VPN比较大全，与软件、MPLS、DDN...

来源：作者：出处：巧巧读书 2006-08-13 进入讨论组

关键词：adsl atm ddn ie ipsec

　　一、硬件、纯软件VPN的比较目前有一些纯软件的VPN解决方案，用在电脑中安装软件的方法来实现VPN。其实Windows 2000中本身就带有PPTP的VPN。

表格

二、与城域网、MPLS的比较[/b]

宽带IP城域网是根据业务发展和竞争的需要而建设的城市范围内（可能包括所辖的县区等）的宽带多媒体通信网络，是宽带骨干网络（如中国电信IP骨干网络、联通骨干ATM网络、网通宽带IP网络等）在城市范围内的延伸，并作为本地的公共信息服务平台组成部分，负责承载各种多媒体业务，为用户提供各种接入方式，满足政府部门、企事业单位、个人用户对基于IP的各种多媒体业务的需求，因此，宽带IP城域网必须是可管理和可扩展的电信运营网络。
城域网的VPN方式，采用当地ISP的线路，大多数采用Cisco、Huawei 设备和MPLS VPN技术。通讯费用也不低。这比较适合于在同一个城市之间通讯而且带宽要求很高的情况下。一旦离开这个城市或到了该城市的城域网覆盖不了的地方就无法建立联系了。
用VPN产品建立的VPN网络，不依靠某一个ISP或IDC，可以在各个ISP之间自由连接。

与MPLS的比较
RFC 2547定义了允许服务提供商使用其IP骨干网为用户提供VPN服务的一种机制。RFC 2547也被称为BGP/MPLS VPN，因为BGP被用来在提供商骨干网中发布VPN路由信息，而MPLS被用来将VPN业务从一个VPN站点转发至另一个站点。BGP/MPLS VPN能够利用公用骨干网络强大的传输能力，降低企业内部网络/Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。
IPSec是由IETF 的IPSec 工作组定义的一种开放源代码框架。IPSec 的工作组对数据源认证、数据完整性、重播保护、密钥管理以及数据机密性等主要的有关方面定义了特定协议。IPSec通过激活系统所需要的安全协议、确定用于服务的算法及所要求的密钥来提供安全服务。由于这些服务在IP层提供，能被更高层次的协议所利用（如TCP、UDP、ICMP、BGP等），并且对于应用程序和终端用户来说是透明的，所以，应用和终端用户不需要更改程序和进行安全方面的专门培训，同时对现有网络的改动也最小。
IPSec在IP层上实现了加密、认证、访问控制等多种安全技术，极大地提高了TCP/IP的安全性。由于整个协议在IP层上实现，上层应用可不必进行任何修改，并且由于IPSec在实现安全策略上的灵活性，使得对安全网络系统的管理变得简便灵活。
但稍微深入一点研究MPLS技术就会发现，MPLS自身对基本的IP网络体系几乎没有增加任何新的内容。除了使用标记做转发外，控制部分还是依赖原来的路由协议。因此简单地认为由于MPLS标记比IP地址前缀短，使用更短的标记做交换会比用IP地址做交换更快，是值得怀疑的。在MPLS的最基本层面上，所做的全部工作就是在路由和转发之间增加了新的一层，从而引入更多的间接性。引入新的一层，会在准确关联标记和逐跳转发路径时增加新问题。
诞生MPLS的初衷是，因为当时的IP路由器转发速度有限，而目前的实际情况是这样，市场上的高速路由器已经把IP交换嵌入在芯片中，基于前缀地址查询的 IP包的交换速度不比基于标记交换的MPLS要慢。在目前的IP路由器和MPLS路由器比较中，看不到MPLS LSR改善了交换速度的情形。因此"使用MPLS可以获得比IP转发更高的速度"的说法是缺乏证据的。
MPLS VPN只要求客户把它们的客户设备(CE) 简单地连接到运营商的网络边缘设备(PE)就可以了，运营商同时负责二层的数据传输工作和三层的路由工作，这种三层MPLS VPN对客户的要求比较低，客户负担较小，但这种做法的问题之一是常见的可扩展性问题。如果运营商把这种业务看作替代所有形式的零售传输业务，如FR PVC, ATM PVC甚至T1租用线的VPN，那么毫无疑问，运营商必须考虑到可能连接成百或甚至上千个VPN客户的PE路由器的可扩展性问题。因为运营商负责VPN客户的路由，运营商的VPN路由系统把每个VPN客户的完整路由信息都抽取到每个PE路由器中，同时客户侧不会做路由聚合来帮助运营商减轻PE的负担。因此在这种VPN中，运营商PE路由器的负担可能会比较重，PE路由表的规模是一个很现实的问题。如果运营商关心可扩展性的问题，就必须注意这个问题。
由于MPLS目前标准还未统一，设备互通性较差，业务还难以大规模推广。
VPN的整个架构是构建于Internet或Internet技术之上的。所设计的理念和方法与MPLS有方向性的不同。VPN是构建于Internet 之上，应用于可以接入Internet的节点，在安全性、加密、上互联网的管理方面做了多层保护措施。具有很好的扩展性、兼容性。

