第1章虛擬專用網(wǎng)概述
　　1.1 虛擬專用網(wǎng)的產(chǎn)生背景
　　隨著互聯(lián)網(wǎng)的飛速發(fā)展、網(wǎng)絡(luò)的普及，人們需要隨時、隨地以任意的接入方式聯(lián)入企業(yè)網(wǎng)、政府網(wǎng)，并進(jìn)行移動辦公。另外，隨著企業(yè)的發(fā)展壯大，企業(yè)分支機構(gòu)越來越多，合作伙伴越來越密集，企業(yè)與各分支機構(gòu)、合作伙伴之間也需要隨時通信以保持業(yè)務(wù)往來。這都涉及遠(yuǎn)程接入與網(wǎng)絡(luò)互聯(lián)問題。但是，在遠(yuǎn)程接入、網(wǎng)絡(luò)互聯(lián)中，存在著身份假冒、信息竄改、信息泄露等安全威脅。
　　在傳統(tǒng)的廣域網(wǎng)互聯(lián)中，通常的做法是租用PSTN、X.25、FR或DDN等線路，為每個分支機構(gòu)、合作伙伴建立*立的專用網(wǎng)絡(luò)（簡稱專網(wǎng)），組成企業(yè)或企業(yè)間的專用網(wǎng)絡(luò)，專用網(wǎng)絡(luò)的主要優(yōu)點是安全性、帶寬及服務(wù)質(zhì)量（QoS）都能得到保證；缺點是大量的*立專用網(wǎng)絡(luò)不僅存在著重復(fù)投資、資源利用率低等問題，而且增加了管理負(fù)擔(dān)，成本高。但隨著互聯(lián)網(wǎng)的發(fā)展，特別是寬帶IP技術(shù)的產(chǎn)生和發(fā)展，Internet（互聯(lián)網(wǎng)）的服務(wù)質(zhì)量和帶寬已經(jīng)有了明顯的改善，可靠性和可用性也大為增強，Internet已經(jīng)提供了經(jīng)濟、便利、快速、可靠和靈活的WAN通信，可是，互聯(lián)網(wǎng)仍不能提供與專用網(wǎng)相比的安全性。VPN技術(shù)就是在這樣的一個背景下提出來的，即依托于公共網(wǎng)絡(luò)（簡稱公網(wǎng)）實現(xiàn)專用網(wǎng)絡(luò)的功能，它兼?zhèn)淞藘烧叩膬?yōu)點，既能運行于互聯(lián)網(wǎng)或公共IP網(wǎng)絡(luò)之上，又能提供足夠的安全性。
　　1.2 虛擬專用網(wǎng)的概念
　　1.2.1 虛擬專用網(wǎng)概念演進(jìn)
　　虛擬專用網(wǎng)概念由專網(wǎng)、最初的VPN概念，演進(jìn)到今天的IP-VPN概念，共經(jīng)歷了專用網(wǎng)絡(luò)、基于全數(shù)字接入的虛擬專用網(wǎng)和現(xiàn)代的虛擬專用網(wǎng)等三個階段。
　　1）專用網(wǎng)絡(luò)
　　**個階段是專用網(wǎng)絡(luò)。對于要求永久連接的情況，LAN通過租用的專用線路（簡稱專線，如DDN等）互聯(lián)而組成專網(wǎng)，遠(yuǎn)程用戶通過PSTN直接撥入企業(yè)的訪問服務(wù)器。顯然，其可以獲得比較穩(wěn)定的連接性能，企業(yè)網(wǎng)的安全性也容易得到保障，因為必須使用專用的設(shè)備，并能接觸到線路，才能獲取到租用線路上的數(shù)據(jù)。但是，從用戶的角度來說，它的通信費用高得驚人，企業(yè)需要自己去管理這樣一個遠(yuǎn)程網(wǎng)絡(luò)。從服務(wù)提供商的角度，由于用戶*占的原因，即使線路沒有數(shù)據(jù)傳輸，或流量不大，其他用戶也無法利用，所以，線路的利用率不高。
　　2）基于全數(shù)字接入的虛擬專用網(wǎng)
　　第二個階段是基于全數(shù)字接入的虛擬專用網(wǎng)。上述原因促使數(shù)據(jù)通信行業(yè)人員和服務(wù)提供商設(shè)計并實現(xiàn)大量的統(tǒng)計復(fù)用方案，利用擁有的基礎(chǔ)設(shè)施，為用戶提供仿真的租用線路。這些仿真的租用線路稱為虛電路（Virtual Circuit，VC），虛電路可以是始終可用的永久虛電路（PVC），也可以是根據(jù)需要而建立的交換虛電路（SVC）。這里用戶將不同的LAN或節(jié)點通過如幀中繼（Frame Relay）或ATM提供的虛電路連接在一起，服務(wù)提供商利用虛擬環(huán)路技術(shù)將其他不相關(guān)的用戶隔離開。這些方案為用戶提供的服務(wù)幾乎與上述租用專線相同，但由于服務(wù)提供商可以從大量的客戶中獲得統(tǒng)計性效益，因此，這些服務(wù)的價格較專網(wǎng)便宜。
