《VPN标准的分类及各种VPN协议的比较计算机专业》由会员分享,可在线阅读,更多相关《VPN标准的分类及各种VPN协议的比较计算机专业(26页珍藏版)》请在金锄头文库上搜索。
1、第一章VPN的概述1.1什么是VPNVPN的英文全称是“Virtual Private Network”,翻译成中文就是“虚拟专用网络”。它是在公共通信基础设施上构建的虚拟专用或私有网,可以被认为是一种从公共网络中隔离出来的网络。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或操作系统等软件里也都支持VPN
2、功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用
3、线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。1.2 VPN的产生背景VPN的产生是伴随着企业全球化而进行的。随着Internet的商业化,大量的企业的内部网络与Internet相连,随着企业全球化的发展,不同地区企业内部的网络需要互联。以往传统的方式是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络,以往不得不采用长途拨号的方式连接到企业所在地的内部网。这些连接方式的价格非常昂贵,一般只有大型的企业可以承担。同时造成网络的重复建设和投资。Internet的发展,推动了采用基于公网的虚拟专用网的发展,从而使跨地区的企业的不同部门之间,或者政府的不同部门之间通过公共
4、网络实现互联成为可能,可以使企业节省大量的通信费用和资金,也可以使政府部门不重复建网。这些新的业务需求给公共网络的经营者提供了巨大的商业机会。但是,如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网络的不同节点,成为企业非常关注的问题。VPN采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全的虚拟专网。企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。1.3 VPN标准的分类及各种VPN协议的比较VPN的分类方式比较混乱。不同的生
5、产厂家在销售它们的VPN产品时使用了不同的分类方式,它们主要是产品的角度来划分的。而不同的ISP在开展VPN业务时也推出了不同的分类方式,他们主要是从业务开展的角度来划分的。而用户往往也有自己的划分方法,主要是根据自己的需求来进行的。下面简单介绍一下按照协议类型对VPN的划分方式。1.3.1点到点隧道协议(PPTP)PPTP(Point-to-Point Tunneling Protocol)即点对点隧道协议,该协议由美国微软公司设计,用于将PPP分组通过IP网络封装传输。通过该协议,远程用户能够通过Windows操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地 ISP
6、,通过 Internet 安全链接到公司网络。1.3.2第二层转发协议(L2F)第二层转发协议(L 2F)用于建立跨越公共网络(如因特网)的安全隧道来将 ISP POP 连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。1.3.3第二层隧道协议(L2TP)第二层隧道协议(L2TP)是用来整合多协议拨号服务至现有的因特网服务提供商点。 PPP 定义了多协议跨越第二层点对点链接的一个封装机制。特别地,用户通过使用众多技术之一(如:拨号 POTS、ISDN、ADSL 等)获得第二层连接到网络访问服务器(NAS),然后在此连接上运行 PPP 。在这样的配置中,第二层终端点和
7、PPP 会话终点处于相同的物理设备中(如: NAS)。 L2TP 扩展了 PPP 模型,允许第二层和 PPP 终点处于不同的由包交换网络相互连接的设备来。通过 L2TP ,用户在第二层连接到一个访问集中器(如:调制解调器池、 ADSL DSLAM 等),然后这个集中器将单独得的 PPP 帧隧道到 NAS 。这样,可以把 PPP 包的实际处理过程与 L2 连接的终点分离开来。1.3.4多协议标记交换(MPLS)MPLS属于第三代网络架构,是新一代的IP高速骨干网络交换标准,由IETF(Internet Engineering Task Force,因特网工程任务组)所提出,由Cisco、ASCE
8、ND、3Com等网络设备大厂所主导。 MPLS是集成式的IP Over ATM技术,即在Frame Relay及ATM Switch上结合路由功能,数据包通过虚拟电路来传送,只须在OSI第二层(数据链结层)执行硬件式交换(取代第三层(网络层)软件式routing),它整合了IP选径与第二层标记交换为单一的系统,因此可以解决Internet路由的问题,使数据包传送的延迟时间减短,增加网络传输的速度,更适合多媒体讯息的传送。因此,MPLS最大技术特色为可以指定数据包传送的先后顺序。MPLS使用标记交换(Label Switching),网络路由器只需要判别标记后即可进行转送处理。1.3.5 IP安