三、与传统VPN产品的比较
与传统的点到中心点方案的比较
传统的VPN中，曾经有以Intel为代表的点到中心点的Shiva产品。起初这种设计思路也是为了节约IP资源而设计的。因为Client端可以采用动态IP的方式连接总部的固定IP。其实Windows 2000中已经集成了这样的功能。

比较项目点到中心解决方式硬件（如ShareTech）说明
原理
协议
管理
通讯效率
扩展性
隧道
表格（略）
此处还需说明一个问题：
IPSEC 是基于源地址和目的地址建立 VPN 隧道的。这是从安全的角度考虑，任何通讯的双方都需要验证对方的 IP 地址。
所以很多传统的 VPN 设备，要求所有节点都是固定 IP 地址或者要求至少有一点是固定 IP 地址的原因。有了固定 IP 地址之后，就可以由动态 IP 地址去寻找固定 IP 而实现启动隧道。
这种设计涉及到一个安全问题：
完整的配置文件就象下面的描述：
conn A.olymtest_B.gzhp
leftid = @com.olymtest
leftsubnet = 10.101.101.128/255.255.255.128
left = 219.133.6.44
leftnexthop = 219.133.6.1
leftfirewall = yes
rightid = @com.test2
rightsubnet = 192.168.206.0/255.255.255.0
right = 210.200.48.19
rightnexthop = 211.200.48.1
rightfirewall = yes
esp = blowfish-md5
compress = no
peerip = 192.168.206.1
这里描述了双方的节点的源、目的地址。如果只有一方有固定 IP ，需要配置成类似于 right=any( 即可以是任何地址来建立 VPN ）。
conn con.olymtest_con.gzhp
leftid = @com.olymtest
leftsubnet = 10.101.101.128/255.255.255.128
left = 61.144.175.44
leftnexthop = 219.133.6.1
leftfirewall = yes
rightid = @ com.test2
rightsubnet = 192.168.206.0/255.255.255.0
right = any ＃这里要改为接受来于任何地址的 VPN 请求，因为来源是不固定的。
rightnexthop = any ＃这里要改为接受来于任何地址的 VPN 请求，因为来源是不固定的。
rightfirewall = yes
esp = blowfish-md5
compress = no
peerip = 192.168.206.1
这是为什么象 cisco 这样的设备建立 VPN ，一般都要求要采用全部固定 IP 地址的原因。如果采用介绍来自 any 的数据包可以建立 VPN ，整个安全性就将会大大降低。
而 ShareTech架构巧妙的采用了交互式的 VDN 技术解决了此类问题。可以用全动态 IP 构建安全、高速的 VPN 网络。

四、DDN和 VPN 技术比较1、VPN 技术的优势
VPN 技术专线技术

安全性
VPN：非常高，保护数据传输的完整性、保密性、不可抵赖性；安全控制在用户手里；
DDN：比较高，但是，安全是建立在对电信部门相信的基础上，对电信运营商，无任何安全可言。

