第1章虚拟专用网概述
　　1.1 虚拟专用网的产生背景
　　随着互联网的飞速发展、网络的普及，人们需要随时、随地以任意的接入方式联入企业网、政府网，并进行移动办公。另外，随着企业的发展壮大，企业分支机构越来越多，合作伙伴越来越密集，企业与各分支机构、合作伙伴之间也需要随时通信以保持业务往来。这都涉及远程接入与网络互联问题。但是，在远程接入、网络互联中，存在着身份假冒、信息窜改、信息泄露等安全威胁。
　　在传统的广域网互联中，通常的做法是租用PSTN、X.25、FR或DDN等线路，为每个分支机构、合作伙伴建立*立的专用网络（简称专网），组成企业或企业间的专用网络，专用网络的主要优点是安全性、带宽及服务质量（QoS）都能得到保证；缺点是大量的*立专用网络不仅存在着重复投资、资源利用率低等问题，而且增加了管理负担，成本高。但随着互联网的发展，特别是宽带IP技术的产生和发展，Internet（互联网）的服务质量和带宽已经有了明显的改善，可靠性和可用性也大为增强，Internet已经提供了经济、便利、快速、可靠和灵活的WAN通信，可是，互联网仍不能提供与专用网相比的安全性。VPN技术就是在这样的一个背景下提出来的，即依托于公共网络（简称公网）实现专用网络的功能，它兼备了两者的优点，既能运行于互联网或公共IP网络之上，又能提供足够的安全性。
　　1.2 虚拟专用网的概念
　　1.2.1 虚拟专用网概念演进
　　虚拟专用网概念由专网、最初的VPN概念，演进到今天的IP-VPN概念，共经历了专用网络、基于全数字接入的虚拟专用网和现代的虚拟专用网等三个阶段。
　　1）专用网络
　　**个阶段是专用网络。对于要求永久连接的情况，LAN通过租用的专用线路（简称专线，如DDN等）互联而组成专网，远程用户通过PSTN直接拨入企业的访问服务器。显然，其可以获得比较稳定的连接性能，企业网的安全性也容易得到保障，因为必须使用专用的设备，并能接触到线路，才能获取到租用线路上的数据。但是，从用户的角度来说，它的通信费用高得惊人，企业需要自己去管理这样一个远程网络。从服务提供商的角度，由于用户*占的原因，即使线路没有数据传输，或流量不大，其他用户也无法利用，所以，线路的利用率不高。
　　2）基于全数字接入的虚拟专用网
　　第二个阶段是基于全数字接入的虚拟专用网。上述原因促使数据通信行业人员和服务提供商设计并实现大量的统计复用方案，利用拥有的基础设施，为用户提供仿真的租用线路。这些仿真的租用线路称为虚电路（Virtual Circuit，VC），虚电路可以是始终可用的永久虚电路（PVC），也可以是根据需要而建立的交换虚电路（SVC）。这里用户将不同的LAN或节点通过如帧中继（Frame Relay）或ATM提供的虚电路连接在一起，服务提供商利用虚拟环路技术将其他不相关的用户隔离开。这些方案为用户提供的服务几乎与上述租用专线相同，但由于服务提供商可以从大量的客户中获得统计性效益，因此，这些服务的价格较专网便宜。
　　这两个阶段称为永久性VPN。
　　3）现代的虚拟专用网
　　第三个阶段是现代的虚拟专用网，即基于IP的虚拟专用网，称为IP-VPN。在这个阶段，VPN主要有以下三个主要特点。
　　一是基于公共IP网络。
　　二是提供一种将公共IP网络“化公为私”的组网手段，主要优势是组网经济。
　　三是保证在公网环境下所组建的网络具有一定的“私有性、专用性”，即安全性。从提供组网服务的角度看，VPN技术有两种实现方式：一是利用服务提供商的IP网络基础设施提供VPN服务；二是利用公共网络资源构建VPN。特别是互联网、3G/4G/5G网络的发展，使得人们随时随地进行快速组网成为可能。
