VPN，网络安全，隧道技术，L2TP，GRE，IPSec，IKE，防火墙，QoS，网络管理
　　
　　概述
　　随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。华为Quidway系列路由器在安全、网络优化以及管理等方面对VPN给予了强大的支持。
　　
　　VPN定义
　　利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，Virtual Private Network），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。
　　
　　“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴，如图1所示。
　　
　　
　　
　　图1 VPN应用示意图
　　
　　由图可知，企业内部资源享用者只需连入本地ISP的POP（Point Of Presence，接入服务提供点），即可相互通信；而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源； 如果接入服务器的用户身份认证服务器支持漫游的话，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。
　　
　　VPN的类型
　　VPN分为三种类型：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的 VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
　　
　　Access VPN
　　随着当前移动办公的日益增多，远程用户需要及时地访问Intranet和Extranet。对于出差流动员工、远程办公人员和远程小办公室，Access VPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在Access VPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道（Tunnel）连接来传输私有网络数据。
　　
　　Access VPN的结构有两种类型，一种是用户发起（Client-initiated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。
　　
　　用户发起的VPN连接指的是以下这种情况：首先，远程用户通过服务提供点（POP）拨入Internet，接着，用户通过网络隧道协议与企业网建立一条的隧道（可加密）连接从而访问企业网内部资源。在这种情况下，用户端必须维护与管理发起隧道连接的有关协议和软件。
　　
　　在接入服务器发起的VPN连接应用中，用户通过本地号码或免费号码拨入ISP，然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下，所建立的VPN连接对远端用户是透明的，构建VPN所需的协议及软件均由ISP负责管理和维护。
　　
　　Intranet VPN
　　Intranet VPN通过公用网络进行企业各个分布点互联，是传统的专线网或其他企业网的扩展或替代形式。
　　
　　利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSec、GRE等。结合服务商提供的QoS机制，可以有效而且可靠地使用网络资源，保证了网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量，但其不足是互联区域有较大的局限性。而另一方面，基于Internet构建VPN是最为经济的方式，但服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。
　　
　　1.2.3Extranet VPN
　　
　　Extranet VPN是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构建方式下，Extranet通过专线互联实现，网络管理与访问控制需要维护，甚至还需要在Extranet的用户侧安装兼容的网络设备；虽然可以通过拨号方式构建Extranet，但此时需要为不同的Extranet用户进行设置，而同样降低不了复杂度。 因合作伙伴与客户的分布广泛，这样的Extranet建设与维护是非常昂贵的。 因此，诸多的企业常常是放弃构建Extranet，结果使得企业间的商业交易程序复杂化，商业效率被迫降低。
　　
　　Extranet VPN以其易于构建与管理为解决以上问题提供了有效的手段，其实现技术与Access VPN和Intranet VPN相同。Extranet用户对于Extranet VPN的访问权限可以通过防火墙等手段来设置与管理。
　　
　　VPN的优点
　　利用公用网络构建VPN是个新型的网络概念，它给服务提供商（ISP）和VPN用户（企业）都将带来不少的益处。
　　
　　对于服务提供商来说，在通过向企业提供VPN这种增值服务，ISP可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。事实上，VPN用户的数据流量较普通用户要大得多，而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰，而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务，资源利用率和业务量都会大大增加，将给ISP带来新的商业机会。
　　
　　而对于企业而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道，局域网互联费用可降低20～40％，而远程接入费用更可减少60～80％，这无疑是非常有吸引力的；VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理，另一方面，企业甚至可以不必建立自己的广域网和接入网维护系统，而将这一繁重的任务交由专业的ISP来完成；VPN提高了整个企业网的互联性，良好的扩展性使得企业更好、更快地适应Internet经济的发展，把握商机；另外，在VPN应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。
　　
　　
　　VPN设计原则
　　VPN的设计包含以下原则：
　　
　　1)安全性
　　
　　2)网络优化
　　
　　3)VPN管理
　　
　　安全性
　　VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。
　　
　　VPN的安全性包含以下特征：
　　
　　1)隧道与加密：隧道能实现多协议封装，增加VPN应用的灵活性，可以在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。
　　
　　2)数据验证：在不安全的网络上，特别是构建VPN的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改，保证了数据的完整性。
　　
　　3)用户验证：VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过AAA，路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。
　　
　　4)防火墙与攻击检测： 防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话链接，并产生非法访问记录。
　　
　　网络优化
　　构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。
　　
　　一般地，二层和三层的QoS具有以下功能：
　　
　　1)流分类：根据不同的用户、应用、服务器或URL地址等对数据流进行分类，然后才可以在不同的数据流上实施不同的QoS策略。流分类是实现带宽管理以及其他QoS功能的基础。ACL就是流分类的手段之一。
　　
　　2)流量整形与监管：流量整形是指根据数据流的优先级，在流量高峰时先尽量保证优先级高的数据流的接收/发送，而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送，使网络上的流量趋于稳定；流量监管则是指带宽大的路由器限制出口的发送速率，从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包，消除网络瓶颈。
　　
　　3)拥塞管理与带宽分配：根据一定的比例给不同的优先级的数据流分配不同的带宽资源，并对网络上的流量进行预测，在流量达到上限之前丢弃若干数据包，避免过多的数据包因发送失败同时进行重传而引起更严重的资源紧张，进而提高网络的总体流量。
　　
　　VPN管理
　　
　　
　　VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。
　　
　　VPN管理的目标为：
　　
　　1)减小网络风险：从传统的专线网络扩展到公用网络基础设施上，VPN面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时，还要确保公司数据资源的完整性。
　　
　　2)扩展性： VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应，包括网络硬、软件的升级、网络质量保证、安全策略维护等。
　　
　　3)经济性：保证VPN管理的扩展性的同时不应过多地增加操作和维护成本。
　　
　　4)可靠性：VPN构建于公用网之上，不同于传统的专线广域网，其受控性大大降低，故VPN可靠而稳定地运行是VPN管理必需考虑的问题。
　　
　　5)VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。

转载地址：http://www.netsp.com.cn/Article/netsafe/VPN/200506/20050601121251.html