虛擬專用網(wǎng)—VPN技術(shù)

摘 要：通過對VPN的定義及應(yīng)用的了解，介紹了實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)（包括隧道技術(shù)，加解密認(rèn)證技術(shù)，密鑰管理技術(shù)，訪問控制技術(shù)）以及實(shí)現(xiàn)VPN的主要安全協(xié)議，PPTP/ L2TP協(xié)議、IPSec協(xié)議，為VPN組網(wǎng)提供了理論指導(dǎo)。最后通過構(gòu)建中小企業(yè)的虛擬專用網(wǎng)，實(shí)現(xiàn)局域網(wǎng)之間的互連互通。

關(guān)鍵詞：隧道，網(wǎng)絡(luò)性能，IKE ，IPSec

一、VPN的未來發(fā)展趨勢

VPN的長期發(fā)展趨勢一定是全功能或者多功能的網(wǎng)關(guān)。

假設(shè)用戶需要路由上網(wǎng)、VPN連接、防火墻、VOIP、IDS等等功能，如果每一項(xiàng)功能都需要一個(gè)專用設(shè)備的話，那么可能就要安裝3～4臺(tái)不同廠家的設(shè)備。作為網(wǎng)管而言，要熟悉幾種不同風(fēng)格的產(chǎn)品，一旦出現(xiàn)問題，還要分頭找不同的廠商來解決。要是一家產(chǎn)品各項(xiàng)功能都能夠集成進(jìn)去，按照模塊方式來配置，管理工作也就簡化了很多。這種需求代表了以后網(wǎng)關(guān)的發(fā)展趨勢，即要求硬件網(wǎng)關(guān)多功能一體化。

近期的主要發(fā)展趨勢，首先是防火墻和VPN合二為一。實(shí)際上，很多防火墻的產(chǎn)品，都宣稱支持VPN。而很多的VPN產(chǎn)品，也都聲稱有防火墻功能。VPN和防火墻都是網(wǎng)關(guān)級的產(chǎn)品，但是其功能本質(zhì)上還是有區(qū)別的，VPN要解決節(jié)點(diǎn)之間的通訊問題，本質(zhì)上屬于通訊設(shè)備，而防火墻解決的主要是安全性問題。無論是防火墻還是VPN網(wǎng)關(guān)，一般都安裝于網(wǎng)絡(luò)出口處，一個(gè)出口處安裝兩個(gè)設(shè)備，本身就有一個(gè)配合問題，雖然各VPN廠商都已解決了兼容性問題，但是如果兩者合二為一，問題就簡化了很多。

VPN和防火墻的結(jié)合，為用戶提供了良好的綜合功能網(wǎng)關(guān)。例如，國內(nèi)主流的防火墻廠家天融信公司就選擇華盾VPN作為其戰(zhàn)略合作伙伴，從產(chǎn)品深層次進(jìn)行了整合，可以無縫捆綁，高效運(yùn)營。

當(dāng)然，有利有弊。如果一個(gè)設(shè)備的功能太復(fù)雜，那么各項(xiàng)功能將會(huì)相互爭奪網(wǎng)關(guān)的計(jì)算資源（內(nèi)存、CPU等）。同樣，太復(fù)雜的配置對于用戶也不是好事情。這在家電行業(yè)早有先例，曾經(jīng)有廠商研發(fā)了28個(gè)功能的全功能錄像機(jī)，說明書就足有1斤重?？墒牵袌龇磻?yīng)很差，因?yàn)槿藗儼l(fā)現(xiàn)還是單一功能的錄像機(jī)簡單好用。

在VPN發(fā)展初期，人們只是把VPN作為一種簡單的聯(lián)網(wǎng)方案，并不作過多的要求。當(dāng)VPN發(fā)展到一定階段以后，VPN網(wǎng)關(guān)就越來越接近路由器，傳統(tǒng)路由器的很多網(wǎng)絡(luò)特征，諸如動(dòng)態(tài)IP地址適應(yīng)、OSPF協(xié)議等，都被逐步移植到VPN網(wǎng)關(guān)上面，以使VPN網(wǎng)關(guān)更好地融入到原有的網(wǎng)絡(luò)體系之中。另外，對于性能指標(biāo)的追求是沒有止境的。VPN產(chǎn)品往高端發(fā)展，性能指標(biāo)要求越來越高。重要的性能指標(biāo)主要是以下幾個(gè)方面：