　　从网络安全的角度来看，由于VPN技术，特别是基于IPsec安全协议的IP-VPN技术是一种包含加密、认证、访问控制、网络审计等多种安全机制的较为全面的网络安全技术，能够提供网络安全整体解决方案，而且随着互联网的发展，其安全优势越来越突出，为移动安全接入、安全互联等提供了重要支撑，其也会不断得到完善和发展。这也是出现“安全VPN”概念的原因，目的是同没有采用密码技术和访问控制技术等网络安全技术的某些服务提供商提供的VPN相区别。
　　1.2.2 VPN定义
　　人们对VPN定义的理解存在着不同的角度。
　　1）从组网的角度来看
　　RFC 2547 将VPN定义为：将连接在公共网络设施上的站点集合，通过应用一些策略建立了许多由这些站点组成的子集，并且只有当两个站点至少属于某个子集时，它们之间才有可能通过公共网络进行IP互联，每个这样的子集就是一个VPN。
　　该定义反映的是一种现象，强调的是站点之间的组网，它将VPN定义为两个或多个站点的集合，比较通俗、形象、客观。
　　2）从安全传输的角度来看
　　有学者将VPN定义为：利用不安全的公用互联网作为信息传输媒介，通过附加的安全隧道、用户认证等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。
　　该定义关注的是载体、技术和目标。
　　上述两个定义从不同的观点出发，对VPN进行了解释，基本反映了VPN“基于公共IP网络、组网、安全性”特点。但是，阐述都比较片面。VPN的概念不仅要反映VPN基本特征，还必须反映VPN的内涵，即“虚拟”“专用”“网络”“安全”以及构建安全、*占、自治的虚拟网络。
　　针对上述定义存在的问题，国内最具有代表性和确切的定义是由陈性元教授提出的。他将VPN定义为：利用公共IP网络设施，将属于同一安全域的站点，通过隧道技术等手段，并采用加密、认证、访问控制等综合安全机制，构建安全、*占、自治的虚拟网络。该定义*先反映了VPN是一个虚拟的网络，还是一个安全的，给用户的感觉是*自占有，且具有传统网络功能的网络；其次强调了这个虚拟网络是构建在公共IP网络之上的，构建方法是将同属于一个安全域的站点，通过隧道技术互联在一起。该网络的安全性是由综合的安全机制来保证的，如加密机制、认证机制、访问控制机制、安全审计机制等。
　　1.3 虚拟专用网的基本特征
　　陈性元提出的IP-VPN的定义不仅反映了VPN的主要特征，更强调了安全性和组网的功能。IP-VPN的定义揭示了IP-VPN的四个本质特征。
　　（1）基于公共的IP网络环境：在VPN前冠以IP的根本原因。由于像互联网这样的IP网络环境建构在诸多的TCP/IP标准协议之上，有着工业界*广泛的支持，所以，利用VPN技术组网便利、经济、可靠、可用，同时组网灵活，具有良好的适应性和可扩展性。
　　（2）安全性：VPN“专用”的*主要内涵之一。由于其构建在公共IP网络之上，所以要采用网络安全技术，来保证同一“安全域”内网络信息的机密性、完整性、可鉴别性和可用性，这样才能实现IP-VPN真正意义上的“专用、私有”。这也是VPN的关键所在，所以说安全性是IP-VPN的生命。
　　（3）*占性：用户使用VPN时的一种感觉，其实用户是与其他用户或其他单位共享该公共网络设施的，*占性也是“专用、私有”的内涵之一。
　　（4）自治性：虚拟专用网尽管是公共网络虚拟构建的，但同传统的专用网络一样，它是一个自治网络系统，必须具有网络的一切功能，具备网络的可用性、可管理性，所以VPN应该是自成一体的*立网络系统，具有协议*立性，即具有多协议支持的能力，可以使用非IP协议（如IPX等）；具有地址*立性，即可以自行定义满足自己需要的地址空间，并且允许不同的VPN之间地址空间重叠、VPN内的地址空间和公共网络的地址空间重叠。因此，安全性、*占性及自治性，使得构建在公共IP网络环境上的VPN能够真正做到“虚拟、专用”。
