引言
在過去幾十年中,世界發(fā)生了很大的變化。現(xiàn)在很多公司除了處理本地或地區(qū)性事務(wù)外,還要考慮全球市場和物流的問題。很多公司在全國甚至全球都設(shè)有分支機(jī)構(gòu),而這些公司都需要做的一件事情就是:找到能夠與分公司進(jìn)行快速、安全和可靠通信的方式,而不管這些分公司設(shè)在何處。
直到最近為止,要想實(shí)現(xiàn)這個(gè)目的,還只能通過利用租用線路的方式來維護(hù)廣域網(wǎng)(WAN)。租用線路的范圍從ISDN(集成服務(wù)數(shù)字網(wǎng)絡(luò),速度為128Kbps)到OC3(光學(xué)載波第3級(jí),速度為155Mbps)光纖,這為公司提供了一種可以將其專用網(wǎng)絡(luò)擴(kuò)展到臨近地理位置之外的方法。與互聯(lián)網(wǎng)等公用網(wǎng)絡(luò)相比,WAN在可靠性、性能和安全性方面都具有明顯的優(yōu)勢。但要維護(hù)一個(gè) WAN,尤其是通過租用線路來維護(hù)時(shí),費(fèi)用是非常昂貴的,而且成本通常還會(huì)隨著分公司之間距離的增加而增加。
虛擬專用網(wǎng)(VPN)工作原理
隨著互聯(lián)網(wǎng)的興起,企業(yè)開始尋求利用互聯(lián)網(wǎng)來擴(kuò)展他們的網(wǎng)絡(luò)。首先出現(xiàn)的是Intranet(企業(yè)內(nèi)部互聯(lián)網(wǎng)),這是一種專供公司員工使用而設(shè)計(jì)的站點(diǎn),受密碼保護(hù)。現(xiàn)在,很多公司都搭建了自己的VPN(虛擬專用網(wǎng)),以滿足遠(yuǎn)程員工和分公司的需求。
思科系統(tǒng)公司供圖
一個(gè)典型的VPN可能包括公司總部的主LAN、遠(yuǎn)程分公司或分支機(jī)構(gòu)的其他LAN以及從網(wǎng)絡(luò)外部連接進(jìn)來的個(gè)人用戶。
從原理上來說,VPN就是利用公用網(wǎng)絡(luò)(通常是互聯(lián)網(wǎng))把遠(yuǎn)程站點(diǎn)或用戶連接到一起的專用網(wǎng)絡(luò)。與使用實(shí)際的專用連接(例如租用線路)不同,VPN使用的是通過互聯(lián)網(wǎng)路由的“虛擬”連接,把公司的專用網(wǎng)絡(luò)同遠(yuǎn)程站點(diǎn)或員工連接到一起。在本文中,您將了解到VPN的基礎(chǔ)知識(shí),以及基本的VPN組件、技術(shù)、隧道技術(shù)和安全性。
VPN由什么組成?一個(gè)設(shè)計(jì)良好的VPN可以給公司帶來很多好處。例如,它可以:
擴(kuò)展地理連接
改進(jìn)安全性
降低運(yùn)營成本(同傳統(tǒng)WAN相比)
降低遠(yuǎn)程用戶的傳輸時(shí)間和傳送成本
提高生產(chǎn)效率
簡化網(wǎng)絡(luò)拓?fù)?nbsp;
可與全球網(wǎng)絡(luò)連接
提供遠(yuǎn)距離工作支持
提供寬帶網(wǎng)絡(luò)兼容性
提供更快的ROI(投資回報(bào))——同傳統(tǒng)WAN相比
一個(gè)設(shè)計(jì)良好的VPN需要什么功能?它應(yīng)當(dāng)集成:
安全性
可靠性
可伸縮性
網(wǎng)絡(luò)管理
策略管理
VPN有三種類型。在下面幾部分中,我們將詳細(xì)地介紹這些類型。
遠(yuǎn)程訪問VPN
常見的VPN有兩種。遠(yuǎn)程訪問也稱為虛擬專用撥號(hào)網(wǎng)絡(luò)(VPDN),它是一種用戶到LAN的連接,通常用于員工需要從各種遠(yuǎn)程位置連接到專用網(wǎng)絡(luò)的公司。一般來說,公司都會(huì)把搭建大型遠(yuǎn)程訪問VPN的工作外包給企業(yè)服務(wù)提供商(ESP)。ESP首先建立一個(gè)網(wǎng)絡(luò)訪問服務(wù)器(NAS),并向遠(yuǎn)程用戶提供用于他們計(jì)算機(jī)的桌面客戶端軟件。然后,遠(yuǎn)程工作者就可以通過撥打免費(fèi)號(hào)碼連接NAS,并使用他們的VPN客戶端軟件訪問公司網(wǎng)絡(luò)。
