計算機 > vpn技術
目錄
No. 1
  vpn 即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常, vpn 是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。 vpn 可用於不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用於實現企業網站之間安全通信的虛擬專用綫路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。
  vpn 架構中采用了多種安全機製,如隧道技術( tunneling )、加解密技術( encryption )、密鑰管理技術、身份認證技術( authentication )等,通過上述的各項網絡安全技術,確保資料在公衆網絡中傳輸時不被竊取,或是即使被竊取了,對方亦無法讀取數據包內所傳送的資料。
  一、vpn簡介
  虛擬專用網(virtual private network,vpn)是一種“基於公共數據網,給用戶一種直接連接到私人局域網感覺的服務”。vpn極大地降低了用戶的費用,而且提供了比傳統方法更強的安全性和可*性。vpn可分為三大類:(1)企業各部門與遠程分支之間的intranet vpn;(2)企業網與遠程(移動)雇員之間的遠程訪問(remote access)vpn;(3)企業與合作夥伴、客戶、供應商之間的extranet vpn。
  二、vpn的要求
  (1)安全性
  vpn提供用戶一種私人專用(private)的感覺,因此建立在不安全、不可信任的公共數據網的首要任務是解决安全性問題。vpn的安全性可通過隧道技術、加密和認證技術得到解决。在intranet vpn中,要有高強度的加密技術來保護敏感信息;在遠程訪問vpn中要有對遠程用戶可*的認證機製。
  (2)性能
  vpn要發展其性能至少不應該低於傳統方法。儘管網絡速度不斷提高,但在internet時代,隨着電子商務活動的激增,網絡擁塞經常發生,這給vpn性能的穩定帶來極大的影響。因此vpn解决方案應能夠讓管理員進行通信控製來確保其性能。通過vpn平臺,管理員定義管理政策來激活基於重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能,又不會“餓死”,低優先級的應用。
  (3)管理問題
  由於網絡設施、應用不斷增加,網絡用戶所需的ip地址數量持續增長,對越來越復雜的網絡管理,網絡安全處理能力的大小是vpn解决方案好壞的至關緊要的區分。vpn是公司對外的延伸,因此vpn要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分佈,並管理大量設備。
  (4)互操作
  在extranet vpn中,企業要與不同的客戶及供應商建立聯繫,vpn解决方案也會不同。因此,企業的vpn産品應該能夠同其他廠傢的産品進行互操作。這就要求所選擇的vpn方案應該是基於工業標準和協議的。這些協議有ipsec、點到點隧道協議(point to point tunneling protocol,pptp)、第二層隧道協議(layer 2 tunneling protocol,l2tp)等。
  三、vpn的實現技術
  vpn實現的兩個關鍵技術是隧道技術和加密技術,同時qos技術對vpn的實現也至關重要。
  1.vpn訪問點模型
  首先提供一個vpn訪問點功能組成模型圖作為參考。其中ipsec集成了ip層隧道技術和加密技術。
  2.隧道技術
  隧道技術簡單的說就是:原始報文在a地進行封裝,到達b地後把封裝去掉還原成原始報文,這樣就形成了一條由a到b的通信隧道。目前實現隧道技術的有一般路由封裝(generic routing encapsulation,gre)l2tp和pptp。
  (1)gre
  gre主要用於源路由和終路由之間所形成的隧道。例如,將通過隧道的報文用一個新的報文頭(gre報文頭)進行封裝然後帶着隧道終點地址放入隧道中。當報文到達隧道終點時,gre報文頭被剝掉,繼續原始報文的目標地址進行尋址。 gre隧道通常是點到點的,即隧道衹有一個源地址和一個終地址。然而也有一些實現允許點到多點,即一個源地址對多個終地址。這時候就要和下一跳路由協議(next-hop routing protocol,nhrp)結合使用。nhrp主要是為了在路由之間建立捷徑。