9、全协议(IPSec)IPSeC(IPSeCurty Protcol,IP安全协议)是一组开放标准集,它们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。这些对等实体可能是一对主机或是一对安全网关(路由器、防火墙、VPN集中器等等),或者它们可能在一个主机和一个安全网关之间,就像远程访问VPN这种情况。IPSec能够保护对等实体之间的多个数据流,并且一个单一网关能够支持不同的成对的合作伙伴之间的多条并发安全IPSec隧道。1.3.6 SSL协议SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于
10、WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL协议层包含两类子协议SSL握手协议和SSL记录协议。它们共同为应用访问连接(主要是HTTP连接)提供认证、加密和防篡改功能。SSL能在TCP/IP和应用层间无缝实现Internet协议栈处理,而不对其他协议层产生任何影响。SSL的这种无缝嵌入功能还可运用类似Internet应用,如Intranet和Extranet接入、应用程序安全访问、无线应用以及Web服务
11、。SSL能基于Internet实现安全数据通信:数据在从浏览器发出时进行加密,到达数据中心后解密;同样地,数据在传回客户端时也进行加密,再在Internet中传输。它工作于高层,SSL会话由两部分组成:连接和应用会话。在连接阶段,客户端与服务器交换证书并协议安全参数,如果客户端接受了服务器证书,便生成主密钥,并对所有后续通信进行加密。在应用会话阶段,客户端与服务器间安全传输各类信息。 第二章 IPSec VPN概述2.1 什么是IPSec VPNIPSec的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数
12、据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP 、SNMP、HTTP、POP、等,而不管这些通道构建时所采用的安全和加密方法如何。IPSec VPN即采用IPSec协议的VPN设备。2.2 IPSec VPN协议概述IPSec是IETF IPSec工作组为了在IP层提供通信安全而制定的一套
13、协议族。它包括安全协议部分和密钥协商部分。安全协议部分定义了对通信的各种保护方式,密钥协商部分定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。IPSec安全协议给出了两种通信保护机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。IPSec 协议组包含AH(Authentication Header)协议、ESP(Encapsulating Security Payload)协议和IKE(Internet Key Exchange)协议。其中AH
14、协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供可靠性保证。在实际进行IP通信时,可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。IKE(Internet Key Exchange)协议实现安全协议的自动安全参数协商。IKE协商的安全参数包括加密及鉴别算法、加密及鉴别密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。IKE将这些安全参数构成的安全参数背景称为安全关联(Security Association)。IKE负责这些安全参数的刷新。下面我们分别简要
15、介绍一下IPSec协议组的几个协议。2.2.1 AH(Authentication Header)协议AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列(可以将其当作数字签名,只是它不使用证书),此hash散列在整个数据包中计算,因此对数据的任何更改将致使散列无效-这样就提供了完整性保护。 AH报头位置在IP报头和传输层协议报头之间,见图2-1。 AH由IP协议号“51”标识,该值包含在AH报头之前的协议报头中,如IP报头。AH可以单独使
16、用,也可以与ESP协议结合使用。原IP报头IPSec(AH)报头传输层报头应用程序数据下一个报头长度安全参数索引(SPI)序列号认证数据(hash检查和)图2-1 AH报头AH报头字段包括: Next Header(下一个报头): 识别下一个使用IP协议号的报头,例如,Next Header值等于“6”,表示紧接其后的是TCP报头。 Length(长度): AH报头长度。 Security Parameters Index (SPI,安全参数索引): 这是一个为数据报识别安全关联的32位伪随机值。SPI 值0被保留来表明“没有安全关联存在”。 Sequence Number(序列号):从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过,若是,则拒收该数据包。 A