　　這兩個階段稱為永久性VPN。
　　3）現(xiàn)代的虛擬專用網(wǎng)
　　第三個階段是現(xiàn)代的虛擬專用網(wǎng)，即基于IP的虛擬專用網(wǎng)，稱為IP-VPN。在這個階段，VPN主要有以下三個主要特點。
　　一是基于公共IP網(wǎng)絡(luò)。
　　二是提供一種將公共IP網(wǎng)絡(luò)“化公為私”的組網(wǎng)手段，主要優(yōu)勢是組網(wǎng)經(jīng)濟。
　　三是保證在公網(wǎng)環(huán)境下所組建的網(wǎng)絡(luò)具有一定的“私有性、專用性”，即安全性。從提供組網(wǎng)服務(wù)的角度看，VPN技術(shù)有兩種實現(xiàn)方式：一是利用服務(wù)提供商的IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供VPN服務(wù)；二是利用公共網(wǎng)絡(luò)資源構(gòu)建VPN。特別是互聯(lián)網(wǎng)、3G/4G/5G網(wǎng)絡(luò)的發(fā)展，使得人們隨時隨地進(jìn)行快速組網(wǎng)成為可能。
　　從網(wǎng)絡(luò)安全的角度來看，由于VPN技術(shù)，特別是基于IPsec安全協(xié)議的IP-VPN技術(shù)是一種包含加密、認(rèn)證、訪問控制、網(wǎng)絡(luò)審計等多種安全機制的較為全面的網(wǎng)絡(luò)安全技術(shù)，能夠提供網(wǎng)絡(luò)安全整體解決方案，而且隨著互聯(lián)網(wǎng)的發(fā)展，其安全優(yōu)勢越來越突出，為移動安全接入、安全互聯(lián)等提供了重要支撐，其也會不斷得到完善和發(fā)展。這也是出現(xiàn)“安全VPN”概念的原因，目的是同沒有采用密碼技術(shù)和訪問控制技術(shù)等網(wǎng)絡(luò)安全技術(shù)的某些服務(wù)提供商提供的VPN相區(qū)別。
　　1.2.2 VPN定義
　　人們對VPN定義的理解存在著不同的角度。
　　1）從組網(wǎng)的角度來看
　　RFC 2547 將VPN定義為：將連接在公共網(wǎng)絡(luò)設(shè)施上的站點集合，通過應(yīng)用一些策略建立了許多由這些站點組成的子集，并且只有當(dāng)兩個站點至少屬于某個子集時，它們之間才有可能通過公共網(wǎng)絡(luò)進(jìn)行IP互聯(lián)，每個這樣的子集就是一個VPN。
　　該定義反映的是一種現(xiàn)象，強調(diào)的是站點之間的組網(wǎng)，它將VPN定義為兩個或多個站點的集合，比較通俗、形象、客觀。
　　2）從安全傳輸?shù)慕嵌葋砜?br /> 　　有學(xué)者將VPN定義為：利用不安全的公用互聯(lián)網(wǎng)作為信息傳輸媒介，通過附加的安全隧道、用戶認(rèn)證等技術(shù)實現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實現(xiàn)對重要信息的安全傳輸。
　　該定義關(guān)注的是載體、技術(shù)和目標(biāo)。
　　上述兩個定義從不同的觀點出發(fā)，對VPN進(jìn)行了解釋，基本反映了VPN“基于公共IP網(wǎng)絡(luò)、組網(wǎng)、安全性”特點。但是，闡述都比較片面。VPN的概念不僅要反映VPN基本特征，還必須反映VPN的內(nèi)涵，即“虛擬”“專用”“網(wǎng)絡(luò)”“安全”以及構(gòu)建安全、*占、自治的虛擬網(wǎng)絡(luò)。