  gre隧道用來建立vpn有很大的吸引力。從體係結構的觀點來看,vpn就象是通過普通主機網絡的隧道集合。普通主機網絡的每個點都可利用其地址以及路由所形成的物理連接,配置成一個或多個隧道。在gre隧道技術中入口地址用的是普通主機網絡的地址空間,而在隧道中流動的原始報文用的是vpn的地址空間,這樣反過來就要求隧道的終點應該配置成vpn與普通主機網絡之間的交界點。這種方法的好處是使vpn的路由信息從普通主機網絡的路由信息中隔離出來,多個vpn可以重複利用同一個地址空間而沒有衝突,這使得vpn從主機網絡中獨立出來。從而滿足了vpn的關鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數量衆多的協議族,減少實現vpn功能函數的數量。還有,對許多vpn所支持的體係結構來說,用同一種格式來支持多種協議同時又保留協議的功能,這是非常重要的。ip路由過濾的主機網絡不能提供這種服務,而衹有隧道技術才能把vpn私有協議從主機網絡中隔離開來。基於隧道技術的vpn實現的另一特點是對主機網絡環境和vpn路由環境進行隔離。對vpn而言主機網絡可看成點到點的電路集合,vpn能夠用其路由協議穿過符合vpn管理要求的虛擬網。同樣,主機網絡用符合網絡要求的路由設計方案,而不必受vpn用戶網絡的路由協議限製。
  雖然gre隧道技術有很多優點,但用其技術作為vpn機製也有缺點,例如管理費用高、隧道的規模數量大等。因為gre是由手工配置的,所以配置和維護隧道所需的費用和隧道的數量是直接相關的╠╠每次隧道的終點改變,隧道要重新配置。隧道也可自動配置,但有缺點,如不能考慮相關路由信息、性能問題以及容易形成回路問題。一旦形成回路,會極大惡化路由的效率。除此之外,通信分類機製是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進入隧道前的)進行的話,就會影響路由發送速率的能力及服務性能。
  gre隧道技術是用在路由器中的,可以滿足extranet vpn以及intranet vpn的需求。但是在遠程訪問vpn中,多數用戶是采用撥號上網。這時可以通過l2tp和pptp來加以解决。
  (2)l2tp和pptp
  l2tp是l2f(layer 2 forwarding)和pptp的結合。但是由於pc機的桌面操作係統包含着pptp,因此pptp仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“nas初始化”(network access server)隧道。前者一般指“主動”隧道,後者指“強製”隧道。“主動”隧道是用戶為某種特定目的的請求建立的,而“強製”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。
  l2tp作為“強製”隧道模型是讓撥號用戶與網絡中的另一點建立連接的重要機製。建立過程如下:①用戶通過modem與nas建立連接;②用戶通過nas的l2tp接入服務器身份認證;③在政策配置文件或nas與政策服務器進行協商的基礎上,nas和l2tp接入服務器動態地建立一條l2tp隧道;④用戶與l2tp接入服務器之間建立一條點到點協議(point to point protocol,ppp)訪問服務隧道;⑤用戶通過該隧道獲得vpn服務。
  與之相反的是,pptp作為“主動”隧道模型允許終端係統進行配置,與任意位置的pptp服務器建立一條不連續的、點到點的隧道。並且,pptp協商和隧道建立過程都沒有中間媒介nas的參與。nas的作用衹是提供網絡服務。pptp建立過程如下:①用戶通過串口以撥號ip訪問的方式與nas建立連接取得網絡服務;②用戶通過路由信息定位pptp接入服務器;③用戶形成一個pptp虛擬接口;④用戶通過該接口與pptp接入服務器協商、認證建立一條ppp訪問服務隧道;⑤用戶通過該隧道獲得vpn服務。
  在l2tp中,用戶感覺不到nas的存在,仿佛與pptp接入服務器直接建立連接。而在pptp中,pptp隧道對nas是透明的;nas不需要知道pptp接入服務器的存在,衹是簡單地把pptp流量作為普通ip流量處理。
  采用l2tp還是pptp實現vpn取决於要把控製權放在nas還是用戶手中。l2tp比pptp更安全,因為l2tp接入服務器能夠確定用戶從哪裏來的。l2tp主要用於比較集中的、固定的vpn用戶,而pptp比較適合移動的用戶。
  3.加密技術
