（计算机软件与理论专业论文）ip+vpn的安全及相关技术研究与实现.pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人完 全意识到本声明的法律责任由本人承担。 论文作者签名：受i 整型 日期：炒碍谚 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：龟哑导师签名： 山东大学硕士学位论文 pv p n 的安全及相关技术研究与实现 研究生：刘铁民 指导老师：徐秋亮教授 摘要 随着i n t e r n e t 技术的不断发展，用户市场的逐渐成熟，如何更好地利用 网络资源，为用户提供经济、合理的组网方案，提高网络运行效率，成为目 前因特网建设中迫切需要解决的问题。电信运营商只有积极寻找相应的服务 解决方案，才能赢得商机，立于不败之境。i pv p n 为此应运而生。 本论文结合山东联通互联网的实际情况，探讨了i pv p n 的安全及相关技 术和实现方法，分析了如何综合利用山东联通已有的网络设备资源，在山东 联通互联网上大范围地开放i pv p n 业务，满足用户组网的需要。 第一章介绍了i pv p n 的基本概念、业务方式以及市场需要。 第二章重点研究了目前开通i pv p n 的几种主流技术：隧道技术和m p l s 技术，并对i p s e c 隧道技术和m p l s 技术进行了安全及相关技术的研究分析。 第三章重点介绍了结合网络设备的实际情况，在山东联通互联网上开通 i pv p n 业务，主要采取b g p m p l s 技术，根据市场需要结合i p s e c 技术，拨 号用户采用l 2 t p 映射至m p l sv p n 的网络实施方案。 【关键词】因特网，i p ，v p n ， m p l s 山东大学硕士学位论文 r e s e a r c ha n di m p l i m e n 仉虹1 0 n o f v p ns e c u r i t ya n dt e c h n o l o g i e s i n i pn e t w o r k g r a d u a t es t u d e n t ：l i u t i e m i n t u t o r ：p r o f x u q i u l i a n g abstract t h ee x p a n s i o no ft h eg l o b a li n t e r n e ta n dd o m i n a n c eo fi p b a s e d a p p l i c a t i o n sh a v ep a v e dt h ew a yf o rs e r v i c ep r o v i d e r st oo f f e re x c i t i n g news e r v i c e st ot h e i rc u s t o m e r s a st h ea p p l i c a t i o n so fb u s i n e s s c u s t o m e rn e t w o r k sb e c o m ei n c r e a s i n g l yc o m p l e xa n dn e t w o r k i n t e n s l y e ， s e r v i c e sp r o v i d e r sw h os e i z et h i sm a r k e to p p o r t u n i t yt op a r t n e rw i t h t h e i rc u s t o m e r sa n dd e l i v e rd i f f e r e n t i a t e ds e r v i c e s w l i ie n j o y f i n a c i a ls u c c e s sw i t hn e wrevenues t r e e m sa n di n c r e a s e dp r o f i t s v p n u s i n gt h ei n t e r n e th a v et h ep o t e n t i a lt os o l v em a n yo ft h e s en e t w o r k i n g p r o b l e m s b a s e do nt h er e a lb r o a d b a n di pn e t w o r ko fs h a n d o n gp r o v i n c e ，t h i s t h e s i sd i s c u s st h et e c h n o l o g i e sa n dr e a l i z i n gm e t h o d sa c c o c i a t e dw l t h d e p o l y i n g ，p r o v i s i o n i n ga n dm a n a g i n gi n t e r n e tv p ns e r v i c e s ：a n a l y z e h o wt ou s et h ee x i s i t i n gn e t w o r ke q u i p m e n tw i t hl i t t l ea d d i t i o nt o