典型的需要使用遠(yuǎn)程訪問VPN的公司是擁有數(shù)百個(gè)銷售人員的大型公司。遠(yuǎn)程訪問VPN能夠通過第三方服務(wù)提供商在公司專用網(wǎng)絡(luò)和遠(yuǎn)程用戶之間實(shí)現(xiàn)加密的安全連接。
利用專用設(shè)備和大規(guī)模加密,公司可以通過公用網(wǎng)絡(luò)(如互聯(lián)網(wǎng))連接到多個(gè)固定的站點(diǎn)。站點(diǎn)到站點(diǎn)式VPN有以下兩種類型:
基于Intranet——如果公司有一個(gè)或多個(gè)遠(yuǎn)程位置想要加入到一個(gè)專用網(wǎng)絡(luò)中,他們可以建立一個(gè)Intranet VPN,以便將LAN連接到另一個(gè)LAN。
基于Extranet——如果公司同其他公司(例如合作伙伴、供應(yīng)商或客戶)的關(guān)系緊密,他們可以建立一個(gè)Extranet VPN,以便將LAN連接到另一個(gè)LAN,同時(shí)讓所有公司都能在一個(gè)共享環(huán)境中工作。
模擬演示:每個(gè)局域網(wǎng)都是一個(gè)孤島
假設(shè)您生活在廣袤海洋中的一個(gè)島上。您周圍還有很多其他的島嶼,有一些離得非常近,有一些則離得比較遠(yuǎn)。若要去其他島,通常的方式應(yīng)該是從您的島乘船前往要去的地方。當(dāng)然,乘船也就意味著您幾乎沒有什么隱私——無論您做什么別人都能看到。
現(xiàn)在我們把每個(gè)島看成一個(gè)專用局域網(wǎng),而海洋就是互聯(lián)網(wǎng)。乘船旅行就像通過互聯(lián)網(wǎng)連接到Web服務(wù)器或其他設(shè)備。您無法控制互聯(lián)網(wǎng)的線路和路由器,就像您無法控制船上的其他人一樣。顯然,如果您要使用公用資源連接兩個(gè)專用網(wǎng)絡(luò)的話,這種方式是無法保障安全性的。
繼續(xù)我們的模擬演示。假設(shè)您所在的島現(xiàn)在決定建造一座通往另一個(gè)島嶼的橋,這樣人們可以更方便、更安全地直接來往于兩個(gè)島之間。即使您要連接的兩個(gè)島離得非常近,建造和維護(hù)一座橋的成本還是很高的,但您又特別想找到一種安全可靠的方式前往其他島,所以您不顧一切地建了這座橋。您所在的島可能還想同另外一個(gè)離得稍遠(yuǎn)的島建立連接,但最終發(fā)現(xiàn)無法承擔(dān)那么高的成本。
這同使用租用線路的情況非常類似。橋(租用線路)獨(dú)立于海洋(互聯(lián)網(wǎng)),但它讓您能夠連接各個(gè)島嶼(局域網(wǎng))。很多公司選擇這種路由方式,是因?yàn)樗鼈冃枰踩煽康剡B接自己的遠(yuǎn)程分公司。不過,如果分公司離得非常遠(yuǎn),那么成本會(huì)高得難以承受,這和建造跨度很大的橋的情況一樣。
那么,VPN在這中間又有什么作用呢?還是使用我們的模擬演示。我們可以給兩個(gè)島上的每位居民一艘小型潛水艇。假設(shè)您的潛水艇具有一些驚人的特性:
它很快。
您到哪里都可以方便地帶著它。
它可以讓其他任何船只或潛水艇都看不到您。
它很可靠。
只要買了第一艘潛水艇,以后再買其他潛水艇時(shí)只需很少的錢。
在我們的模擬演示中,擁有潛水艇的每個(gè)人就
相當(dāng)于有權(quán)訪問公司專用網(wǎng)絡(luò)的遠(yuǎn)程用戶。
