基于IP的虚拟专用网技术

2019-11-03 09:08:21

字体：大中小

来源：转载

供稿：网友

李洪　　随着世界交流的日益增多，企业不断发展，分支机构也分布到世界各地。为了加强管理和企业内部联系，越来越多的企业认识到建立内部网的重要性，并且开始组建企业内部网，有些甚至是跨国跨州的企业内部网。　　目前这些企业内部网大多是靠租借电信部门的模拟或数字专线来组建的，因而费用高昂，没有一定的经济实力是难以承担的，这是许多企业所面临的一个问题。

　　随着Internet的迅速发展，TCP／ip组网技术在世界各地流行起来，许多企业转而使用TCP／IP技术来组建企业网。由于Internet网络已经非常庞大，几乎延伸到世界各个角落，为企业组建内部网带来了极大的方便。起初，人们只是简单地通过设立一个防火墙（Firewall）与Internet相连的方式来组建企业内部网。这种做法在组网方式、域名、IP地址分配上仍感到不便。为此，采用虚拟专用网（VPN）来组建企业网的技术被提出。VPN技术主要有基于路由器的虚拟专用网组网技术和基于Microsoft NT的端到端VPN解决方案两种。由于目前VPN的国际标准还未成熟，无论ATM论坛还是IETF组织对VPN都只有参考草案，因此各厂家的VPN组网方案，相互之间不能互通。在基于路由器的VPN方案中，以Cisco提出的IP Tunnelinng（IP隧道）和IP Layer（Layer 2 Forwarding第二层投递）技术最为完整；基于端到端技术的VPN方案中，以Microsoft和Ascend公司在PPP（Point toPoint PRotocol，点到点协议）基础上开发的Tunnel（隧道）协议——PPTP（Point to Point TunnelingProtocol，点到点隧道协议）较为典型。本文以这3家公司的产品为例。

1 Cisco的VPN解决方案

　　Cisco提出了一套完整的VPN解决方案，即IPTunneling和VPDN。通过这套方案，用户或企业可通过电话网、N－ISDN或专用线路方式接入Internet来组建自己的VPN企业网。其中IP Tunneling是提供给具有专线接入方式的用户或企业组建VPN的解决方案；VPDN（Virtual Private Dialup Network，虚拟专用拨号网络）是提供给拨号（电话或ISDN）接入的用户或企业组建VPN的解决方案。

1.1 IP Tunneling的VPN解决方案

　　当公司分支机构和公司总部均通过各自的路由器直接连接到Internet网上时，可以采用IP Tunneling技术来组建基于Internet的企业内部网络。

　　IP Tunneling技术是把企业内部网的任意信息包封装在Cisco GRE（Generic Route Encapsulation）封包格式内，通过IP协议透明地穿过Internet，子网与子网（即端点路由器到端点路由器）互连。IP Tunneling技术所支持的被封装的协议为多协议形式，即其包封可以支持AppleTalk、Banyan VINES、CLNP、DECnet、IP或IPX等等。单就一个通道而言，它是一个点对点的连接，但Cisco把一个通道的端点视为路由器上的虚接口，因而在连接公司总部的路由器上可以有多个通道到下面的多个公司分支机构。

　　IP Tunneling的实现过程如图1所示。来自各个分支机构的数据包在各个分支机构接入路由器上被封装在GRE格式中，被IP数据包运载穿过Internet网络，到达连接公司总部的路由器，该路由器负责解除GRE的封装，并把解包后的IP数据包送到公司内部网络进行处理。反之亦然。通过封装协议，公司内部网络完全与公网Internet分隔开来，尽管物理上是连在一起的。

　　这种组网方式的特点是非常灵活，且易于扩充。在建网初期，可以只设一个企业网的中心路由器，所有分支机构直接用IP Tunneling的方式接入中心路由器，并由中心路由器负责与公网Internet的互连(即充当网关Gateway）；当网络规模扩大以后，可以建立多个企业网中心，这些网络的实现都是靠逻辑虚连接完成的，所以其建设时间较短，成本较低，因而建立庞大的跨国企业内部网将不是什么困难的事情了。

1.2 VPDN解决方案

　　对于一些通过拨号方式连接到Internet的公司分支机构，可以采用VPDN技术接入企业内部网络。

　　实现VPDN对用户来说是透明的，用户端不需增加投资，只需在Internet拨号访问服务器（NAS）和连接公司总部的路由器上作配置即可，见图2。

　　采用VPDN技术进行VPN组网时，其用户应该使用一种有结构层次的用户名形式，如XXM＠MISSERVER的形式，以便Internet的访问服务器能根据用户名的域名来进行处理。

