第1章虛擬專(zhuān)用網(wǎng)概述
1.1 虛擬專(zhuān)用網(wǎng)的產(chǎn)生背景
隨著互聯(lián)網(wǎng)的飛速發(fā)展、網(wǎng)絡(luò)的普及,人們需要隨時(shí)、隨地以任意的接入方式聯(lián)入企業(yè)網(wǎng)、政府網(wǎng),并進(jìn)行移動(dòng)辦公。另外,隨著企業(yè)的發(fā)展壯大,企業(yè)分支機(jī)構(gòu)越來(lái)越多,合作伙伴越來(lái)越密集,企業(yè)與各分支機(jī)構(gòu)、合作伙伴之間也需要隨時(shí)通信以保持業(yè)務(wù)往來(lái)。這都涉及遠(yuǎn)程接入與網(wǎng)絡(luò)互聯(lián)問(wèn)題。但是,在遠(yuǎn)程接入、網(wǎng)絡(luò)互聯(lián)中,存在著身份假冒、信息竄改、信息泄露等安全威脅。
在傳統(tǒng)的廣域網(wǎng)互聯(lián)中,通常的做法是租用PSTN、X.25、FR或DDN等線路,為每個(gè)分支機(jī)構(gòu)、合作伙伴建立*立的專(zhuān)用網(wǎng)絡(luò)(簡(jiǎn)稱(chēng)專(zhuān)網(wǎng)),組成企業(yè)或企業(yè)間的專(zhuān)用網(wǎng)絡(luò),專(zhuān)用網(wǎng)絡(luò)的主要優(yōu)點(diǎn)是安全性、帶寬及服務(wù)質(zhì)量(QoS)都能得到保證;缺點(diǎn)是大量的*立專(zhuān)用網(wǎng)絡(luò)不僅存在著重復(fù)投資、資源利用率低等問(wèn)題,而且增加了管理負(fù)擔(dān),成本高。但隨著互聯(lián)網(wǎng)的發(fā)展,特別是寬帶IP技術(shù)的產(chǎn)生和發(fā)展,Internet(互聯(lián)網(wǎng))的服務(wù)質(zhì)量和帶寬已經(jīng)有了明顯的改善,可靠性和可用性也大為增強(qiáng),Internet已經(jīng)提供了經(jīng)濟(jì)、便利、快速、可靠和靈活的WAN通信,可是,互聯(lián)網(wǎng)仍不能提供與專(zhuān)用網(wǎng)相比的安全性。VPN技術(shù)就是在這樣的一個(gè)背景下提出來(lái)的,即依托于公共網(wǎng)絡(luò)(簡(jiǎn)稱(chēng)公網(wǎng))實(shí)現(xiàn)專(zhuān)用網(wǎng)絡(luò)的功能,它兼?zhèn)淞藘烧叩膬?yōu)點(diǎn),既能運(yùn)行于互聯(lián)網(wǎng)或公共IP網(wǎng)絡(luò)之上,又能提供足夠的安全性。
1.2 虛擬專(zhuān)用網(wǎng)的概念
1.2.1 虛擬專(zhuān)用網(wǎng)概念演進(jìn)
虛擬專(zhuān)用網(wǎng)概念由專(zhuān)網(wǎng)、最初的VPN概念,演進(jìn)到今天的IP-VPN概念,共經(jīng)歷了專(zhuān)用網(wǎng)絡(luò)、基于全數(shù)字接入的虛擬專(zhuān)用網(wǎng)和現(xiàn)代的虛擬專(zhuān)用網(wǎng)等三個(gè)階段。
1)專(zhuān)用網(wǎng)絡(luò)
**個(gè)階段是專(zhuān)用網(wǎng)絡(luò)。對(duì)于要求永久連接的情況,LAN通過(guò)租用的專(zhuān)用線路(簡(jiǎn)稱(chēng)專(zhuān)線,如DDN等)互聯(lián)而組成專(zhuān)網(wǎng),遠(yuǎn)程用戶通過(guò)PSTN直接撥入企業(yè)的訪問(wèn)服務(wù)器。顯然,其可以獲得比較穩(wěn)定的連接性能,企業(yè)網(wǎng)的安全性也容易得到保障,因?yàn)楸仨毷褂脤?zhuān)用的設(shè)備,并能接觸到線路,才能獲取到租用線路上的數(shù)據(jù)。但是,從用戶的角度來(lái)說(shuō),它的通信費(fèi)用高得驚人,企業(yè)需要自己去管理這樣一個(gè)遠(yuǎn)程網(wǎng)絡(luò)。從服務(wù)提供商的角度,由于用戶*占的原因,即使線路沒(méi)有數(shù)據(jù)傳輸,或流量不大,其他用戶也無(wú)法利用,所以,線路的利用率不高。
2)基于全數(shù)字接入的虛擬專(zhuān)用網(wǎng)