——網(wǎng)絡(luò)性能。在明文的條件下，能夠達(dá)到千兆交換的速度。

——加密速度。國內(nèi)主流的加密卡速度基本都在百兆以下。但是隨著發(fā)展，國產(chǎn)的加密芯片的加密速度也會(huì)逐步提升。另外，國外的加密芯片和板卡，能夠提供更高的加密處理性能。

——并發(fā)連接數(shù)。這是來自防火墻的性能指標(biāo)概念，同樣適用于VPN設(shè)備。主流的VPN設(shè)備，出于基本的安全考慮，至少都帶有一個(gè)基于狀態(tài)跟蹤的防火墻。因此，能夠處理的并發(fā)連接數(shù)，也是一項(xiàng)重要的性能指標(biāo)。

就高端產(chǎn)品而言，比較理想的指標(biāo)可以歸結(jié)為：千兆線性網(wǎng)絡(luò)速度、 300M以上的加密速度、50萬條以上的并發(fā)連接數(shù)。能夠滿足以上條件的網(wǎng)關(guān)，才能夠滿足高端的應(yīng)用需要。

二、IPsecVPN的優(yōu)點(diǎn)

IKE使IPsecVPN配置簡單

簡單的講IKE是一種安全機(jī)制，它提供端與端之間的動(dòng)態(tài)認(rèn)證。IKE為IPsec提供了自動(dòng)協(xié)商交換密鑰、建立SA的服務(wù)，這能夠簡化IPsec的使用和管理，大大簡化IPsec的配置和維護(hù)工作。IKE不是在網(wǎng)絡(luò)上直接傳輸密鑰，而是通過一系列數(shù)據(jù)的交換，最終計(jì)算出雙方共享的密鑰，有了IKE，IPsec很多參數(shù)（如：密鑰）都可以自動(dòng)建立，降低了手工配置的復(fù)雜度。

IPsecVPN對應(yīng)用程序的高可擴(kuò)展性：

所有使用IP協(xié)議進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用系統(tǒng)和服務(wù)都可以使用IPsec，由于IPSec工作在OSI的第3層，低于應(yīng)用程序直接涉及的層級，所以對于應(yīng)用程序來講，利用IPSec VPN所建立起來的隧道是完全透明的，無需修改既有的應(yīng)用程序，并且，現(xiàn)有應(yīng)用程序的安全解決方法也不會(huì)受到任何影響。且當(dāng)有新的加密算法產(chǎn)生時(shí)可以直接移植進(jìn)IPsec協(xié)議棧。

IpsecVPN加密靈活：

對數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個(gè)數(shù)據(jù)流為單位，這不僅靈活而且有助于進(jìn)一步提高IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡(luò)攻擊。

IPsec VPN將網(wǎng)絡(luò)擴(kuò)展：

Ipsec vpn完成使二個(gè)專用的網(wǎng)絡(luò)組合成一個(gè)虛擬網(wǎng)絡(luò)的無縫連接。將虛擬網(wǎng)絡(luò)擴(kuò)展成允許遠(yuǎn)程訪問用戶（也被稱為road warriors）成為可信任網(wǎng)絡(luò)的一部分.

三、IPsec VPN的缺點(diǎn)

IPSec在客戶機(jī)/服務(wù)器模式下實(shí)現(xiàn)有一些問題，在實(shí)際應(yīng)用中，需要公鑰來完成。IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動(dòng)態(tài)分配IP地址時(shí)不太適合于IPSec。除了TCP/IP協(xié)議外，IPSec不支持其他協(xié)議。除了包過濾之外，它沒有指定其他訪問控制方法?？赡芩淖畲笕秉c(diǎn)是微軟公司對IPSec的支持不夠。 IPSec在部署安全網(wǎng)關(guān)時(shí)要考慮拓?fù)渑判?，一旦添加新設(shè)備就要改變網(wǎng)絡(luò)結(jié)構(gòu)。

IPsec vpn須在防火墻上開放不同的通訊埠（21、25、80、110、443等）來作為服務(wù)器和客戶端之間的數(shù)據(jù)傳輸通道。在防火墻上，每開啟一個(gè)通訊埠，就多一個(gè)黑客攻擊機(jī)會(huì)。

參考文獻(xiàn)：

[1]秦柯，Cisco IPSec VPN實(shí)戰(zhàn)指南，人民郵電出版社2012

[2]王春海、宋濤 VPN網(wǎng)絡(luò)組建案例實(shí)錄，科學(xué)出版社2011

[3]袁國忠，IPSec VPN設(shè)計(jì)，人民郵電出版社，2012