可扩展性
VPN：基于 TCP/IP 技术，接入方式灵活，只要网络可达，就可以方便扩展。
DDN：以来当地运营商的支持，扩展很不方便。

投资成本
VPN：设备一次性投入，不需要支出每月的运营费用，长期看来大幅度节省支出。
DDN：专线费用很高，需要每月支付昂贵的专线租用费用，而且在初期要一次性投入路由器的费用

对移动用户的支持
VPN：能对 internet 上的内部移动用户安全接入，彻底消除地域差异。构造全球的虚拟专网。
DDN：只能联通专线拉到的网络，不支持离开局域网的内部用户接入专网。

带宽
VPN：使用各种廉价的宽带介入方式，如： ADSL ， Ethernet 等，一般在 1~100M 。
DDN：由于价格昂贵，一般租用的带宽都比较窄（一般不超过 2M ）。

升级
VPN：依赖于设备的升级，非常方便。
DDN：依赖于电信部门。

2、原理概述
随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下， VPN 以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现，但它与传统的专有网络，例如
数字数据网（ Digital Data Network ）是利用数字信道传输数据信号的数据传输网，它的传输媒介有光缆、数字微波、卫星信道以及用户端可用的普通电缆和双绞线。利用数字信道传输数据信号与传统的模拟信道相比，具有传输质量高、速度快、带宽利用率高等一系列优点。
虚拟专用网（ Virtual Private Network ）被定义为通过一个公用网络（通常是 Internet ）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

3、 VPN 协议简介
要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前 VPN 隧道协议有 4 种：点到点隧道协议 PPTP 、第二层隧道协议 L2TP 、网络层隧道协议 IPSec 以及 SOCKS v5 ，它们在 OSI 七层模型中的位置如表所示。各协议工作在不同层次，无所谓谁更有优势。但我们应该注意，不同的网络环境适合不同的协议，在选择 VPN 产品时，应该注意选择。
1 ．点到点隧道协议 —PPTP
PPTP 协议将控制包与数据包分开，控制包采用 TCP 控制，用于严格的状态查询及信令信息；数据包部分先封装在 PPP 协议中，然后封装到 GRE V2 协议中。目前， PPTP 协议基本已被淘汰，不再使用在 VPN 产品中。
2 ．第二层隧道协议 —L2TP
L2TP 是国际标准隧道协议，它结合了 PPTP 协议以及第二层转发 L2F 协议的优点，能以隧道方式使 PPP 包通过各种网络协议，包括 ATM 、 SONET 和帧中继。但是 L2TP 没有任何加密措施，更多是和 IPSec 协议结合使用，提供隧道验证。
3 ． IPSec 协议
IPSec 协议是一个范围广泛、开放的 VPN 安全协议，工作在 OSI 模型中的第三层 —— 网络层。它提供所有在网络层上的数据保护和透明的安全通信。 IPSec 协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下， IPSec 把 IPv4 数据包封装在安全的 IP 帧中。传输模式是为了保护端到端的安全性，不会隐藏路由信息。 1999 年底， IETF 安全工作组完成了 IPSec 的扩展，在 IPSec 协议中加上了 ISAKMP 协议，其中还包括密钥分配协议 IKE 和 Oakley 。
OSI七层模型安全技术安全协议
应用层表示层应用代理
会话层传输层会话层代理 SOCKSv5/SSL
网络层数据链路层物理层包过滤 IPSec
PPTP/L2F/L2TP

隧道协议在 OSI 七层模型中的位置

4、IPSec 的安全性描述
IPSec （ 1P Security ）产生于 IPv6 的制定之中，用于提供 IP 层的安全性。由于所有支持 TCP ／ IP 协议的主机进行通信时，都要经过 IP 层的处理，所以提供了 IP 层的安全性就相当于为整个网络提供了安全通信的基础。鉴于 IPv4 的应用仍然很广泛，所以后来在 IPSec 的制定中也增添了对 IPv4 的支持。
最初的一组有关 IPSec 标准由 IETF 在 1995 年制定，但由于其中存在一些未解决的问题，从 1997 年开始 IETF 又开展了新一轮的 IPSec 的制定工作，截止至 1998 年 11 月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来 IETF 又会进行下一轮 IPSec 的修订工作。
5、IPSec 基本工作原理
IPSec 的工作原理（如下图所示）类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个 IP 数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的 IP 数据包进行处理。这里的处理工作只有两种：丢弃或转发。

