虚拟专用网络服务(VPN)

/ns/wz/net/data/20010716230438.htm

虚拟专用网络服务(VPN)

Bay公司 陈军


　　为什么采用VPN

　　随着Internet访问的增加,传统的Internet接入服务已越来越满足不了用户需求,因为传统的Internet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制, 界面复杂不易掌握,VPN的提出就是来解决这些问题。

　　VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处：

�S采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用；

�S公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；

�S对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系；

�S电话公司通过开展拨号VPN服务可以减轻终端阻塞；

�S通过为公司提供安全的外界远程访问服务，ISP能增加收入；通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。


VPN市场状况

市场应用

　　服务提供商已经开发出许多种模型来提供VPN方案，它们都能够为用户提供安全的点对点通信。实际上，不同的提供商以不同的方式定义VPN，这体现在他们提出的多种多样的方案中。

　　第一种VPN服务是公司外部处理他们的远程服务资源，包括调制解调器组、模拟或数字电路。公司也许还要外部处理必要的个人资源来支持远程访问用户组。第二种VPN服务是ISP 把它的远程访问全盘售给更大的服务提供商。

　　价格和效率是主要的刺激因素。现在许多ISP提供便宜的甚至免费的Internet访问，简单老式服务的收益受到极大的影响。取而代之的是，许多ISP把精力集中在相关服务上，例如游戏、Internet传真、多路广播和其它服务。此外，同样的T1专线，以前只能支持24路调制解调器用户，现在可以支持更多的用户，这是因为数据现在是在多路复用的网络上传输，比如帧中继网络。

　　通过VPN服务，企业Intranet能够把分布式LAN、分部办公室、移动用户和远程通信用户相连，可以实现内部E��mail、公司提供并控制的Web访问、内部数据库访问、IntranetWeb 服务和出版等应用。

　　对于想要把远程访问扩展到企业以外的组织，提供商能够提供外部VPN或Extranet服务。这为以下应用提供了用户与产品供应商、商业伙伴、承包商、厂商之间的可控制的安全连接：

�S联合产品开发；

�S在线定货和电子交易；

�S目录管理；

�S所有权共享和数据认证；

�S用户支持和服务；

�S数据备份和仓库。


基于ISP的远程访问

　　由于ISP已经应用Internet并且经常拥有自己的远程访问服务器设备，很自然的，它们可以成为远程客户的主机连接。这允许网络提供商开发一系列复杂的新服务，包括用户认证的新闻和信息服务、工作组或工作流应用、Web站点开发和其它适用于不同用户的服务。


基于电信商的远程访问

　　采用拨号VPN技术，远程通信能在不同的远程访问基础结构上提供服务，包括模拟电话电路、ISDN电路、访问集线器、通信服务器、多服务交换机等。相关用户服务功能不是在用户端或电话公司之间的连接上建立的，而是建立在电信商中心办公室。这种服务的典型用户是公司网用户或希望外部处理远程访问基础结构的本地服务提供商，他们是为了降低开支和改善性能。

　　基于电信商的服务可以采用两种形式。第一种形式是，服务作为一条路径提供给原始用户或服务提供商，用户管理和授权由订户处理，用户数据库包含由电信商维护的帐户信息。第二种形式，电信商提供直接访问和高级IP服务，高级服务包括WWW、E��mail和FTP服务。


VPN技术方案

　　大多数围绕VPN的讨论都集中在隧道技术上。然而，隧道技术仅仅是完整的拨号VPN服务体系结构的单元之一。除了服务支持的隧道技术，任何拨号VPN服务的描述还应包括服务如何控制安全以及网络管理。


隧道技术（Tunneling）

　　拨号VPN使用隧道技术使远程访问服务器把用户数据打包进IP信息包中，这些信息包通过电信服务提供商的网络传递。在Internet里，则需要穿过不同的网络，最后到达隧道终点，然后数据拆包，转换成最初的形式。公司网进行远程访问通信时，从长距离的本地电信服务提供商到ISP和Internet需要采用隧道技术。隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址，这代替了电话交换网络使用的电话号码连接。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。

　　现在已经有许多Internet(IETF)的建议，都是关于隧道技术如何应用的。其中包括点对点隧道协议(PPTP)、第二层转发(L2F)、第二层隧道协议(L2TP)、虚拟隧道协议(VTP)和移动 IP。由于得到了不同网络厂商的支持，建议的标准定义了远程设备如何能以简单安全的方式访问公司网络和Internet。

　　隧道技术非常有用。首先，一个IP隧道可以调整任何形式的有效负载。使用桌面或便携式计算机的用户能够透明地拨号上网来访问他们公司的IP、IPX或AppleTalk网络。第二，隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利用封装技术来实现，例如IE TFRFC1701定义的一般路由封装。第三，使用隧道技术访问公司网时，公司网不会向Interne t报告它的IP网络地址。第四，隧道技术允许接受者滤掉或报告个人的隧道连接。