  數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能瞭解被保護信息的內容。加密算法有用於windows95的rc4、用於ipsec的des和三次des。rc4雖然強度比較弱,但是保護免於非專業人士的攻擊已經足夠了;des和三次des強度比較高,可用於敏感的商業信息。
  加密技術可以在協議棧的任意層進行;可以對數據或報文頭進行加密。在網絡層中的加密標準是ipsec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”:加密衹在路由器中進行,而終端與第一跳路由之間不加密。這種方法不太安全,因為數據從終端係統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中,vpn安全粒度達到個人終端係統的標準;而“隧道模式”方案,vpn安全粒度衹達到子網標準。在鏈路層中,目前還沒有統一的加密標準,因此所有鏈路層加密方案基本上是生産廠傢自己設計的,需要特別的加密硬件。
  4.qos技術
  通過隧道技術和加密技術,已經能夠建立起一個具有安全性、互操作性的vpn。但是該vpn性能上不穩定,管理上不能滿足企業的要求,這就要加入qos技術。實行qos應該在主機網絡中,即vpn所建立的隧道這一段,這樣才能建立一條性能符合用戶要求的隧道。
  不同的應用對網絡通信有不同的要求,這些要求可用如下參數給予體現:
  •帶寬:網絡提供給用戶的傳輸率;
  •反應時間:用戶所能容忍的數據報傳遞延時;
  •抖動:延時的變化;
  •丟失率:數據包丟失的比率。
  網絡資源是有限的,有時用戶要求的網絡資源得不到滿足、通過qos機製對用戶的網絡資源分配進行控製以滿足應用的需求。qos機製具有通信處理機製以及供應(provisioning)和配置(configuration)機製。通信處理機製包括802.1p、區分服務(differentiated service per-hop-behaviors,diffserv)、綜合服務(integrated services,intserv)等等。現在大多數局域網是基於ieee802技術的,如以太網、令牌環、fddi等,802.1p為這些局域網提供了一種支持qos的機製。802.1p對鏈路層的802報文定義了一個可表達8種優先級的字段。802.1p優先級衹在局域網中有效,一旦出了局域網,通過第三層設備時就被移走。diffserv則是第三層的qos機製,它在ip報文中定義了一個字段稱dscp(diffserv codepoint)。dscp有六位,用作服務類型和優先級,路由器通過它對報文進行排隊和調度。與802.1p、diffserv不同的是,intserv是一種服務框架,目前有兩種:保證服務和控製負載服務。保證服務許諾在保證的延時下傳輸一定的通信量;控製負載服務則同意在網絡輕負載的情況下傳輸一定的通信量。典型地,intserv與資源預留協議(resource reservation protocol,rsvp)相關。intserv服務定義了允許進入的控製算法,决定多少通信量被允許進入網絡中。
  供應和配置機製包括rsvp、子網帶寬管理(subnet bandwidth manager,sbm)、政策機製和協議以及管理工具和協議。這裏供應機製指的是比較靜態的、比較長期的管理任務,如:網絡設備的選擇、網絡設備的更新、接口添加刪除、拓撲結構的改變等等。而配置機製指的是比較動態、比較短期的管理任務,如:流量處理的參數。
  rsvp是第三層協議,它獨立於各種的網絡媒介。因此,rsvp往往被認為介於應用層(或操作係統)與特定網絡媒介qos機製之間的一個抽象層。rsvp有兩個重要的消息:path消息,從發送者到接收者;resv消息,從接收者到始發者。 rsvp消息包含如下信息:①網絡如何識別一個會話流(分類信息);②描述會話流的定量參數(如數據率);③要求網絡為會話流提供的服務類型;④政策信息(如用戶標識)。rsvp的工作流程如下:
  •會話發送者首先發送path消息,沿途的設備若支持rsvp則進行處理,否則繼續發送;
  •設備若能滿足資源要求,並且符合本地管理政策的話,則進行資源分配,path消息繼續發送,否則嚮發送者發送拒絶消息;
  •會話接收者若對發送者要求的會話流認同,則發送resv消息,否則發送拒絶消息;
  •當發送者收到resv消息時,表示可以進行會話,否則表示失敗。
