王志輝

(湖南中醫(yī)藥大學(xué)信息科學(xué)與工程學(xué)院 湖南 長(zhǎng)沙 410208)

VPN 技術(shù)是通過(guò)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)虛擬隧道，方便身份合法的遠(yuǎn)程用戶安全地訪問(wèn)內(nèi)網(wǎng)資源。部分VPN技術(shù)支持加密算法和身份驗(yàn)證，可以大大提高數(shù)據(jù)傳輸?shù)陌踩裕壳俺Ｒ?jiàn)的虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）協(xié)議有通用路由封裝協(xié)議（Generic Routing Encapsulation，GRE）、點(diǎn)對(duì)點(diǎn)隧道協(xié)議（Point-to-Point Tunneling Protocol，PPTP）、二層隧道協(xié)議（Layer 2 Tunneling Protocol，L2TP）、互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security，IPSec）、安全套接協(xié)議（Secure Sockets Layer，SSL）、多協(xié)議標(biāo)簽交換（Multi-Protocol Label Switching，MPLS）、基于光網(wǎng)絡(luò)的光虛擬專用網(wǎng)（Optical Virtual Private Network，OVPN）技術(shù)等[1]。本文重點(diǎn)對(duì)GRE、L2TP、IPSec、MPLS這4種VPN技術(shù)開(kāi)展研究。

1 VPN關(guān)鍵技術(shù)

VPN是使用標(biāo)準(zhǔn)的協(xié)議在公用網(wǎng)絡(luò)的鏈路和設(shè)備上進(jìn)行數(shù)據(jù)傳輸，根據(jù)協(xié)議將數(shù)據(jù)包重新封裝進(jìn)行傳輸。各隧道協(xié)議在開(kāi)放系統(tǒng)互連參考模型（Open System Interconnection Reference Model，OSI/RM）的層次位置如表1所示。

表1 各VPN協(xié)議在OSI模型的位置

OSI/RM模型中數(shù)據(jù)鏈路層對(duì)應(yīng)實(shí)體為交換機(jī)，網(wǎng)絡(luò)層對(duì)應(yīng)實(shí)體為路由器，大部分VPN協(xié)議集中在此兩層，通過(guò)對(duì)硬件網(wǎng)絡(luò)設(shè)備進(jìn)行配置可以大大提高通信安全性。應(yīng)用層對(duì)應(yīng)的SSL 協(xié)議是Netscape 公司率先采用的網(wǎng)絡(luò)安全協(xié)議，采用公開(kāi)密鑰技術(shù)，支持各種類型的網(wǎng)絡(luò)，在傳輸通信協(xié)議（TCP/IP）上提供基本的安全服務(wù)協(xié)議[2]。

1.1 VPN相關(guān)協(xié)議

1.1.1 通用路由封裝協(xié)議GRE

GRE 協(xié)議是封裝某些網(wǎng)絡(luò)層協(xié)議報(bào)文后生成新的GRE報(bào)文，由原數(shù)據(jù)包根據(jù)所到達(dá)目的地址需要用GRE 協(xié)議封裝后在公用網(wǎng)絡(luò)進(jìn)行路由轉(zhuǎn)發(fā)。GRE 支持多種協(xié)議和多播、具備多點(diǎn)隧道功能，可搭配服務(wù)質(zhì)量保障技術(shù)、擴(kuò)大路由跳數(shù)，但不具備加密功能，而且采用GRE協(xié)議會(huì)消耗過(guò)多CPU等硬件資源，從而導(dǎo)致使用GRE 協(xié)議的網(wǎng)絡(luò)設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的降低。

1.1.2 第二層隧道協(xié)議L2TP

L2TP 協(xié)議是由微軟、思科等多家公司一起提出的，是一種對(duì)PPP報(bào)文進(jìn)行隧道傳輸技術(shù)，允許數(shù)據(jù)鏈路層端點(diǎn)和PPP會(huì)話點(diǎn)駐留在通過(guò)分組交換網(wǎng)絡(luò)連接的不同設(shè)備上，從而擴(kuò)使PPP 報(bào)文能在Internet 上傳輸。L2TP 使用控制消息和數(shù)據(jù)消息。在安全性考慮上，L2TP 僅定義了控制消息的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密[1]。

1.1.3 互聯(lián)網(wǎng)安全協(xié)議IPSec

IPSec協(xié)議族主要包括驗(yàn)證頭部協(xié)議（Authentication Header，AH）、封裝安全載荷協(xié)議（Encapsulating Security Payload，ESP）和因特網(wǎng)密鑰交換協(xié)議（Internet Key Exchange，IKE）。AH不提供加密服務(wù)，而ESP提供加密服務(wù)。目前，IPSec VPN 技術(shù)采用基于傳統(tǒng)Linux協(xié)議棧方式進(jìn)行數(shù)據(jù)捕獲，IPSec安全性良好但是服務(wù)效率不高[3]。IPSec協(xié)議的傳輸模式用來(lái)直接加密主機(jī)之間網(wǎng)絡(luò)通信，提供終端到終端的傳輸安全性；隧道模式用來(lái)在兩個(gè)子網(wǎng)之間建造“虛擬隧道”實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的安全通信，提供了網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸安全性。

