[摘 要] VPN是企业内部网在因特网等公共网络上的延伸,通过一个私用的通道来建立一个安全的私有连接,将运程用户、公司分支机构、公司的业务伙伴等跟公司的内部网连接起来,构成一个扩展的公司企业网,通过虚拟专用网络既实现了传统专用网络所需的性能,同时相对于传统的专用网络又大大降低了网络的运营成本。对VPN技术的原理进行分析研究,可以充分发挥其优势,为企业的现代化管理与经营服务。
[关键词] 企业内部网;多协议标签交换:IP安全协议;虚拟专用网
[中图分类号] F270.7 [文献标识码] A [文章编号]1003-3890(2007)02-0078-04
一、引言
虚拟专用网(VPN)就是企业内部网在因特网等公共网络上的延伸,通过一个私用的通道来建立一个安全的私有连接,虚拟专用网通过安全的数据通道将远程用户、公司分支机构、公司的业务伙伴等跟公司的内部网连接起来,构成一个扩展的公司企业网,由因特网服务提供商提供高性能、低价格的因特网接入,这样通过虚拟专用网络既实现了传统专用网络所需的性能,同时相对于传统的专用网络又大大降低了网络的运营成本。目前,IP VPN技术主要分为三类:(1)基于多协议标签交换的MPLS VPN;(2)基于安全隧道技术为核心的IPSec VPN;(3)基于安全套接层协议的SSL VPN。三种IP VPN实现方案各有不同的优势和局限性,用户选择不同的IP VPN技术对用户网络的可扩展性、连接操作、配置语音、视频和多播应用等方面有着广泛的影响,因此用户选择IP VPN技术(MPLS,IPSec,和SSL)需要考虑他们的实际需要。
笔者对MPLS、IPSec和SSL三种IP VPN实现方案的原理进行了研究,分析了每种结构的技术优势和局限性,并概括出根据用户需要选择合适IP VPN的建议,最后提出了各种VPN有机地组合起来,以综合运用各自的优点来构建虚拟专用网。
二、基于MPLS的VPN
(一)MPLS VPN的基本原理
MPLS(Mutiprotocol Label Switching)即多协议标签交换,属于第三层交换技术,它引入基于标签的机制,把选路和转发分开,由标签来规定一个分组通过网络的路径。标签作为IP包在网络中的替代品而存在,在网络内部MPLS在数据包所经过的路径沿途通过交换标签来实现转发,当数据包要退出MPLS网络时,数据包被解开封装,继续按照IP包的路由方式到达目的地。
MPLS VPN是指利用服务提供商的MPLS核心网络构架的VPN解决方案。如图1所示。在MPLS VPN网络构架中存在三种路由设备,客户边缘路由器(CE)在客户站点提供对外路由,CE被连接到提供商MPLS网络上的边缘路由器(PE),PE存有VPN的路由表(VRF),提供商核心路由器(P)作为MPLS核心网络的传输主干。
MPLS VPN数据包的处理流程:(1)CE首先通过静态路由或BGP将用户网络中的路由信息通知PE,同时在PE之间采用BGP的Extention传送VPN-IP的信息以及相应的VPN标签,而在PE与P之间则使用IGP协议相互学习路由信息,采用LDP(标签分配协议)进行路由信息与骨干网络中标签的绑定。此时形成CE、PE以及P基本的网络拓扑以及路由信息。PE拥有了骨干网络的路由信息以及每一个VPN的路由信息。(2)当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标签。在骨干网络中,初始PE之后的P均读取骨干网络中的标签信息来决定下一跳,因此在骨干网络中只是进行简单的标签交换。(3)在达到目的端的PE之前的最后一个P路由器时,将骨干网络中的标签去掉,读取VPN标签,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址。
(二)MPLS VPN的优势和局限性
1. MPLS VPN的主要优势。(1)网络安全性比较高。MPLS通过使用路由识别器,加强了在同一个核心网络不同VPN之间的流量分离。当把VPN放置在包头时,独特的路由识别器将自动分配。MPLS VPN和传统广域网架构下的帧中继和ATM安全性一样。提供独立测试和网络服务分析的Miercom[1]已经证明了它的有效性。服务提供商能够设计这样的网络,客户路由器不了解核心网络,核心路由器也不了解客户的边界。(2)高度的可伸缩性。基于MPLS VPN可以非常容易地配置来适应公司的增长和变更,不必像其他VPN结构需要全网状或者端到端。例如,当一个新的站点被增加到VPN时,公司或者服务提供商仅仅需要建立在新站点和提供者边界之间的本地对等。并不需要在其他的现存站点重新配置CE,赢得了重要的优化成本节约。(3)对SLAs(Service-Level Agreements,服务品质协议)的支持。SLAs对网络性能和弹性有迫切需要的用户是非常重要的。基于MPLS VPN通过提供可升级的、健状的QoS机制、带宽保证和流量管理性能来支持SLAs。通过在核心网络配置流量管理,服务提供商网络管理能帮助确保实现优化流量分发和全面改进网络使用的策略。(4)流量工程。能够提供以往IP网中无法保证的流量工程业务,可最佳利用链路和节点,平衡负荷。