第二個(gè)階段是基于全數(shù)字接入的虛擬專(zhuān)用網(wǎng)。上述原因促使數(shù)據(jù)通信行業(yè)人員和服務(wù)提供商設(shè)計(jì)并實(shí)現(xiàn)大量的統(tǒng)計(jì)復(fù)用方案,利用擁有的基礎(chǔ)設(shè)施,為用戶提供仿真的租用線路。這些仿真的租用線路稱(chēng)為虛電路(Virtual Circuit,VC),虛電路可以是始終可用的永久虛電路(PVC),也可以是根據(jù)需要而建立的交換虛電路(SVC)。這里用戶將不同的LAN或節(jié)點(diǎn)通過(guò)如幀中繼(Frame Relay)或ATM提供的虛電路連接在一起,服務(wù)提供商利用虛擬環(huán)路技術(shù)將其他不相關(guān)的用戶隔離開(kāi)。這些方案為用戶提供的服務(wù)幾乎與上述租用專(zhuān)線相同,但由于服務(wù)提供商可以從大量的客戶中獲得統(tǒng)計(jì)性效益,因此,這些服務(wù)的價(jià)格較專(zhuān)網(wǎng)便宜。
這兩個(gè)階段稱(chēng)為永久性VPN。
3)現(xiàn)代的虛擬專(zhuān)用網(wǎng)
第三個(gè)階段是現(xiàn)代的虛擬專(zhuān)用網(wǎng),即基于IP的虛擬專(zhuān)用網(wǎng),稱(chēng)為IP-VPN。在這個(gè)階段,VPN主要有以下三個(gè)主要特點(diǎn)。
一是基于公共IP網(wǎng)絡(luò)。
二是提供一種將公共IP網(wǎng)絡(luò)“化公為私”的組網(wǎng)手段,主要優(yōu)勢(shì)是組網(wǎng)經(jīng)濟(jì)。
三是保證在公網(wǎng)環(huán)境下所組建的網(wǎng)絡(luò)具有一定的“私有性、專(zhuān)用性”,即安全性。從提供組網(wǎng)服務(wù)的角度看,VPN技術(shù)有兩種實(shí)現(xiàn)方式:一是利用服務(wù)提供商的IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供VPN服務(wù);二是利用公共網(wǎng)絡(luò)資源構(gòu)建VPN。特別是互聯(lián)網(wǎng)、3G/4G/5G網(wǎng)絡(luò)的發(fā)展,使得人們隨時(shí)隨地進(jìn)行快速組網(wǎng)成為可能。
從網(wǎng)絡(luò)安全的角度來(lái)看,由于VPN技術(shù),特別是基于IPsec安全協(xié)議的IP-VPN技術(shù)是一種包含加密、認(rèn)證、訪問(wèn)控制、網(wǎng)絡(luò)審計(jì)等多種安全機(jī)制的較為全面的網(wǎng)絡(luò)安全技術(shù),能夠提供網(wǎng)絡(luò)安全整體解決方案,而且隨著互聯(lián)網(wǎng)的發(fā)展,其安全優(yōu)勢(shì)越來(lái)越突出,為移動(dòng)安全接入、安全互聯(lián)等提供了重要支撐,其也會(huì)不斷得到完善和發(fā)展。這也是出現(xiàn)“安全VPN”概念的原因,目的是同沒(méi)有采用密碼技術(shù)和訪問(wèn)控制技術(shù)等網(wǎng)絡(luò)安全技術(shù)的某些服務(wù)提供商提供的VPN相區(qū)別。
1.2.2 VPN定義
人們對(duì)VPN定義的理解存在著不同的角度。