  sbm是對rsvp功能的加強,擴大了對共享網絡的利用。在共享子網或lan中包含大量交換機和網絡集綫器,因此標準的rsvp對資源不能充分利用。支持rsvp的主機和路由器同意或拒絶會話流,是基於它們個人有效的資源而不是基於全局有效的共享資源。結果,共享子網的rsvp請求導致局部資源的負載過重。sbm可以解决這個問題:協調智能設備。包括:具有sbm能力的主機、路由器以及交換機。這些設備自動運行一選舉協議,選出最合適的設備作為dsbm(designated sbm)。當交換機參與選舉時,它們會根據第二層的拓撲結構對子網進行分割。主機和路由器發現最近的dsbm並把rsvp消息發送給它。然後,dsbm查看所有消息來影響資源的分配並提供允許進入控製機製。
  網絡管理員基於一定的政策進行qos機製配置。政策組成部分包括:政策數據,如用戶名;有權使用的網絡資源;政策决定點(policy decsion point,pdp);政策加強點(policy enforcement point,pep)以及它們之間的協議。傳統的由上而下(topdown)的政策協議包括簡單網絡管理協議(simple network management protocol,snmp)、命令行接口(command line interface,cli)、命令開放協議服務(command open protocol services,cops)等。這些qos機製相互作用使網絡資源得到最大化利用,同時又嚮用戶提供了一個性能良好的網絡服務。
  四、結束語
  基於公共網的vpn通過隧道技術、數據加密技術以及qos機製,使得企業能夠降低成本、提高效率、增強安全性。vpn産品從第一代:vpn路由器、交換機,發展到第二代的vpn集中器,性能不斷得到提高。在網絡時代,企業發展取决於是否最大限度地利用網絡。vpn將是企業的最終選擇。本文出自 51cto.com技術博客
No. 2
  VPN 即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常, VPN 是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。 VPN 可用於不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用於實現企業網站之間安全通信的虛擬專用綫路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。
  VPN 架構中采用了多種安全機製,如隧道技術( Tunneling )、加解密技術( Encryption )、密鑰管理技術、身份認證技術( Authentication )等,通過上述的各項網絡安全技術,確保資料在公衆網絡中傳輸時不被竊取,或是即使被竊取了,對方亦無法讀取數據包內所傳送的資料。
  一、VPN簡介
  虛擬專用網(Virtual Private Network,VPN)是一種“基於公共數據網,給用戶一種直接連接到私人局域網感覺的服務”。VPN極大地降低了用戶的費用,而且提供了比傳統方法更強的安全性和可*性。VPN可分為三大類:(1)企業各部門與遠程分支之間的Intranet VPN;(2)企業網與遠程(移動)雇員之間的遠程訪問(Remote Access)VPN;(3)企業與合作夥伴、客戶、供應商之間的Extranet VPN。
  二、VPN功能
  由於采用了“虛擬專用網”技術,即用戶實際上並不存在一個獨立專用的網絡,用戶既不需要建設或租用專綫,也不需要裝備專用的設備,就能組成一個屬於用戶自己專用的電信網絡。
  虛擬專用網是利用公用電信網組建起來的功能性網絡。不同類型的公用網絡,通過網絡內部的軟件控製就可以組建不同種類的虛擬專用網。例如:利用公用電話網可以構建“虛擬專用電話網”。
  三、VPN的要求
  (1)安全性
  VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數據網的首要任務是解决安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解决。在Intranet VPN中,要有高強度的加密技術來保護敏感信息;在遠程訪問VPN中要有對遠程用戶可*的認證機製。
  (2)性能