r e a l i z eap r o v i n c ew i d ei pv p np r o d u c e t h ef i r s tc h a p t e rp r o v i d e sab a s i cc o n c e p to fi pv p n ，t h es e r v i c e m o d e sa n d t h er a p i dm a r k e tr e q u i r e m e n t t h es e c o n dc h a p t e rd e s c r i b e sm o r ed e t a i l e d l ya b o u tt h em a i nv p n t e c h n o l o g i e s ：t u n n e l l i n ga n dm p l s b a s e d v p n c o m p a r e s t h e c h a r a c t e r i s t i c s ，b e n e f i t ，p o s i t i o n i n ga n dt h ed i f f e r e n t a t i o nb e t w e e n i p s e ca n dm p l sb a s e dv p n t h et h i r dc h a p t e ri m p o r t a n t l yd e s c r i b e sh o wt os e tu pa n dd e f i n e ai p 稍b a s e do nt h er e a ln e t w o r ke q i u p m e n to fb h a n d o n gp r o vi n e e a s t h em a r k e tr e q u e s t ，e m e r g i n gi p s e ep r o t o c o l ，m a i n l yi m p l e m e n tb g p m p l s s o l u t i o n 。a n dt h ed i a l u pa c c o u n tu sel 2 t pp r o t o c o a im a p e dt om p l s t or e l a l i z et h e i rv p ns e r v i c e t h i sc h a p e t a l s od i s c u s st h ev p n m a n a g e m e n ts y s t e m ，i n c l u d et h es o f t w a r ea n dh a r d w a r es t r u c t u r e - 4 k e yw o r d s i n t e r n e t ， i p v p n ， m p l s 山东大学硕士学位论文 绪言 随着计算机软件技术、通信技术和微电子技术的迅猛发展，以计算机技 术为基础的网络技术在开放系统互连模型和t c p i p 协议族的规约下，异构计 算机之间、异构网络之间互联的技术屏障已经被完全打破，并由此推进了信 息技术的高速发展。以计算机网络技术为平台的信息系统在解决了信息交换、 扩张和共享技术的同时，也对信息的所有权、使用权和拒绝权提出挑战，从 某种意义上说，计算机网络信息系统就是人类社会行为和相互关系及其管理 规范在网络空间的映射。 但是，如果构建计算机网络信息系统时只考虑互联互通和资源共享的问 题，只考虑系统的功能实现，那么毫不夸张地说，这样一个计算机网络信息 系统是一个对外裸露的系统，是一个存在安全隐患的未设防的系统。因此， 对于计算机网络信息系统的规划、设计和实施，必须建立在具有安全体系的 网络框架基础上。如今基于t c p i p 协议实现互联互通和资源共享的网络系 统，已经与原有的局域网、城域网和广域网的技术体系发生了很大变化，正 如中国工程院院士何德全在维护信息安全刻不容缓一文所言“进入因特 网时代，每个用户都可以连接、使用乃至控制散布在世界各个角落的上网计 算机。”以开放互联技术构成的计算机网络，已经没有传统意义上的边界概念 了。为解决物理网络资源跳跃式扩张与网络接入和连接的持续增长之间的矛 盾，并能够确保公共通信网络运行的流量均衡性、连接的隐蔽性和传输的保 密性，v p n 技术应运而生。 v p n ，顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络 的功能。虚拟专用网是指依靠i s p ( i n t e r n e t 服务提供商) 或n s p ( 网络服 务提供商) ，在公用网络中建立专用通信网络的技术。在虚拟专用网中，任意 两个节点之问的连接并没有传统专网所需的端到端的物理链路，而是利用某 种公众网的资源动态组成的。i e t f 草案理解基于i p 的v p n 为：“使用i p 机 制仿真出一个私有的广域网”是通过私有的隧道技术在公共网络上仿真一条 点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途线路，而 是使用i n t e r n e t 公众网络的线路。所谓专用网络，是指用户可以为自己制定 山东大学硕士学位论文 一个最符合自己需求的网络。 