第1章虛擬專用網(wǎng)概述
　　1.1 虛擬專用網(wǎng)的產(chǎn)生背景
　　隨著互聯(lián)網(wǎng)的飛速發(fā)展、網(wǎng)絡(luò)的普及，人們需要隨時(shí)、隨地以任意的接入方式聯(lián)入企業(yè)網(wǎng)、政府網(wǎng)，并進(jìn)行移動(dòng)辦公。另外，隨著企業(yè)的發(fā)展壯大，企業(yè)分支機(jī)構(gòu)越來(lái)越多，合作伙伴越來(lái)越密集，企業(yè)與各分支機(jī)構(gòu)、合作伙伴之間也需要隨時(shí)通信以保持業(yè)務(wù)往來(lái)。這都涉及遠(yuǎn)程接入與網(wǎng)絡(luò)互聯(lián)問(wèn)題。但是，在遠(yuǎn)程接入、網(wǎng)絡(luò)互聯(lián)中，存在著身份假冒、信息竄改、信息泄露等安全威脅。
　　在傳統(tǒng)的廣域網(wǎng)互聯(lián)中，通常的做法是租用PSTN、X.25、FR或DDN等線路，為每個(gè)分支機(jī)構(gòu)、合作伙伴建立*立的專用網(wǎng)絡(luò)（簡(jiǎn)稱專網(wǎng)），組成企業(yè)或企業(yè)間的專用網(wǎng)絡(luò)，專用網(wǎng)絡(luò)的主要優(yōu)點(diǎn)是安全性、帶寬及服務(wù)質(zhì)量（QoS）都能得到保證；缺點(diǎn)是大量的*立專用網(wǎng)絡(luò)不僅存在著重復(fù)投資、資源利用率低等問(wèn)題，而且增加了管理負(fù)擔(dān)，成本高。但隨著互聯(lián)網(wǎng)的發(fā)展，特別是寬帶IP技術(shù)的產(chǎn)生和發(fā)展，Internet（互聯(lián)網(wǎng)）的服務(wù)質(zhì)量和帶寬已經(jīng)有了明顯的改善，可靠性和可用性也大為增強(qiáng)，Internet已經(jīng)提供了經(jīng)濟(jì)、便利、快速、可靠和靈活的WAN通信，可是，互聯(lián)網(wǎng)仍不能提供與專用網(wǎng)相比的安全性。VPN技術(shù)就是在這樣的一個(gè)背景下提出來(lái)的，即依托于公共網(wǎng)絡(luò)（簡(jiǎn)稱公網(wǎng)）實(shí)現(xiàn)專用網(wǎng)絡(luò)的功能，它兼?zhèn)淞藘烧叩膬?yōu)點(diǎn)，既能運(yùn)行于互聯(lián)網(wǎng)或公共IP網(wǎng)絡(luò)之上，又能提供足夠的安全性。
　　1.2 虛擬專用網(wǎng)的概念
　　1.2.1 虛擬專用網(wǎng)概念演進(jìn)
　　虛擬專用網(wǎng)概念由專網(wǎng)、最初的VPN概念，演進(jìn)到今天的IP-VPN概念，共經(jīng)歷了專用網(wǎng)絡(luò)、基于全數(shù)字接入的虛擬專用網(wǎng)和現(xiàn)代的虛擬專用網(wǎng)等三個(gè)階段。
　　1）專用網(wǎng)絡(luò)
　　**個(gè)階段是專用網(wǎng)絡(luò)。對(duì)于要求永久連接的情況，LAN通過(guò)租用的專用線路（簡(jiǎn)稱專線，如DDN等）互聯(lián)而組成專網(wǎng)，遠(yuǎn)程用戶通過(guò)PSTN直接撥入企業(yè)的訪問(wèn)服務(wù)器。顯然，其可以獲得比較穩(wěn)定的連接性能，企業(yè)網(wǎng)的安全性也容易得到保障，因?yàn)楸仨毷褂脤Ｓ玫脑O(shè)備，并能接觸到線路，才能獲取到租用線路上的數(shù)據(jù)。但是，從用戶的角度來(lái)說(shuō)，它的通信費(fèi)用高得驚人，企業(yè)需要自己去管理這樣一個(gè)遠(yuǎn)程網(wǎng)絡(luò)。從服務(wù)提供商的角度，由于用戶*占的原因，即使線路沒(méi)有數(shù)據(jù)傳輸，或流量不大，其他用戶也無(wú)法利用，所以，線路的利用率不高。
