基于宽带互联网和3G的软件VPN服务

第1页基于宽带互联网和3G的软件VPN服务一、概述随着中国经济的迅猛发展，今天很多的企业都不止有一个办公地点（如制造企业有办公室和多家厂房、连锁加盟企业有多处门店和专卖店等），而且企业中销售、采购和相关办事人员外出办事也更加频繁。如何有效、简便地解决企业分支机构间的信息沟通，解决外出办事员工的在家办公和移动办公，安全访问公司内部网中的信息数据资源，成为每个企业IT管理人员当前面对的的重要课题。伴随这经济的迅猛发展，电信运营商的互联网宽带ADSL/xDSL/LAN业务也得到迅速发展，与此同时，各大电信运营商也在大力发展3G网络和增加无线局域网（WLAN）热点的覆盖范围，电信运营商的3G网络和无线局域网业务为移动无线宽带数据接入提供了有力的通讯手段，进而为能够真正实现“随时随地移动办公”的思路提供了现实的解决途径。基于IP的VPN组网技术在全国各地也逐渐宣传普及起来，许多企业转而考虑在宽带IP网络（互联网宽带ADSL/xDSL/LAN、3G网络和WLAN）上使用IPVPN技术来组建虚拟企业专网，实现分支机构的互连互通和信息资源共享，实现员工的在家办公和移动办公，以提高企业的办公效率。IPVPN技术帮助企业基于互联网组建相对封闭的虚拟企业专网，只有合法的企业用户可以加入到该虚拟企业专网，访问相关的信息数据资源。但是当企业的IT管理人员在使用IPVPN技术组建虚拟企业专网时，往往发现IPVPN组网技术一旦碰到防火墙、私有地址、不同地点跨运营商网络接入问题和异地维护VPN网络设备问题时，IPVPN组网技术就变得异常复杂和烦琐。IPVPN组网的困难阻碍了众多的企业对IPVPN组网技术的使用。以下我们不妨先探讨一下几种传统的IPVPN技术：第2页二、VPN技术介绍VPN（虚拟专用网，VirtualPrivateNetwork）指的是依靠ISP和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。目前，电信运营商业务和接入技术的发展，使得企业可以选择多种技术来建立自己的广域网络。VPN的实现方式有多种，可以根据不同的着重点来区分VPN。1)按VPN的部署模式分类VPN的部署模式从本质上描述了VPN的通道是如何建立和终止的，一般有3种VPN部署模式：端到端(End-to-End)模式；供应商—企业(Provider-Enterprise)模式；供应商内联（Intra-Provider）模式。2)按VPN的服务类型分类根据服务类型，VPN业务大致可分为3类：IntranetVPN、AccessVPN与ExtranetVPN。IntranetVPN：即企业的总部与分支机构间通过公网构筑的虚拟网。AccessVPN：又称为拨号VPN（即VPDN），是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。ExtranetVPN：即企业间发生收购、兼并或企业间建立战略联盟后，不同企业网通过公网来构筑的虚拟网。3)按VPN技术分类这里我们将VPN技术分为两大类：OverlayVPN和MPLSVPN，还有一类是软件VPN也就是易联网公司为代表的软件VPN解决方案。OverlayVPN：OverlayVPN要求在帧中继、ATM或IP网络上建立隧道或加密，这种方案是建立在点到点连接的基础上的，需要对每条隧道或第3页VC进行单独的配置。MPLSVPN：基于MPLS的网络能够将数据流分开，无需建立隧道或加密即可提供保密性，基于MPLS的网络以网络到网络的方式提供保密性，如同帧中继以连接到连接的方式提供保密性一样。软件VPN：易联网公司易联网软件VPN服务是一种基于DNR（DomainNameRouting：域名路由）专利技术的VPN解决方案，通过这种技术，可以使IPSec数据包直接穿过地址翻译设备（NAT：NetworkAddressTranslating），从而实现真正义意上的端到端双向数据的安全。