VPN实现技术的研究

机电与自动化露天采矿技术2008年增刊VPN实现技术的研究孙新虎，霍燕斌(神华北电胜利能源有限公司，内蒙古锡林浩特026015)摘要:研究了如何在公共数据网上为企业实现安全、可靠、高性能、可互操作、费用低的虚拟专用网(VPN)0。同时也研究了VPN相关的各种技术的实现机制以及它们的优缺点。这些技术包括:隧道技术、加密技术以及服务质量(QoS)。关键词: VPN;隧道;加密;QoS ;中图分类号:TP 393文献标识码:B文章编号:1671 - 9816 (2008)增刊- 0061 - 041 VPN简介VPN提供用户一种私人专用(Private)的感觉，虚拟专用网( Virtual Prvate Network, VPN)是一因此建立在不安全、不可信任的公共数据网的首要种“基于公共数据网,给用户-种直接连接到私人局任务是解决安全性问题。VPN的安全性可通过隧道域网感觉的服务"。VPN极大地降低了用户的费用,技术、加密和认证技术得到解决。在Intranet VPN而且提供了比传统方法更强的安全性和可靠性。中，要有高强度的加密技术来保护敏感信息;在远程VPN可分为3大类:①企业各部门与远程分支之间访问VPN中要有对远程用户可靠的认证机制。的IntranetVPN;②企业网与远程(移动)雇员之间的.3 性能远程访问(Remote Access )VPN;③企业与合作伙伴、VPN要发展其性能至少不应该低于传统方法。客户、供应商之间的Extranet VPN。尽管网络速度不断提高,但在Internet 时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN2 VPN 的要求性能的稳定带来极大的影响。因此VPN解决方案应2.1行业分析能够让管理员进行通信控制来确保其性能。通过为克服我公司矿井数量多、地域分散的问题,又VPN平台,管理员定义管理政策来激活基于重要性能充分发挥各种监控设备的作用，让煤炭安全管理的出入口带宽分配。这样既能确保对数据丢失有严部门能够根据该系统实时上传的报警信息和运行信格要求和高优先级应用的性能,又不会“饿死",低优息,确定各煤矿的施工情况或各种指标超标的地方，先级的应用。从而准确、快速地制定安全防范措施。国家安全监督2.4管理问题部门做出了“加快建设联网监控系统”的决定。但采由于网络设施、应用不断增加,网络用户所需的用传统的广域网建立企业专网，往往需要租用昂贵IP地址数量持续增长，对越来越复杂的网络管理,的跨地区数字专线。同时公众信息网( Intermet与视网络安全处理能力的大小是VPN解决方案好坏的聆通)的发展,已经遍布各地,在物理上,各地的公众至关紧要的区分。VPN 是公司对外的延伸,因此信息网都是连通的。但公众信息网是对社会开放的，VPN要有一个固定管理方案以减轻管理、报告等方如果企业的信息要通过公众信息网进行传输,在安全面的负担。管理平台要有一个定义安全政策的简单性上存在着很多问题。如何能够利用现有的公众信方法,将安全政策进行分布,并管理大量设备。息网,来安全地建立企业的专有网络呢?虚拟专用网2.5互操作(Virual Privale Network ,VPN)可以达到这一目的。在Extranet VPN中，企业要与不同的客户及供2.2安 全性应商中国煤化工:不同。因此,企业收稿日期:2008-06-02的viMYH.CNMHG的产品进行互操作者简介:孙新虎(1963- ),男,高级工程师,1987年毕作。这就要求所选择的VPN万案应该是基于工业标业于原阜新矿业学院，现任神华北电胜利能源公司生产与准和协议的。这些协议有IPSec、点到点隧道协议安全部刷经理。(Point to Point Tunneling Protocol,PPTP)、第二层隧●62.露天采矿技术2008年增刊机电与自动化道协议(Layer 2 Tunneling Protocol,L2TP)等。一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集3 VPN 的实现技术合,VPN能够用其路由协议穿过符合VPN管理要求VPN实现的2个关键技术是隧道技术和加密技的虚拟网。同样,主机网络用符合网络要求的路由设术。同时QoS技术对VPN的实现也至关重要。计方案,而不必受VPN用户网络的路由协议限制。..1 VPN访问点模型虽然GRE隧道技术有很多优点,但用其技术作首先提供--个VPN访问点功能组成模型图作为VPN机制也有缺点,例如管理费用高、隧道的规为参考。