1.1.4 多協(xié)議標(biāo)簽交換MPLS

MPLS協(xié)議是對(duì)IP數(shù)據(jù)包加上標(biāo)簽從而實(shí)現(xiàn)快速轉(zhuǎn)發(fā)技術(shù)。MPLS 的體系結(jié)構(gòu)由負(fù)責(zé)建立路由條目和標(biāo)簽分配轉(zhuǎn)發(fā)的控制平面和負(fù)責(zé)對(duì)接收到的分組進(jìn)行轉(zhuǎn)發(fā)的轉(zhuǎn)發(fā)平面構(gòu)成[4]。在安全性方面，運(yùn)營(yíng)商可隱藏MPLS 骨干網(wǎng)絡(luò)拓?fù)鋱D，還可以用其他安全協(xié)議如IPSec封裝數(shù)據(jù)進(jìn)行傳輸。

1.2 加密技術(shù)

在VPN網(wǎng)絡(luò)中現(xiàn)代加密技術(shù)多為密鑰加密技術(shù)，可分為對(duì)稱加密和非對(duì)稱加密兩類。對(duì)稱加密所使用的加解密密鑰是同一對(duì)，如數(shù)據(jù)加密算法DES、三重加密算法3DES、國(guó)際數(shù)據(jù)加密算法IDEA、高級(jí)加密標(biāo)準(zhǔn)AES 等。非對(duì)稱加密是需要兩個(gè)密鑰：一個(gè)是公開(kāi)密鑰，用于加密數(shù)據(jù)或解密被私鑰加密的數(shù)據(jù)；另一個(gè)是私有密鑰，用于解密被公鑰加密的數(shù)據(jù)或加密，成對(duì)使用，如RSA 算法、數(shù)字簽名算法DSA、橢圓曲線密碼學(xué)算法ECC等。

1.3 身份認(rèn)證技術(shù)

實(shí)體身份認(rèn)證方式主要有口令認(rèn)證、智能卡認(rèn)證以及生物特征認(rèn)證。基于密碼學(xué)的身份認(rèn)證主要有PAP認(rèn)證、SPAP認(rèn)證、CHAP認(rèn)證、MSCHAP認(rèn)證、MSCHAP-V2認(rèn)證、EAP認(rèn)證、PEAP認(rèn)證等。

PAP認(rèn)證是利用PPP基礎(chǔ)上通過(guò)兩次握手進(jìn)行認(rèn)證，PAP使用明文傳輸，安全性很低。SPAP相對(duì)PAP而言可對(duì)傳輸密碼進(jìn)行簡(jiǎn)單加密，比PAP 安全性高。CHAP挑戰(zhàn)握手協(xié)議，是基于三次握手發(fā)送摘要信息來(lái)對(duì)對(duì)方進(jìn)行身份驗(yàn)證。CHAP在認(rèn)證前，雙方要協(xié)商共同的密鑰，在認(rèn)證中由一方發(fā)送隨機(jī)數(shù)給另一方計(jì)算摘要信息，并要求把摘要信息傳輸回來(lái)與自身的計(jì)算的摘要信息驗(yàn)證。MSCHAP與CHAP不同的是，使用MD4散列標(biāo)準(zhǔn)，提供更為高級(jí)的功能。MSCHAP-V2與之前V1版本改變?cè)谟谝箅p向驗(yàn)證，即雙方都要驗(yàn)證對(duì)方身份。EAP 允許使用的身份驗(yàn)證方法不受限制，如令牌卡、智能卡、證書(shū)等。PEAP首先需要證書(shū)服務(wù)器發(fā)放證書(shū)給VPN服務(wù)端，再由服務(wù)端發(fā)送機(jī)器證書(shū)給客戶端，客戶端使用證書(shū)建立受保護(hù)隧道進(jìn)行通信。

2 不同類型的VPN網(wǎng)絡(luò)搭建設(shè)計(jì)與測(cè)試

以我國(guó)某大型公司為例，在全國(guó)省會(huì)城市設(shè)有辦事處分支機(jī)構(gòu)，總共有3 000 多名員工分布在全國(guó)各地。通過(guò)VPN虛擬專用網(wǎng)的搭建，實(shí)現(xiàn)各地員工遠(yuǎn)程訪問(wèn)公司內(nèi)網(wǎng)資源而不受地理位置限制。

