敖理达
摘 要:讨论VPN技术,结合中国电信VPDN工程,采用对比方式详述VPDN中用户与企业内部网之间的通信及认证过程。
关键词:虚拟专用网 VPN LAC LNS L2TP 隧道 认证
一、引言
虚拟专用网VPN(Virtual Private Network)的定义有多种形式,如"是建立在实际网络(或物理网络)基础上的一种功能性网络","是通过公用网络实现远程用户或远程LAN之间互连,但仍具有专网化点的一种技术","在Internet上实现的一个专用网"等等。在这里我们引用Internet工程任务组(IETF)对虚拟专用网VPN的定义:借助于公用Internet和专用IP网而建立的虚拟广域网(WAN)。
作为虚拟的专用网,VPN是一个虚信道,该信道可以用来连接两个专用网;可以通过可靠的加密技术方法保证其安全性;可以作为公共网络系统的一部分存在。
早期的虚拟专用网是使用帧中继或ATM的PVC来建构的,它们提供的都是二层服务。现在新的虚拟专用网技术是基于三层的IP协议,它可以使VPN完全建构在公用的Internet或IP网之上。
二、VPN技术原理
远程用户通过拨号经由PSTN接入企业服务器,拨号用户和企业远程访问服务器之间通过PSTN建立直接的物理连接。这样,在企业局域网端,就要求服务器能提供对数据链路层的控制(LCP);对请求的认证和对网络层的控制(NCP)。
LAC和LNS合起来完成了原来由企业访问服务器完成的工作。在这里,访问集中器LAC、网络服务器LNS是当使用L2TP协议时的命名;当使用其它隧道协议时,访问集中器和网络服务器就以相对应的名字命名(如PAC和PNS对应于PPTP协议)。
当远程VPN用户通过拨号访问企业局域网时,LAC首先通过Internet和LNS建立隧道(此时假定为合法用户,不考虑认证问题)。该条隧道的建立分为两个阶段:(1)控制连接的建立;(2)会话的建立。LAC和LNS必须为每一位拨号用户建立一个会话,但多个会话可以复用同一条隧道。因此对所有会话只需建立一个控制连接;所有会话的建立、维持和终止都通过这个控制连接来传送控制消息。为保证在控制连接上传输控制消息的正确性,控制连接是基于面向连接的传输层控制协议TCP会话建立的。
当LAC和LNS间的隧道建立后,远程VPN用户就可以与LNS进行PPP握手,握手成功后建立起PPP连接。在此PPP连接建立的过程中要完成数据链路层认证和IP地址分配等任务。在这里,LNS经认证后分配给用户的是内部网地址,而不是Internet的全局IP号。这样,远程VPN用户就与LNS成功建立了PPP连接,从而可以开始通信。由于用户端发出的数据(即发给LNS的PPP帧)先要在LAC处被封装成L2TP帧格式,此种帧在通过Internet隧道发送之前又要被再次封装到IP数据报文中。该报文中的源IP地址即为LAC的全局IP地址;目的IP地址即为LNS的全局IP地址。
由于在虚拟专用网中数据传送要频繁通过Internet,所以数据传输的安全性显得十分重要。目前保证安全传输采用的是IPSec协议。IPSec使用两组协议:(1)验证报头(AH);(2)封装安全有效负载(ESP)。
AH是对IP报文用某种认证算法进行计算,将计算后的结果作为AH插在IP首部和数据字段之间;报文被目的终端接收后,按照认证算法重新对IP报文进行计算,将计算后的结果和认证首部中的内容进行比较:若相符,表示IP报文在传输过程中未受损,否则认为已被破坏。AH只能保证报文的完整性和可靠性,但不对IP数据加密。
ESP是将IP报文的数据字段内容进行加密,加密后的结果才真正作为IP报文的负荷封装在IP报文中。IP报文被目的终端接收后,由目的终端重新对IP报文的负荷进行解密,还原成原始的数据字段内容。通过选择好的加密算法,ESP可以保证IP报文的完整性、可靠性和保密性。
三、中国电信VPDN
VPDN(Virtual Private Dialup Network)--虚拟专用拨号网:它是以拨号接入方式上网、在公网上传输数据时通过对网络数据的封包和加密传输专用数据以达到专用网络安全级别的技术。其实质就是VPN。