1)從組網(wǎng)的角度來(lái)看
RFC 2547 將VPN定義為:將連接在公共網(wǎng)絡(luò)設(shè)施上的站點(diǎn)集合,通過(guò)應(yīng)用一些策略建立了許多由這些站點(diǎn)組成的子集,并且只有當(dāng)兩個(gè)站點(diǎn)至少屬于某個(gè)子集時(shí),它們之間才有可能通過(guò)公共網(wǎng)絡(luò)進(jìn)行IP互聯(lián),每個(gè)這樣的子集就是一個(gè)VPN。
該定義反映的是一種現(xiàn)象,強(qiáng)調(diào)的是站點(diǎn)之間的組網(wǎng),它將VPN定義為兩個(gè)或多個(gè)站點(diǎn)的集合,比較通俗、形象、客觀。
2)從安全傳輸?shù)慕嵌葋?lái)看
有學(xué)者將VPN定義為:利用不安全的公用互聯(lián)網(wǎng)作為信息傳輸媒介,通過(guò)附加的安全隧道、用戶認(rèn)證等技術(shù)實(shí)現(xiàn)與專(zhuān)用網(wǎng)絡(luò)相類(lèi)似的安全性能,從而實(shí)現(xiàn)對(duì)重要信息的安全傳輸。
該定義關(guān)注的是載體、技術(shù)和目標(biāo)。
上述兩個(gè)定義從不同的觀點(diǎn)出發(fā),對(duì)VPN進(jìn)行了解釋?zhuān)痉从沉薞PN“基于公共IP網(wǎng)絡(luò)、組網(wǎng)、安全性”特點(diǎn)。但是,闡述都比較片面。VPN的概念不僅要反映VPN基本特征,還必須反映VPN的內(nèi)涵,即“虛擬”“專(zhuān)用”“網(wǎng)絡(luò)”“安全”以及構(gòu)建安全、*占、自治的虛擬網(wǎng)絡(luò)。
針對(duì)上述定義存在的問(wèn)題,國(guó)內(nèi)最具有代表性和確切的定義是由陳性元教授提出的。他將VPN定義為:利用公共IP網(wǎng)絡(luò)設(shè)施,將屬于同一安全域的站點(diǎn),通過(guò)隧道技術(shù)等手段,并采用加密、認(rèn)證、訪問(wèn)控制等綜合安全機(jī)制,構(gòu)建安全、*占、自治的虛擬網(wǎng)絡(luò)。該定義*先反映了VPN是一個(gè)虛擬的網(wǎng)絡(luò),還是一個(gè)安全的,給用戶的感覺(jué)是*自占有,且具有傳統(tǒng)網(wǎng)絡(luò)功能的網(wǎng)絡(luò);其次強(qiáng)調(diào)了這個(gè)虛擬網(wǎng)絡(luò)是構(gòu)建在公共IP網(wǎng)絡(luò)之上的,構(gòu)建方法是將同屬于一個(gè)安全域的站點(diǎn),通過(guò)隧道技術(shù)互聯(lián)在一起。該網(wǎng)絡(luò)的安全性是由綜合的安全機(jī)制來(lái)保證的,如加密機(jī)制、認(rèn)證機(jī)制、訪問(wèn)控制機(jī)制、安全審計(jì)機(jī)制等。
1.3 虛擬專(zhuān)用網(wǎng)的基本特征
陳性元提出的IP-VPN的定義不僅反映了VPN的主要特征,更強(qiáng)調(diào)了安全性和組網(wǎng)的功能。IP-VPN的定義揭示了IP-VPN的四個(gè)本質(zhì)特征。
。1)基于公共的IP網(wǎng)絡(luò)環(huán)境:在VPN前冠以IP的根本原因。由于像互聯(lián)網(wǎng)這樣的IP網(wǎng)絡(luò)環(huán)境建構(gòu)在諸多的TCP/IP標(biāo)準(zhǔn)協(xié)議之上,有著工業(yè)界*廣泛的支持,所以,利用VPN技術(shù)組網(wǎng)便利、經(jīng)濟(jì)、可靠、可用,同時(shí)組網(wǎng)靈活,具有良好的適應(yīng)性和可擴(kuò)展性。
