遠(yuǎn)程VPN接入技術(shù)的選擇淺析

鄭晶晶 王緩緩 韓芳 胡愛娜 武海燕

黃河科技學(xué)院 河南 450063

0 概述

虛擬專用網(wǎng)（Virtual Private Network）是在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上構(gòu)建的一種安全的專用網(wǎng)絡(luò)。這里的公用網(wǎng)絡(luò)平臺(tái)是指由公眾網(wǎng)絡(luò)服務(wù)提供商提供的網(wǎng)絡(luò)。一個(gè)虛擬專用網(wǎng)的主要目的是以低得多的成本給企業(yè)提供和私有網(wǎng)絡(luò)相同甚至更好的功能。企業(yè)使用VPN能夠降低成本，增加可擴(kuò)展性，并在無損安全性下提高生產(chǎn)率。

VPN的安全性和管理政策與專用網(wǎng)絡(luò)相同，是在遠(yuǎn)程用戶和局域網(wǎng)之間建立點(diǎn)對點(diǎn)連接的最合算的方法。

VPN通過提供身份驗(yàn)證，訪問控制，保密性和數(shù)據(jù)完整性，以確保數(shù)據(jù)的安全。

一個(gè)典型的VPN架構(gòu)應(yīng)該包含公司總部的局域網(wǎng)（LAN），遠(yuǎn)程辦公室局域網(wǎng)，伙伴或客戶公司的局域網(wǎng)和遠(yuǎn)程個(gè)人用戶?；旧嫌袃煞N類型的虛擬專用網(wǎng)，遠(yuǎn)程訪問VPN和點(diǎn)到點(diǎn)VPN。

1 遠(yuǎn)程訪問VPN協(xié)議

要建立遠(yuǎn)程連接，客戶端和服務(wù)器必須使用相同的VPN協(xié)議。

1.1 PPTP隧道協(xié)議

點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù)，它工作在第二層。

1.2 Layer Two Tunneling Protocol（L2TP）

L2TP是PPTP和第二層轉(zhuǎn)發(fā)（L2F）的結(jié)合，具有這兩個(gè)協(xié)議的優(yōu)點(diǎn)，由IETF開發(fā)，現(xiàn)已成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。

1.3 Internet Protocol Security（IPSec）

IPSec是IETF的開放標(biāo)準(zhǔn)框架，目標(biāo)是確保網(wǎng)絡(luò)層上的流量安全。

1.4 安全套接字層（SSL）

SSL是一種高層的安全協(xié)議，由Netscape開發(fā)。SSL是最常用的進(jìn)行安全的Web瀏覽的協(xié)議，稱為HTTPS。

1.5 多協(xié)議標(biāo)簽交換（MPLS）

MPLS的標(biāo)簽是一個(gè)基于分組交換技術(shù)，是從許多先前的技術(shù)，如Cisco的“標(biāo)簽切換”和IBM的“ARIS業(yè)務(wù)”等發(fā)展而來的。

2 VPN的分類

VPN技術(shù)的分類有多種可能。但把他們精確的分為不同的類別是比較困難的，在這些VPN之間有一些潛在的重疊。該技術(shù)可分為以下幾種方法（如表1所示）。

表1 VPN技術(shù)的分類

2.1 信任和安全的VPN

根據(jù)虛擬專用網(wǎng)聯(lián)盟（VPNC）的分類，虛擬專用網(wǎng)解決方案可分為安全，可信任的和混合的。

受信任的VPN包含一條或多條從服務(wù)供應(yīng)商那里租用的信道。這些虛擬專用網(wǎng)，通常起源和終止于供應(yīng)商網(wǎng)絡(luò)。在這種VPN技術(shù)中，隱私和完整性是服務(wù)供應(yīng)商在確保沒有不同的用戶使用相同的信道的情況下來提供的。MPLS就是一個(gè)正在使用的可信任VPN技術(shù)的例子。

磚子點(diǎn)點(diǎn)頭，說你女兒這是替你苦錢呢，好，你忙。磚子抬腿剛要走，李金枝甩過了欲言又止的話頭：磚子哥，師姐她……

構(gòu)建安全的VPN采用了加密技術(shù)及其他安全機(jī)制（如認(rèn)證，完整性檢查）。這種情況下，網(wǎng)絡(luò)流量在網(wǎng)絡(luò)邊緣或發(fā)送計(jì)算機(jī)端加密，然后通過公用網(wǎng)絡(luò)發(fā)送到企業(yè)局域網(wǎng)端，在企業(yè)網(wǎng)絡(luò)或接收計(jì)算機(jī)端解密。創(chuàng)建一個(gè)安全的VPN通常包括采購，配置和維護(hù)相應(yīng)的硬件和軟件。安全VPN技術(shù)的例子是PPTP，L2TP，IPSec和SSL。

