議��;第三層隧道協(xié)議��,用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議��,第三層隧道協(xié)議主要包括GRE(GRE, Generic Routing Encapsulation,RFC1701)協(xié)議和IETF的IPSec協(xié)議��。
我們將結(jié)合BDCOM系列路由器著重說明第三層隧道協(xié)議的技術(shù)及應(yīng)用
2.2 GRE
基本路由封裝GRE(Generic Routing Encapsulation)是對某些網(wǎng)絡(luò)層協(xié)議(如IP和IPX)的數(shù)據(jù)進行封裝��,使這些被封裝的數(shù)據(jù)報能夠在另外一個網(wǎng)絡(luò)層協(xié)議中傳輸��。GRE是VPN的第三層隧道協(xié)議��,在協(xié)議層之間采用了Tunnel(隧道)的技術(shù)。
Tunnel是一個虛擬的點對點的連接��,它提供了一條通路使封裝的數(shù)據(jù)報能夠在這個通路上傳輸��,并且在一個Tunnel的兩端進行數(shù)據(jù)報的封裝與解封裝過程��。當路由器接受到一個需要封裝和路由的原始數(shù)據(jù)報文(Payload)��,這個報文首先被GRE封裝成GRE報文��,接著被封裝在IP協(xié)議中��,然后完全由IP層負責此報文的轉(zhuǎn)發(fā)��。
GRE主要能提供以下幾種服務(wù):
多協(xié)議��、多業(yè)務(wù)本地網(wǎng)通過單一骨干網(wǎng)傳輸��;
擴大了包含步跳數(shù)限制協(xié)議(RIP)的應(yīng)用范圍;
將不能連續(xù)的子網(wǎng)連接起來,組建VPN ��。
2.3 IPSec
IPSec(IP Security)不是單一的協(xié)議或算法��,它是一系列加密實現(xiàn)中使用的加密標準的集合。它實現(xiàn)第三層的安全��,與任何上層應(yīng)用和傳輸層無關(guān)。IPSec通過AH(Authentication Header)和ESP(Encapsulation Security Payload)這兩個安全協(xié)議來實現(xiàn)��,并且不會對用戶、主機或其他組件造成影響
IPSec提供了下列網(wǎng)絡(luò)安全性服務(wù)��,而這些服務(wù)是可選的��。通常,本地安全策略將規(guī)定使用下列這些服務(wù)的一種或多種:
數(shù)據(jù)機密性 —— IPSec發(fā)送方在通過網(wǎng)絡(luò)傳輸IP包前對包進行加密��。
數(shù)據(jù)完整性 —— IPSec接收方對發(fā)送方發(fā)送來的包進行認證��,以確保數(shù)據(jù)在傳輸過程中沒有被篡改��。
數(shù)據(jù)來源認證 —— IPSec接收方對IPSec包的源地址進行認證��。這項服務(wù)基于數(shù)據(jù)完整性服務(wù)��。
反重播 —— 一種安全性服務(wù)��,使得接收者可以拒絕接受過時包或包拷貝��,以保護自己不被攻擊��。IPSec用一個序列號來提供這一可選服務(wù),以配合數(shù)據(jù)認證的使用��。
IPSec的實現(xiàn)采取了一套專門的方案��,把安全服務(wù)/密鑰與要保護的通信數(shù)據(jù)聯(lián)系到一起��,同時也將遠端通信實體和這些受IPSec保護的通信數(shù)據(jù)聯(lián)系到一起��,這樣的一種保護方案我們稱之為安全聯(lián)盟(SA, Security Association)��。安全聯(lián)盟定義了數(shù)據(jù)保護中使用的協(xié)議和算法以及有效時間等屬性��。
IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時產(chǎn)生新的驗證頭AH和/或ESP附加報頭,用于保證IP數(shù)據(jù)包的安全性��。IPSec有隧道和傳輸兩種工作方式。在隧道方式中��,用戶的整個IP數(shù)據(jù)包被用來計算附加報頭并且被加密,附加報頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中��;在傳輸方式中,只是傳輸層(如TCP,UDP)數(shù)據(jù)被用來計算附加報頭��,附加報頭和被加密的傳輸層數(shù)據(jù)被放置在IP報頭后面��。
ESP(Encapsulating Security Payload)��,封裝安全性有效負載��。定義于RFC2406協(xié)議��。它用于確保IP數(shù)據(jù)包的機密性(對第三方不可見)��、數(shù)據(jù)的完整性以及對數(shù)據(jù)源地址的驗證��,同時還具有抗重播的特性��。
新版本的ESP同時提供了數(shù)據(jù)的加密保護和數(shù)據(jù)完整性驗證機制��,在SA中定義了兩套算法 —— 用來確保數(shù)據(jù)機密性的加/解密的加密算法(如ESP-DES��、ESP-3DES)��,和用來負責數(shù)據(jù)完整性驗證的驗證算法(即散列算法��,如ESP-md5-HMAC��、ESP-SHA-HMAC),同時我們還可以定義ESP-NULL的加密算法��,選擇該算法則意味著不對數(shù)據(jù)進行加密處理��,顯然在這種情況下��,我們必須選擇一種散列算法��,否則是毫無任何意義的SA��。
如上圖所示��,ESP頭沒有加密保護,只采用了驗證保護��,但ESP尾的一部分則進行的加密處理��,這是因為ESP頭中包含了一些關(guān)于加/解密的信息��。所以ESP頭自然就采用明文形式了��。
