第1章虛擬專用網(wǎng)概述
　　1.1 虛擬專用網(wǎng)的產(chǎn)生背景
　　隨著互聯(lián)網(wǎng)的飛速發(fā)展、網(wǎng)絡的普及，人們需要隨時、隨地以任意的接入方式聯(lián)入企業(yè)網(wǎng)、政府網(wǎng)，并進行移動辦公。另外，隨著企業(yè)的發(fā)展壯大，企業(yè)分支機構越來越多，合作伙伴越來越密集，企業(yè)與各分支機構、合作伙伴之間也需要隨時通信以保持業(yè)務往來。這都涉及遠程接入與網(wǎng)絡互聯(lián)問題。但是，在遠程接入、網(wǎng)絡互聯(lián)中，存在著身份假冒、信息竄改、信息泄露等安全威脅。
　　在傳統(tǒng)的廣域網(wǎng)互聯(lián)中，通常的做法是租用PSTN、X.25、FR或DDN等線路，為每個分支機構、合作伙伴建立*立的專用網(wǎng)絡（簡稱專網(wǎng)），組成企業(yè)或企業(yè)間的專用網(wǎng)絡，專用網(wǎng)絡的主要優(yōu)點是安全性、帶寬及服務質量（QoS）都能得到保證；缺點是大量的*立專用網(wǎng)絡不僅存在著重復投資、資源利用率低等問題，而且增加了管理負擔，成本高。但隨著互聯(lián)網(wǎng)的發(fā)展，特別是寬帶IP技術的產(chǎn)生和發(fā)展，Internet（互聯(lián)網(wǎng)）的服務質量和帶寬已經(jīng)有了明顯的改善，可靠性和可用性也大為增強，Internet已經(jīng)提供了經(jīng)濟、便利、快速、可靠和靈活的WAN通信，可是，互聯(lián)網(wǎng)仍不能提供與專用網(wǎng)相比的安全性。VPN技術就是在這樣的一個背景下提出來的，即依托于公共網(wǎng)絡（簡稱公網(wǎng)）實現(xiàn)專用網(wǎng)絡的功能，它兼?zhèn)淞藘烧叩膬?yōu)點，既能運行于互聯(lián)網(wǎng)或公共IP網(wǎng)絡之上，又能提供足夠的安全性。
　　1.2 虛擬專用網(wǎng)的概念
　　1.2.1 虛擬專用網(wǎng)概念演進
　　虛擬專用網(wǎng)概念由專網(wǎng)、最初的VPN概念，演進到今天的IP-VPN概念，共經(jīng)歷了專用網(wǎng)絡、基于全數(shù)字接入的虛擬專用網(wǎng)和現(xiàn)代的虛擬專用網(wǎng)等三個階段。
　　1）專用網(wǎng)絡
　　**個階段是專用網(wǎng)絡。對于要求永久連接的情況，LAN通過租用的專用線路（簡稱專線，如DDN等）互聯(lián)而組成專網(wǎng)，遠程用戶通過PSTN直接撥入企業(yè)的訪問服務器。顯然，其可以獲得比較穩(wěn)定的連接性能，企業(yè)網(wǎng)的安全性也容易得到保障，因為必須使用專用的設備，并能接觸到線路，才能獲取到租用線路上的數(shù)據(jù)。但是，從用戶的角度來說，它的通信費用高得驚人，企業(yè)需要自己去管理這樣一個遠程網(wǎng)絡。從服務提供商的角度，由于用戶*占的原因，即使線路沒有數(shù)據(jù)傳輸，或流量不大，其他用戶也無法利用，所以，線路的利用率不高。
　　2）基于全數(shù)字接入的虛擬專用網(wǎng)