IPSec 通过查询 SPD （ Security P01icy Database 安全策略数据库）决定对接收到的 IP 数据包的处理。但是 IPSec 不同于包过滤防火墙的是，对 IP 数据包的处理方法除了丢弃，直接转发（绕过 IPSec ）外，还有一种，即进行 IPSec 处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。
进行 IPSec 处理意味着对 IP 数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的 IP 数据包的通过，可以拒绝来自某个外部站点的 IP 数据包访问内部某些站点，．也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对 IP 数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过 Internet 进新安全的通信才成为可能。
IPSec 既可以只对 IP 数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证， IPSec 都有两种工作模式，一种是与其前一节提到的协议工作方式类似的隧道模式，另一种是传输模式。
传输模式，如图 2 所示，只对 IP 数据包的有效负载进行加密或认证。此时，继续使用以前的 IP 头部，只对 IP 头部的部分域进行修改，而 IPSec 协议头部插入到 IP 头部和传输层头部之间。
主机包头数据
↓
主机包头 AH ESP 数据
隧道模式，如图 3 所示，对整个 IP 数据色进行加密或认证。此时，需要新产生一个 IP 头部， IPSec 头部被放在新产生的 IP 头部和以前的 IP 数据包之间，从而组成一个新的 IP 头部。
主机包头数据
↓
安全网关IP包头 AH ESP主机 IP包头数据
IPSec 中的三个主要协议
前面已经提到 IPSec 主要功能为加密和认证，为了进行加密和认证 IPSec 还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由 AH ， ESP 和 IKE 三个协议规定。为了介绍这三个协议，需要先引人一个非常重要的术语棗 SA （ Securlty Association 安全关联）。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。 AH 和 ESP 都需要使用 SA ，而 IKE 的主要功能就是 SA 的建立和维护。只要实现 AH 和 ESP 都必须提供对 SA 的支持。
通信双方如果要用 IPSec 建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后，我们就说双方建立了一个 SA 。 SA 就是能向其上的数据传输提供某种 IPSec 安全保障的一个简单连接，可以由 AH 或 ESP 提供。当给定了一个 SA ，就确定了 IPSec 要执行的处理，如加密，认证等。 SA 可以进行两种方式的组合，分别为传输临近和嵌套隧道。
1 ． ESP （ Encapsulating Secuity Fayload ）
ESP 协议主要用来处理对 IP 数据包的加密，此外对认证也提供某种程度的支持。 ESP 是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法，例如 DES ， TripleDES ， RC5 等。为了保证各种 IPSec 实现间的互操作性，目前 ESP 必须提供对 56 位 DES 算法的支持。
ESP 协议数据单元格式三个部分组成，除了头部、加密数据部分外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索引（ SPl ）和序列号（ Sequencenumber ）。使用 ESP 进行安全通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理 IP 数据包的，当接收方看到了这个序号就知道了对收到的 IP 数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原 IP 数据包的有效负载，填充域（用来保证加密数据部分满足块加密的长度要求）包含其余部分在传输时都是加密过的。其中“下一个头部（ Next Header ）”用来指出有效负载部分使用的协议，可能是传输层协议（ TCP 或 UDP ），也可能还是 IPSec 协议（ ESP 或 AH ）。