　　2）基于全數(shù)字接入的虛擬專用網(wǎng)
　　第二個(gè)階段是基于全數(shù)字接入的虛擬專用網(wǎng)。上述原因促使數(shù)據(jù)通信行業(yè)人員和服務(wù)提供商設(shè)計(jì)并實(shí)現(xiàn)大量的統(tǒng)計(jì)復(fù)用方案，利用擁有的基礎(chǔ)設(shè)施，為用戶提供仿真的租用線路。這些仿真的租用線路稱為虛電路（Virtual Circuit，VC），虛電路可以是始終可用的永久虛電路（PVC），也可以是根據(jù)需要而建立的交換虛電路（SVC）。這里用戶將不同的LAN或節(jié)點(diǎn)通過(guò)如幀中繼（Frame Relay）或ATM提供的虛電路連接在一起，服務(wù)提供商利用虛擬環(huán)路技術(shù)將其他不相關(guān)的用戶隔離開。這些方案為用戶提供的服務(wù)幾乎與上述租用專線相同，但由于服務(wù)提供商可以從大量的客戶中獲得統(tǒng)計(jì)性效益，因此，這些服務(wù)的價(jià)格較專網(wǎng)便宜。
　　這兩個(gè)階段稱為永久性VPN。
　　3）現(xiàn)代的虛擬專用網(wǎng)
　　第三個(gè)階段是現(xiàn)代的虛擬專用網(wǎng)，即基于IP的虛擬專用網(wǎng)，稱為IP-VPN。在這個(gè)階段，VPN主要有以下三個(gè)主要特點(diǎn)。
　　一是基于公共IP網(wǎng)絡(luò)。
　　二是提供一種將公共IP網(wǎng)絡(luò)“化公為私”的組網(wǎng)手段，主要優(yōu)勢(shì)是組網(wǎng)經(jīng)濟(jì)。
　　三是保證在公網(wǎng)環(huán)境下所組建的網(wǎng)絡(luò)具有一定的“私有性、專用性”，即安全性。從提供組網(wǎng)服務(wù)的角度看，VPN技術(shù)有兩種實(shí)現(xiàn)方式：一是利用服務(wù)提供商的IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供VPN服務(wù)；二是利用公共網(wǎng)絡(luò)資源構(gòu)建VPN。特別是互聯(lián)網(wǎng)、3G/4G/5G網(wǎng)絡(luò)的發(fā)展，使得人們隨時(shí)隨地進(jìn)行快速組網(wǎng)成為可能。
　　從網(wǎng)絡(luò)安全的角度來(lái)看，由于VPN技術(shù)，特別是基于IPsec安全協(xié)議的IP-VPN技術(shù)是一種包含加密、認(rèn)證、訪問(wèn)控制、網(wǎng)絡(luò)審計(jì)等多種安全機(jī)制的較為全面的網(wǎng)絡(luò)安全技術(shù)，能夠提供網(wǎng)絡(luò)安全整體解決方案，而且隨著互聯(lián)網(wǎng)的發(fā)展，其安全優(yōu)勢(shì)越來(lái)越突出，為移動(dòng)安全接入、安全互聯(lián)等提供了重要支撐，其也會(huì)不斷得到完善和發(fā)展。這也是出現(xiàn)“安全VPN”概念的原因，目的是同沒(méi)有采用密碼技術(shù)和訪問(wèn)控制技術(shù)等網(wǎng)絡(luò)安全技術(shù)的某些服務(wù)提供商提供的VPN相區(qū)別。
　　1.2.2 VPN定義
　　人們對(duì)VPN定義的理解存在著不同的角度。
　　1）從組網(wǎng)的角度來(lái)看