　　当拨号用户发出一个呼叫到Internet的访问服务器（NAS）时，它发出PPP的连接请求。NAS接收此呼叫后，就在拨号用户和NAS之间建立了一条PPP的链路。接下来NAS可以使用CHAP（Challenge Handshakes Authentication PassWord）或PAP（PasswordAuthenticaton Protocol）的协商协议对终端系统／用户进行身份验证，只有NAS发现用户名中有一个域名指明该用户属于某一个VPDN的服务时，它才会启动VPDN功能，否则NAS将视为一个普通的Internet用户。因此，NAS对拨号的用户名检验是部分的而非全部。

　　当上述步骤执行后，Internet上具有VPDN功能的拨号服务器（NAS）会检查有没有到公司总部路由器的L2F连接。L2F是第二层转发协议，它在第二层上建立一个隧道，把上层的信息透过Internet进行传输。当拨号用户第一次拨入时，NAS会启动一个到VPN中心路由器的L2F Tunnel协商。

　　如果VPN中心路由器接收这个呼叫连接，它会返回一个CHAP AUTHEN＿OK的信号，经NAS转发给拨号用户一方，建立一个端到端的连接，并为PPP创建一个虚拟接口，用于直接拨入的连接。借助这一个虚拟接口，链路层的帧就可通过隧道透明传输。以后就是拨号用户和VPN中心路由器之间的双向PPP信息交换过程，即从拨号用户发出的帧被NAS接收到以后，被封装在L2F中，通过IP隧道被转发到VPN中心路由器。

　　采用VPDN后，Internet的访问服务器和网络对用户而言是透明的，拨号用户的地址分配和身份验证均是由VPN中心路由器侧来进行的，并且NAS和VPN中心路由器双方均可以对拨号用户进行计费和验证。

　　当拨号用户与VPN中心路由器建立连接之后，VPDN就为用户在本端与VPN中心路由器之间建立一条IP隧道，在该隧道上运载的是L2F包；而对非VPN内的用户，由于在拨号进入NAS时不能启动VPDN功能，也就不能进入VPN中心路由器，所以也不能进入所定义的企业VPN网络了。

2 Microsoft和Ascend提出的端到端VPN解决方案

　　尽管Cisco提出的VPN解决方案很吸引人, 但由于它是Cisco公司专有的，当网络中有非Cisco公司的路由器时，显然不能互通。为了解决这个问题，Microsoft和Ascend公司在PPP协议基础上开发了PPTP协议（Point to Point Tunneling Protocol）。

　　PPTP协议是在PPP基础上开发的、基于GRE封装的协议，增加了流控制机制。

　　PPTP协议是一个真正的端到端技术，它可建立用户到服务器的直接端到端隧道连接，对于接入路由器NAS和Internet网络来说，这些都是透明的。建立一个PPTP的连接过程如下：

　　不管用户是通过专线或拨号网接入Internet网络，用户端都可以与VPN中心服务器建立IP连接；然后通过用户端的一个PPTP虚拟接口“拨号”到VPN中心服务器建立PPTP连接。PPTP的内层协议可以支持IP／IPX／CLNP等多种协议。换言之，通过PPTP协议的隔离作用，用户端和VPN中心服务器端可以建立端到端的VPN网络。如图3所示。

2.1 VPN与公用Internet网的互通

　　VPN网络是一个专用于企业内部信息交流的网络，一般情况下外部用户没有权利访问企业的重要信息，但为了扩大企业的影响，必要时企业要开放VPN上的部分非机密信息，如企业简介等，这样就使得VPN与Internet的互通显得很有必要了。

　　企业VPN与Internet的互通有两种方法：一种是采用NAT（Network Address Translate，地址转换）；另一种是在相关服务器上使用两套IP地址。

2.2 NAT地址转换方法

　　一般来说，企业VPN内部采用自己的内部IP地址，如172.16．x．x，与公网IP地址区分开来。因此，当拥有公用IP地址的Internet用户或主机想访问这些VPN内部服务器时，一般需要NAT地址转换，这个功能由VPN中心的接入路由器来实现，如图4所示。同样地，通过NAT地址转换，企业内部的用户也可以访问公用Internet网，获得Internet上的各种服务，比如：WWW、E－mail、FTP等。所以说，通过NAT功能，VPN内部网络可以与lnternet网络实现互通。

　　另外，NAT地址转换功能也支持过滤器功能，可以在NAT上设置一些过滤选项来达到防火墙的目的。

2.3 使用两套IP地址的方法

　　为了节省NAT地址转换造成的额外开销，我们可以在需要与Internet互通的VPN内部服务器上设置两个IP地址，一个是VPN内部的私有地址，另一个是公网合法的IP地址，如图5所示。同时，在VPN中心的接入路由器上作一些访问控制，使得当Internet的用户或主机访问VPN内部服务器时，可以直接与VPN内部服务器建立连接，而不必经过繁琐的地址转换过程。对于VPN内部用户，由于他们只拥有内部地址，当他们访问Internet时，仍然需通过NAT地址转换过程。通过NAT过程，也可对他们访问公网实施限制。