2. MPLS VPN的局限性。(1)无法完全保证数据的机密性和完整性。由于MPLS VPN的数据安全性并不是通过加密和验证算法来保证的,所有的数据包都以明文的方式传输,MPLS VPN是通过转发分离和路由表项分离来实现安全性的。(2)访问的灵活性不强。MPLS VPN主要是基于网络到网络(LAN-to-LAN)的,不易实现移动用户的VPN接入。
三、基于IPSec的 VPN
(一)IPSec VPN基本原理
IPSec协议是网络层协议,它是为保障IP通信安全而提供的一系列协议族。它针对数据在通过公共网络时的数据完整性、安全性和合法性等问题,设计了一整套隧道、加密和认证方案。RFC2401[2]规定了IPSec的基本结构,它利用认证头(AH)和封装安全载荷(ESP)实现数据的认证和加密。前者用来实现数据的完整性,后者用来实现数据的机密性。IPSec VPN是通过IPSec技术建立安全数据隧道的VPN解决模型,安全数据隧道本质上是提供独立封闭的数据包安全传输。IPSec VPN如果按功能划分由四大块组成:IPSec进程、因特网密钥交换(IKE)进程、安全联盟数据库(SAD)和安全策略数据(SPD)。IPSec进程本身就是用来实现整个IPSec的守护进程,用户可以通过和这个进程打交道来管理自己的安全策略,对要输出的IP数据包添加AH头或ESP头,实现适合自己需要的网络安全。IKE是IPSec最为重要的部分,在用IPSec保护一个IP包之前,必须先建立一个SA,IKE用于动态建立SA。IKE代表IPSec对SA进行协商,并对SAD数据库进行填充。RFC2409[3]所描IKE是一个混合型的协议,它建立在由Internet安全联盟和密钥管理协议(ISAKMP)定义的一个框架上。IKE使用了两个阶段的ISAKMP。第一阶段建立IKE安全联盟,第二阶段利用这个既定的安全联盟,为IPSec协商具体的安全联盟。安全联盟数据库(SAD)和安全策略数据库(SPD),它是构成IPSec的基础,用来管理安全联盟数据和安全策略信息。IPSec有两种不同的IP包封装模式:(1)传输模式,用于隧道终点是主机的场合;(2)隧道模式,用于隧道终点是网关的环境。
图2是一个典型的IPSec VPN的隧道模式示意图。我们按照数据包的流动过程进一步分析IPSec VPN的原理。IPSec VPN数据包的处理流程:一个数据包发送到发信路由器时,发信路由器按照以下流程进行:(1)发信端路由器接收到一个需要发出的数据包;(2)路由器针对目的主机的数据包,查询SPD 策略引擎,找到安全策略入口,然后查询SAD获得SA(安全联盟);(3)对没有SA的安全策略,则触发IKE进程,建立新的SA;存入通信双方网关的SAD中;(4)得到SA的详细信息后,IPSec进程根据这个SA,给数据包加上AH或ESP头(数据包加密),增加序列号字段(防止重播攻击);(5)隧道模式处理时,加上一个额外的IP头;(6)路由器发送这个安全的数据包。收信路由器按照以下处理流程进行:第一,收信端路由器收到这个包,(如果是隧道模式,剥去额外的IP头。)利用数据包的AH或ESP头调用IPSec进程;第二,IPSec从AH或ESP头摘录出SPI(安全策略索引),从被封装的IP头中获取源和目的地址及协议;第三,IPSec进程用以上的参数从SAD中取出所需的SA;如果没找到,就丢弃这个包;第四,IPSec进程将会根据AH和ESP定义的规则对该包进行处理;第五,验证与该包对应的安全策略,进而决定IPSec处理方法是否正确,安全策略是通过SA中的指针或利用选择符查询SPD获得的;第六,如果验证正确,那么解密并把这个包转发到真正的目的主机。
(二)IPSec VPN的优势和局限性
1. IPSec VPN的主要优势。(1)强大的安全性。IPSec协议固有的强大的安全特性能够使用户认证,保证数据的机密性和完整性。用户可以用数字证书或者预共享密钥进行认证,与安全策略不一致的包被丢弃。(2)支持远程办公和移动办公。IPSec VPN数据转发设备能够为数万地址上分散的用户提供服务。(3)易于配置。搭建VPN并不需要服务提供商的介入,尽管许多企业为了降低花费、加快服务入门和减轻风险,选择利用服务提供商对区域性或者全局性多个站点配置的管理服务经验。(4)减轻在集线器站点的拥挤。当对分散隧道配置时,远端VPN客户端能直接转发预定的Internet流量,替代通过IPSec隧道,并仅对相关的正在被转发到集线器的流量建立隧道。这降低了在集线器点的拥挤。
2. IPSec VPN的局限性。(1)不支持QoS(服务质量)。由于IPSec VPN是基于传统IP网络的,因此无法保证核心网络上的QoS。(2)可伸缩性差。在大部分典型的星型网络拓扑上,VPN站点之间都通过一个中心节点实现相互访问,这样每次增加一个新站点,只要在中心节点和新节点上配置即可,但是,这样会带来双倍的延时效应,降低网络性能。如果在大的或者网关的IP VPN拓扑配置下,可伸缩性受到了很大的挑战;需要充足的计划和协同来解决密钥分发、密钥管理和对等配置。
四、基于SSL的VPN
(一)SSL VPN基本原理