　　RFC 2547 將VPN定義為：將連接在公共網(wǎng)絡(luò)設(shè)施上的站點(diǎn)集合，通過(guò)應(yīng)用一些策略建立了許多由這些站點(diǎn)組成的子集，并且只有當(dāng)兩個(gè)站點(diǎn)至少屬于某個(gè)子集時(shí)，它們之間才有可能通過(guò)公共網(wǎng)絡(luò)進(jìn)行IP互聯(lián)，每個(gè)這樣的子集就是一個(gè)VPN。
　　該定義反映的是一種現(xiàn)象，強(qiáng)調(diào)的是站點(diǎn)之間的組網(wǎng)，它將VPN定義為兩個(gè)或多個(gè)站點(diǎn)的集合，比較通俗、形象、客觀。
　　2）從安全傳輸?shù)慕嵌葋?lái)看
　　有學(xué)者將VPN定義為：利用不安全的公用互聯(lián)網(wǎng)作為信息傳輸媒介，通過(guò)附加的安全隧道、用戶認(rèn)證等技術(shù)實(shí)現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實(shí)現(xiàn)對(duì)重要信息的安全傳輸。
　　該定義關(guān)注的是載體、技術(shù)和目標(biāo)。
　　上述兩個(gè)定義從不同的觀點(diǎn)出發(fā)，對(duì)VPN進(jìn)行了解釋，基本反映了VPN“基于公共IP網(wǎng)絡(luò)、組網(wǎng)、安全性”特點(diǎn)。但是，闡述都比較片面。VPN的概念不僅要反映VPN基本特征，還必須反映VPN的內(nèi)涵，即“虛擬”“專用”“網(wǎng)絡(luò)”“安全”以及構(gòu)建安全、*占、自治的虛擬網(wǎng)絡(luò)。
　　針對(duì)上述定義存在的問(wèn)題，國(guó)內(nèi)最具有代表性和確切的定義是由陳性元教授提出的。他將VPN定義為：利用公共IP網(wǎng)絡(luò)設(shè)施，將屬于同一安全域的站點(diǎn)，通過(guò)隧道技術(shù)等手段，并采用加密、認(rèn)證、訪問(wèn)控制等綜合安全機(jī)制，構(gòu)建安全、*占、自治的虛擬網(wǎng)絡(luò)。該定義*先反映了VPN是一個(gè)虛擬的網(wǎng)絡(luò)，還是一個(gè)安全的，給用戶的感覺(jué)是*自占有，且具有傳統(tǒng)網(wǎng)絡(luò)功能的網(wǎng)絡(luò)；其次強(qiáng)調(diào)了這個(gè)虛擬網(wǎng)絡(luò)是構(gòu)建在公共IP網(wǎng)絡(luò)之上的，構(gòu)建方法是將同屬于一個(gè)安全域的站點(diǎn)，通過(guò)隧道技術(shù)互聯(lián)在一起。該網(wǎng)絡(luò)的安全性是由綜合的安全機(jī)制來(lái)保證的，如加密機(jī)制、認(rèn)證機(jī)制、訪問(wèn)控制機(jī)制、安全審計(jì)機(jī)制等。
　　1.3 虛擬專用網(wǎng)的基本特征
　　陳性元提出的IP-VPN的定義不僅反映了VPN的主要特征，更強(qiáng)調(diào)了安全性和組網(wǎng)的功能。IP-VPN的定義揭示了IP-VPN的四個(gè)本質(zhì)特征。
　　（1）基于公共的IP網(wǎng)絡(luò)環(huán)境：在VPN前冠以IP的根本原因。由于像互聯(lián)網(wǎng)這樣的IP網(wǎng)絡(luò)環(huán)境建構(gòu)在諸多的TCP/IP標(biāo)準(zhǔn)協(xié)議之上，有著工業(yè)界*廣泛的支持，所以，利用VPN技術(shù)組網(wǎng)便利、經(jīng)濟(jì)、可靠、可用，同時(shí)組網(wǎng)靈活，具有良好的適應(yīng)性和可擴(kuò)展性。