盡管這兩個(gè)島上的居民還是和其他人一樣在海上航行,但他們卻可以隨時(shí)穿梭往返,而不會(huì)存在隱私和安全性的問題。這就是VPN的工作原理。利用互聯(lián)網(wǎng)作為媒介連接到專用LAN,網(wǎng)絡(luò)的每個(gè)遠(yuǎn)程成員都可以通過一種安全可靠的方式進(jìn)行通信。與租用線路相比,VPN還可以更方便地?cái)U(kuò)大范圍,從而適應(yīng)更多用戶和不同位置的需求。事實(shí)上,可伸縮性正是VPN相對于典型租用線路的主要優(yōu)勢。與成本隨著距離的增加而增加的租用線路不同,地理位置的遠(yuǎn)近對VPN的影響是微乎其微的。
VPN安全性:防火墻一個(gè)設(shè)計(jì)良好的VPN可以使用多種方法來保護(hù)連接和數(shù)據(jù)的安全性:
防火墻
加密技術(shù)
IPSec
AAA服務(wù)器 在接下來的幾部分中,我們將分別介紹這些方法。首先從防火墻說起。
防火墻在專用網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間提供了一道強(qiáng)大的屏障。您可以設(shè)置防火墻來限制開放端口的數(shù)量以及允許通過防火墻的數(shù)據(jù)包類型和協(xié)議。有些VPN產(chǎn)品,例如思科公司的1700路由器,可以通過運(yùn)行相應(yīng)的Cisco IOS進(jìn)行升級(jí),從而具備防火墻功能。在安裝VPN之前,您應(yīng)該先部署好一個(gè)功能強(qiáng)大的防火墻,但防火墻也可以用于終止VPN會(huì)話。
VPN安全性:加密技術(shù)加密是指一臺(tái)計(jì)算機(jī)把要發(fā)送給另一臺(tái)計(jì)算機(jī)的所有數(shù)據(jù)編碼為只有后者才能解碼的格式的過程。大多數(shù)計(jì)算機(jī)加密系統(tǒng)都屬于以下兩種類型之一:
openvpn基于openssl來實(shí)現(xiàn)安全,但是卻不是傳統(tǒng)意義上的sslvpn,它只是一個(gè)普通的vpn,工作在ip層而不是傳輸層。vpn的含義著重點(diǎn)有兩層意思,一個(gè)是v,也就是虛擬,另一個(gè)是p,也就是專用。虛擬就是說不用物理布線,僅僅在邏輯上實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò),虛擬網(wǎng)絡(luò)之所以能實(shí)現(xiàn)并建立起來,靠的是分層模型的優(yōu)勢,分層模型直接將網(wǎng)絡(luò)按照邏輯意義縱向分成了7個(gè)層次(或者tcp/ip的5個(gè)層次),每一層都僅僅承載數(shù)據(jù)而不管數(shù)據(jù)的格式和內(nèi)容,上下層次間僅僅通過接口和服務(wù)來通信,理論上任何層次的數(shù)據(jù)都可以被承載在其它的任何層次或者它當(dāng)前的層次上,于是就出現(xiàn)了很多XX over YY的網(wǎng)絡(luò)模型,比較典型的比如ppp over ethernet等,over模型按照數(shù)據(jù)層次可以分為三類,第一類是上層數(shù)據(jù)承載于下層,這實(shí)際上就是我們使用的普通的tcp/ip模型,第二類是同層承載,比如上面說的pppoe,這一類構(gòu)建方式主要是為了在一個(gè)以傳輸占主導(dǎo)的層次上增加一個(gè)非傳輸意義的邏輯或者說實(shí)現(xiàn)一個(gè)隧道,比如pppoe中,ethernet主要用于局域網(wǎng)傳輸,而且性價(jià)比十分合理,但是卻缺乏認(rèn)證機(jī)制,但是ppp協(xié)議的認(rèn)證功能雖然很好,但是卻缺乏多點(diǎn)通信和尋址能力,作為傳輸協(xié)議意義不大,于是就使用ethernet進(jìn)行傳輸,使用ppp進(jìn)行認(rèn)證,另外一個(gè)同層承載的例子是IPSec的隧道模式,它將一個(gè)ip數(shù)據(jù)報(bào)封裝于另一個(gè)ip數(shù)據(jù)報(bào)中,