虛擬專用網技術應用研究

莊曉華

（天津濱海職業學院，中國 天津 300451）

計算機網絡技術的迅速發展和新技術的成熟深刻地改變了企業用戶的工作方式，企業對網絡化、信息化的需求不斷上升。對于企業來說，實現企業集團不同地點網絡的內部互聯，使遠程用戶接入到企業內部網絡進行資源訪問有兩種選擇，一是建立自己的專用網絡，二是采用虛擬專用網VPN。對于中小企業來說，專網建設的高昂費用是難以接受的，VPN是實現自建專網向利用運營商網絡方向發展的重要技術。VPN（虛擬專用網）是一種利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道，提供與專用網絡一樣的安全和功能保障的網絡技術。“虛擬”是相對傳統私有網絡的構建方式而言的，VPN利用公共網絡實現安全的遠程連接。通過VPN，企業可以更低的成本連接遠程分支機構，或者在公共的骨干網絡上承載不同的專用網絡。

1 VPN的分類

1.1 VPN 的應用分類

1）Access VPN（遠程接入VPN）：客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN的數據流量。遠程接入VPN用于實現出差員工或家庭辦公用等移動用戶安全訪問企業網絡。

2）Intranet VPN（內聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源。Intranet VPN用于組建跨地區的企業總部與分支機構內部網絡的安全互聯。

3）Extranet VPN（外聯網VPN）：與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接。Extranet VPN用于企業與客戶、合作伙伴之間建立安全的網絡互聯。

1.2 VPN網絡結構分類

1）VPN的遠程訪問結構：用于提供遠程移動用戶對企業內部網絡資源的安全訪問，即Access VPN.單機通過公共網絡利用隧道技術連接到企業的一個網絡內部，成為網絡中的一個連接點，這種結構又稱點到站點、桌面到網絡結構。

2）VPN的網絡互連結構：用于企業總部網絡和分支機構網絡的內部網絡之間的安全互連，即Intranet VPN或Extranet VPN.這是一種網絡到網絡也稱站點到站點（Site to Site）結構。

3）VPN的點對點通信結構：用于企業內部網的兩臺主機之間的安全通信，即單機到單機結構。

1.3 VPN的隧道協議分類

隧道技術是一種使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將這些其它協議的數據幀或包重新封裝在新的包頭中發送。被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道。一旦到達網絡終點，數據將被解包并轉發到最終目的地。

從VPN采用的隧道協議所處的網絡層次來分，有第二層隧道協議，如 PPTP、L2F和 L2TP；第三層隧道協議，如 IPSec、GRE 等；第四層隧道協議，如SSL；還有跨越第二層和第三層隧道協議，如MPLS；第二層和第三層配合的隧道協議，如L2TP/IPSec。

1.4 VPN接入方式分類

一般企業的局域網，多是通過光纖連接到互聯網。對于單個出差用戶或家庭用戶，通過撥號（如ADSL）連接到ISP，這種方式建立的VPN，稱為撥號接入VPN。

2 VPN技術的應用

2.1 企業的移動用戶或小型分支采用撥號VPN的方式接入企業的內部網絡

對于一般企業來說，出差流動性員工、遠程辦公人員和遠程小辦公室需要訪問企業內部網絡中的服務器，可以通過遠程接入VPN連接訪問企業內部網絡資源。

圖1 遠程接入VPN（Access VPN）應用模式

借助Windows Server 2003的“路由和遠程訪問”服務，可以實現基于軟件的VPN。用戶可以在企業內部搭建VPN服務器，然后通過企業外部客戶端的VPN撥號連接對企業內部網進行訪問。

圖2 遠程接入VPN（Access VPN）的網絡結構

VPN服務器要有兩個網絡接口，一邊連接外部網絡，另一邊連接內部網絡。VPN服務器運行Windows Server 2003系統，通過企業網接入Internet。客戶端運行Windows XP系統，通過ADSL接入Internet，連接方式為客戶端通過Internet與服務器建立VPN連接。在Windows Server 2003系統中，“路由和遠程訪問”服務是默認安裝的。用戶要啟動該服務并進行必要的配置，才能使VPN服務生效。