其中IPSec集成了IP层隧道技术和加密技术。模数量大等。因为CRE是由手工配置的,所以配置3.2 隧道技术和维护隧道所需的费用和隧道的数量是直接相关隧道技术简单的说就是:原始报文在A地进行的一每次隧道的终点改变,隧道要重新配置。隧道封装，到达B地后把封装去掉还原成原始报文，这也可自动配置，但有缺点，如不能考虑相关路由信样就形成了-条由A到B的通信隧道。目前实现隧息、性能问题以及容易形成回路问题。一旦形成回道技术的有一般路由 封装(Generic Routing Encap-路,会极大恶化路由的效率。除此之外,通信分类机sulation , GRE)L2TP和PPTP。制是通过一一个好的粒度级别来识别通信类型。如果(1 )GRE。GRE主要用于源路由和终路由之间通信分类过程是通过识别报文(进 人隧道前的)进所形成的隧道。例如,将通过隧道的报文用一个新的行的话,就会影响路由发送速率的能力及服务性能。报文头(GRE报文头)进行封装然后带着隧道终点CRE隧道技术是用在路由器中的，可以满足地址放入隧道中。当报文到达隧道终点时,CRE报Extranet VPN以及Intranet VPN的需求。但是在远程文头被剥掉，继续原始报文的目标地址进行寻址。访问VPN中,多数用户是采用拨号上网。这时可以GRE隧道通常是点到点的,即隧道只有一个源地址通过L2TP和PPTP来加以解决。和一个终地址。然而也有一-些实现允许点到多点,即(2)L2TP和PPTP。L2TP 是L2F(Layer 2 For-一个源地址对多个终地址。这时候就要和下一跳路warding)和PPTP的结合。但是由于PC机的桌面操由协议(Next-Hop Routing Protocol, NHRP)结合使作系统包含着PPTP,因此PPTP仍比较流行。隧道的用。NHRP主要是为了在路由之间建立捷径。建立有2种方式,即:用户初始化”隧道和“NAS初GRE隧道用来建立VPN有很大的吸引力。从体始化"(Network Access Server)隧道。前者一般指“主系结构的观点来看, VPN就象是通过普通主机网络动”隧道,后者指“强制”隧道。“主动”隧道是用户为某的隧道集合。普通主机网络的每个点都可利用其地种特定目的的请求建立的,而“强制”隧道则是在没址以及路由所形成的物理连接,配置成-一个或多个有任何来自用户的动作以及选择的情况下建立的。隧道。在CRE隧道技术中人口地址用的是普通主机L2TP作为“强制"隧道模型是让拨号用户与网网络的地址空间，而在隧道中流动的原始报文用的络中的另一点建立连接的重要机制。建立过程如下:是VPN的地址空间，这样反过来就要求隧道的终①用户通过Modem与NAS建立连接;②用户通过点应该配置成VPN与普通主机网络之间的交界点。NAS的L2TP接人服务器身份认证;③在政策配置这种方法的好处是使VPN的路由信息从普通主机文件或NAS与政策服务器进行协商的基础上,NAS网络的路由信息中隔离出来，多个VPN可以重复和L2TP接人服务器动态地建立一条L2TP隧道;④利用同一个地址空间而没有冲突,这使得VPN从主用户与L2TP接人服务器之间建立一条点到点协议机网络中独立出来，从而满足了VPN的关键要求:(Point to Point Protocol, PPP)访问服务隧道;⑤用户可以不使用全局唯一的地址空间。 隧道也能封装数通过该隧道获得VPN服务。量众多的协议族，减少实现VPN功能函数的数量。与之相反的是,PPTP作为“主动”隧道模型允许还有,对许多VPN所支持的体系结构来说,用同一终端中国煤化工的PPTP服务器建种格式来支持多种协议同时又保留协议的功能，这立-并且,PPTP协商;MHCNMHG是非常重要的。IP 路由过滤的主机网络不能提供这和隧造建业心任邮仪为T向妹川NAS的参与。NAS,种服务,而只有隧道技术才能把VPN私有协议从主.的作用只是提供网络服务。PPTP建立过程如下:①机网络中隔离开来。基于隧道技术的VPN实现的另用户通过串口以拨号IP访问的方式与NAS建立连机电与自动化露天采矿技术2008年增刊63●接取得网络服务;②用户通过路由信息定位PPTP求可用如下参数给予体现:接人服务器;③用户形成一个PPTP虚拟接口;④用①带宽:网络提供给用户的传输率;户通过该接口与PPTP接人服务器协商、认证建立②反应时间:用户所能容忍的数据报传递延时;一条PPTP访问服务隧道;⑤用户通过该隧道获得③抖动:延时的变化;VPN服务。