IP VPN技术及其应用

利用公共网络发展IP VPN，既可以保证互联企业的网络安全，还可以就近接入，节省成本，组成一个虚拟网，IP
VPN的蓬勃发展已经成为不争的事实。本文介绍针对IP VPN路由器所采用的IP VPN组网技术，其中包括VPN
隧道技术、加密技术、密钥交换和管理技术等，也介绍了IP VPN技术的应用方案和例子。
　　作者：艾泰科技是一家专业为中小型网络用户提供互联网接入、安全及管理解决方案的高科技企业。成立于2000年4月，由中国最早一批从事互联建设事业的年轻人创立，其核心团队参与建设中国近一半省份的互联网接入工程，并于2003年6月通过ISO9001:2000版质量体系认证。是国家重点扶持的高新技术企业和软件企业，中国宽带安全网关的领导厂商。
　　一、概述
　　IP VPN(虚拟专用网)是指通过共享的IP网络建立私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来，提供端到端的服务质量(QoS)保证以及安全服务。随着IP
VPN的兴起，用户和运营商都将目光转向了这种极具竞争力和市场前景的VPN。对用户而言，IP
VPN可以非常方便地替代租用线和传统的ATM/帧中继(FR)VPN来连接计算机或局域网(LAN)，同时还可以提供租用线的备份、冗余和峰值负载分担等，大大降低了成本费用;对服务提供商而言，IP
VPN则是其未来数年内扩大业务范围、保持竞争力和客户忠诚度、降低成本和增加利润的重要手段。
　　IP VPN需要通过一定的隧道机制实现，其目的是要保证VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用编址无关。另外，隧道本身能够提供一定的安全性，并且隧道机制还可以映射到IP网络的流量管理机制之中。
　　IP VPN本质上是对专用网通信的仿真，因此除了隧道协议外，其逻辑结构(如编址、拓扑、连通性、可达性和接入控制等)都与使用专和设施的传统专用网部分或全部相同，也同样考虑路由、转发、QoS、业务管理和业务提供等问题。
　　二、HiPER系列VPN安全网关的设计
　　IP VPN技术主要是通过隧道机制(Tunneling)来实现的，通常情况下VPN在链路层和网络层实现了隧道机制。在链路层支持隧道机制的有：PPTP(Point
to Point Tunneling Protocol，点到点隧道协议)、L2TP(Layer 2 Tunneling
Protocol，链路层隧道协议)、L2F(Layer 2 Forwarding，链路层转发协议)。
　　PPTP是一个第2层的协议，将PPP数据桢封装在IP数据报内通过IP网络传送。PPTP还可用于专用局域网络之间的连接。RFC草案"点对点隧道协议"对PPTP协议进行了说明和介绍。PPTP使用一个TCP连接对隧道进行维护，使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。
　　GRE(通用路由协议封装)规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX和AppleTalk包，并支持各种路由协议，如RIP2、OSPF等。
　　GRE协议提出得比较早，也比较简单，因此可以说已经比较成熟。
　　L2TP(第二层隧道协议)定义了利用包交换方式的公共网络基础设施(如IP网络、ATM和帧中继网络)封装链路层PPP(点到点协议)帧的方法。在L2TP(RFC266)中，被封装的是链路层PPP协议，封装协议由L2TP定义。承载协议首选网络层的IP协议，也可以采用链路层的ATM或帧中继协议。L2TP可以支持多种拨号用户协议，如IP、IPX和AppleTalk，还可以使用保留IP地址。
　　目前，L2TP及其相关标准(如认证与计费)已经比较成熟，并且客户和运营商都已经可以组建基于L2TP的远程接入VPN(Access
VPN)，因此国内外已经有不少运营商开展了此项业务。在实施的Access VPN中，
一般是运营商提供接入设备，客户提供网关设备(客户自己管理或委托给运营商)管理。Access
VPN的主要吸引力在于委托网络任务的方式，ISP可以通过IP骨干网把用户数据从本地呈现点(POP)转发到企业用户网络中去，大幅度地节省企业客户的费用。该服务主要面向分散的、具有一定移动性的用户，为此类用户远程接入专用网络提供经济的、可控制的并具有一定安全保证的手段。
　　IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。此外，IPSec也允许提供逐个数据流或者逐个连接的安全，所以能实现非常细致的安全控制。对于用户来说，便可以对于不同的需要定义不同级别地安全保护(即不同保护强度的IPSec通道)。IPSec为网络数据传输提供了：●
　　 数据机密性
　　 数据完整性
　　 数据来源认证
　　 抗重播
　　等安全服务，就使得数据在通过公共网络传输时，就不用担心被监视、篡改和伪造。
　　IPSec是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全保护机制来实现这些目的，而这些算法及其参数是保存在进行IPSec通信两端的SA(Security
Association，安全联盟)，当两端的SA中的设置匹配时，两端就可以进行IPSec通信了。IPSec使用的加密算法包括DES-56位、Triple-Des-168位和AES-128位;验证算法采用的也是流行的HMAC-MD5和HMAC-SHA算法。
　　IPSec所采用的封装协议是AH(Authentication Header，验证头)和ESP(Encapsulating
Security Payload，封装安全性有效负载)。
　　ESP定义于RFC2406协议。它用于确保IP数据包的机密性(对第三方不可见)、数据的完整性以及对数据源地址的验证，同时还具有抗重播的特性。具体来说，是在IP头(以及任何IP选项)之后，在要保护的数据之前，插入一个新的报头，即ESP头。受保护的数据可以是一个上层协议数据，也可以是整个IP数据包，最后添加一个ESP尾。ESP本身是一个IP协议，它的协议号为50。这也就是说，ESP保护的IP数据包也可以是另外一个ESP数据包，形成了嵌套的安全保护
　　AH定义于RFC2402中。该协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务，与ESP协议相比，AH不提供对通信数据的加密服务，同样提供对数据的验证服务，但能比ESP提供更加广的数据验证服务.