　　針對上述定義存在的問題，國內(nèi)最具有代表性和確切的定義是由陳性元教授提出的。他將VPN定義為：利用公共IP網(wǎng)絡(luò)設(shè)施，將屬于同一安全域的站點，通過隧道技術(shù)等手段，并采用加密、認(rèn)證、訪問控制等綜合安全機制，構(gòu)建安全、*占、自治的虛擬網(wǎng)絡(luò)。該定義*先反映了VPN是一個虛擬的網(wǎng)絡(luò)，還是一個安全的，給用戶的感覺是*自占有，且具有傳統(tǒng)網(wǎng)絡(luò)功能的網(wǎng)絡(luò)；其次強調(diào)了這個虛擬網(wǎng)絡(luò)是構(gòu)建在公共IP網(wǎng)絡(luò)之上的，構(gòu)建方法是將同屬于一個安全域的站點，通過隧道技術(shù)互聯(lián)在一起。該網(wǎng)絡(luò)的安全性是由綜合的安全機制來保證的，如加密機制、認(rèn)證機制、訪問控制機制、安全審計機制等。
　　1.3 虛擬專用網(wǎng)的基本特征
　　陳性元提出的IP-VPN的定義不僅反映了VPN的主要特征，更強調(diào)了安全性和組網(wǎng)的功能。IP-VPN的定義揭示了IP-VPN的四個本質(zhì)特征。
　　（1）基于公共的IP網(wǎng)絡(luò)環(huán)境：在VPN前冠以IP的根本原因。由于像互聯(lián)網(wǎng)這樣的IP網(wǎng)絡(luò)環(huán)境建構(gòu)在諸多的TCP/IP標(biāo)準(zhǔn)協(xié)議之上，有著工業(yè)界*廣泛的支持，所以，利用VPN技術(shù)組網(wǎng)便利、經(jīng)濟、可靠、可用，同時組網(wǎng)靈活，具有良好的適應(yīng)性和可擴展性。
　�。�2）安全性：VPN“專用”的*主要內(nèi)涵之一。由于其構(gòu)建在公共IP網(wǎng)絡(luò)之上，所以要采用網(wǎng)絡(luò)安全技術(shù)，來保證同一“安全域”內(nèi)網(wǎng)絡(luò)信息的機密性、完整性、可鑒別性和可用性，這樣才能實現(xiàn)IP-VPN真正意義上的“專用、私有”。這也是VPN的關(guān)鍵所在，所以說安全性是IP-VPN的生命。
　　（3）*占性：用戶使用VPN時的一種感覺，其實用戶是與其他用戶或其他單位共享該公共網(wǎng)絡(luò)設(shè)施的，*占性也是“專用、私有”的內(nèi)涵之一。
　　（4）自治性：虛擬專用網(wǎng)盡管是公共網(wǎng)絡(luò)虛擬構(gòu)建的，但同傳統(tǒng)的專用網(wǎng)絡(luò)一樣，它是一個自治網(wǎng)絡(luò)系統(tǒng)，必須具有網(wǎng)絡(luò)的一切功能，具備網(wǎng)絡(luò)的可用性、可管理性，所以VPN應(yīng)該是自成一體的*立網(wǎng)絡(luò)系統(tǒng)，具有協(xié)議*立性，即具有多協(xié)議支持的能力，可以使用非IP協(xié)議（如IPX等）；具有地址*立性，即可以自行定義滿足自己需要的地址空間，并且允許不同的VPN之間地址空間重疊、VPN內(nèi)的地址空間和公共網(wǎng)絡(luò)的地址空間重疊。因此，安全性、*占性及自治性，使得構(gòu)建在公共IP網(wǎng)絡(luò)環(huán)境上的VPN能夠真正做到“虛擬、專用”。
　　1.4 虛擬專用網(wǎng)的工作原理
　　本節(jié)以傳統(tǒng)的VPN拓?fù)浣Y(jié)構(gòu)來對VPN基本工作原理進(jìn)行講解，如圖1.1 所示。IP-VPN設(shè)備保護(hù)LAN1、LAN2，LAN1 和LAN2 之間的安全互聯(lián)依賴于兩個網(wǎng)絡(luò)邊界的IP-VPN構(gòu)建的安全隧道。IP-VPN設(shè)備包括的基本功能有訪問控制、報文認(rèn)證、報文加解密、IP隧道協(xié)議封裝/解封裝等。VPN基本工作過程主要包括發(fā)送、接收等。
　　圖1.1 VPN基本原理示意圖
　　1）發(fā)送過程
　　LAN1 中的IP數(shù)據(jù)包到達(dá)IP-VPN設(shè)備時：
　　**步為訪問控制，即安全策略的判斷。若允許外出，則直接按照路由進(jìn)行轉(zhuǎn)發(fā)；若為拒絕，則釋放IP數(shù)據(jù)包；若為VPN安全策略，則查找安全關(guān)聯(lián)（SA），獲取安全服務(wù)參數(shù)，對IP數(shù)據(jù)包進(jìn)行相應(yīng)的處理。