通过这种技术，所有的IP数据业务都可以得到支持，不仅包括传统意义上的FTP、Telnet和E-mail等业务可以得到支持，而且包括各种基于TCP/IP协议开发的应用软件如：OA、ERP和财务等也可以得到支持。易联网软件VPN服务屏蔽底层网络结构互联互通的复杂性问题，在互联网上为用户提供一个安全的虚拟局域网访问环境，这样带来的一个好处是VPN解决方案本身的灵活性。在这种实现方式中，对用户的物理接入方式没有任何的要求，也不管易联网软件VPN服务是否跨越了多个服务商，都可以灵活地实现三种不同服务类型的IPVPN业务。OverlayVPN主要是指传统的以IPSec为基础的VPN的解决方案，这种方式的VPN适合于用户自行建设，而不是由电信运营商来提供的VPN服务。在这里，有必要把传统的IPSecVPN的实现方式说明一下。传统的IPSecVPN的实现方式是指那些采用VPN（IPSec）网关的实现方式，如下图所示：第4页在这种实现方式中，不同的VPN网关之间，或者是在个人用户与VPN网关之间建立一条IPSec隧道，互相之间建立信任关系。不同的私有网络或者是个人用户与私有网络之间通过该IPSec隧道来交换数据，从而实现VPN。传统的IPSecVPN的解决方案都有一些致命的问题导致了这些解决方案只能在一些中小型的企业简单的点到点VPN应用中被采用，而不可能在互联网中得到大规模的应用。这些致命的问题已经是广为人知了：用户端设备：由于企业的IPSec网关需要来终结所有的IPSec隧道，需要大量的CPU资源来进行加解密的运算，这对网关的性能提出了非常高的要求。由于IPsec必然要在VPN网关上被终止，因此这意味着每一个用户必须有一个独立的网关，每个用户必须自行维护其IPVPN网关设备。难于管理：IPSec动态密钥的管理非常复杂，当网络的规模大到一定程度时，例如当需要在数十个节点间建立虚拟专网时，密钥由企业IT管理员手工管理已经几乎不可能做到。安全问题：由于IPSec隧道在网关上被终结，数据在网关内部传输时得不到安全保护。现在VPN产品不能通过VPN网关实现用户对用户的IPsec。在企业的内部网络中客户与网关之间有安全漏洞，而这在电子商务中尤其严重。第5页性能和扩展性：现在的VPN网关存在着性能上的瓶颈，而且难于扩展。由于所有的IPsec在网关上被终止，所有的IPsec的加密和解密计算都集中在网关上，这导致了网关成为最大的瓶颈，不可能实现有服务质量保证的业务。同时这种VPN网络中，任何一个VPN节点的配置改动，都需要在其它相应的VPN节点设备上进行配置修改。不是真正意义上的移动VPN。传统VPN解决方案并不支持真正意义上的双向移动漫游用户，传统VPN解决方案仅能满足分散的移动终端访问中心节点，难以解决中心节点反向访问分散的移动终端。而双向通信对于很多应用的解决方案，如IP电话，网络会议等是必须的。采用MPLS来实现VPN的办法不外乎有两种，一种是采用Juniper的CCC(CircuitCrossConnect)或者是Cisco的VLL(VirtualLeasedLine)来实现。如下图所示：无论是Cisco的VLL还是Juniper的CCC，都是采用MPLS流量工程的手段，模拟出类似于ATMPVC的具有带宽保证的逻辑虚电路。说到底，这是一种位于网络层之下的解决方案。这一种解决方案可以来提供类似于数据专线或者是类似于第6页ATM/FR逻辑虚电路的业务，并且可以模拟出在IP网络上开展的传统电信业务。这种实现方式的缺点是：方案本身不提供任何数据安全的手段，需要依靠网络层之上的手段来实现。例如，可以在网络中相应地采用IPSec来保证设备与用户数据的安全。系统本身的管理复杂性较大，当用户需要在网络中建立一条逻辑虚电路时，对这一条虚电路所经过的每一个路由器都要进行配置，并且配置的难度较大。所能支持的用户端的联接方式有限，一般只能支持串行方式的联接。MPLS的第二种VPN的实现是采用BGP/MPLS(RFC2547Bis)的方式。