(2)安全性:VPN“專(zhuān)用”的*主要內(nèi)涵之一。由于其構(gòu)建在公共IP網(wǎng)絡(luò)之上,所以要采用網(wǎng)絡(luò)安全技術(shù),來(lái)保證同一“安全域”內(nèi)網(wǎng)絡(luò)信息的機(jī)密性、完整性、可鑒別性和可用性,這樣才能實(shí)現(xiàn)IP-VPN真正意義上的“專(zhuān)用、私有”。這也是VPN的關(guān)鍵所在,所以說(shuō)安全性是IP-VPN的生命。
。3)*占性:用戶使用VPN時(shí)的一種感覺(jué),其實(shí)用戶是與其他用戶或其他單位共享該公共網(wǎng)絡(luò)設(shè)施的,*占性也是“專(zhuān)用、私有”的內(nèi)涵之一。
(4)自治性:虛擬專(zhuān)用網(wǎng)盡管是公共網(wǎng)絡(luò)虛擬構(gòu)建的,但同傳統(tǒng)的專(zhuān)用網(wǎng)絡(luò)一樣,它是一個(gè)自治網(wǎng)絡(luò)系統(tǒng),必須具有網(wǎng)絡(luò)的一切功能,具備網(wǎng)絡(luò)的可用性、可管理性,所以VPN應(yīng)該是自成一體的*立網(wǎng)絡(luò)系統(tǒng),具有協(xié)議*立性,即具有多協(xié)議支持的能力,可以使用非IP協(xié)議(如IPX等);具有地址*立性,即可以自行定義滿足自己需要的地址空間,并且允許不同的VPN之間地址空間重疊、VPN內(nèi)的地址空間和公共網(wǎng)絡(luò)的地址空間重疊。因此,安全性、*占性及自治性,使得構(gòu)建在公共IP網(wǎng)絡(luò)環(huán)境上的VPN能夠真正做到“虛擬、專(zhuān)用”。
1.4 虛擬專(zhuān)用網(wǎng)的工作原理
本節(jié)以傳統(tǒng)的VPN拓?fù)浣Y(jié)構(gòu)來(lái)對(duì)VPN基本工作原理進(jìn)行講解,如圖1.1 所示。IP-VPN設(shè)備保護(hù)LAN1、LAN2,LAN1 和LAN2 之間的安全互聯(lián)依賴于兩個(gè)網(wǎng)絡(luò)邊界的IP-VPN構(gòu)建的安全隧道。IP-VPN設(shè)備包括的基本功能有訪問(wèn)控制、報(bào)文認(rèn)證、報(bào)文加解密、IP隧道協(xié)議封裝/解封裝等。VPN基本工作過(guò)程主要包括發(fā)送、接收等。
圖1.1 VPN基本原理示意圖
1)發(fā)送過(guò)程
LAN1 中的IP數(shù)據(jù)包到達(dá)IP-VPN設(shè)備時(shí):
**步為訪問(wèn)控制,即安全策略的判斷。若允許外出,則直接按照路由進(jìn)行轉(zhuǎn)發(fā);若為拒絕,則釋放IP數(shù)據(jù)包;若為VPN安全策略,則查找安全關(guān)聯(lián)(SA),獲取安全服務(wù)參數(shù),對(duì)IP數(shù)據(jù)包進(jìn)行相應(yīng)的處理。
第二步為IP封裝,依據(jù)安全隧道協(xié)議對(duì)IP數(shù)據(jù)報(bào)文進(jìn)行封裝,封裝后的數(shù)據(jù)報(bào)文的IP地址為安全隧道兩端的地址,即IP-VPN設(shè)備A、B的外部IP地址。對(duì)新封裝的數(shù)據(jù)報(bào)文,加上認(rèn)證摘要長(zhǎng)度,重新計(jì)算數(shù)據(jù)報(bào)文長(zhǎng)度、校驗(yàn)和,并填充到數(shù)據(jù)報(bào)文*外部的IP頭中。
第三步為報(bào)文認(rèn)證,按照安全隧道協(xié)議的認(rèn)證要求,對(duì)封裝后的數(shù)據(jù)報(bào)文進(jìn)行完整性認(rèn)證處理,并將認(rèn)證摘要附在報(bào)文末位。
第四步為報(bào)文加密,按照安全隧道協(xié)議的加密要求,對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密,用加密后的密文替換報(bào)文中相應(yīng)的明文。
