虚拟专用网络技术
发布时间:2005-03-16
作者:沈金龙/章韵(南京邮电学院) 陈俊良(南京大学)
阅读量:
▲ 1998年全球IP应用领域炙手可热的三项新技术分别是IP电话、电子商务和虚拟专用网(VPN)
▲ VPN应用在世界上日渐普及,但中国VPN业务的开展却十分缓慢
▲ 随着中国企业的发展壮大,VPN终有光明的未来
1 虚拟专用网的原理
虚拟专用网(VPN)是一种建立在开放性网络平台上,支持专有性的网络。早在80年代,电信网上先后做了这方面的尝试。例如,在分组交换公用数据网上提供用户可选业务,其中一项称之为闭合用户群(CUG)的可选业务,就是虚拟专用网的范例。所谓闭合用户群是指网络的一些用户数据终端设备(DTE)逻辑归属为一个群体。在群体内的DTE可以相互通信,对于进出CUG的DTE呼叫/接受加以控制,以便提高用户通信的安全性。这种功能使群体用户功能在分组交换公用数据网(PSPDN)中形成一个虚拟网专用。
点划线内计算机A、C、E构成了一个VPN,在VPN内的计算机系统可以按分组交换方式进行呼叫、互相通信,但VPN外的计算机B或D不能随意呼叫VPN内的任何一台计算机或服务器。CUG业务功能需要与网络主管部门预约,然后每次呼叫建立时在呼叫请求分组和入呼叫分组中分别指出本次呼叫的CUG号。网络(本地的DTE)和被叫DTE根据该CUG号判定是否接受该呼叫请求。
分组交换网支持两种CUG:国际CUG(ICUG)和国内CUG(NCUG)。NCUG是指CUG内的DTE都在同一网络内,而ICUG允许不同的网络用户归属同一CUG。为了使CUG用户具有更灵活的选择功能,各家厂商定义了许多的特殊功能,如:
具有出通路的闭合用户群(CUG/OA)。在一个CUG中的DTE可以按需与网络预约已具有呼入功能的其它CUG和非CUG用户呼叫的业务,也即具有这一功能的CUG用户的呼出不受限制。
具有入通路的闭合用户群(CUG/IA)。用户需要预约该项业务,DTE可以与本闭合群内的其它DTE通信,并且不限制接受来自本CUG之外的呼叫。
双边闭合用户群(BCUG)。用户需要预约该项业务,该业务可以使DTE构成成对的互相通信的组合关系。
优先CUG。如果一个DTE属于多个CUG,则可以指定一个CUG为优先CUG。在呼叫建立时如不加以特别指明,网络将把它作为优先的CUG的DTE来处理。
特权CUG。这是对NCUG用户提供一项CUG内部业务功能。它可以指定CUG内的每一个用户DTE为特权用户或非特权用户,无特权用户DTE之间不能相互通信,有特权用户之间或有特权用户与无特权用户之间可以互相通信。
CUG业务功能的实现不需要特别的服务器。其实现过程大致如下:网络为每一CUG分配唯一内部号码(IC),同一闭合用户群内的用户DTE都以这一号码作为标识符。在用户DTE端,IC是以索引号方式呈现的。用户只知道索引号而不需要了解其内部号码。在呼叫建立时,主叫用户DTE在呼叫请求分组中加入索引号,由网络将索引号换算成内部号码送给被叫。在被叫端,网络根据内部号码进行验证,若满足条件便可建立呼叫,否则清除。
除了分组交换网提供VPN功能外,在发展中的窄带综合业务数字网(N-ISDN)、宽带综合业务数字网(B-ISDN)以及智能网(IN)中,已经提供了遵循ITU-T制定的一系列补充业务,虚拟专用网(VPN)是系列补充业务中的一项。
近十年来,随着信息技术的发展需要,计算机网络互连体系结构发生了极大的变化,从早期的基于网桥的网络互连结构发展到如今流行的以路由器或以太交换机为中心的因特网互连结构。今天,互连网络体系结构将随着ATM技术、以太交换技术和虚拟网络的应用而有新的发展。当前,VPN突出的应用是在因特网(Internet)/企业内部网(Intranet)/企业外部网(Extranet)上,通俗一点说就是使用加密的IP隧道,实现私有IP包和其它网络协议(IPX,NetBEUI等)包在Internet上传输,从而实现位于WAN上的不同LAN的各种协议虚拟连接,即虚拟的局域网(VLAN)。