　　它对整个IP数据包的内容都进行了数据完整性验证处理。在SA中定义了用来负责数据完整性验证的验证算法(即散列算法，如AH-MD5-HMAC、AH-SHA-HMAC)来进行这项服务。
　　AH和ESP都提供了一些抗重播服务选项，但是否提供抗重播服务，则是由数据包的接收者来决定的。
　　HiPER系列VPN安全网关设计支持L2TP，PPTP和IPSec，支持和多种设备在Internet上建立VPN，隧道连接了两个远端局域网，每个局域网上的用户都可以访问另一个局域网网上的资源：对方的设备可以使用如Windows
2000 服务器， Cisco PIX, 华为Quidway
等路由器，netscreen，fortigate设备等其他支持标准的VPN网络设备。
　　除了以上介绍的隧道技术以外，作为一个网关的IP
VPN安全网关还有以下特点，如备份技术，流量控制技术，包过滤技术，网络地址转换技术，抗击打能力和网络监控和管理技术等。
　　三、使用HiPER系列VPN安全网关的安全解决方案
　　根据上面所述的路由器安全特性设计的要求，HiPER系列VPN安全网关提供了各种网络安全解决方案，以适应不同的应用需求，包括：
　　 电子政务的VPN联网
　　 和Internet的安全互联
　　 通过Internet构建
　　 电子商务应用
　　 教育系统校校通的应用
　　1.和Internet的安全互联
　　HiPER系列VPN安全网关提供了和Internet安全互联的解决方案，
　　安全网关主要是通过基于访问列表的包过滤和网络地址转换，实现以下的功能：
　　 基于接口的包过滤
　　 可以通过对访问列表中时间段参数的设置，实现对与时间相关的访问管理。
　　 网管软件可以监控网络运行情况，以便用户的管理和控制。
　　 外部主机无法直接访问内部服务器。外部主机A无法通过内部服务器的实际地址来访问它，而外部主机B则可以通过路由器设置的虚拟地址来访问内部服务器，这样就可以在一定程度上保护内部服务器。这是通过网络地址转换来实现的，若同时配置了带访问列表的网络地址转换，则还可以限制外部主机对内部服务器的服务访问类型(如HTTP、FTP等)。
　　 内部主机可以路由器的管理下访问外部Server，在屏蔽内部网络地址信息的同时，还加强了对内部主机的管理。
　　2.通过Internet构建
　　HiPER系列VPN安全网关通过Internet构建VPN的方案如。
　　通过专线方式进行远地办事机构网络互联的成本比较昂贵，且利用率低，可以通过Internet来实现网络的互联，在HIPER系列VPN路由器提供的IPSec-VPN方案中，用户不仅实现了这一目标，而且保证了网络传输的安全性。
　　HiPER系列VPN安全网关提供的方案具有以下功能：
　　 外出人员可以通过当PSTN接入企业内部网络
　　 外出人员可以通过当PSTN接入任一远程办公机构
　　 远程办公机构可以通过路由器和企业内部网络建立安全通道
　　 若干远地办事机构可以相互建立安全连接
　　HiPER所有的VPN产品都支持动态地址接入。也就是说，互联的节点无需采用固定地址，它们之间就可以建立VPN的连接。这种方式通过HiPER的DNS服务器，每次拨号时获得的地址，可以通过HiPER的DNS服务器分配一个固定的FQDN，也就是主机名+域名。因此，不管地址如何变化，外网访问它使用不变的主机名和域名。
　　3.上海一家连锁超市使用HiPER的例子
　　上海某连锁超市企业，共有300多家分店，市区和郊县都有。目前各个连锁店的接入方式因地而异，有使用上海电信ADSL的，也有使用上海电信的FTTB+LAN的，还有长城宽带等其他运营商的LAN接入。在实施VPN之前，他们使用一线通拨号或模拟线路进行数据传输，随着业务的拓展，以及管理的需要，该超市希望能够实现数据的实时传输，以及总部对各个分店的实时的视频监控。但是对于实时的数据传输，如果使用一线通拨号，一方面费用较高，另外一方面，无法满足视频监控的带宽需求。