2.1 GRE VPN設(shè)計(jì)

GRE VPN 提供簡(jiǎn)潔高效的網(wǎng)絡(luò)傳輸，但不提供任何安全措施。利用GRE 隧道和動(dòng)態(tài)路由協(xié)議，模擬總公司與分公司跨內(nèi)網(wǎng)互相訪問(wèn)或員工訪問(wèn)公司內(nèi)網(wǎng)，實(shí)現(xiàn)客戶端PC3 與PC4 的互訪。在GRE 隧道建立成功后，使用GRE 隧道進(jìn)行對(duì)數(shù)據(jù)發(fā)封裝，然后進(jìn)行傳輸，對(duì)端接收到封裝的數(shù)據(jù)后會(huì)根據(jù)此數(shù)據(jù)包的協(xié)議號(hào)為47 進(jìn)而判別是GRE 協(xié)議封裝的數(shù)據(jù)，根據(jù)之前本文所寫的GRE 報(bào)頭格式查看此報(bào)頭的前5 位，尋找是否需要校驗(yàn)和是否有分片。無(wú)則拆報(bào)頭進(jìn)行轉(zhuǎn)發(fā)。

核心配置命令如下：

2.2 L2TP VPN設(shè)計(jì)

L2TP VPN 適用于用戶對(duì)網(wǎng)絡(luò)安全性要求不高的場(chǎng)景，采用靜態(tài)路由配置，只為用戶提供簡(jiǎn)潔高效的傳輸服務(wù)和簡(jiǎn)單的身份認(rèn)證措施，但不提供傳輸數(shù)據(jù)加密。在分公司與總公司出口利用L2TP VPN隧道技術(shù)，實(shí)現(xiàn)出口防火墻FW1 與出口防火墻FW2 之間的信息互通。

首先由一方發(fā)起連接，共同協(xié)商L2TP 隧道，等對(duì)方同意后開(kāi)始發(fā)起會(huì)話進(jìn)入通信狀態(tài)。LAC會(huì)分配一個(gè)賬號(hào)密碼給用戶，用戶根據(jù)此賬號(hào)密碼可連入對(duì)方的內(nèi)網(wǎng)。

核心配置命令如下：

2.3 IPSec VPN設(shè)計(jì)

IPsec VPN提供安全可靠傳輸，測(cè)試模擬分公司利用IPSec 隧道訪問(wèn)總公司，F(xiàn)W1 為分公司出口網(wǎng)關(guān)，F(xiàn)W2 為總公司出口網(wǎng)關(guān)，實(shí)現(xiàn)總公司互通分公司。在通信前，先設(shè)定ACL感興趣流，這樣防火墻會(huì)允許此興趣流設(shè)定的IP 地址的數(shù)據(jù)包通過(guò)防火墻。此后雙方通過(guò)IKE 協(xié)商建立安全聯(lián)盟，隨后建立IPSec 隧道，但在通信前需配置防火墻，防止有效信息被防火墻過(guò)濾或者攔截[5]。

核心配置命令如下：

2.4 MPLS VPN設(shè)計(jì)

在眾多VPN技術(shù)中，MPLS VPN有傳輸效率高、成本低、靈活易擴(kuò)展、安全可靠、保證服務(wù)質(zhì)量等諸多優(yōu)勢(shì)[6]。公司A 和公司B 分別通過(guò)公網(wǎng)訪問(wèn)在不同地點(diǎn)的部門訪問(wèn)內(nèi)網(wǎng)，保證兩個(gè)公司不能互相訪問(wèn)，采用了MPLS VPN進(jìn)行網(wǎng)絡(luò)搭建。在通信之前，先由MPLS對(duì)網(wǎng)絡(luò)中的路由器進(jìn)行標(biāo)記，標(biāo)記完后當(dāng)有數(shù)據(jù)包經(jīng)過(guò)標(biāo)記的路由器時(shí)會(huì)根據(jù)數(shù)據(jù)包的目的地址進(jìn)行分組，打上標(biāo)簽，然后轉(zhuǎn)發(fā)。

核心配置命令如下：

3 各VPN技術(shù)性能對(duì)比

每種VPN都有自身適應(yīng)的環(huán)境，也有自身的不足。本文使用了華為公司的ENSP 模擬器，實(shí)現(xiàn)了GRE VPN、L2TP VPN隧道、IPSec VPN和MPLS VPN，主要是對(duì)GRE VPN、L2TP VPN 隧道、IPSec VPN 和MPLS VPN原理的實(shí)現(xiàn)，各VPN性能對(duì)比如表2所示。

表2 各VPN技術(shù)性能對(duì)比表

4 結(jié)語(yǔ)

隨著互聯(lián)網(wǎng)的普及與科技進(jìn)步加快，國(guó)家大部分地區(qū)已經(jīng)聯(lián)網(wǎng)，這使遠(yuǎn)程辦公成為可能，但用戶急劇增多同時(shí)使信息在網(wǎng)絡(luò)中傳輸?shù)陌踩源蟠蠼档?。?duì)于VPN 技術(shù)復(fù)雜且多種多樣，除了本文中介紹的C/S 模式的VPN 技術(shù)之外，還有采用簡(jiǎn)單快捷B/S 模式SSL VPN 等。市場(chǎng)需求千差萬(wàn)別，需要根據(jù)自身需求選擇合適類型的VPN進(jìn)行遠(yuǎn)程接入和資源訪問(wèn)。