1）配置VPN服務器

第一步：打開管理工具中路由和遠程訪問窗口，右擊VPN服務器，選擇“配置并啟用路由和遠程訪問”。

第二步：在安裝向導中選擇“虛擬專用網絡（VPN）訪問和NAT”。

第三步：選擇VPN訪問所需的協議TCP/IP。

第四步：指定服務器上與互聯網相連接的網卡。

第五步：指定服務器上與內部網絡相連接的網卡。

第六步：選擇遠程拔入客戶的IP地址來源。

第七步：為了安全的客戶端拔入，可以設置一個RADIUS服務器，也可以用VPN服務器來進行驗證。

第八步：選擇開始-程序-管理工具中的服務，可以看到在服務中的路由和遠程訪問已經啟動。

第九步：配置VPN服務器中的遠程訪問策略，例如允許遠程用戶在任何時間接入。

第十步：若使用VPN服務器來進行身份驗證，在計算機管理中創建VPN用戶名，并在用戶屬性“撥入”選項卡中設置允許VPN訪問。

2）VPN網絡的客戶端的設置

以Windows XP客戶端的設置為例，右擊網上鄰居、屬性、選擇新建連接。在連接建立向導上，選擇“連接到我的工作場所的網絡”；在出現的對話框中單擊“虛擬專用網絡連接”；在公司名稱對話框中為連接鍵入一個名稱；鍵入目標地址即VPN服務器的IP地址或主機名；在出現的對話框中，如果限制此連接僅供當前登錄用戶使用，選擇“只是我使用”選項；如果允許登錄到該計算機的任何用戶訪問此撥號連接，選擇“任何使用此計算機的人”；單擊“完成”按鈕保存新建的連接。

3）測試VPN連接

打開連接對話框，輸入VPN服務器上允許遠程拔入的用戶名和密碼。連接成功后會在右下角的任務欄處出現一個網絡連接圖標。

2.2 采用IPSec VPN技術實現企業不同地點網絡的互聯

使用IPSec VPN技術實現基于路由器的站點到站點模式的VPN，使遠程企業分支機構通過公共網絡連接成一個內部網絡，為企業總部和分支用戶實現對內部數據資源的安全互訪。

圖3 Intranet VPN應用模式

1）IPSec協議

IPSec是一組開放的網絡安全協議的總稱，提供訪問控制、數據來源驗證、加密及數據流分類加密等服務。IPSec在IP層提供以上服務，包括兩個安全協議AH（報文驗證頭協議）和ESP（報文安全封裝協議）。AH主要提供數據來源驗證、數據完整性驗證和防報文重放功能。ESP在AH協議的功能之外提供對IP報文的加密功能。

通信雙方如果要用IPSec建立一條安全的傳輸通路，需要協商將要采用的安全策略，包括使用的加密算法、密鑰、密鑰的生存期等。當雙方協商好使用的安全策略后，我們就說雙方建立了一個安全關聯SA。SA就是能向其上的數據傳輸提供某種IPSec安全保障的一個簡單連接。當給定了一個SA，就確定了IPSec要執行的處理，如加密，認證等。SA可以進行兩種方式的組合，分別為傳輸模式和隧道模式。

為進行加密和認證需要有密鑰的管理和交換功能，這是由IKE（Internet密鑰交換協議）實現的。IKE是一種為IPSec管理和交換密鑰的標準方法，可以將IKE分為兩個階段：階段 1進行認證，建立一個IKE SA；階段 2進行密鑰交換，利用階段1中的IKE SA來協商IPSec SA。安全關聯SA是從由IPSec提供安全服務的數據流的發送者到接收者的一個單向邏輯關系，用來表示IPSec如何為SA所承載的數據通信提供安全服務。AH和ESP都需要使用SA，IKE的主要功能之一就是SA的建立與維護。