　　根据客户的需求，我们为提供了一套基于宽带接入的VPN,视频监控一体化方案。
　　实现功能：
　　实现各个连锁分店与总部之间的VPN宽带网络连通
　　实现各个连锁分店与总部之间的POS机的数据同步传送
　　在监控中心对部分连锁超市进行图像传送，安装了监控用的摄像头
　　取得的效果
　　2 物流管理效率的提高，由于有了实时安全的网络连接，总部随时可以了解到各个分店的销售，库存情况，及时进行配送以及调整总部的存货策略。
　　2 监控监督提高了员工的积极性，因为有了实时的监控系统，员工的服务态度，以及工作积极性有了很大的提高。
　　2 客户的管理到位，由于分店与总部数据库实现了实时VPN安全连接，超市使用了CRM系统，发行了会员卡，实行了累计购物优惠制度。大大提高了顾客的忠诚度，从而提高了销售额。
　　2 销售额上升，有了VPN的安全保障之后，超市发行了统一的，基于条形码的购物卡，也极大提高了销售额。
　　2 安全保卫有保障，由于有实时的网络监控系统，以及与此相连的警报系统，不但大大提高了超市的防抢盗能力，同时也降低了保卫成本。
　　2 网络运营成本的降低，通过与运营商的合作，达到了降低成本。 ADSL、LAN等宽带接入的价格，与以前的模拟和ISDN拨号相比，省了很多成本。
　　4.浙江某区教育网使用HiPER的例子
　　作为经济发达的省份，浙江省，其中一个区或者县拥有较多的学校。一般而言，学校内部的电脑配置和网络配置都不错，但是学校与学校之间的交流就很少。以前，学校也是经常通过窄带拨号上网，宽带发展了，很多学校都有接入和互联的需求，因此接入设备和互联设备的要求就突出来了。
　　学校的联网要求如下：每个学校都申请一个10M的光纤线路或者ADSL;要实现所有学校以及教委之间的互相访问;学校要接入Internet;有的学校有WWW服务器需要对外发布;保证安全性;学校电脑数量众多，需要保证学校的各个部门都可以上网;网络具有可扩展性，将来可能使用语音(VoIP)。
　　联网的方式是每个学校配置一台HiPER VPN安全网关，既充当学校内部电脑连上Internet的网关，也作为和教委互联的VPN网关。
　　由于需要接入Internet，就需要使用NAT地址转换功能，发布WWW服务器需要使用静态地址转换;对于学校之间以及和教委之间互联，就使用VPN功能，使用L2TP或者IPSec。对于安全性的考虑可以通过路由器的防火墙功能，如果需要更高的安全性可以配备专门的防火墙设备。
　　考虑到将来有网络内部会有VOIP设备，因为VOIP设备对带宽和时延敏感，这样需要路由支持流量控制功能。采用HiPER系列宽带安全网关可以实现QoS(Quality
of Service)，因此在未来的应用根据需要可以使用HiPER的QoS控制。
　　建立IP VPN以后为学校上网和互联提供了方便，学校和教委，学校和学校之间的信息传递更加顺利了。
　　四、结论
　　作为IP VPN网络的VPN安全网关需要提供较为先进的安全技术，包括备份技术、包过滤技术、网络地址转换、各种VPN隧道技术、密钥交换技术、高级的IPSec加密技术、可以选择多种经济的连接方式(用ADSL,
FTTX+LAN，Cable Modem或ISDN)，节省大量的专线费用
，支持同时发起多个隧道，同时拨入和拨出，能提供多种网络安全解决方案，适应当前网络发展的需要。
IP QoS 技术的发展
众所周知，IP QoS 技术的发展经历了一个漫长、曲折的过程。
　　1)20世纪80年代，当时的Internet主要承载数据业务，网络采用尽力而为的服务、无QoS保障。
　　2)到了20世纪90年代初期，由于受到VoIP等实时业务的驱动，IETF组织在 IP
QoS领域做了第一次尝试，在1994年推出了基于RSVP的IntServ解决方案，这是一种端到端基于流的QoS技术。
　　3)为了寻求扩展性和简易性，IETF组织在1998年推出了基于DSCP的 DiffServ
解决方案，这是一种基于类的QoS技术，主要用于骨干网。使用 DiffServ