  VPN要發展其性能至少不應該低於傳統方法。儘管網絡速度不斷提高,但在Internet時代,隨着電子商務活動的激增,網絡擁塞經常發生,這給VPN性能的穩定帶來極大的影響。因此VPN解决方案應能夠讓管理員進行通信控製來確保其性能。通過VPN平臺,管理員定義管理政策來激活基於重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能,又不會“餓死”,低優先級的應用。
  (3)管理問題
  由於網絡設施、應用不斷增加,網絡用戶所需的IP地址數量持續增長,對越來越復雜的網絡管理,網絡安全處理能力的大小是VPN解决方案好壞的至關緊要的區分。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分佈,並管理大量設備。
  (4)互操作
  在Extranet VPN中,企業要與不同的客戶及供應商建立聯繫,VPN解决方案也會不同。因此,企業的VPN産品應該能夠同其他廠傢的産品進行互操作。這就要求所選擇的VPN方案應該是基於工業標準和協議的。這些協議有IPSec、點到點隧道協議(Point to Point Tunneling Protocol,PPTP)、第二層隧道協議(Layer 2 Tunneling Protocol,L2TP)等。
  四、VPN的實現技術
  VPN實現的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現也至關重要。
  1.VPN訪問點模型
  首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術和加密技術。
  2.隧道技術
  隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地後把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。
  (1)GRE
  GRE主要用於源路由和終路由之間所形成的隧道。例如,將通過隧道的報文用一個新的報文頭(GRE報文頭)進行封裝然後帶着隧道終點地址放入隧道中。當報文到達隧道終點時,GRE報文頭被剝掉,繼續原始報文的目標地址進行尋址。 GRE隧道通常是點到點的,即隧道衹有一個源地址和一個終地址。然而也有一些實現允許點到多點,即一個源地址對多個終地址。這時候就要和下一跳路由協議(Next-Hop Routing Protocol,NHRP)結合使用。NHRP主要是為了在路由之間建立捷徑。
  GRE隧道用來建立VPN有很大的吸引力。從體係結構的觀點來看,VPN就象是通過普通主機網絡的隧道集合。普通主機網絡的每個點都可利用其地址以及路由所形成的物理連接,配置成一個或多個隧道。在GRE隧道技術中入口地址用的是普通主機網絡的地址空間,而在隧道中流動的原始報文用的是VPN的地址空間,這樣反過來就要求隧道的終點應該配置成VPN與普通主機網絡之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網絡的路由信息中隔離出來,多個VPN可以重複利用同一個地址空間而沒有衝突,這使得VPN從主機網絡中獨立出來。從而滿足了VPN的關鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數量衆多的協議族,減少實現VPN功能函數的數量。還有,對許多VPN所支持的體係結構來說,用同一種格式來支持多種協議同時又保留協議的功能,這是非常重要的。IP路由過濾的主機網絡不能提供這種服務,而衹有隧道技術才能把VPN私有協議從主機網絡中隔離開來。基於隧道技術的VPN實現的另一特點是對主機網絡環境和VPN路由環境進行隔離。對VPN而言主機網絡可看成點到點的電路集合,VPN能夠用其路由協議穿過符合VPN管理要求的虛擬網。同樣,主機網絡用符合網絡要求的路由設計方案,而不必受VPN用戶網絡的路由協議限製。
  雖然GRE隧道技術有很多優點,但用其技術作為VPN機製也有缺點,例如管理費用高、隧道的規模數量大等。因為GRE是由手工配置的,所以配置和維護隧道所需的費用和隧道的數量是直接相關的――每次隧道的終點改變,隧道要重新配置。隧道也可自動配置,但有缺點,如不能考慮相關路由信息、性能問題以及容易形成回路問題。一旦形成回路,會極大惡化路由的效率。除此之外,通信分類機製是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進入隧道前的)進行的話,就會影響路由發送速率的能力及服務性能。