這樣實(shí)際上也就實(shí)現(xiàn)了一般意義上的“虛擬局域網(wǎng)絡(luò)”(注意不是vlan),因?yàn)樵跀?shù)據(jù)報(bào)到達(dá)最終目的地之前,參與路由的始終是外層的ip頭,內(nèi)層的ip頭連同真實(shí)數(shù)據(jù)都被外層ip當(dāng)成了data,因此不參與路由,所以從隧道的出發(fā)路由器到結(jié)束路由器,不管中間經(jīng)過的是局域網(wǎng),廣域網(wǎng)還是別的什么,內(nèi)層的ip數(shù)據(jù)報(bào)一直“以為”自己在出發(fā)路由器的那個(gè)局域網(wǎng)內(nèi),因此就實(shí)現(xiàn)了一個(gè)虛擬網(wǎng)絡(luò),實(shí)現(xiàn)了vpn中的v,那么p呢,IPSec將v和p做到了一起,也就是說在實(shí)現(xiàn)ip over ip的過程中實(shí)現(xiàn)了安全,這就是熟知的ah協(xié)議和esp協(xié)議,實(shí)現(xiàn)了安全才能保證專用,否則別人都可以進(jìn)入你的虛擬網(wǎng)絡(luò)了,作為vpn來說,IPsec就到此為止,但是IPSec的用處不光如此,IPSec主要是保證ip數(shù)據(jù)報(bào)的安全(因?yàn)閕p層不提供任何安全保護(hù),ipv6就不一樣了,完全不需要IPSec),vpn只是它的隧道模式的一個(gè)應(yīng)用,除了隧道模式,IPSec還有傳輸模式,不建立隧道,只是將認(rèn)證或者加密的功能置于ip數(shù)據(jù)報(bào)中,當(dāng)然也就是不需要ip over ip了。眾所周知IPSec的隧道模式實(shí)現(xiàn)的vpn有一個(gè)缺陷,那就是很難穿越nat,因?yàn)閚at要修改ip頭,一旦ip頭被修改了,那么最終的ah或者esp的認(rèn)證加密的校驗(yàn)結(jié)果就會(huì)出錯(cuò),因此就不能隨意在nat的網(wǎng)絡(luò)環(huán)境中使用IPSec實(shí)現(xiàn)的vpn,當(dāng)然不涉及ip頭認(rèn)證的IPSec協(xié)議還是可以用的。難道vpn就IPSec這一根稻草了嗎?認(rèn)證和加密的邏輯十分復(fù)雜和多樣,不適合在ip層做,ip層做好快速路由和連接不同子網(wǎng)就夠了,如果將分層模型的每個(gè)層次僅僅當(dāng)作一種交通工具來看待的話,問題就容易解決了,交通工具或者叫運(yùn)輸工具可以相互運(yùn)輸,大卡車可以運(yùn)小卡車,也可以拆了被小卡車運(yùn),大卡車還可以運(yùn)輸別的大卡車,它們都可以被放入集裝箱被輪船運(yùn)輸,分層模型就是這樣的,我們可以讓應(yīng)用層或者表示層或者傳輸層來承載ip數(shù)據(jù)報(bào),這也就是over模型的第三類,即上層承載下層,很多時(shí)候越往上層邏輯越復(fù)雜,實(shí)現(xiàn)越靈活,如果想要在低層次實(shí)現(xiàn)高度復(fù)雜的邏輯,不妨試試這種模型,這個(gè)意義上看,IPSec實(shí)現(xiàn)的vpn最后肯定不如ip over ssl好,因?yàn)閿U(kuò)充IPSec很難,畢竟它在協(xié)議棧中的位置不適合做大幅修改,但是ssl的擴(kuò)展性卻很好,它本身就在協(xié)議棧的頂端,即使影響也就影響應(yīng)用層,比如迫使http轉(zhuǎn)換到https。如果說低層就不該有復(fù)雜多樣且多變的邏輯這種設(shè)計(jì)思想是對的,那么IPsec就不該出現(xiàn),IPv6除了擴(kuò)充地址空間外,新增的功能凈加重了ip層的負(fù)擔(dān),IPv6的復(fù)雜設(shè)計(jì)凈是商業(yè)公司為了推自己的接口或者設(shè)備而使出的伎倆,不過也說不準(zhǔn),留給歷史評述吧。