，在网络入口处根据服务要求对业务进行分类、流量控制，同时设置报文的DSCP域；在网络中根据实施好的QoS机制来区分每一类通信、并为之服务，
DiffServ域中的所有节点都将根据分组的DSCP字段来遵守PHB。DiffServ通过将业务定义为有限的类、可以很好地解决扩展性的问题，但由于各种业务的流量模型和业务模型的不同，各种业务叠加在一起后，其流量模型和业务模型将会是非常复杂的，使得在现实网络中DiffServ无法去真正部署，必须利用一些智能化的工具，这就是
MPLS DS-TE 。
　　业界同时提出了一种将IntServ与DiffServ结合的思路：即在用户网络仍使用RSVP协议、在运营商的DiffServ网络边界将IntServ的业务类型映射为DiffServ的业务类型，这样解决了端到端的QoS，同时也具有很好的扩展性。但这种方法并没有解决DiffServ的部署问题，同时也存在IntServ的信令复杂、管理等问题，该方法仍处于一种理论的研究阶段。
　　4)MPLS 网络本身的QoS技术可以采用两种思路，首先可以采用IntServ方案，提供基于流的QoS，但由于IntServ存在的问题，这条路在一开始就没有走通。
　　MPLS QoS 的另一种思路是采用DiffServ方案。
　　MPLS与DiffServ都具有很好的可扩展性、处理过程也类似―――在网络边缘聚合、在网络核心处理；如果将DS字节的设置融入MPLS的标记分配过程中，MPLS的标记将具备区分分组服务质量的能力。MPLS与DiffServ的结合称为MPLS
CoS 。
　　5)MPLS TE 是一种间接改善网络QoS的技术。传统路由协议主要是保障网络的连通性和可达性，通常选取不是非常灵敏的参数作为SPF计算根据，导致网络负载不均衡、路由动荡等缺陷；
MPLS TE 利用了LSP支持显示路由的能力，在网络资源有限的前提下，将网络流量合理引导，达到实际网络流量负载与物理网络资源相匹配，间接改善了网络的服务质量。
　　MPLS TE 通过对IGP协议进行扩展，使其能够收集网络流量信息形成流量工程数据库，每个LER根据自己的TED、结合各类策略实施在线约束路由计算，得到显示路由，最后显示路由通过信令协议CR-LDP或RSVP扩展来部署。
　　根据用户需求(显示路由、带宽等)及网络资源的情况，MPLS
TE能够自动通过CR-LDP信令(或RSVP扩展)建立一条跨越骨干网的从LER到LER的隧道，同时可完成隧道的维护、统计、属性修改(如带宽)及备份等功能；LER与LER设备之间，可以认为通过一个隧道直连；
MPLS TE隧道可广泛应用于VPN、各类接入及互联业务中。
　　通过MPLS TE ，可为用户创建具有带宽保证的隧道，但如果在隧道中同时传送EF、AF及BE业务时，业务之间会相互干扰，也就是说
MPLS TE存在一个严重的问题-MPLS TE隧道不能够感知业务类型。
　　6)2002 年业界提出了一种MPLS DiffServ-Aware TE的解决方案。
　　Diff Serv 提供了基于类的QoS，具有良好的可扩展性，但缺乏有效的端到端部署的机制；MPLSTE通过有效地管理带宽资源间接改善网络服务质量，但其带宽管理以及
MPLS TE 隧道都无法做到基于业务类别(时延)，如果EF、AF、BE业务都承载在一个 MPLS TE
隧道中EF和AF业务将受到严重的影响。 MPLS DiffServ-Aware TE 在原来 MPLS TE
的基础上，增加了基于类别的资源管理，例如可根据带宽及时延的不同将接口资源划分为EF、AF、BE三类，通过IGP协议对每个类别的资源使用情况进行收集、分别建立TED，通过信令协议携带类别建立LSP。
　　MPLS DS-TE 充分利用了 Diff Serv
的可扩展性以及MPLS的显示路由能力，是解决骨干网QoS的有效技术，网络资源可根据用户的需求得到最优的利用；与DS-TE
相关的RFC草案已提交IETF工作组进行审核，尚未形成最终标准。