　　第二個階段是基于全數(shù)字接入的虛擬專用網(wǎng)。上述原因促使數(shù)據(jù)通信行業(yè)人員和服務提供商設計并實現(xiàn)大量的統(tǒng)計復用方案，利用擁有的基礎設施，為用戶提供仿真的租用線路。這些仿真的租用線路稱為虛電路（Virtual Circuit，VC），虛電路可以是始終可用的永久虛電路（PVC），也可以是根據(jù)需要而建立的交換虛電路（SVC）。這里用戶將不同的LAN或節(jié)點通過如幀中繼（Frame Relay）或ATM提供的虛電路連接在一起，服務提供商利用虛擬環(huán)路技術將其他不相關的用戶隔離開。這些方案為用戶提供的服務幾乎與上述租用專線相同，但由于服務提供商可以從大量的客戶中獲得統(tǒng)計性效益，因此，這些服務的價格較專網(wǎng)便宜。
　　這兩個階段稱為永久性VPN。
　　3）現(xiàn)代的虛擬專用網(wǎng)
　　第三個階段是現(xiàn)代的虛擬專用網(wǎng)，即基于IP的虛擬專用網(wǎng)，稱為IP-VPN。在這個階段，VPN主要有以下三個主要特點。
　　一是基于公共IP網(wǎng)絡。
　　二是提供一種將公共IP網(wǎng)絡“化公為私”的組網(wǎng)手段，主要優(yōu)勢是組網(wǎng)經(jīng)濟。
　　三是保證在公網(wǎng)環(huán)境下所組建的網(wǎng)絡具有一定的“私有性、專用性”，即安全性。從提供組網(wǎng)服務的角度看，VPN技術有兩種實現(xiàn)方式：一是利用服務提供商的IP網(wǎng)絡基礎設施提供VPN服務；二是利用公共網(wǎng)絡資源構建VPN。特別是互聯(lián)網(wǎng)、3G/4G/5G網(wǎng)絡的發(fā)展，使得人們隨時隨地進行快速組網(wǎng)成為可能。
　　從網(wǎng)絡安全的角度來看，由于VPN技術，特別是基于IPsec安全協(xié)議的IP-VPN技術是一種包含加密、認證、訪問控制、網(wǎng)絡審計等多種安全機制的較為全面的網(wǎng)絡安全技術，能夠提供網(wǎng)絡安全整體解決方案，而且隨著互聯(lián)網(wǎng)的發(fā)展，其安全優(yōu)勢越來越突出，為移動安全接入、安全互聯(lián)等提供了重要支撐，其也會不斷得到完善和發(fā)展。這也是出現(xiàn)“安全VPN”概念的原因，目的是同沒有采用密碼技術和訪問控制技術等網(wǎng)絡安全技術的某些服務提供商提供的VPN相區(qū)別。
　　1.2.2 VPN定義
　　人們對VPN定義的理解存在著不同的角度。
　　1）從組網(wǎng)的角度來看
　　RFC 2547 將VPN定義為：將連接在公共網(wǎng)絡設施上的站點集合，通過應用一些策略建立了許多由這些站點組成的子集，并且只有當兩個站點至少屬于某個子集時，它們之間才有可能通過公共網(wǎng)絡進行IP互聯(lián)，每個這樣的子集就是一個VPN。
　　該定義反映的是一種現(xiàn)象，強調(diào)的是站點之間的組網(wǎng)，它將VPN定義為兩個或多個站點的集合，比較通俗、形象、客觀。
　　2）從安全傳輸?shù)慕嵌葋砜?br /> 　　有學者將VPN定義為：利用不安全的公用互聯(lián)網(wǎng)作為信息傳輸媒介，通過附加的安全隧道、用戶認證等技術實現(xiàn)與專用網(wǎng)絡相類似的安全性能，從而實現(xiàn)對重要信息的安全傳輸。
　　該定義關注的是載體、技術和目標。
　　上述兩個定義從不同的觀點出發(fā)，對VPN進行了解釋，基本反映了VPN“基于公共IP網(wǎng)絡、組網(wǎng)、安全性”特點。但是，闡述都比較片面。VPN的概念不僅要反映VPN基本特征，還必須反映VPN的內(nèi)涵，即“虛擬”“專用”“網(wǎng)絡”“安全”以及構建安全、*占、自治的虛擬網(wǎng)絡。