④丢失率:数据包丢失的比率。在L2TP中,用户感觉不到NAS的存在,仿佛与网络资源是有限的，有时用户要求的网络资源PPTP接人服务器直接建立连接。而在PPTP中，得不到满足、通过QoS机制对用户的网络资源分配PPTP隧道对NAS是透明的;NAS不需要知道PPTP进行控制以满足应用的需求。QoS 机制具有通信处接人服务器的存在，只是简单地把PPTP流量作为理机制以及供应( Provisioning )和配置(Configuration)普通IP流量处理。机制。通信处理机制包括802.1p、区分服务(ffer-采用L2TP还是PPTP实现VPN取决于要把控entiated service per-hop-behaviors , DifTServ)、综合服制权放在NAS还是用户手中。L2TP 比PPTP更安务(inegrated services , IntServ)等等。现在大多数局全，因为L2TP接人服务器能够确定用户从哪里来域网是基于IEEE802技术的，如以太网、令牌环、的。L2TP主要用于比较集中的、固定的VPN用户，FDDI等, 802.1p为这些局域网提供了一种支持QoS而PPTP比较适合移动的用户。的机制。802.1p 对链路层的802报文定义了一个可3.3 加密技术表达8种优先级的字段。802.1p 优先级只在局域数据加密的基本思想是通过变换信息的表示形网中有效,一旦出了局域网,通过第三层设备时就被式来伪装需要保护的敏感信息，使非受权者不能了移走。DifTServ则是第三层的QoS机制,它在IP报文解被保护信息的内容。加密算法有用于Windows95中定义了一个字段称DSCP (DifServ codepoint)。的RC4、用于IPSec的DES和三次DES.RC4虽然强DSCP有6位,用作服务类型和优先级,路由器通过度比较弱,但是保护免于非专业人土的攻击已经足它对报文进行排队和调度。与802.1p、DiflServ不同够了;DES和三次DES强度比较高,可用于敏感的的是，InServ 是一种服务框架,目前有2种:保证服商业信息。务和控制负载服务。保证服务许诺在保证的延时下加密技术可以在协议栈的任意层进行;可以对传输--定的通信量;控制负载服务则同意在网络轻数据或报文头进行加密。在网络层中的加密标准是，负 载的情况下传输一定的通信量。典型的IntServIPSec.网络层加密实现的最安全方法是在主机的端与资源预留协议(Resource reservation Protocol,到端进行。另一个选择是“隧道模式”:加密只在路RSVP)相关。IntServ 服务定义了允许进人的控制算由器中进行,而终端与第-跳路由之间不加密。这种法,决定多少通信量被允许进人网络中。方法不太安全，因为数据从终端系统到第一条路由供应和配置机制包括RSVP、子网带宽管理.时可能被截取而危及数据安全。终端到终端的加密(subnet bandwidth manager ,SBM)、政策机制和协议方案中,VPN安全粒度达到个人终端系统的标准;以及管理工具和协议。这里供应机制指的是比较静而“隧道模式”方案,VPN安全粒度只达到子网标态的、比较长期的管理任务,如:网络设备的选择、网准。在链路层中,目前还没有统一的加密标准,因此络设备的更新、接口添加删除、拓扑结构的改变等所有链路层加密方案基本上是生产厂家自己设计等。而配置机制指的是比较动态、比较短期的管理任的,需要特别的加密硬件。务,如流量处理的参数。3.4 QoS技术RSVP是第三层协议，它独立于各种网络媒介。通过隧道技术和加密技术，已经能够建立起一因此, RSVP往往被认为介于应用层(或操作系统)个具有安全性、互操作性的VPN。但是该VPN的性与特定网络媒介QoS机制之间的一个抽象层。能不稳定,管理上不能满足企业的要求.这就要加入RSVP有了↑币西 的消自:PATH消息，从发送者到QoS技术。实行QoS应该在主机网络中,即VPN所接收fYH中国煤化工发者。RSVP消建立的隧道这一-段,这样才能建立一条性能符合用息包CNMH G_ -个会话流(分类户要求的隧道。信息);②描述会话流的定量参数(如数据率);③要不同的应用对网络通信有不同的要求，这些要求网络为会话流提供的服务类型;④政策信息(如露天采矿技术2008年增刊机电与自动化I用户标识)。