中国电信利用其现有的IP网(并网后的169/163网)作为VPDN的业务承载网,向集团用户提供IP网络VPDN业务。该业务可以为企业用户在Internet上开辟一条安全的专用数据通道,为企业省去了在组建专网时所花费的设备和人员的投资;而且将以前的长途呼叫转为本地呼叫,大大节约了通信费用;该业务还可以使企业将网络管理任务交给电信相关部门,减少了企业内部网络的管理负担。
中国电信VPDN将用户分为全国用户和省内用户,设立了一个全国业务管理中心和31个省级业务管理中心。它们分别受理全国范围的VPDN业务和省内范围的VPDN业务。
从技术角度来看,中国电信VPDN选用了VPN标准中的L2TP协议作为第二层隧道协议。L2TP协议结合了PPTP与L2F的优点。使用L2TP有以下一些好处:(1)作为PPP的扩展,它可以得到对端的用户名,能区分不同的用户:比如拨号用户、采取专线直连的对端路由器等;(2)可以分配企业内部网IP地址;(3)支持信道认证,具有IPSec选项。
VPDN作为VPN技术的一个实体,不但完全使用了VPN技术原理及其标准,而且加入了一些实际应用中必不可少的功能,如认证部分。
认证是根据用户提交的域名来进行的。VPDN中采用了不同用户域名结构来标识全国用户和省内用户。全国用户采用"用户名@集团名"的形式来标识;省内用户则采用"用户名@集团名.省市名"来标识。这样,当用户进行VPDN业务拨叫时,首先到省级VPDN业务管理中心RADIUS,通过用户域名判断是省内业务还是全国业务:如果是省内业务则在省级完成认证,否则转至全国VPDN业务管理中心完成认证。
具体的认证实施是在LAC和LNS处进行的。用户首先通过拨待服号179XX发起VPN,在用户和LAC间建立PPP连接;然后系统将用户域名和口令送至LAC处(此时如需验证,就将用户域名和口令送到认证服务器进行一次认证),LAC根据收到的参数与LNS之间建立L2TP隧道。在L2TP隧道建成后,VPDN用户与LNS进行PPP握手,LAC向LNS发送用户域名和口令。这时,企业内部网管理系统认证服务器对用户进行认证,如果认证成功则向远端用户分配内部网地址,让VPDN用户与LNS间建立PPP连接。此连接建立后,用户就可以和企业内部网络进行通信了。
四、VPN的发展前景
VPN同时为使用它的企业和提供它的ISP带来了经济效益:基于Internet的网络使远端的用户能安全方便地访问本企业的内部资源;企业可以使用VPN与他们的合作伙伴进行安全的通信;ISP可以靠提供带宽和增值业务来获利。
近年来,VPN的业务与市场发展迅速。由于VPN能提供良好的性能价格比以及其自身标准的不断完善,使得使用VPN更经济、适用。有国外机构预测,到2001年将会有55%的企业有意建立VPN。另外,由于全球经济的一体化,许多国际业务和地区间业务增长迅速,从事相应商务活动的公司大量增加,以及VPN在扩大全球性业务的同时又降低了长途通信费率,这些都推动了VPN市场的发展。根据Infonetics的研究报告,VPN业务的开展将为企业提供节省长途专线租用成本的20%~47%,节省远程拨号费用的60%~80%。
对于我国来说,目前全国的公用网,无论是电话网或数据网都已具有相当的规模和水平。X.25、DDN及帧中继等网络已经投入运营,全国各省的163/169并网工程也相继完成,这就为VPN业务提供了较为完备的承载网络。但由于我国的大多数企业网都不是十分成熟,同时很多企业也没有真正了解到VPN技术能为其带来的经济效益,所以VPN业务的开展还需要中国电信和ISP们花费大力气在全国进行推广。
从VPN在全球的发展来看,它对Internet服务提供商和有VPN需求的企业及公司来说,无疑都是一种相当不错的选择。据Cahners In-Stat公司估算:在1999年,VPN的市场为26.7亿美元。预计到2003年,VPN的市场将增加到320亿美元。我国各企业在组建自己的专用网络时,可以根据各自的情况选用VPN以及何种方式的VPN,以便更经济、有效、快捷地满足企业对话音、数据、视象等各种业务的需求。