應(yīng)該說，可信任的VPN是不保證安全性的。如果保密是一個(gè)需要重點(diǎn)考慮的問題的時(shí)候，網(wǎng)絡(luò)流量可在發(fā)送前加密通過可信任虛擬專用網(wǎng)，從而建立信任和安全的虛擬專用網(wǎng)之間的混合方法。安全VPN提供安全保證，但沒有信道可靠性的保證?？尚湃翁摂M專用網(wǎng)提供信道上的可靠性保障例如QoS，但沒有防止窺探或更改的安全保證。由于這些優(yōu)勢和劣勢，混合虛擬專用網(wǎng)已經(jīng)開始出現(xiàn)。

2.2 基于Web和基于客戶端的虛擬專用網(wǎng)

它們通常用于支持遠(yuǎn)程接入用戶。這并不一定意味著兩個(gè)解決方案是彼此對立的。相反，它們是相輔相成的?；赪eb的VPN是建立在SSL上的，在今天這被認(rèn)為是標(biāo)準(zhǔn)的基于Web的VPN。任何帶有Web瀏覽器的計(jì)算機(jī)經(jīng)過身份認(rèn)證后都可以連接到企業(yè)內(nèi)部網(wǎng)上?；赪eb的VPN解決方案降低了在維護(hù)一個(gè)客戶端軟件方面所需要的購買、安裝和維持的開銷。基于Web的VPN一般支持有限的Web應(yīng)用程序。

基于客戶端的VPN是建立在PPTP，L2TP，IPSec和SSL的基礎(chǔ)上?；诳蛻舳说腣PN需要在那些遠(yuǎn)程接入到網(wǎng)絡(luò)的客戶機(jī)上安裝客戶端軟件?；诳蛻舳说腣PN允許遠(yuǎn)程訪問用戶獲得對企業(yè)網(wǎng)絡(luò)的天衣無縫的接入。基于客戶端的VPN解決方案需要購買，安裝和維護(hù)客戶端軟件。

2.3 基于PE和基于CE的VPN

在基于CE的VPN，所有的VPN處理發(fā)生在CE設(shè)備中。隧道僅在兩個(gè)CE設(shè)備之間創(chuàng)建，PE設(shè)備可以是標(biāo)準(zhǔn)的路由器和交換機(jī)。在基于CE的VPN中，CE設(shè)備需要大量的管理和配置。通常情況下，對客戶端設(shè)備需要升級或購買。

基于PE的VPN，所有的VPN處理發(fā)生在PE設(shè)備。當(dāng)采用這種解決方案，CE設(shè)備可以是標(biāo)準(zhǔn)的路由器和交換機(jī)。而VPN管理和配置需要在PE設(shè)備，因此，通常沒有必要升級客戶端的設(shè)備。

2.4 外包和內(nèi)置的VPN

盡管有一些企業(yè)建設(shè)了自己的VPN，仍有許多公司把他們自己的VPN外包給VPN服務(wù)提供者。這些提供者大多是ISP（Internet Server Provider）方，在可升級的基礎(chǔ)上管理和配置客戶的VPN。外包簡化了企業(yè)內(nèi)部安全管理人員必須擁有的技能和內(nèi)部安全開銷。而且，這種VPN的開銷是可預(yù)測的。然而，企業(yè)外包他們的VPN就喪失了控制他們VPN安全的能力。另外，外包的開銷可能比自己建設(shè)和管理VPN的開銷要多，尤其是當(dāng)遠(yuǎn)程登錄的用戶和分支機(jī)構(gòu)越來越多的時(shí)候（由于這個(gè)解決方案要向每個(gè)用戶收費(fèi)）。

3 怎么樣選擇合適的VPN

為不同的企業(yè)機(jī)構(gòu)選擇合適的方案時(shí)，這些選擇的方案應(yīng)該是最能滿足這些企業(yè)需求的。在這里，以排除法來去掉那些不適合的，選擇那些適合的。