通常， ESP 可以作为 IP 的有效负载进行传输，这 JFIP 的头 UKB 指出下广个协议是 ESP ，而非 TCP 和 UDP 。由于采用了这种封装形式，所以 ESP 可以使用旧有的网络进行传输。
前面已经提到用 IPSec 进行加密是可以有两种工作模式，意味着 ESP 协议有两种工作模式：传输模式（ Transport Mode ）和隧道模式（ TunnelMode ）。当 ESP 工作在传输模式时，采用当前的 IP 头部。而在隧道模式时，侍整个 IP 数据包进行加密作为 ESP 的有效负载，并在 ESP 头部前增添以网关地址为源地址的新的 IP 头部，此时可以起到 NAT 的作用。
2 ． AH （ Authentication Header ）
AH 只涉及到认证，不涉及到加密。 AH 虽然在功能上和 ESP 有些重复，但 AH 除了对可以对 IP 的有效负载进行认证外，还可以对 IP 头部实施认证。主要是处理数据对，可以对 IP 头部进行认证，而 ESP 的认证功能主要是面对 IP 的有效负载。为了提供最基本的功能并保证互操作性， AH 必须包含对 HMAC-SHA 和 HMAC- MD5 （ HMAC 是一种 SHA 和 MD5 都支持的对称式认证系统）的支持。
AH 既可以单独使用，也可在隧道模式下，或和 ESP 联用。
3 ． IKE （ Internet Key Exchange ）
IKE 协议主要是对密钥交换进行管理，它主要包括三个功能：
? 对使用的协议、加密算法和密钥进行协商。
? 方便的密钥交换机制（这可能需要周期性的进行）。
? 跟踪对以上这些约定的实施。
5、 DDN 和 VPN 安全性比较
比较项目 DDN VPN
数据是否加密传送不加密经过 3DES/AES/Blowfish/ 第三方算法 / 加密卡等加密算法对数据进行加密
设备之间是否进行身份认证不进行身份认证设备之间经过预定义的密钥、 RSA 等加密算法进行身份认证
数据包是否进行认证不进行封包认证通过 MD5 、 SHA 等加密算法进行封包认证，确保数据包中途没被修改
一般在 DDN 线路中，都是采用专用线路，没有与公众线路连接在一起，所以在很大程度上与 VPN 相比，容易导致安全上的误解。
从实际使用上看，由于 DDN 线路的专用性，所以也大大减少了其被攻击破坏的可能性。
但是另外一方面，从原理上分析，数据在 DDN 网络上面传输其实是不安全的，数据传送的过程中可能会被人窃取、修改等；数据在 VPN 虚拟专网中传输的过程是安全的，通过加密、身份认证、封包认证等过程保证数据包在传送的过程中不被窃取、删除和修改。
6、总结
其实 DDN 是专有网络最传统的方式。以 Cisco 为代表的产品都是这样去解决。在欧美发达国家，由于固定 IP 地址的费用比较低， DDN 方式的专用网络很容易实现，而在亚洲许多国家， IP 地址比较匮乏，从而使得 DDN 固定 IP 的费用非常昂贵。
客观的说， DDN 的专有网络无疑是稳定的，虽然配置要求专业人员，也能形成网状的连接。但是从购买设备、安装调试和后期的维护的费用都是巨大的，而且还有每月高昂的通讯费用，这都将在国内制约着 DDN 专有网络的发展。
随着 IP 技术的发展和国内骨干网络带宽的不断提高， VPN 越来越能满足用户安全性、高效性和灵活性等要求。可以相信，在未来几年内， VPN 架构的企业信息化网络是主流方式。

由于资料是表格形式的可能无法正常显示，详细的请各位MAIL给我
我将一一奉上！

B'regards
韩东明

ShareTech SHANGHAI
Suite 5-705，Yulan Garden，No.50,
Puhuitang Road,Shanghai,200030,PR China
---------------------------------------
Tel: 86 21 64393241
Fax: 86 21 64393243
Mobile: 13916621167
E-Mail:tony@dsunnet.com.cn
http://www.sharetech.com.tw
http://www.dsunnet.com
欢迎致电ShareTech大陆、台湾地区产品技术服务热线：
86-21-64396485--21（上海）
--22（台北）
--24（台中）

专业的VPN、防火墙、频宽管理、Mail服务器服务提供商