SSL(Secure Sockets Layer,安全套接层协议层)协议指定了一种在应用程序协议(如Http、Telenet、SMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
SSL VPN指的是以HTTPS(以SSL为基础的HTTP)为基础的VPN,而大多数计算机在出货时,都已经安装了支持HTTP和HTTPS的Web浏览器。目前,SSL已由TLS(传输层安全协议)(RFC 2246[4])整合取代,它工作在TCP之上。如同IPSec/IKE一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息加密并提供完整性检查。SSL 可利用各种公钥(RSA、DSA)算法、对称密钥算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。
SSL通信的工作原理:SSL协议的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成:(1)握手协议,这个协议负责客户机和服务器之间会话的加密参数的协商。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。(2)记录协议,这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。(3)警告协议,这个协议用于每时警示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
(二)SSL VPN的优势和局限性
1. SSL VPN的主要优势。(1)支持现存的和已经被设计的认证方法。服务器插件软件和SSL“设备”支持现存的认证方法,也就是使用数字证书认证。(2)安全性高。使用PKI对流量进行加密。用户能够提供细粒度的访问控制,限制单个用户对特殊Web页面或者其它internet资源的访问。(3)灵活性好。SSL能够被来自任何地点的任何计算机通过Web浏览器请求。(4)网络交互性好。因为安全Web传输的基本协议是一样的,来自任何地点具有WEB浏览器的SSL VPN的运行不需要对基本安全结构做任何改变,包括公司和合作伙伴的环境和通过代理服务器。[5]
2. SSL VPN的局限性。SSL协议位于套接层,与应用层有密切的联系。它只能访问那些支持SSL或者Web浏览器的资源。因此,它的应用范围主要是电子邮件系统、文件共享和Web应用程序。
五、三种IP VPN选择的建议
通过以上的分析可看出,三种IP VPN实现方案各具特长,互有长短,因此实际选择VPN时应根据自己的需要,选择适合自己的VPN方案。下面是我们对选择适合自己VPN方案的建议:
1.最适合选择MPLS VPN的用户。(1)需要SLAs;(2)和帧中继或者ATM一样的安全需要;(3)计划集合它的数据、视频和语音流量到单一的网络上,因此,必须确保延迟敏感的流量,像语音、视频或者紧急任务的数据,接收满足QoS的需要;(4)用户需要配置像多媒体会议、企业资源规划(ERP)或者客户关系管理(CRM)的应用;(5)对伸缩性有很高要求的用户。
2. 最适合选择IPSec VPN的用户。(1)需要数据加密或者用户和设备认证;(2)支持移动办公或者远程办公。
3. 最适合选择SSL VPN的用户:(1)基于支持SSL或者Web浏览器的资源;(2)支持移动用户远程访问,并提供细粗度的访问控制。
六、结束语
笔者对MPLS VPN、IPSec VPN和SSL VPN在安全性、可扩展性、QoS、可靠性和可伸缩性等几个方面进行了分析研究,得出了各种VPN各自的优势和不足。为了更好地管理和维护VPN网络的安全运行,可以将三种技术方案结合起来,充分发挥它们的优势。例如:在公司总部与分公司之间采用MPLS技术构成VPN,总部和公司合作伙伴及移动用户之间用IPSec技术构成VPN,该方案可以提供有区别的新型服务,其范围覆盖了安全、数据机密性、QoS和流量控制;公司总的部署采用IPSec技术构成VPN,针对那些支持SSL或者Web浏览器的资源采用SSL技术构成VPN,该方案可以提供安全以及细粒度的访问控制。
[参考文献]
[1]Robert J Smithers,“Engineering Report: MPLS-VPN”./application/pdf/.
[2]S. Kent, R. Atkinson,RFC 2401. https://rfc.net/rfc2401.html.
[3]D.Harkins,D.Carrel,RFC2409.https://rfc.net/rfc2409.html.
[4]T. Dierks,C. Allen,RFC 2246. https://rfc.net/rfc2246.html.
[5]Enterprise Guide for Selecting an IP VPN Architecture-
Comparing MPLS,IPSEC,and SSL. https://cnscenter.future.co.kr/resource/ MPLSvsIPSECvsSSL.pdf.
责任编辑,校对:学诗