　　（2）安全性：VPN“專用”的*主要內(nèi)涵之一。由于其構(gòu)建在公共IP網(wǎng)絡(luò)之上，所以要采用網(wǎng)絡(luò)安全技術(shù)，來(lái)保證同一“安全域”內(nèi)網(wǎng)絡(luò)信息的機(jī)密性、完整性、可鑒別性和可用性，這樣才能實(shí)現(xiàn)IP-VPN真正意義上的“專用、私有”。這也是VPN的關(guān)鍵所在，所以說(shuō)安全性是IP-VPN的生命。
　�。�3）*占性：用戶使用VPN時(shí)的一種感覺(jué)，其實(shí)用戶是與其他用戶或其他單位共享該公共網(wǎng)絡(luò)設(shè)施的，*占性也是“專用、私有”的內(nèi)涵之一。
　�。�4）自治性：虛擬專用網(wǎng)盡管是公共網(wǎng)絡(luò)虛擬構(gòu)建的，但同傳統(tǒng)的專用網(wǎng)絡(luò)一樣，它是一個(gè)自治網(wǎng)絡(luò)系統(tǒng)，必須具有網(wǎng)絡(luò)的一切功能，具備網(wǎng)絡(luò)的可用性、可管理性，所以VPN應(yīng)該是自成一體的*立網(wǎng)絡(luò)系統(tǒng)，具有協(xié)議*立性，即具有多協(xié)議支持的能力，可以使用非IP協(xié)議（如IPX等）；具有地址*立性，即可以自行定義滿足自己需要的地址空間，并且允許不同的VPN之間地址空間重疊、VPN內(nèi)的地址空間和公共網(wǎng)絡(luò)的地址空間重疊。因此，安全性、*占性及自治性，使得構(gòu)建在公共IP網(wǎng)絡(luò)環(huán)境上的VPN能夠真正做到“虛擬、專用”。
　　1.4 虛擬專用網(wǎng)的工作原理
　　本節(jié)以傳統(tǒng)的VPN拓?fù)浣Y(jié)構(gòu)來(lái)對(duì)VPN基本工作原理進(jìn)行講解，如圖1.1 所示。IP-VPN設(shè)備保護(hù)LAN1、LAN2，LAN1 和LAN2 之間的安全互聯(lián)依賴于兩個(gè)網(wǎng)絡(luò)邊界的IP-VPN構(gòu)建的安全隧道。IP-VPN設(shè)備包括的基本功能有訪問(wèn)控制、報(bào)文認(rèn)證、報(bào)文加解密、IP隧道協(xié)議封裝/解封裝等。VPN基本工作過(guò)程主要包括發(fā)送、接收等。
　　圖1.1 VPN基本原理示意圖
　　1）發(fā)送過(guò)程
　　LAN1 中的IP數(shù)據(jù)包到達(dá)IP-VPN設(shè)備時(shí)：
　　**步為訪問(wèn)控制，即安全策略的判斷。若允許外出，則直接按照路由進(jìn)行轉(zhuǎn)發(fā)；若為拒絕，則釋放IP數(shù)據(jù)包；若為VPN安全策略，則查找安全關(guān)聯(lián)（SA），獲取安全服務(wù)參數(shù)，對(duì)IP數(shù)據(jù)包進(jìn)行相應(yīng)的處理。
　　第二步為IP封裝，依據(jù)安全隧道協(xié)議對(duì)IP數(shù)據(jù)報(bào)文進(jìn)行封裝，封裝后的數(shù)據(jù)報(bào)文的IP地址為安全隧道兩端的地址，即IP-VPN設(shè)備A、B的外部IP地址。對(duì)新封裝的數(shù)據(jù)報(bào)文，加上認(rèn)證摘要長(zhǎng)度，重新計(jì)算數(shù)據(jù)報(bào)文長(zhǎng)度、校驗(yàn)和，并填充到數(shù)據(jù)報(bào)文*外部的IP頭中。
　　第三步為報(bào)文認(rèn)證，按照安全隧道協(xié)議的認(rèn)證要求，對(duì)封裝后的數(shù)據(jù)報(bào)文進(jìn)行完整性認(rèn)證處理，并將認(rèn)證摘要附在報(bào)文末位。
　　第四步為報(bào)文加密，按照安全隧道協(xié)議的加密要求，對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密，用加密后的密文替換報(bào)文中相應(yīng)的明文。