本文重点研究了v p n 的隧道技术和m p l s 技术的安全及相关技术，并结合 实际，提出了基于上述技术的v p n 用户接入实现方案。v p n 的隧道技术，即 在面向非连接的公用互联网上建立一个逻辑的、点对点的连接，称之为建立 了一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数 据仅被指定的发送者和接收者理解，从而保证了数据的私有性和安全性。目 前较为成熟的v p n 的隧道技术包括点对点隧道协议( p p t p ) ，第2 层隧道协议 ( l 2 t p ) 和安全i p ( i p s e c ) 隧道模式。m p l s 技术的全称是多协议标记交换 技术。m p l s 技术是在c i s c o 公司所提出来的t a g s w i t c h i n g 技术基础上发展 起来的。m p l s 是属于第三层交换技术，引入了基于标记的机制，它把选路和 转发分开，由标签来规定一个分组通过网络的路径。r f c2 5 4 7 b i s 定义了一 种机制，允许服务供应商使用自己的i p 骨干，为客户提供v p n 服务。r f c 2 5 4 7 h i sv p n 也称为b g p m p l sv p n ，因为它使用b g p 把v p n 路由信息分布到 供应商的骨干中，并使用m p l s 把v p n 流量从个站点转发到另一个站点上。 m p l sv p n 能够为用户节点间提供安全的纯i p 通信通道。m p l sv p n 的安全性 不是通过加密技术达到的而是通过对不同用户间、用户与公网间的路由信 息进行隔离实现的。路由隔离技术有效的解决了加密技术无法完成高速用户 流量处理的问题，并有效的降低了加密导致的时延。 基于上述考虑，本文将集中对v p n 的基本概念、业务方式以及市场应用， v p n 隧道技术和m p l s 技术的安全及相关技术，以及v p n 用户接入实现等有关 问题的研究进行深入讨论。 山东大学硕士学位论文 1 1v p n 1 1 1v p n 概念 第一章ipv p n 业务的现实背景 现在很多电信设备制造厂商在介绍自己的网络设备产品时，都声称具备 v p n 功能：中国联通、中国电信和中国网通等电信运营商均推出了基于m p l s 的i pv p n 业务。但究竟是什么i pv p n ? 由于经常被用在系列的网络解决 方案中，混杂着诸如q o s ( q u a l i t yo fs e r v i c e ) 、s l a ( s e r v i c el a y e r a g r e e m e n t ) 等名词，这个概念令人感觉高深莫测。其实v p n ( v i r t u a lp r i v a t e n e t w o r k ) 技术早在传统的电路交换网络中就提出过，目前广泛研究的主要是 基于i p 基础的v p n ，即利用开放、分布式架构的i n t e r n e t 网络资源为企业 构建的虚拟专用网。 顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功 能。虚拟专用网是指依靠i s p ( i n t e r n e t 服务提供商) 或n s p ( 网络服务提 供商) ，在公用网络中建立专用通信网络的技术。在虚拟专用网中，任意两个 节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公 众网的资源动态组成的。i e t f 草案理解基于i p 的v p n 为：“使用i p 机制仿 真出一个私有的广域网”是通过私有的隧道技术在公共网络上仿真一条点到 点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途线路，丽是使 用i n t e r n e t 公众网络的线路。所谓专用网络，是指用户可以为自己制定一个 最符合自己需求的网络。 v p n 有两层含义： ( 1 ) 它是虚拟的网，即没有专用的物理连接，网路只有用户需要时才建 立。“虚拟”的概念是相对传统专用网络的构建方式丽言的。传统的跨广域 网的专用网络是通过远程拨号和租用专线来实现的，而v p n 是利用服务提供 商所提供的公共网络来实现远程的广域连接； ( 2 ) 它是利用公众网设施构成的专用网，构建在这些公共网绍上的v p n 与当前的企业私有网络一样具有安全性、可靠性和可管理性等。 v p n 实际上就是一种服务，用户感觉好象直接和他们的个人网络相连， 但实际上是通过服务商来实现连接的。 1 。1 2 用户需要的v p n 目前用户的需求是：尽量降低通信成本，在更广的地域范围实现变化灵 活的通信。企业员工可以在家里、公路、公共场所、甚至是在他们的客户处 及时登陆公司的内部网络进行通讯；企业合作伙伴有可能需要长时间联网共 享信息，协同工作完成一个项目。而目前企业联网主要还是租用电信运营商 的d d n 专线或x 2 5 、a t m 、f r a m er e l a y 的永久虚电路( p v cp e r m a n e n tv i r t u a l c i r c u i t ) 、交换虚电路( s v cs w i t c hv i r t u a lc i r c u i t ) 。