  GRE隧道技術是用在路由器中的,可以滿足Extranet VPN以及Intranet VPN的需求。但是在遠程訪問VPN中,多數用戶是采用撥號上網。這時可以通過L2TP和PPTP來加以解决。
  (2)L2TP和PPTP
  L2TP是L2F(Layer 2 Forwarding)和PPTP的結合。但是由於PC機的桌面操作係統包含着PPTP,因此PPTP仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“NAS初始化”(Network Access Server)隧道。前者一般指“主動”隧道,後者指“強製”隧道。“主動”隧道是用戶為某種特定目的的請求建立的,而“強製”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。
  L2TP作為“強製”隧道模型是讓撥號用戶與網絡中的另一點建立連接的重要機製。建立過程如下:①用戶通過Modem與NAS建立連接;②用戶通過NAS的L2TP接入服務器身份認證;③在政策配置文件或NAS與政策服務器進行協商的基礎上,NAS和L2TP接入服務器動態地建立一條L2TP隧道;④用戶與L2TP接入服務器之間建立一條點到點協議(Point to Point Protocol,PPP)訪問服務隧道;⑤用戶通過該隧道獲得VPN服務。
  與之相反的是,PPTP作為“主動”隧道模型允許終端係統進行配置,與任意位置的PPTP服務器建立一條不連續的、點到點的隧道。並且,PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用衹是提供網絡服務。PPTP建立過程如下:①用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網絡服務;②用戶通過路由信息定位PPTP接入服務器;③用戶形成一個PPTP虛擬接口;④用戶通過該接口與PPTP接入服務器協商、認證建立一條PPP訪問服務隧道;⑤用戶通過該隧道獲得VPN服務。
  在L2TP中,用戶感覺不到NAS的存在,仿佛與PPTP接入服務器直接建立連接。而在PPTP中,PPTP隧道對NAS是透明的;NAS不需要知道PPTP接入服務器的存在,衹是簡單地把PPTP流量作為普通IP流量處理。
  采用L2TP還是PPTP實現VPN取决於要把控製權放在NAS還是用戶手中。L2TP比PPTP更安全,因為L2TP接入服務器能夠確定用戶從哪裏來的。L2TP主要用於比較集中的、固定的VPN用戶,而PPTP比較適合移動的用戶。
  3.加密技術
  數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能瞭解被保護信息的內容。加密算法有用於Windows95的RC4、用於IPSec的DES和三次DES。RC4雖然強度比較弱,但是保護免於非專業人士的攻擊已經足夠了;DES和三次DES強度比較高,可用於敏感的商業信息。
  加密技術可以在協議棧的任意層進行;可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”:加密衹在路由器中進行,而終端與第一跳路由之間不加密。這種方法不太安全,因為數據從終端係統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中,VPN安全粒度達到個人終端係統的標準;而“隧道模式”方案,VPN安全粒度衹達到子網標準。在鏈路層中,目前還沒有統一的加密標準,因此所有鏈路層加密方案基本上是生産廠傢自己設計的,需要特別的加密硬件。
  4.QoS技術
  通過隧道技術和加密技術,已經能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩定,管理上不能滿足企業的要求,這就要加入QoS技術。實行QoS應該在主機網絡中,即VPN所建立的隧道這一段,這樣才能建立一條性能符合用戶要求的隧道。
  不同的應用對網絡通信有不同的要求,這些要求可用如下參數給予體現:
  •帶寬:網絡提供給用戶的傳輸率;
  •反應時間:用戶所能容忍的數據報傳遞延時;
  •抖動:延時的變化;
  •丟失率:數據包丟失的比率。