2）站點到站點IPsec VPN的實現

圖4 站點到站點VPN的網絡結構

IPsec VPNs在企業與分支機構的應用中較常見，對于企業的實現也不受限制，IPsec VPN為三層VPN技術，下面重點就IPsec VPNs組成與功能特性中的站點到站點IPsec VPNs進行介紹。基于思科路由器的站點到站點IPsecVPN操作的5個步驟如下：

第一步，在路由器R1和R2上配置訪問控制列表定義VPN數據流，非VPN數據流通過配置NAT進行轉換；

第二步，路由器R1和R2協商IKE第1階段會話 （IKE安全關聯）；

1）選用協商模式：main mode或aggressive mode；

2）選用一種身份認證方法：Preshare Key或非對稱加密算法級數字證書方式；

3）選用一種加密算法：des或3des；

4）選用一種驗證算法：sha或md5；

5）選用一組diffie-hellman公鑰密碼系統組：dh1或dh2；

6）定義IKE Sa的生存周期；

第三步，路由器R1和R2協商IKE第2階段會話（IPsec安全關聯）；

1）選用協議封裝：ESP或AH；

2）選用一種加密算法和驗證算法：esp-des或esp-md5-hmac；

3）選擇是否使用diffie-hellman公鑰密碼系統來執行PFS完美向前保密：默認為none；

4）選用變換集的模式：tunnel或transport；

5）定義IPSec SA生存時間；

第四步，VPN數據流信息通過IPsec隧道進行交換傳輸；第五步，IPsec隧道終止。

2.3 大型企業集團在專用網絡上采用MPLS VPN技術

MPLS最初是為提高網絡設備的轉發速度而提出的一個協議,使用一個短的定長標簽(Label)來標識數據流,用固定長度的標簽搜索實現數據的高速轉發。隨著交換芯片技術的突破及高性能網絡處理器的出現,網絡設備普遍可以線速處理數據,MPLS技術轉而被應用于提供QoS以及VPN服務。

MPLS VPN是業界近幾年發展迅速的新興技術，融合了ATM技術與IP技術的優點，成為解決當前廣域VPN的最佳技術選擇。在MPLS VPN中,各站點之間使用兩層標簽封裝報文,在入口運營商邊緣路由器（入口PE）處為報文打上兩層標簽,作為骨干網絡設備提供相應服務的依據。外層標簽在骨干網內部進行交換,標識從運營商邊緣設備（PE）到對端運營商邊緣設備（對端PE）的一條隧道,保證VPN沿著標簽交換通道LSP到達對端運營商邊緣設備,內層標簽則確定在出口運營商邊緣路由器（出口PE）處應該向哪個站點轉發數據。

MPLS VPN提供了靈活的地址管理。由于采用單獨的虛擬路由表，允許每個VPN使用單獨的地址空間，稱為VPN-IPv4地址空間，采用私有地址的用戶不必再進行地址轉換NAT。NAT只有在兩個有沖突地址的用戶需要建立Extranet進行通信時才需要。MPLS VPN的作用并不局限于企業內部互聯，對于建設了專用網絡的大企業集團，利用MPLS VPN可以實現數據、語音、視頻的多業務承載和不同業務系統之間的隔離。MPLS VPN在保證不同業務的QoS和業務系統的安全隔離方面具有天然的優勢。

3 結束語

隨著全球經濟的不斷發展，企業的合作伙伴日益增多，需要移動辦公的人員也隨之增加。在這樣的背景下，企業的各分支機構、企業與合作伙伴、企業與客戶之間都可能需要建立連接通道以進行信息傳送。通過將數據流轉移到低成本的公共網絡上，一個企業的虛擬專用網解決方案可以保證數據的傳輸安全、降低組網成本，使組建的網絡易于擴展，VPN技術必將有更廣泛的應用。

［1］蔣青泉.虛擬技術在現代通信網絡中的應用與研究[J].通信技術，2009.

［2］李艷梅.基于IPSec的Windows VPN客戶端系統的研究與實現[D].濟南：山東大學，2005.

［3］盧峰.企業骨干網絡VPN技術的應用研究[D].北京：華北電力大學，2011.

［4］徐曉.局域網內VPN教學方案的設計與研究[J].計算機時代，2011.