利用这种方式组网 在网络扩容、升级提速等变化时，由于接入设备种类繁多，不但价格昂贵， 还有制式方面的局限，大多必须和局端设备配对使用，维护管理还需要一定 的技术人员。 山东大学硕士学位论文 随着互联网和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于 i n t e r n e t 的商务应用。商务活动的日益频繁，各企业开始允许其生意伙伴、 供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信 息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各 企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全 性的问题，因为i n t e r n e t 是一个全球性和开放性的、基于t c p i p 技术的、 不可管理的国际互联网络，因此，基于i n t e r n e t 的商务活动就面临非善意的 信息威胁和安全隐患。 同时，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多， 而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部 门在连接分支机构方面也感到日益棘手。 用户的需求正是虚拟专用网技术诞生的直接原因。那么，在实际应用中， 用户需要的是什么样的v p n 呢? 一般情况下，一个高效、成功的v p n 应具备 以下几个特点： ( 1 ) 安全保障 虽然实现v p n 的技术和方式很多，但所有的v p n 均应保证通过公用网络 平台传输数据的专用性和安全性。在面向非连接的公用i p 网络上建立一个逻 辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道 传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保 证了数据的私有性和安全性。在安全性方面，由于v p n 直接构建在公用网上， 实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其v p n 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私 有信息的访问。e x t r a n e tv p n 将企业网扩展到合作伙伴和客户，对安全性提 出了更高的要求。 ( 2 ) 服务质量保证 v p n 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业 务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆 盖性是保证v p n 服务的一个主要因素；而对于拥有众多分支机构的专线v p n 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它 应用( 如视频等) 则对网络提出了更明确的要求，如网络时延及误码率等。 所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优 化方面，构建v p n 的另一重要需求是充分有效地利用有限的广域网资源，为 重要数据提供可靠的带宽。广域网流量的不确定陛使其带宽的利用率很低， 在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到 及时发送；而在流量低谷时又造成大量的网络带宽空闲。q o s 通过流量预测 与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类 数据能够被合理地先后发送，并预防阻塞的发生。 ( 3 ) 可扩充性和灵活性 v p n 必须能够支持通过企业内网( i n t r a n e t ) 和企业外网( e x t r a n e t ) 的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以 满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 ( 4 ) 可管理性 从用户角度和运营商角度应可方便地进行管理、维护。在v p n 管理方面， v p n 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户 山东大学硕士学位论文 和合作伙伴。虽然可以将些次要的网络管理任务交给服务提供商去完成， 企业自己仍需要完成许多网络管理任务。所以，一个完善的v p n 管理系统是 必不可少的。v p n 管理的目标为：减小网络风险、具有高扩展性、经济性、 高可靠性等优点。事实上，v p n 管理主要包括安全管理、设备管理、配置管 理、访问控制列表管理、o o s 管理等内容。 1 1 3v p n 的应用方式 根据不同用户的需求，一个全面的v p n 应可实现如图1 1 所示的网络应 用。 用户无需额外准备特殊的接口，用户与网络间可以运行任何的路由协议， 通过接入公用的i n t e r n e t 网，就可实现不同国际、国内城市分支机构间低成 本、安全、快速、可靠的内部通信需求，同时用户还可构建企业与供应商、 销售渠道、客户之间的电子商务平台。 