　　針對上述定義存在的問題，國內(nèi)最具有代表性和確切的定義是由陳性元教授提出的。他將VPN定義為：利用公共IP網(wǎng)絡設施，將屬于同一安全域的站點，通過隧道技術等手段，并采用加密、認證、訪問控制等綜合安全機制，構建安全、*占、自治的虛擬網(wǎng)絡。該定義*先反映了VPN是一個虛擬的網(wǎng)絡，還是一個安全的，給用戶的感覺是*自占有，且具有傳統(tǒng)網(wǎng)絡功能的網(wǎng)絡；其次強調(diào)了這個虛擬網(wǎng)絡是構建在公共IP網(wǎng)絡之上的，構建方法是將同屬于一個安全域的站點，通過隧道技術互聯(lián)在一起。該網(wǎng)絡的安全性是由綜合的安全機制來保證的，如加密機制、認證機制、訪問控制機制、安全審計機制等。
　　1.3 虛擬專用網(wǎng)的基本特征
　　陳性元提出的IP-VPN的定義不僅反映了VPN的主要特征，更強調(diào)了安全性和組網(wǎng)的功能。IP-VPN的定義揭示了IP-VPN的四個本質特征。
　�。�1）基于公共的IP網(wǎng)絡環(huán)境：在VPN前冠以IP的根本原因。由于像互聯(lián)網(wǎng)這樣的IP網(wǎng)絡環(huán)境建構在諸多的TCP/IP標準協(xié)議之上，有著工業(yè)界*廣泛的支持，所以，利用VPN技術組網(wǎng)便利、經(jīng)濟、可靠、可用，同時組網(wǎng)靈活，具有良好的適應性和可擴展性。
　�。�2）安全性：VPN“專用”的*主要內(nèi)涵之一。由于其構建在公共IP網(wǎng)絡之上，所以要采用網(wǎng)絡安全技術，來保證同一“安全域”內(nèi)網(wǎng)絡信息的機密性、完整性、可鑒別性和可用性，這樣才能實現(xiàn)IP-VPN真正意義上的“專用、私有”。這也是VPN的關鍵所在，所以說安全性是IP-VPN的生命。
　�。�3）*占性：用戶使用VPN時的一種感覺，其實用戶是與其他用戶或其他單位共享該公共網(wǎng)絡設施的，*占性也是“專用、私有”的內(nèi)涵之一。
　�。�4）自治性：虛擬專用網(wǎng)盡管是公共網(wǎng)絡虛擬構建的，但同傳統(tǒng)的專用網(wǎng)絡一樣，它是一個自治網(wǎng)絡系統(tǒng)，必須具有網(wǎng)絡的一切功能，具備網(wǎng)絡的可用性、可管理性，所以VPN應該是自成一體的*立網(wǎng)絡系統(tǒng)，具有協(xié)議*立性，即具有多協(xié)議支持的能力，可以使用非IP協(xié)議（如IPX等）；具有地址*立性，即可以自行定義滿足自己需要的地址空間，并且允許不同的VPN之間地址空間重疊、VPN內(nèi)的地址空間和公共網(wǎng)絡的地址空間重疊。因此，安全性、*占性及自治性，使得構建在公共IP網(wǎng)絡環(huán)境上的VPN能夠真正做到“虛擬、專用”。
　　1.4 虛擬專用網(wǎng)的工作原理
　　本節(jié)以傳統(tǒng)的VPN拓撲結構來對VPN基本工作原理進行講解，如圖1.1 所示。IP-VPN設備保護LAN1、LAN2，LAN1 和LAN2 之間的安全互聯(lián)依賴于兩個網(wǎng)絡邊界的IP-VPN構建的安全隧道。IP-VPN設備包括的基本功能有訪問控制、報文認證、報文加解密、IP隧道協(xié)議封裝/解封裝等。VPN基本工作過程主要包括發(fā)送、接收等。
　　圖1.1 VPN基本原理示意圖
　　1）發(fā)送過程
　　LAN1 中的IP數(shù)據(jù)包到達IP-VPN設備時：
　　**步為訪問控制，即安全策略的判斷。若允許外出，則直接按照路由進行轉發(fā)；若為拒絕，則釋放IP數(shù)據(jù)包；若為VPN安全策略，則查找安全關聯(lián)（SA），獲取安全服務參數(shù)，對IP數(shù)據(jù)包進行相應的處理。