设有3个虚拟局域网(VLAN),每一台计算机通过以太交换机从属不同的VLAN,因此,是一种能对按需组网加以逻辑定义的,并能将网络的物理结构抽象成为逻辑视图的技术。它可将一组在物理上并不相连的网段在逻辑上定义为一个单一的VLAN,VLAN在逻辑上等于OSI七层模型的第二层的广播域,它与具体的物理网及地理位置无关。更重要的是,即使多个网段被连接到网络中不同的但相互连接的交换机上,它们仍可被定义成单一的VLAN的成员。
2 建立VLAN的方法
2.1 VLAN的划分方式
在因特网中划分VLAN涉及到如何定义VLAN的成员,按不同用户的需要,有多种划分方法。目前,主要有下列3种方法来划分VLAN:
(1)基于交换端口的VLAN
这种VLAN方式使得划分成不同VLAN的交换端口在物理上是相连的,但在逻辑上是断开的。第一代的基于交换端口的VLAN,只能在同一个交换模块上划分VLAN。但是,如果划分VLAN仅局限于一个交换模块显然无法满足现代分布式网络的需要。在这种实际需求的推动下,第二代基于端口的VLAN可以在不同交换模块上划分同一VLAN。各交换模块之间通过构造生成树方式在主干上传递端口的VLAN信息,实现VLAN的划分。
通过建立基于端口的VLAN和相应的网管软件,网络管理员可以在很短时间内根据网络的实际需求完成对整个网络的动态管理。但是基于端口的VLAN无法做到一个端口同时属于几个不同的VLAN。同时,如果网络中的用户要经常地从一个VLAN移动到另一个VLAN,网络管理员也要在网络中进行相应改动。将一系列端口配置到一个单一的广播域内,由于数据包不会漏到其它区域,基于端口的VLAN能对确定的端口进行安全访问。例如:对一个企业的人事部门,网络管理员能在企业内网络设备上的一组规定的端口上建立一个可以访问人事系统的VLAN,提供访问人事系统信息的能力。由于其它端口或企业外的计算机不属于这个VLAN,所以无法进行访问。
(2)基于MAC地址的VLAN
MAC地址是每一个网卡的物理地址,原则上全球网卡的物理地址是唯一的(伪冒产品除外)。正因为如此,管理员可以通过网管软件逐一设置每张网卡对应的VLAN来实现VLAN的划分。众所周知,MAC地址属于数据链路层,以此作为划分VLAN的依据能很好地独立于网络层上的各种应用,当某一用户从一个VLAN转移到另一个VLAN上时,在用户端无需作任何改动即可实现,真正做到了基于个人的VLAN。
基于MAC地址的VLAN将一组工作站从逻辑上放到基于MAC地址的多个集线器的一个广播域中。这种策略扩充了以太网的属性,客户机可不依赖于物理位置映射到服务器,优化了客户机/服务器的配置。因此,当服务器被集中放置用来改善管理及安全性时,基于MAC地址的VLAN能很容易地将工作组客户机连接至合适的服务器资源上。
在基于MAC地址的VLAN划分方式中,如果要划分VLAN,必须对每个MAC地址进行逐个配置。显然,这种方法在大型网络中给网络管理员增加的工作量相当大。但支持这种功能的厂商可提供相应的网管软件,通过网管软件对MAC地址的自动跟踪,实现自动/半自动地划分VLAN。
此外,基于MAC地址的VLAN划分是依据硬件的地址,缺乏硬件的独立性,所以对网络的灵活性会造成较大的影响。
(3)基于网络层的VLAN
这种VLAN划分方式是根据网络上应用的网络协议或网络地址划分VLAN。这对于那些想针对具体应用和服务来组织用户的网络管理员来说无疑是十分有效的。基于网络层的VLAN对协议(如IP)非常有用,通过手工配置或通过地址服务器将网络层地址与设备相连接。
基于网络层的VLAN划分方式,能够很好地根据实际应用来划分VLAN。但是无论是哪种网络协议,只要是属于网络层的交换机,都必须通过对数据包的解包才能获得必要的VLAN信息,这势必造成交换速度的下降,同时也引来了网络的安全问题。除非网络管理员能对客户端上捆绑的网络协议进行锁定,不然每个用户通过增删自己本机上的网络协议可以毫无限制地在各VLAN中畅游,将带来网络安全隐患。
以上各种VLAN划分方式各有利弊,应用者必须根据实际的建网需求来选择合适的VLAN划分方式。
2.2 VLAN成员间的通信和配置
在多台交换机上用何种方法最佳地支持VLAN成员信息通信?芽所选择的方法将在网络增扩时对网络通信产生什么影响?