图1 1v p n 应用 1 2v p n 业务分类及构建方式 1 2 1v p n 业务分类 移动办公 v p n 业务主要分为两种类型，即拨号v p n ( 简称v p d n ) 和专线v p n 。v p d n 业务主要应用于企业员工、企业用户、企业合作伙伴的远程拨号接入，专线 v p n 业务主要应用于企业的i n t r a n e t 和e x t r a n e t 的建设。 1 2 2v p n 构建方式 目前v p n 构建方式可分为基于用户设备和基于服务商两类。 基于用户设备的v p n 企业内部网中设置v p n 网关设备( 也可以是支 持v p n 隧道协议的路由器、防火墙等设备) ，通过租用专线连入i n t e r n e t 。 用户客户端与企业内部网关自己建立隧道而实现互通。该方式要解决两个问 题：隧道建立( t u n n e l i n g ) 和地址转换( n a t ) 。远程客户端需要特别的支持隧 道协议的客户端软件，v p n 网关可由用户自身购买或租用i s p 的设备，其安 全性由自身来管理或由i s p 代管。在该模式中网络设施是被动的，而且隧道 山东大学硕士学位论文 对i s p 来说是完全透明的，i s p 无法提供增值服务。 构建方式如图1 2 所示。 图1 2 基于用户设各的v p n 基于网络边缘设备的v p 卜在i p 网络边缘接入由电信运营商管理的 v p n 接入设备，为用户提供v p n 业务。这类设备要连接多个v p n 用户，为每 个用户建立隧道( t u a n e l i n g ) 、地址转换( n a t ) 、路由( r o u t i n g ) ，邵要解决 m u l t i t u n n e l i n g 、m u l t i n a t 、v i r t u a l r o u t i n g 问题。设备由i s p 来管 理和维护。其优势是远程客户端不需要特别的软件，隧道的建立和终止都是 在服务商的网络设旎中实现的，客户可以不需要增加任何设备投资或软件投 资而获得v p n 所有好处。隧道对i s p 来说是非透明的，i s p 可以提供增值服 务。 构建方式如图l 3 所示。 图i 一3 基于网络边缘设备的v p n 基于用户设备建立v p n 时，存在如下缺点： ( 1 ) 用户端设备资源损耗大，c p u 资源占用厉害，影响用户的其他工作。 ( 2 ) 用户需要购买专用的设备，需要相应的技术人员来维护和管理。 ( 3 ) 当企业分支机构较多而又需要实现全部的互通时，需要建立的隧道 个数为( n 1 ) 2 个。1 3 为企业分支机构的数量。 而采用服务商提供的v p n 服务时，企业可获得如下益处： ( 1 ) 建网快捷，易扩展、定制。用户只需与服务提供商签约，将各网络 接点接入公用网络，并对网络进行相关配置即可。可以迅速构建一个属于自 己的专用网络，增进工作效率与员工生产力，提高企业整体的竞争力。v p n 是逻辑上的网络，用户要扩大或改变v p n 覆盖范围只需再签约、进行相应的 软件操作即可。 ( 2 ) 简化用户的网管。大量的网管及维护工作均由服务提供商完成；而 且。企业甚至可以不必建立自己的广域网维护系统，而将这繁重的任务交 由专业的i s p 来完成。 对于v p n 用户而言，利用服务商提供的v p n 业务，自己可以不用投入资 金购买设备，组建网络，不需要额外聘用技术人员。节省了时间和辅力而且 费用也要比原先的租用专线低，无疑是非常有吸引力的。因此，大多数用户 还是会考虑利用i s p 提供的v p n 业务来构成自己的私有网络。 山东大学硕士学位论文 1 3v p n 的应用分析 1 3 1v p n 应用前景 i n t e r n e t 服务提供商( i s p ) 和企业将是v p n 的直接受益者。i s p 将v p n 作为一项增值业务推向企业，并从企业得到回报。因此，v p n 的最终目的是 服务于企业，为企业带来可观的经济效益，为现代化企业的信息共享提供安 全可靠的途径。 v p n 为企业带来的利益有： ( 1 ) 降低企业成本。当用v p n 进行远程访问时，只需付市内电话费，节 约了昂贵 的长途电话费：可以大大节约链路租用费、设备购置费以及网络维护费， 减少企业的运营成本。除此之外，更能将i n t e r n e t 、企业内部网络 ( i n t r a n e t ) 、企业外部网络( e x t r a n e t ) 及远程接入功能( r e m o t ea c c e s s ) 整 合于同一条对外线路中，不需要像以前那样，同时管理i n t e r n e t 专线，长途 数据专线等多种不同线路。 ( 2 ) 公司能利用无处不在的i n t e r n e t 通过单一网络结构为职员和商业 伙伴提供无缝和安全的连接：能加强与用户、商业伙伴和供应商的联系。 ( 3 ) 安全可靠。通过在公用网络上建立逻辑隧道、网络层的加密以及采 用口令保护、身份验证、权限设置、防火墙等措施，v p n 保证数据的完整性、 避免被非法窃取。v p n 与传统的租用专线相比有一大优点，即i n t e r n e t 有一 部分出现问题时，数据可重新选择路由，而专线一旦出故障则会导致相应的 网络瘫痪。 v p n 可以为服务提供商带来以下益处： ( 1 ) 服务提供商可获利。