第二层隧道和第三层隧道

　　隧道终止在不同的位置取决于第二层隧道或第三层隧道是否使用。使用第三层隧道时，利用终端设备在服务提供商的网络上进行隧道产生和终止，在远程访问服务器(RAS)上也能终止远程用户点对点协议(PPP)对话。使用第二层隧道时，隧道的创建可以在RAS也可以在服务提供商的网络上或远程客户端，隧道的终止则在路由器的用户端或一般的服务器上。

　　第三层隧道技术对于公司网络还有一些其它优点。网络管理者采用第三层隧道技术时，不必在他们的远程节点或客户原有设备(CPE)上安装特殊软件，因为PPP和隧道终点由服务提供商的设备生成，CPE不用负担这些功能，而仅作为一台路由器。第三层隧道技术可采用任意厂家的CPE予以实现。

　　使用第三层隧道技术的公司网络不需要Internet地址。这种隧道技术的应用也具有安全性，服务提供商网络能够隐藏公司网络和远端节点地址。

　　应用第三层隧道技术，服务提供商不需要参与公司网路由选择。服务提供商控制其网络的全部数据信息包的通信，当选择把第三层隧道技术应用到第二层隧道通路上时服务商能够更方便地估略服务。


安全性

　　安装和应用拨号VPN的第二个重要问题是网络的安全性，例如既允许远程拨号连接，又要防止未授权访问和偷听。

　　在一些网络设计里，隧道终止在用户的防火墙之后。某些类型的IP隧道技术需要客户直接与Internet连接，这会对客户带来危险。为了保护网络不受未授权用户的访问，许多公司用户在他们的Internet路由器上建立了防火墙。这限制了Internet对资源的访问，例如对公司Web服务器的访问。如果设备在防火墙之后，防火墙必须打开允许隧道信息包通过，传输到和它们无关的设备。在这方面有很多办法，然而它们都会使防火墙配置程序复杂。再有，不是所有的防火墙都能够有效地控制那些并不终止在防火墙的通信。

　　基于第三层隧道技术的拨号VPN服务应用比起基于第二层隧道技术的拨号VPN服务应用更安全，这是因为使用第二层隧道技术，隧道不需要到达客户网络，而是终止在服务提供商的网关。


网络管理和运行

　　最后也是不可缺的是网络管理和维护。管理拨号VPN的两个关键是网络层地址管理(NLAM )和隧道管理。隧道管理指外部软件应用，它用来建立隧道并维护用户信息和执行客户层帐户管理。传统的软件管理功能，例如性能检测，需要用来管理拨号VPN服务，这和它们在其它网络和网络管理上的功能是一样的。


网络层地址管理

　　网络层地址管理(NLAM)是指拨号VPN建立远端节点的网络层地址分配以及进行其它与网络层有关协议配置(滤波器，路由协议，子网屏蔽等)和域名登记的能力。具有适当容量的VP N结构能够支持以下服务:远端授权拨号上网用户服务(RADIUS，要有厂商的正确配置)、动态主机控制协议(DHCP或功能相同的协议)和域名服务(DNS)。RADIUS不仅用于用户授权，还用来执行一部分或全部的网络层配置信息。DHCP能与RADIUS相连并从地址池中选择地址然后分配给远程用户。显然，这种方法比起在RADIUS数据库用手工构造地址应用范围更广。有一点很重要，即管理第三层地址系统必须很有权威，这意味着一旦对话终止，地址必须返回与用户域名有关的地址池。

　　网络层地址管理和IP地址管理恰恰相反。许多公司网依然使用IPX和AppleTalk协议，所以支持这些协议和IP协议的地址管理服务依然存在。不幸的是，还没有更多标准编址的非IP 地址池，因此支持远端节点的IPX或AppleTalk地址管理的产品很少。


未来

整个网络的外部处理

　　客户十分关心外部处理他们的远程访问基础结构。未来，有些企业将把它们的整个网络放在服务提供商的网络上。这种模式下，用户有自己的数据和主机，然而网络完全由服务提供商来管理。


可选的VPN访问形式

　　今天，大多数的VPN厂商都是基于交换连接到拨号VPN上的。大多数公司网或Internet的连接最初是通过ISDN或模拟调制解调器呼叫，但现在，其它方式的访问，包括电缆调制解调器和xDSL已成为可能并对服务提供商提出了新的挑战。


新的协议

　　今天，特殊的隧道协议例如移动IP或L2TP都可用于实现VPN功能。新出现的标准例如ISE CHEIP6版保证用户数据安全加密封装。由于用户对公司网传输个人数据很敏感，更高集成度的VPN技术毫无疑问会流行起来。


结论

　　VPN服务代表一种新的工业和服务，它依然处于起步阶段。用户将希望得到高性能的VPN 服务，他们愿意为保证服务水平支付额外的费用。

　　这一服务的许多标准还在不断地发展。这一点很重要，因为完全基于标准的解决方案将保证企业用户在外围网络服务上的投资得到可行的、安全的和性能价格比高的服务。提供完全基于标准的解决方案的厂商将会最终控制市场。