當(dāng)提供遠(yuǎn)程接入VPN方案，除了建立于SSL上基于Web的VPN和建立于PPTP、L2tp、IPSec或SSL上的基于客戶端的VPN外其它的備選方案都可以被排除?；贛PLS的可信任的VPN方案也可以被排除，因?yàn)椴豢赡馨袽PLS網(wǎng)絡(luò)延伸到每一個(gè)遠(yuǎn)程接入用戶。即使開銷不是問題，建立在MPLS VPN技術(shù)上的可信任VPN方案來解決遠(yuǎn)程接入也只能支持固定位置的用戶接入，對于移動(dòng)用戶一點(diǎn)也沒有辦法。為了選擇合適方案，我們從以下幾點(diǎn)來分析。

3.1 訪問需求

建立在SSL VPN基礎(chǔ)上基于Web的VPN方案對于那些有低接入需求的遠(yuǎn)程接入用戶（例如接入在線瀏覽、定價(jià)列表、訂單入口等基于Web的應(yīng)用）是合適的。

以PPTP，L2TP，IPSec，或者SSL VPN為基礎(chǔ)的基于客戶端的VPN對于那些要求對企業(yè)網(wǎng)絡(luò)有完全訪問或大部分訪問權(quán)限的遠(yuǎn)程接入用戶是合適的。在這種方式下，遠(yuǎn)程用戶能夠從他們的PC機(jī)完全接入企業(yè)網(wǎng)中。

3.2 安全需求

建立在PPTP，L2TP技術(shù)上的基于客戶端的VPN方案對于安全性要求較低的遠(yuǎn)程接入用戶來說是一個(gè)不錯(cuò)的選擇，由于它們的認(rèn)證和加密算法是相對薄弱的。

以IPSec或SSL VPN為基礎(chǔ)的基于客戶端的VPN或以SSL VPN為基礎(chǔ)的基于Web的VPN方案對于安全性要求較高的遠(yuǎn)程接入連接是合適的，由于他們都運(yùn)用了有效的認(rèn)證和加密算法。

3.3 協(xié)議支持的需求

以IPSec或SSL VPN為基礎(chǔ)的基于客戶端的VPN或以SSL VPN為基礎(chǔ)的基于Web的VPN方案對于那些有較低的協(xié)議支持需求的遠(yuǎn)程接入用戶來說是合適的，例如在那些僅僅讓TCP/IP協(xié)議的數(shù)據(jù)包通過的廣域網(wǎng)上。

而以PPTP，L2TP為基礎(chǔ)的基于客戶端的VPN方案對于要求多協(xié)議支持的遠(yuǎn)程接入用戶適合的，例如需要有不同網(wǎng)絡(luò)協(xié)議的（例如TCP/IP、IPX/SPX，或NetBEUI）支持。

3.4 開銷需求

以SSL VPN為基礎(chǔ)的基于Web的VPN方案由于僅需要Web瀏覽器通企業(yè)網(wǎng)絡(luò)建立連接，所以對于那些要求開銷比較低的遠(yuǎn)程接入用戶是比較適合的。以PPTP，L2TP，IPSec，或者SSLVPN為基礎(chǔ)的基于客戶端的VPN方案由于需要安全并配置客戶端才能通企業(yè)網(wǎng)建立連接，所以他對于那些具有較高開銷預(yù)算需求的遠(yuǎn)程接入用戶是適合的。

4 結(jié)束語

本文中對現(xiàn)在目前文獻(xiàn)中出現(xiàn)的各種不同的VPN技術(shù)進(jìn)行了分類，并分析了各類VPN技術(shù)的特點(diǎn)，分別從四個(gè)不同的方面分析了怎樣選擇合適的VPN。但是本文只是提供了一個(gè)選擇VPN技術(shù)的方案，并沒有具體的實(shí)施，因此，本文更近一步的工作是為那些選擇了這些方案的用戶建設(shè)這些方案或者在網(wǎng)絡(luò)中模擬這些技術(shù)。

[1]O.Freier，P.Karlton，and P.C.Kocker.The SSL Protocol:Version 3.0.IETF RFC draft-freier-ssl-version3-02.November 1996.

[2]趙春華.MPLS VPN的原理及構(gòu)建.中國數(shù)據(jù)通信.2003.

[3]R.Fisli.Secure Corporate Communications over VPN-Based.WANs.Master’s Thesis in Computer Science at the School of Computer Science and engineering，Royal Institute ofTechnology，Sweden.2005.

[4]W.Townsley，A.J.Valencia，A.Rubens，G.S.Pall，G.Zorn，and B.Palter.Layer Two Tunneling Protocol（L2TP）.IETF RFC 2661.August 1999.