RSVP的工作流程如下:使用的网络资源;政策决定点( policy decsion point,①会话发送者首先发送PATH消息，沿途的设PDP);政策加强点( policy enforcement point, PEP)以备若支持RSVP则进行处理,否则继续发送;及它们之间的协议。传统的由上而下(TopDown)的②设备若能满足资源要求，并且符合本地管理政策协议包括简单网络管理协议(SimpleNetwork政策的话，则进行资源分配,PATH消息继续发送，Management Protocol , SNMP)、命令行接口(Command否则向发送者发送拒绝消息;Line Interface ,CLI)、命令开放协议服务(Command③会话接收者若对发送者要求的会话流认同,.Open Protocol Services ,COPS )等。这些QoS机制相互则发送RESV消息,否则发送拒绝消息;作用使网络资源得到最大化利用，同时又向用户提④当发送者收到RESV消息时，表示可以进行供了一个性能良好的网络服务。会话,否则表示失败。SBM是对RSVP功能的加强，扩大了对共享网4结语络的利用。在共享子网或LAN中包含大量交换机和基于公共网的VPN通过隧道技术、数据加密技网络集线器，因此标准的RSVP对资源不能充分利术以及QoS机制,使得企业能够降低成本、提高效用。支持RSVP的主机和路由器同意或拒绝会话率、增强安全性。VPN产品从第一代:VPN路由器、流，是基于它们个人有效的资源而不是基于全局有交换机,发展到第二代的VPN集中器,性能不断得效的共享资源。结果,共享子网的RSVP请求导致局到提高。在网络时代,企业发展取决于是否最大限度部资源的负载过重。SBM可以解决这个问题:协调地利用网络。VPN将是企业的最终选择。智能设备。包括:具有SBM能力的主机、路由器以及参考文献: .交换机。这些设备自动运行-选举协议,选出最合适[1 ]S.Kent, R.Akinsn.SecuriyArchiecturefortheIntemelProlo-的设备作为DSBM( designated SBM)。当交换机参与col.RFC2401.1998.选举时，它们会根据第二层的拓扑结构对子网进行[2]K Hamzeh,C.Pall ,W.Werthein,etc.Point-to -Point Tunnel-ingProtocol(PPTP).RFC2637.1999.分割。主机和路由器发现最近的DSBM并把RSVP消息发送给它，然后,DSBM查看所有消息来影响[3]WTownsley , A.Valencia , A.Rubens,elc. Layer Two Tun-nelingProtocol L2TP.RFC2661.1999.资源的分配并提供允许进人控制机制。[4 ]B.Patel, B.Aboba, W .Dixon, etec. Securing L2TP using IPSec.网络管理员基于一定的政策进行QoS机制配RFC3193.2001.置。政策组成部分包括:政策数据,如用户名;有权(上接第60页)响,是我国煤矿的发展方向。铠装电缆,还有双层护套,能有效产生金属屏蔽,使(6)使用BT供电方式。即在牵引网中架设吸流护套内的通信信号电路减少互感电压,使之免受外变压器及回流线装置。它能迫使轨道回流和大地返界的一切干扰。回牵引变电所的机车电流大部分经回流线流回牵引(3)加强铁道基础工作，将钢轨接头螺栓上齐、变电所。这样回流线中的电流与牵引电流大小几乎紧固,同时配齐轨道联接线,减少钢轨电阻,达到减相等,方向相反,它们形成的电磁场相互抵消,而且少衰减的目的。回流线与导线距离越小,抗干扰性能越好。(4)加强馈电回流工作。馈电回流线要尽量悬(7)采用AT供电方式。即在接触网与正馈线间挂,才能使电流回流顺畅,防止大地流失,不但可以并联接入一台自耦变压器,其中性点与钢轨连接,组减少电量消耗,而且可以使电机车增强牵引力,减少成供电回路。这样当电机车在绝缘区段内运行时,牵无用功,同时也降低牵引电流对通信信号设备的冲击。引电中国煤化工几车，且与机车两(5)采用光缆。光纤直径只有100~1 150μm,比侧钢CN M H G相等,因此对通信头发稍粗一点,光纤传输带宽,完全可以传输PCM信号的影啊作用相互.抵用，所以对通信信号的干扰高次群;光纤的衰减少,中继距离远,可以不设中继也就最小，是目前较优的供电方式。站;光纤的重量轻,抗张性能好,不受电磁感应的影