一方面可获得增值利润；另一方面可利用i pv p n 实现为i s p 提供虚拟接入设备业务，即一般的i s p 可租用大i s p 的用户接入 设备通过v p n 连到自己的核心系统而开展业务。 ( 2 ) 在通过向企业提供v p n 这种增值服务，i s p 可以与企业建立更加紧 密的长期合作关系，同时充分利用现有网络资源，提高业务量。事实上，v p n 用户的数据流量较普通用户要大得多，而且时间上也是相互错开的。v p n 用 户通常是上班时间形成流量的高峰，而普通用户的流量高峰期则在工作时间 之外。i s p 对外提供两种服务，资源利用率和业务量都会大大增加，将给i s p 带来新的商业机会。 1 ，3 ，2v p n 业务发展趋势 v p n 兼备了公众网和专用网的许多特点，将公众网的可靠性能、丰富功 能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。 v p n 、能够充分利用现有网络资源，提供经济、灵活的联网方式，为客户节省 设备、人员和管理所需的投资，降低用户的费用，在近几年得到了迅速的应 用。v p n 对于服务提供商和公司企业来说，都蕴含着极大的商机。业界分析 家己意识到了v p n 将带给服务提供商的极大利润。 i n f o n e t i c s 公司预计从 2 0 0 1 年到2 0 0 5 年，欧洲的v p n 市场将3 5 0 的增长：到2 0 0 4 年，北美的v p n 业务收入将增至8 8 亿美元。接受调查的客户中有5 5 的客户计划采用v p n 。 山东大学硕士学位论文 有专家认为，v p n 将是互联网发展速度最快的业务之一。 i d c ( i n t e r n e td a t ac o r p o r a t i o n ) 对中国v p n 市场的收益值做出的预 测如图l 一4 所示。 p r ct e l e c o mn e t w o r ks e r v i c e sm a r k e t 图l 一4 中国的服务商从v p n 市场获得的收益 山东大学硕士学位论文 第二章lpv p n 的安全及相关技术研究 2 1i pv p n 的类型 i pv p n 的实现方式多种多样，按照接入方式可分为：a c c e s sv p n ( 以拨 号或宽带接入) 和专线v p n 。按照v p n 的结构可分为：o v e r l a y 方式( 建立点 到点的t u n n e l ，运行在i p 骨干网之上) 和p e e r 方式( 用户c p e 接入，与服 务提供商的r o u t e rp e e r ，形成点对网络的结构) 。按照提供v p n 的网络层次 可分为：l 3v p n 和l 2v p n ，l 2v p n 类似于a t m ，f r ，专线服务，但可提供更灵 活的服务，如透明的l a n 传输一t r a n s p a r e n tl a ns e r v i c e 等，使用e t h e r n e t o v e rm p l s ，a t mo v e rm p l s ，f ro v e rm p l s ，c i s c ou n i v e r s a lt r a n s p o r t i n t e r f a c e 等技术；l 3v p n 主要模型有i p s e e 和b g p m p l sv p n ( 或r f c 2 5 4 7 b i s ) 等。选择何种类型的v p n ，主要依据的是客户所需完成的具体功能、安全的 风险评估、v p n 规模的扩展性、路由的复杂程度、通信流量、实施v p n 的复 杂程度和是否利于维护排障。 根据t c p i p 协议模型，如图2 一l ，v p n 的模型可分为： 传统v p n 帧中继( 第二层) 和a t m ( 第二层) 基于c p e ( 用户端设备) 的v p n l 2 t p 和p p t p ( 第二层) 和i p s e c ( 第三层) 供应商开通的v p n ( p p - v p n s ) 基于m p l s 的第二层v p n 和b g p m p l sv p n 或r f c 2 5 4 7 b i s ( 第三层) 图2 一it c p i p 协议模型 目前，电信运营商组建v p n 网，可采用的较先进技术主要有两种，一种 是网络隧道技术，另一种是基于m p l s 技术。结合山东联通互联网的网络设备 以及v p n 用户的需求情况，本文主要研究基于隧道技术中的l 2 t p ( 链路层) 山东大学硕士学位论文 方式和i p s e c ( 网络层) 方式，基于m p l s 技术中的b g p m p l s ( 或r f c 2 5 4 7 b i s ) ( 网络层) 方式。并对网络层上的两种方式加以对比研究。 2 2v p n 网络隧道技术 2 2 1 网络隧道( t u n n e | li n g ) 技术 网络隧道( t u n n e l l i n g ) 技术是指：利用一种网络协议来传输另一种网络 协议，它主要利用网络隧道协议来实现这种功能。 在面向非连接的公用互联网上建立一个逻辑的、点对点的连接，称之为 建立了一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保 证数据仅被指定的发送者和接收者理解，从而保证了数据的私有性和安全性。 