ESP是一個通用的��、易于擴展的安全協(xié)議��,它提供了一些抗重播服務(wù)��,至于是否提供抗重播服務(wù)��,則是由數(shù)據(jù)包的接收者來決定的��。
AH(Authentication Header),驗證頭��。定義于RFC2402中��。該協(xié)議用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性��、數(shù)據(jù)包源地址驗證和一些有限的抗重播服務(wù)��,與ESP協(xié)議相比��,AH不提供對通信數(shù)據(jù)的加密服務(wù)��,同樣提供對數(shù)據(jù)的驗證服務(wù)��,但能比ESP提供更加廣的數(shù)據(jù)驗證服務(wù),如圖所示:
它對整個IP數(shù)據(jù)包的內(nèi)容都進行了數(shù)據(jù)完整性驗證處理��。在SA中定義了用來負責數(shù)據(jù)完整性驗證的驗證算法(即散列算法��,如ESP-MD5-HMAC��、ESP-SHA-HMAC)來為它進行服務(wù)��。和ESP類似��,AH也提供了一些抗重播服務(wù)��,同樣��,是否提供抗重播服務(wù)��,則是由數(shù)據(jù)包的接收者來決定的��。
使用IPSec��,數(shù)據(jù)就可以在公網(wǎng)上安全地傳輸��,它提供了兩個主機之間��、兩個安全網(wǎng)關(guān)之間以及主機和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護��。
IPSec的安全聯(lián)盟可以通過手工配置的方式建立,但當網(wǎng)絡(luò)中的節(jié)點增多時,手工配置將非常困難��。這時候就要使用IKE自動地進行安全聯(lián)盟建立與密鑰交換的過程��。
2.4 密鑰交換技術(shù)
ISAKMP(Internet Security Association and Key Management PRotocol)��,Internet安全聯(lián)盟及密鑰管理協(xié)議��。ISAKMP定義了通信的雙方如何溝通��,如何構(gòu)建彼此間用以溝通的消息��,還定義了保障通信安全所需的狀態(tài)變換��。ISAKMP提供了對對方的身份進行驗證的方法��、密鑰交換時如何交互信息的方法以及對安全服務(wù)進行協(xié)商的方法��。
IKE(The Internet Key Exchange)��,Internet 密鑰交換��。ISAKMP本身沒有定義具體的密鑰交換技術(shù),而在IPSec中��,采用了IKE來作為密鑰交換的工具��。IKE利用ISAKMP語言來定義密鑰交換��,由此來對安全服務(wù)進行協(xié)商��。
IKE使用了兩個階段的的ISAKMP��,第一階段建立ISAKMP-SA��,或稱為IKE-SA��,第二階段利用這個既定的安全聯(lián)盟��,為IPSec協(xié)商具體的安全聯(lián)盟��。
IKE定義了兩個第一階段的協(xié)商(Main Mode-主模式和Aggressive Mode—野蠻模式),第一階段協(xié)商的目的是建立一個ISAKMP/IKE安全聯(lián)盟(IKE-SA)��,為第二階段的協(xié)商提供一個保密和驗證無誤的安全通信信道��。
除此之外��,IKE還定義了一個第二階段的協(xié)商(Quick Mode—快速模式)��。這一階段的協(xié)商用的最終目的是建立一個安全聯(lián)盟(IPSec -SA)��,生成驗證過的密鑰��,為雙方的IPSec通信提供機密性��、數(shù)據(jù)完整性以及數(shù)據(jù)源地址驗證等安全服務(wù)��。
3.應(yīng)用實例
BDCOM系列路由器通過構(gòu)建VPN的方案1��。[如下圖]
BDCOM系列路由器通過構(gòu)建VPN的方案2��。[如圖2]
隨著業(yè)務(wù)的拓展和規(guī)模的擴大��,越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事處��,分支機構(gòu),分公司等等��,傳統(tǒng)的連接方式一般是租用專線��,但隨著機構(gòu)的不斷增加��,網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜,費用昂貴��。
BDCOM系列路由器提供的方案具有以下功能:
外出人員可以通過PSTN接入企業(yè)內(nèi)部網(wǎng)絡(luò)
外出人員可以通過PSTN接入任一遠地辦事機構(gòu)
遠地的辦事機構(gòu)可以通過路由器和企業(yè)內(nèi)部網(wǎng)絡(luò)建立安全通道
若干遠地辦事機構(gòu)可以相互建立安全連接
利用VPN特性可以在Internet上組建企業(yè)自身的網(wǎng)絡(luò)��。在Internet線路保證網(wǎng)絡(luò)互聯(lián)性的基礎(chǔ)上��,利用隧道��、加密等VPN特性可以確保信息在整個網(wǎng)絡(luò)上面安全地傳輸��。
4.總結(jié)
BDCOM系列路由器支持多種VPN技術(shù),包括隧道技術(shù)��、IPSec��、密鑰交換技術(shù)等��,并還將發(fā)展和支持越來越多的先進技術(shù)��,以實現(xiàn)對VPN更好的支持��,更加充分的發(fā)揮VPN技術(shù)的優(yōu)勢��,為用戶提供性能更高��、功能更強解決方案��。