　　1.4 虚拟专用网的工作原理
　　本节以传统的VPN拓扑结构来对VPN基本工作原理进行讲解，如图1.1 所示。IP-VPN设备保护LAN1、LAN2，LAN1 和LAN2 之间的安全互联依赖于两个网络边界的IP-VPN构建的安全隧道。IP-VPN设备包括的基本功能有访问控制、报文认证、报文加解密、IP隧道协议封装/解封装等。VPN基本工作过程主要包括发送、接收等。
　　图1.1 VPN基本原理示意图
　　1）发送过程
　　LAN1 中的IP数据包到达IP-VPN设备时：
　　**步为访问控制，即安全策略的判断。若允许外出，则直接按照路由进行转发；若为拒绝，则释放IP数据包；若为VPN安全策略，则查找安全关联（SA），获取安全服务参数，对IP数据包进行相应的处理。
　　第二步为IP封装，依据安全隧道协议对IP数据报文进行封装，封装后的数据报文的IP地址为安全隧道两端的地址，即IP-VPN设备A、B的外部IP地址。对新封装的数据报文，加上认证摘要长度，重新计算数据报文长度、校验和，并填充到数据报文*外部的IP头中。
　　第三步为报文认证，按照安全隧道协议的认证要求，对封装后的数据报文进行完整性认证处理，并将认证摘要附在报文末位。
　　第四步为报文加密，按照安全隧道协议的加密要求，对数据报文进行加密，用加密后的密文替换报文中相应的明文。
　　将安全处理后IP数据包交付给公共IP网络，在IP安全隧道的保护下传递给LAN2 的边界VPN网关。
　　2）接收过程
　　接收过程与发送过程相对应。接收方收到数据包后，对数据包进行装配还原，即碎包组包，还原为大的数据包。
　　**步为报文解密。按照安全隧道协议要求，查找安全关联，对数据报文进行解密处理，并替换密文部分。
　　第二步为报文认证。对数据报文进行完整性认证，判断数据报文是否在传输过程中被窜改，若完整性不一致，则丢弃数据包。
　　第三步为IP解封装。对数据报文进行解封装，去掉安全隧道协议部分、IP封装部分，还原出LAN1 到LAN2 的原始数据包。
　　第四步为访问控制。对数据包进行访问控制处理，判断数据包的安全策略是否为VPN安全策略，若不是，则丢弃数据包。
　　被允许的将数据包交由路由处理，转发到LAN2 中。
　　1.5 虚拟专用网的分类
　　依据不同的标准和观点，VPN有不同的分类。本节重点从利于理解VPN的原则，对VPN分类进行了较为系统的总结。大致可以分为按VPN的构建者分类、按VPN隧道的边界分类、按VPN应用模式分类以及按安全隧道协议分类等。
　　1）按VPN的构建者分类
　　按VPN的构建者分类，VPN可以分为由服务提供商提供的VPN和由客户自行构建的VPN两种类型。
　　（1）由服务提供商提供的VPN。
　　服务提供商（SP）提供专门的VPN，也就是说VPN的隧道构建和管理由服务提供商负责，优点是客户的工作变得简单，缺点是不利于客户的网络安全，服务提供商非常清楚客户的VPN，也了解通过隧道传输的内容，因为隧道是由服务提供商的设备封装的，所以安全要求较高的VPN不适合由服务提供商提供。
　　（2）由客户自行构建的VPN。
　　服务提供商只需提供简单的IP服务，VPN的构建、管理由客户负责，所以经由提供商的IP骨干网利用VPN传输信息时，所传输的信息是服务提供商不知道的，对于VPN内部的网络路由等信息，服务提供商也是不清楚的。因此这种组网VPN的方式从安全的角度说，是易于被人们所接受的，因为安全完全掌握在自己的手中，当然，客户就多了VPN构建、管理的管理工作。
　　2）按VPN隧道的边界分类
　　按VPN隧道的边界（即隧道的端点的位置）分类，VPN可以分为基于PE的VPN和基于CE的VPN。