通过t u n n e l 的建立，可实现以下功能： 将数据流量强制到特定目的地 隐藏私有的网络地址 在i p 网上传输非i p 协议数据包 提供数据安全支持 协助完成用户基于a a a ( a u t h e n t i c a t i o na u t h o r i z a t i o na u d i t ) 的管 理。 下面是一个隧道包典型设计： 图2 2 隧道包设计 要形成隧道，有以下几项基本的要素： 隧道开通器( t i ) 有路由能力的公用网络 一个或多个隧道终止器( t t ) 必要时增加一个隧道交换机以增加灵活性 隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件 可完成此项任务，例如：( 1 ) 配有模拟式调制解调器p c 卡和v p n 型拨号软件 的最终用户端计算机；( 2 ) 分支机构的l a n 或家庭办公室l a n 中的有v p n 功 能的e x t r a n e t 路由器：( 3 ) 网络服务提供商站点中的有v p n 能力的访问集中 器。 山东大学硕士学位论文 隧道终止器的任务是使隧道到此终止，不再继续向前延伸。也有多种网 络设备和软件可完成此项任务，例如：( 1 ) 专门的隧道终止器；( 2 ) 企业网 络中的隧道交换机；( 3 ) n s p 网络的e x t r a n e t 路由器上的v p n 网关。 隧道技术在经过一段时间的发展和完善之后，目前较为成熟的技术包括： 点对点隧道协议( p p t p ) p p t p 协议允许对i p ，i p x 或n e t b e u i 数据流进行加密，然后封装在i p 包头中通过企业i p 网络或公共互联网络发送。 第2 层隧道协议( l 2 t p ) l 2 t p 协议允许对i p ，i p x 或n e t b e u i 数据流进行加密，然后通过支持点 对点数据报传递的任意网络发送，如i p ，x 2 5 ，桢中继或a t m 。 安全i p ( i p s e c ) 隧道模式 i p s e c 隧道模式允许对i p 负载数据进行加密，然后封装在i p 包头中通 过企业i p 网络或公共i p 互联网络如i n t e r n e t 发送。 2 2 2l 2 t p 隧道协议 l 2 t p 协议是i e t f 的p p p 工作组结合微软公司提出的p p t p 协议与c i s c o 公司提出的l 2 f 协议而形成的一个准标准，它可应用于i p 网、a t m 网、帧中 继网。在l 2 t p 协议中，规定了三个网络元素，即l a c ( l 2 t pa c c e s s c o n c e n t r a t o r ) l n s ( l 2 t pn e t w o r ks e r v e r ) ，主局域网的管理域 ( m a n a g e m e n td o m a i n ) ，如图2 3 。 图2 3l 2 t p 网络 l a c 与l n s 是对等的两个端点，隧道是建立在l a c 与l n s 之间的，l a c 将对从用户端收到的p p p 帧进行封装，通过隧道传送到l n s ，由它将用户的 p p p 帧进行解包并传送到目的主机；主局域网中的管理域负责地址分配、认 证、授权、计费。 v p n 工作过程为：当一个远端用户通过p s t n 向l a c 发起一个电话振铃信 号，当l a c 检测到该呼叫时，l a c 向l n s 发出一个呼叫请求信息，然后等待 l n s 的应答，在此期间它不响应电话网的入呼叫。 一旦l n s 决定接受这一入呼叫请求，它会返回一个入呼叫应答给l a c ， l a c 接受到该应答后则对电话网的入呼叫作出响应，至此l a c 与l n s 之间建 立起一个会话过程，l a c 可以接收用户传送过来的p p p 帧并向l n s 转发。在 此之前，l a c 与l n c 之间必须先建立起一个隧道和相应的控制连接以便能够 在隧道中建立受用户呼叫触发的会话过程。 山东大学硕士学位论文 一台可运行l 2 t p 协议的主机也可参与建立至l n s 的隧道，而不需要l a c 的存在，在这种情况下需要这台主机与互联网已经有物理连接。 ( 1 ) l 2 t p 协议结构 l 2 t p 使用两种类型的信息包，一种是控制信息，用于建立、维护、 清除隧道和呼叫，它使用可靠的控制信道来保证控制信息的传送：另一种是 数据信息包，用于封装p p p 信息帧，在传输过程中发生信息帧的丢失，不会 有数据信息包的重传。 从l 2 t p 协议结构中可以看出，p p p 帧是在一个不可靠的数据信道中 被传送的，它首先被l 2 t p 协议头封装，然后再被封装成相应传送网络的协议 包进行传送；l 2 t p 控制信息包与数据信息包是封装在同一个数据包中进行传 送。在所有控制信息中都要求有序列号，以保证控制信息在控制信道中的可 靠传送。 ( 2 ) 隧道类型 根据隧道建立方式的不同，可分为主动式隧道、被动式隧道。 主动式隧道 当一个客户终端利用隧道客户端软件主动与目标隧道服务器建立一 个虚连接，则该连接称为主动式隧道。这要求在该用户的终端上需要装载所 需的协议并且与互联网要有连接。