　　第二步為IP封裝，依據(jù)安全隧道協(xié)議對IP數(shù)據(jù)報文進行封裝，封裝后的數(shù)據(jù)報文的IP地址為安全隧道兩端的地址，即IP-VPN設備A、B的外部IP地址。對新封裝的數(shù)據(jù)報文，加上認證摘要長度，重新計算數(shù)據(jù)報文長度、校驗和，并填充到數(shù)據(jù)報文*外部的IP頭中。
　　第三步為報文認證，按照安全隧道協(xié)議的認證要求，對封裝后的數(shù)據(jù)報文進行完整性認證處理，并將認證摘要附在報文末位。
　　第四步為報文加密，按照安全隧道協(xié)議的加密要求，對數(shù)據(jù)報文進行加密，用加密后的密文替換報文中相應的明文。
　　將安全處理后IP數(shù)據(jù)包交付給公共IP網(wǎng)絡，在IP安全隧道的保護下傳遞給LAN2 的邊界VPN網(wǎng)關。
　　2）接收過程
　　接收過程與發(fā)送過程相對應。接收方收到數(shù)據(jù)包后，對數(shù)據(jù)包進行裝配還原，即碎包組包，還原為大的數(shù)據(jù)包。
　　**步為報文解密。按照安全隧道協(xié)議要求，查找安全關聯(lián)，對數(shù)據(jù)報文進行解密處理，并替換密文部分。
　　第二步為報文認證。對數(shù)據(jù)報文進行完整性認證，判斷數(shù)據(jù)報文是否在傳輸過程中被竄改，若完整性不一致，則丟棄數(shù)據(jù)包。
　　第三步為IP解封裝。對數(shù)據(jù)報文進行解封裝，去掉安全隧道協(xié)議部分、IP封裝部分，還原出LAN1 到LAN2 的原始數(shù)據(jù)包。
　　第四步為訪問控制。對數(shù)據(jù)包進行訪問控制處理，判斷數(shù)據(jù)包的安全策略是否為VPN安全策略，若不是，則丟棄數(shù)據(jù)包。
　　被允許的將數(shù)據(jù)包交由路由處理，轉發(fā)到LAN2 中。
　　1.5 虛擬專用網(wǎng)的分類
　　依據(jù)不同的標準和觀點，VPN有不同的分類。本節(jié)重點從利于理解VPN的原則，對VPN分類進行了較為系統(tǒng)的總結。大致可以分為按VPN的構建者分類、按VPN隧道的邊界分類、按VPN應用模式分類以及按安全隧道協(xié)議分類等。
　　1）按VPN的構建者分類
　　按VPN的構建者分類，VPN可以分為由服務提供商提供的VPN和由客戶自行構建的VPN兩種類型。
　�。�1）由服務提供商提供的VPN。
　　服務提供商（SP）提供專門的VPN，也就是說VPN的隧道構建和管理由服務提供商負責，優(yōu)點是客戶的工作變得簡單，缺點是不利于客戶的網(wǎng)絡安全，服務提供商非常清楚客戶的VPN，也了解通過隧道傳輸?shù)膬?nèi)容，因為隧道是由服務提供商的設備封裝的，所以安全要求較高的VPN不適合由服務提供商提供。
　�。�2）由客戶自行構建的VPN。
　　服務提供商只需提供簡單的IP服務，VPN的構建、管理由客戶負責，所以經(jīng)由提供商的IP骨干網(wǎng)利用VPN傳輸信息時，所傳輸?shù)男畔⑹欠�務提供商不知道的，對于VPN內(nèi)部的網(wǎng)絡路由等信息，服務提供商也是不清楚的。因此這種組網(wǎng)VPN的方式從安全的角度說，是易于被人們所接受的，因為安全完全掌握在自己的手中，當然，客戶就多了VPN構建、管理的管理工作。
　　2）按VPN隧道的邊界分類
　　按VPN隧道的邊界（即隧道的端點的位置）分類，VPN可以分為基于PE的VPN和基于CE的VPN。