  網絡資源是有限的,有時用戶要求的網絡資源得不到滿足、通過QoS機製對用戶的網絡資源分配進行控製以滿足應用的需求。QoS機製具有通信處理機製以及供應(Provisioning)和配置(Configuration)機製。通信處理機製包括802.1p、區分服務(differentiated service per-hop-behaviors,DiffServ)、綜合服務(integrated services,IntServ)等等。現在大多數局域網是基於IEEE802技術的,如以太網、令牌環、FDDI等,802.1p為這些局域網提供了一種支持QoS的機製。802.1p對鏈路層的802報文定義了一個可表達8種優先級的字段。802.1p優先級衹在局域網中有效,一旦出了局域網,通過第三層設備時就被移走。DiffServ則是第三層的QoS機製,它在IP報文中定義了一個字段稱DSCP(DiffServ codepoint)。DSCP有六位,用作服務類型和優先級,路由器通過它對報文進行排隊和調度。與802.1p、DiffServ不同的是,IntServ是一種服務框架,目前有兩種:保證服務和控製負載服務。保證服務許諾在保證的延時下傳輸一定的通信量;控製負載服務則同意在網絡輕負載的情況下傳輸一定的通信量。典型地,IntServ與資源預留協議(Resource reservation Protocol,RSVP)相關。IntServ服務定義了允許進入的控製算法,决定多少通信量被允許進入網絡中。
  供應和配置機製包括RSVP、子網帶寬管理(subnet bandwidth manager,SBM)、政策機製和協議以及管理工具和協議。這裏供應機製指的是比較靜態的、比較長期的管理任務,如:網絡設備的選擇、網絡設備的更新、接口添加刪除、拓撲結構的改變等等。而配置機製指的是比較動態、比較短期的管理任務,如:流量處理的參數。
  RSVP是第三層協議,它獨立於各種的網絡媒介。因此,RSVP往往被認為介於應用層(或操作係統)與特定網絡媒介QoS機製之間的一個抽象層。RSVP有兩個重要的消息:PATH消息,從發送者到接收者;RESV消息,從接收者到始發者。 RSVP消息包含如下信息:①網絡如何識別一個會話流(分類信息);②描述會話流的定量參數(如數據率);③要求網絡為會話流提供的服務類型;④政策信息(如用戶標識)。RSVP的工作流程如下:
  •會話發送者首先發送PATH消息,沿途的設備若支持RSVP則進行處理,否則繼續發送;
  •設備若能滿足資源要求,並且符合本地管理政策的話,則進行資源分配,PATH消息繼續發送,否則嚮發送者發送拒絶消息;
  •會話接收者若對發送者要求的會話流認同,則發送RESV消息,否則發送拒絶消息;
  •當發送者收到RESV消息時,表示可以進行會話,否則表示失敗。
  SBM是對RSVP功能的加強,擴大了對共享網絡的利用。在共享子網或LAN中包含大量交換機和網絡集綫器,因此標準的RSVP對資源不能充分利用。支持RSVP的主機和路由器同意或拒絶會話流,是基於它們個人有效的資源而不是基於全局有效的共享資源。結果,共享子網的RSVP請求導致局部資源的負載過重。SBM可以解决這個問題:協調智能設備。包括:具有SBM能力的主機、路由器以及交換機。這些設備自動運行一選舉協議,選出最合適的設備作為DSBM(designated SBM)。當交換機參與選舉時,它們會根據第二層的拓撲結構對子網進行分割。主機和路由器發現最近的DSBM並把RSVP消息發送給它。然後,DSBM查看所有消息來影響資源的分配並提供允許進入控製機製。
  網絡管理員基於一定的政策進行QoS機製配置。政策組成部分包括:政策數據,如用戶名;有權使用的網絡資源;政策决定點(policy decsion point,PDP);政策加強點(policy enforcement point,PEP)以及它們之間的協議。傳統的由上而下(TopDown)的政策協議包括簡單網絡管理協議(Simple Network Management Protocol,SNMP)、命令行接口(Command Line Interface,CLI)、命令開放協議服務(Command Open Protocol Services,COPS)等。這些QoS機製相互作用使網絡資源得到最大化利用,同時又嚮用戶提供了一個性能良好的網絡服務。
  五、結束語
  基於公共網的VPN通過隧道技術、數據加密技術以及QoS機製,使得企業能夠降低成本、提高效率、增強安全性。VPN産品從第一代:VPN路由器、交換機,發展到第二代的VPN集中器,性能不斷得到提高。在網絡時代,企業發展取决於是否最大限度地利用網絡。VPN將是企業的最終選擇。本文出自 51CTO.COM技術博客