將安全處理后IP數(shù)據(jù)包交付給公共IP網(wǎng)絡(luò),在IP安全隧道的保護(hù)下傳遞給LAN2 的邊界VPN網(wǎng)關(guān)。
2)接收過(guò)程
接收過(guò)程與發(fā)送過(guò)程相對(duì)應(yīng)。接收方收到數(shù)據(jù)包后,對(duì)數(shù)據(jù)包進(jìn)行裝配還原,即碎包組包,還原為大的數(shù)據(jù)包。
**步為報(bào)文解密。按照安全隧道協(xié)議要求,查找安全關(guān)聯(lián),對(duì)數(shù)據(jù)報(bào)文進(jìn)行解密處理,并替換密文部分。
第二步為報(bào)文認(rèn)證。對(duì)數(shù)據(jù)報(bào)文進(jìn)行完整性認(rèn)證,判斷數(shù)據(jù)報(bào)文是否在傳輸過(guò)程中被竄改,若完整性不一致,則丟棄數(shù)據(jù)包。
第三步為IP解封裝。對(duì)數(shù)據(jù)報(bào)文進(jìn)行解封裝,去掉安全隧道協(xié)議部分、IP封裝部分,還原出LAN1 到LAN2 的原始數(shù)據(jù)包。
第四步為訪問(wèn)控制。對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制處理,判斷數(shù)據(jù)包的安全策略是否為VPN安全策略,若不是,則丟棄數(shù)據(jù)包。
被允許的將數(shù)據(jù)包交由路由處理,轉(zhuǎn)發(fā)到LAN2 中。
1.5 虛擬專(zhuān)用網(wǎng)的分類(lèi)
依據(jù)不同的標(biāo)準(zhǔn)和觀點(diǎn),VPN有不同的分類(lèi)。本節(jié)重點(diǎn)從利于理解VPN的原則,對(duì)VPN分類(lèi)進(jìn)行了較為系統(tǒng)的總結(jié)。大致可以分為按VPN的構(gòu)建者分類(lèi)、按VPN隧道的邊界分類(lèi)、按VPN應(yīng)用模式分類(lèi)以及按安全隧道協(xié)議分類(lèi)等。
1)按VPN的構(gòu)建者分類(lèi)
按VPN的構(gòu)建者分類(lèi),VPN可以分為由服務(wù)提供商提供的VPN和由客戶自行構(gòu)建的VPN兩種類(lèi)型。
。1)由服務(wù)提供商提供的VPN。
服務(wù)提供商(SP)提供專(zhuān)門(mén)的VPN,也就是說(shuō)VPN的隧道構(gòu)建和管理由服務(wù)提供商負(fù)責(zé),優(yōu)點(diǎn)是客戶的工作變得簡(jiǎn)單,缺點(diǎn)是不利于客戶的網(wǎng)絡(luò)安全,服務(wù)提供商非常清楚客戶的VPN,也了解通過(guò)隧道傳輸?shù)膬?nèi)容,因?yàn)樗淼朗怯煞⻊?wù)提供商的設(shè)備封裝的,所以安全要求較高的VPN不適合由服務(wù)提供商提供。
(2)由客戶自行構(gòu)建的VPN。
服務(wù)提供商只需提供簡(jiǎn)單的IP服務(wù),VPN的構(gòu)建、管理由客戶負(fù)責(zé),所以經(jīng)由提供商的IP骨干網(wǎng)利用VPN傳輸信息時(shí),所傳輸?shù)男畔⑹欠⻊?wù)提供商不知道的,對(duì)于VPN內(nèi)部的網(wǎng)絡(luò)路由等信息,服務(wù)提供商也是不清楚的。因此這種組網(wǎng)VPN的方式從安全的角度說(shuō),是易于被人們所接受的,因?yàn)榘踩耆莆赵谧约旱氖种,?dāng)然,客戶就多了VPN構(gòu)建、管理的管理工作。
2)按VPN隧道的邊界分類(lèi)
按VPN隧道的邊界(即隧道的端點(diǎn)的位置)分類(lèi),VPN可以分為基于PE的VPN和基于CE的VPN。