在多台交换机上进行VLAN成员信息通信通常有隐式通信和显式通信两种方法。
VLAN之间的通信技术大致可分为以下几种:
(1)通过外部路由器实现
与传统的以路由为中心的局域网互连一样,这种技术在VLAN数目较多时会极大地增加网络成本,并且VLAN间的通信效率很低。
(2)通过具有路由功能的交换机实现
中心交换机带有路由功能(有的厂家产品通过软件实现路由功能,有的则通过硬件实现路由功能)。一般具有路由功能的中心交换机多能支持64个以上的VLAN,最多的能达到1 024个VLAN。这种技术的特点是既达到了作为VLAN控制广播这一最基本的目的,又不需要外接路由器。但VLAN间的连接还是通过路由技术来实现的,VLAN间的通信速率一般不超过2Mbit/s。
(3)通过建立通信连接来实现
虚拟网上任意两用户第一次通信是通过发送有限的ARP广播来实现的。一旦源用户找到目的用户后,就建立虚拟的通信链路,此后进行面向连接的通信。这种方式的特点是实现了VLAN之间的快速、高效通信。
每种方案都有优劣,它对网络整体结构的影响也是如此。此外,路由并非VLAN之间通信的唯一方法。与涉及选择VLAN解决方案的其它关键问题一样,用于VLAN之间通信的技术也要视该机构的特定需要和整体网络环境而定。在此,灵活性仍是至关重要的。VLAN自动化配置可分为三种级别:单工、半自动和全自动。就VLAN定义来说,配置VLAN的自动化级别要视特定的网络环境和每个用户特定的需要而定。
3 VPN的协议、特点和应用要求
3.1 VPN协议
目前,在7层OSI参考模型层次结构的基础上,已经有下列几种隧道协议用于构建VPN:
(1)点对点隧道协议(PPTP);
(2)第2层隧道协议(L2TP);
(3)IP安全协议(IPSec)。
一般网络协议是将待发送的数据加上协议特定的控制信息组成数据报进行交换。对于用户来说,关心的只是需要传送的数据,并不需关心附加的控制信息。PPTP的工作方式是在TCP/IP数据报中封装原始分组,例如包括控制信息在内的整个IPX分组都将成为TCP/IP数据报中的“数据”区,然后它通过因特网进行传输。另一端的软件分析数据报,去除增加的PPTP控制信息还原成IPX分组并发送给IPX协议进行常规处理。这一过程叫做隧道。使用PPTP对于原有的网络安全性并没有大的影响,因为原有LAN的广泛的例行安全检查照样进行,其实PPTP对于网络用户是透明的。另外,它还通过压缩、数据加密等手段保证了网络的安全性。而L2TP是取代PPTP和早期的L2F的新标准。
3.2 VPN的特征
VPN拥有开销少、灵活性好、成本低等优点。VPN特别合适于下列情况的应用:
站点众多且分散,特别是单个用户和远程办公室站点多;
用户/站点分布范围广,彼此之间的距离远,遍布全球各地,诸如跨国公司;
带宽和时延要求相对适中。
站点的数量是确定是否采用VPN的关键因素。站点数量越多,站点之间的距离越远,VPN解决方案越有利。
VPN有以下几大功能:
可以替换现有的专用网网段或子网;
通过把特定应用分离出来满足相应需求,为专用网络提供有益的补充;
在不影响现有专用网的情况下,处理新应用,增加新位置特别是国际性网站。
3.3 VPN的应用要求
VPN有两个基本应用要求:使用互联网协议(IP)和IP地址;提供严格的安全性。
对已经使用IP并注册了因特网地址的应用来说,第一个要求就迎刃而解。对使用专用或非正式IP地址的企业内部网(Intranet)或企业外部网(Extranet),可以采用各种隧道协议和地址租赁技术。点到点隧道协议(PPTP)和通用路由封装(GRE)都可以在正式的IP数据报内部为专用的IP分组提供隧道。PPTP和GRE还能够为非IP分组提供隧道,如使用NetWare的IPX或NetBIOS/NetBEUI的分组。可使用动态主机配置协议(DHCP)和网络地址转换协议(NAT)租赁Internet地址。DHCP和NAT只在会话过程中才分配一个In-ternet地址,或用一个Internet地址代替专用地址。第二基本要求——安全性。它又分为两个方面:即用户认证和保密性。实际上,在使用因特网进行VPN专用通信时,关键问题是安全性。现在提供了基于标准的解决方案,如:
(1)远程验证用户拨入服务(RADIUS)。这是一个维护用户配置文件的数据库,包括口令和访问优先权。代理RADIUS功能允许在In-ternet服务提供者(ISP)的接入点设备上接入客户的RADIUS服务器,获得必要的用户配置文件信息。
(2)IETF的IP安全(IPSec)加密标准解决了安全性的保密问题。IPSec的安全有效载荷封装允许选择数据加密标准(DES)或三重DES,这两种标准都提供了严格的保密性及强大的验证功能。
参考文献
1 沈金龙.计算机通信.南京:东南大学出版社,1995
2 陈俊良等.计算机网络实用教程.北京:科学出版社,1999.224~231
3 http://www.worldvisions.ca/tunnelv
4 ftp://oans. cic.tsinghua.edu.cn/work.for.china/network/routing&ras:下载软件名mpri386.exe
5 刘会杰,张乃通.网络协议VLAN和QoS的应用研究.哈尔滨工业大学学报,1999,(3)
6 赵慧玲.综合业务数字网技术及其应用.北京:人民邮电出版社,1995
(收稿日期:1999-10-03)
.png)
.png)
.png)