　　第二步為IP封裝，依據(jù)安全隧道協(xié)議對IP數(shù)據(jù)報文進(jìn)行封裝，封裝后的數(shù)據(jù)報文的IP地址為安全隧道兩端的地址，即IP-VPN設(shè)備A、B的外部IP地址。對新封裝的數(shù)據(jù)報文，加上認(rèn)證摘要長度，重新計算數(shù)據(jù)報文長度、校驗和，并填充到數(shù)據(jù)報文*外部的IP頭中。
　　第三步為報文認(rèn)證，按照安全隧道協(xié)議的認(rèn)證要求，對封裝后的數(shù)據(jù)報文進(jìn)行完整性認(rèn)證處理，并將認(rèn)證摘要附在報文末位。
　　第四步為報文加密，按照安全隧道協(xié)議的加密要求，對數(shù)據(jù)報文進(jìn)行加密，用加密后的密文替換報文中相應(yīng)的明文。
　　將安全處理后IP數(shù)據(jù)包交付給公共IP網(wǎng)絡(luò)，在IP安全隧道的保護(hù)下傳遞給LAN2 的邊界VPN網(wǎng)關(guān)。
　　2）接收過程
　　接收過程與發(fā)送過程相對應(yīng)。接收方收到數(shù)據(jù)包后，對數(shù)據(jù)包進(jìn)行裝配還原，即碎包組包，還原為大的數(shù)據(jù)包。
　　**步為報文解密。按照安全隧道協(xié)議要求，查找安全關(guān)聯(lián)，對數(shù)據(jù)報文進(jìn)行解密處理，并替換密文部分。
　　第二步為報文認(rèn)證。對數(shù)據(jù)報文進(jìn)行完整性認(rèn)證，判斷數(shù)據(jù)報文是否在傳輸過程中被竄改，若完整性不一致，則丟棄數(shù)據(jù)包。
　　第三步為IP解封裝。對數(shù)據(jù)報文進(jìn)行解封裝，去掉安全隧道協(xié)議部分、IP封裝部分，還原出LAN1 到LAN2 的原始數(shù)據(jù)包。
　　第四步為訪問控制。對數(shù)據(jù)包進(jìn)行訪問控制處理，判斷數(shù)據(jù)包的安全策略是否為VPN安全策略，若不是，則丟棄數(shù)據(jù)包。
　　被允許的將數(shù)據(jù)包交由路由處理，轉(zhuǎn)發(fā)到LAN2 中。
　　1.5 虛擬專用網(wǎng)的分類
　　依據(jù)不同的標(biāo)準(zhǔn)和觀點，VPN有不同的分類。本節(jié)重點從利于理解VPN的原則，對VPN分類進(jìn)行了較為系統(tǒng)的總結(jié)。大致可以分為按VPN的構(gòu)建者分類、按VPN隧道的邊界分類、按VPN應(yīng)用模式分類以及按安全隧道協(xié)議分類等。
　　1）按VPN的構(gòu)建者分類
　　按VPN的構(gòu)建者分類，VPN可以分為由服務(wù)提供商提供的VPN和由客戶自行構(gòu)建的VPN兩種類型。
　�。�1）由服務(wù)提供商提供的VPN。
　　服務(wù)提供商（SP）提供專門的VPN，也就是說VPN的隧道構(gòu)建和管理由服務(wù)提供商負(fù)責(zé)，優(yōu)點是客戶的工作變得簡單，缺點是不利于客戶的網(wǎng)絡(luò)安全，服務(wù)提供商非常清楚客戶的VPN，也了解通過隧道傳輸?shù)膬?nèi)容，因為隧道是由服務(wù)提供商的設(shè)備封裝的，所以安全要求較高的VPN不適合由服務(wù)提供商提供。
　�。�2）由客戶自行構(gòu)建的VPN。
　　服務(wù)提供商只需提供簡單的IP服務(wù)，VPN的構(gòu)建、管理由客戶負(fù)責(zé)，所以經(jīng)由提供商的IP骨干網(wǎng)利用VPN傳輸信息時，所傳輸?shù)男畔⑹欠��?wù)提供商不知道的，對于VPN內(nèi)部的網(wǎng)絡(luò)路由等信息，服務(wù)提供商也是不清楚的。因此這種組網(wǎng)VPN的方式從安全的角度說，是易于被人們所接受的，因為安全完全掌握在自己的手中，當(dāng)然，客戶就多了VPN構(gòu)建、管理的管理工作。
　　2）按VPN隧道的邊界分類
　　按VPN隧道的邊界（即隧道的端點的位置）分類，VPN可以分為基于PE的VPN和基于CE的VPN。