对于拨号方式，客户端必须先拨号到当地 i s p ，建立一个到互联网的连接，然后才能建立隧道，将p p p 帧进行封装，通 过隧道传送到目的地。这是一种最为普通的情况。对于专线接入i s p 的用户，本身已经建立起到互联网的连接，则可以直接建立起与目的地隧道 服务器的连接。 被动式隧道 在这种方式中，有一台网络设备( 一般是i s p 端的设备) 代替拨号 用户建立与目的地隧道服务器的隧道，在l 2 t p 协议中，定义这种设备为l a c ， 并在这台网络设备中装有相应的隧道协议。一旦隧道建立之后，多个拨号用 户的数据流可在同一个隧道中传输。 2 2 3i p s e c 隧道协议 采用i p s e c 隧道方式组建v p n ，需要在业务接入点放置一台v p n 网关。 网关之间通过在i s p 的网络上建立隧道的方式互联。用户通过各种方式按到 v p n 网关上来。如果仅仅是为每个v p n 用户建立t u n n e l 的话，那整个网络上 的i p s e et u n n e l 将如一团乱麻。因此，厂家在做v p n 网关时，都采用了构建 虚拟路由器( v i r t u lr o u t e r ，简写为v r ) 的方法，在每个v p n 网关上为每 个v p n 用户建立一个v r ；对应于每个i s p 的网络，建立一个s pv r 。s pv r 之间通过i p s e c 隧道互联。整个网络的构建如图2 4 所示。 用户的v r 之间可通过各种路由协议进行路由交换，每个v r 都有所属v p n 的路由表。i p s e ct u n n e l 可以看成一条逻辑的网络连接线路。用户的数据送 到一个v r 上，通过i p s e ct u n n e l 传输到另一端的v r ，然后转发给目的用户。 山东大学硕士学位论文 图2 4 应用i p s e c 隧道组建v p n 2 2 4 基于l p s e c 隧道方式组建v p n 的优点 基于i p s e c 的v p n 实现有以下优点： ( 1 ) 在i p 层增加认证包头a h ( a u t h e n t i c a t i o nh e a d e r ) 和数据加密 格式e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ) ，使得通信安全可靠： ( 2 ) 目前，厂家基于i p s e c 的v p n 网关可提供的接口种类丰富，用户可 以多种方式( d s l ，f r ，a t m ，v l a n ，l 2 t p 隧道) 连接v p n 网关。 ( 3 ) 在每个v r 上可以加防火墙，根据v p n 用户的需要进行包过滤，实 现用户级访问控制。 2 2 5 基于i p s e c 隧道方式组建v p n 的缺点 ( i ) 对于一个大的v p n 网络，需要建立的i p s e c 隧道很多。 ( 2 ) v p n 网关之间的i p s e c 隧道虽不需要f u l l ym e s h e d ，但仍需合理都 局，才能保证信息传递的可达性和网络资源利用的合理性。 ( 3 ) 在增加新的v p n 网关时，需要做大量的与其他网关互通的配置工作。 2 2 6l p s e c 的安全性分析 i p s e c 是基于端到端安全模型的，它可以提供几种方式来提供不同的安 全等级。 l 、端到端安全的局限性 基本i p s e c 协议是基于端到端安全模型的。在i p s e c 体系中，安全保护 的粒度是在数据报一级，它把一i p 数据报中的任何事情都当作一个整体单元 山东大学硕士学位论文 来对待，而通常一i p 数据报有三部分组成：i p 头( 仅用于路由目的) 、上层 协议头( t c p 或u d p 头) 和用户数据。 i p s e c 规范说明中要求当使用端到端安全时，i p 层之上的所有协议头都 必须被加密。加密和认证使用的密钥只被发送方和接收方安全网关共有，公 共i n t e r n e t 上的其它节点，不管它们是合法的路由器还是恶意的窃听者，只 能看到i p 头而不能解密包的内容，也不能篡改内容而不被发现。i p s e c 的这 种保护模式和它严格的分层原则在网络层是提供安全的最安全的方式，但是 对正在出现的下一代i n t e r n e t 一类新的网络服务和应用是不适合的。它对在 网络中间节点上的需要查看协议头中信息的合法用户或应用带来了几个问 题。在今天的i n t e r n e t 中，路由器开始扮演着越来越重要的角色，它们常常 要依靠一些i p 数据报有效负载的信息，如特定的上层协议头字段来进行精细 复杂的路由决定，换句话说，路由器现在能参与i p 层以上的活动。而i p s e c 的端到端安全机制就阻止了这种应用。 2 、问题陈述 i p s e c 本身或与其它机制与应用一起使用时存在的问题主要有： 1 ) i p s e c 打破了原来的许多事情，或使它们更难，因为它工作在 i n t e r n e t 层； 2 ) i p s e c 会和下列已经开发的协议冲突：d i f f s e r v 、m p l s 、r s v p 、i m t 、 s i p 、p i l c 、r m o n 3 ) 下列常用机制将会受i p s e c 影响： a ) 业务流监控与分析：业务流监控、入