　　將安全處理后IP數(shù)據(jù)包交付給公共IP網(wǎng)絡(luò)，在IP安全隧道的保護(hù)下傳遞給LAN2 的邊界VPN網(wǎng)關(guān)。
　　2）接收過(guò)程
　　接收過(guò)程與發(fā)送過(guò)程相對(duì)應(yīng)。接收方收到數(shù)據(jù)包后，對(duì)數(shù)據(jù)包進(jìn)行裝配還原，即碎包組包，還原為大的數(shù)據(jù)包。
　　**步為報(bào)文解密。按照安全隧道協(xié)議要求，查找安全關(guān)聯(lián)，對(duì)數(shù)據(jù)報(bào)文進(jìn)行解密處理，并替換密文部分。
　　第二步為報(bào)文認(rèn)證。對(duì)數(shù)據(jù)報(bào)文進(jìn)行完整性認(rèn)證，判斷數(shù)據(jù)報(bào)文是否在傳輸過(guò)程中被竄改，若完整性不一致，則丟棄數(shù)據(jù)包。
　　第三步為IP解封裝。對(duì)數(shù)據(jù)報(bào)文進(jìn)行解封裝，去掉安全隧道協(xié)議部分、IP封裝部分，還原出LAN1 到LAN2 的原始數(shù)據(jù)包。
　　第四步為訪問(wèn)控制。對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制處理，判斷數(shù)據(jù)包的安全策略是否為VPN安全策略，若不是，則丟棄數(shù)據(jù)包。
　　被允許的將數(shù)據(jù)包交由路由處理，轉(zhuǎn)發(fā)到LAN2 中。
　　1.5 虛擬專用網(wǎng)的分類
　　依據(jù)不同的標(biāo)準(zhǔn)和觀點(diǎn)，VPN有不同的分類。本節(jié)重點(diǎn)從利于理解VPN的原則，對(duì)VPN分類進(jìn)行了較為系統(tǒng)的總結(jié)。大致可以分為按VPN的構(gòu)建者分類、按VPN隧道的邊界分類、按VPN應(yīng)用模式分類以及按安全隧道協(xié)議分類等。
　　1）按VPN的構(gòu)建者分類
　　按VPN的構(gòu)建者分類，VPN可以分為由服務(wù)提供商提供的VPN和由客戶自行構(gòu)建的VPN兩種類型。
　�。�1）由服務(wù)提供商提供的VPN。
　　服務(wù)提供商（SP）提供專門的VPN，也就是說(shuō)VPN的隧道構(gòu)建和管理由服務(wù)提供商負(fù)責(zé)，優(yōu)點(diǎn)是客戶的工作變得簡(jiǎn)單，缺點(diǎn)是不利于客戶的網(wǎng)絡(luò)安全，服務(wù)提供商非常清楚客戶的VPN，也了解通過(guò)隧道傳輸?shù)膬?nèi)容，因?yàn)樗淼朗怯煞��?wù)提供商的設(shè)備封裝的，所以安全要求較高的VPN不適合由服務(wù)提供商提供。
　�。�2）由客戶自行構(gòu)建的VPN。
　　服務(wù)提供商只需提供簡(jiǎn)單的IP服務(wù)，VPN的構(gòu)建、管理由客戶負(fù)責(zé)，所以經(jīng)由提供商的IP骨干網(wǎng)利用VPN傳輸信息時(shí)，所傳輸?shù)男畔⑹欠��?wù)提供商不知道的，對(duì)于VPN內(nèi)部的網(wǎng)絡(luò)路由等信息，服務(wù)提供商也是不清楚的。因此這種組網(wǎng)VPN的方式從安全的角度說(shuō)，是易于被人們所接受的，因?yàn)榘踩�完全掌握在自己的手中，�?dāng)然，客戶就多了VPN構(gòu)建、管理的管理工作。
　　2）按VPN隧道的邊界分類
　　按VPN隧道的邊界（即隧道的端點(diǎn)的位置）分類，VPN可以分為基于PE的VPN和基于CE的VPN。