这种实现方式如下图所示：这种实现方式是在一个物理路由器内产生多个虚拟路由进程，并且利用MBGP（Multi-protocolBGP）在不同路由器的不同路由进程之间传递路由信息，从而产生多个虚拟路由域，即所谓的VPN。这一种VPN的实现方式相比较于上一种实现方式而言，管理的复杂性大大降低，网络管理员只需要手动地配置PE路由器与CE路由器，以及相应的路由协议，而PE路由器与其它PE路由器之间的路由交换依靠动态路由协议自动地完成。而且MPLS的虚电路也可以依靠动态的协议完成，从而降低管理的成本。再有，与上一第7页种实现方式一样，可以实现有业务质量保证的VPN业务，这是其它的解决方案所不能实现的部分。但是，这种实现方式并没有解决上一种实现方式中的其他问题。另外，这两种MPLS的VPN解决方案还有一些共同的问题：一是两者都是针对于网络用户或者是专线接入用户的解决方案，而对于拨号用户或者是个人用户而言，这两种解决方案并不能覆盖。如果服务提供商需要一个针对于个人用户的解决方案，这两种方案显然是不合适的。另外，MPLS的VPN实现方式对网络结构的要求较高，任何一个客户的接入点发生改变的话，都可能带来很大的管理与重新配置的问题。再有，如果用户有接入互联网的要求的话，MPLSVPN需要在接入点增加另外一条物理链路或者是另外一条逻辑链路，这是由于MPLS的技术实现方式造成的。另外MPLS在提供跨地域特别是全球VPN业务时，不得不面临运营商之间相互配合的问题，即MPLSVPN跨IP自治域的互连互通的问题。虽然从技术的角度来说，MPLSVPN跨IP自治域的互连互通不是问题，但由于人为配合等工程实施因素，往往造成MPLSVPN施工周期较长，影响了MPLSVPN业务的迅速推广。近几年来，VPN的解决方案似乎一直是人们争论的热点，究竟是采用MPLS的VPN解决方案好还是采用IPSec的解决方案好。VPN解决方案提供商也在向用户推销不同的解决方案，MPLSVPN方案提供商攻击IPSec的解决方案不具有扩展性，不适合大型网络的采用；而IPSecVPN的方案提供商也攻击MPLSVPN解决方案安全性不好，管理复杂。似乎MPLS与IPSec是两种水火不相容的东西，造成ISP也同时分成两派，采用MPLSVPN的ISP不会同时采用IPSec，而采用IPSec解决方案的ISP不会再采用MPLS的解决方案。实际上任何一种解决方案都有其本身的优点与缺点，任何一种解决方案都不可能覆盖所有的用户对象，也就是说任何一种单一的解决方案本身都不是一种完美的解决方案。当某一种解决方案不能做到“完全覆盖”时，可能会有另外的一种解决方案可以作为这一种解决方案的补充。市场调查资料显示MPLSVPN实际上仅能满足5%左右的高端VPN用户，剩下不到10%的VPN用户会采用自行建设硬件VPN网关（IPSec解决方案之一）的方式，大量的85%左右的VPN用户并没有找到很理想的IPVPN解决方案。第8页三、无线局域网WLAN的安全问题不需要有线的方式就可以完成普通的网络接入，这是部署无线局域网的强大驱动力。但对于许多企业和人员来说，无线技术在接入的灵活性方面的明显优势被传输过程中没有安全保障带来的安全问题所抵消，尤其是由电信运营商提供的无线局域网接入业务由于考虑到需要向所有公众用户提供服务，为了降低接入的复杂性，因此没有采用数据加密措施，这样用户通过电信运营商提供的无线局域网传输的数据极易被人监听。UCBerkley的研究人员发表的一篇文章表明：“在802.11安全协议(WEP)中的安全漏洞严重破坏了系统的安全要求”，并且802.11无线局域网会带来潜在的安全攻击。研究员在文章所描述的安全问题可以在WallStreet杂志或其它刊物上找到。文章主要阐述了电脑黑客通过无线网络监视、攻击802.11网络并造成数据流崩溃的可能性。由此可见虚拟专用网（IPVPN）则是保护无线局域网后门安全的关键。IPVPN具有比无线局域网所采用的WEP协议更高层的网络安全性(第三层)，能够支持用户和网