您好, 访客   登录/注册

基于隧道技术的VPN技术初探

来源:用户上传      作者: 杜天宇

  [关键词]VPN;隧道技术:隧道协议:安全与加密技术
  
  虚拟专用网即VPN(Virtual PrivateNetwork)是利用接入服务器(AccessSever)、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利用interact上开展的VPN服务被称为IPVPN。
  利用共用的WAN网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题。VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
  
  一、隧道技术
  
  Interact中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接人点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的“目的地址A”“源地址B”。因此分组到达分公司的VPN设备后。立即在它的前部加上与全局IP地址对应的“目的地址C”和“源地址D”。全局IP地址C和D是为了通过Interact中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后。全局IP地址即被删除。恢复成IP分组发往地址A。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。同时利用隧道技术,还必须使得隧道的人口与出口相对地出现。
  基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信。
  
  二、隧道协议
  
  在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功地使用VPN技术还需要有隧道协议。
  1 当前主要的隧道协议以及隧道机制的分类:
  (1)L2F(Layer 2 Forwarding)。L2F是ClSCO公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器)。
  (2)PTP (Point to point Tunnelimgprotocol)。PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络传送。
  (3)2TP(Layer 2 Tunneling Protoc01)。该协议是远程访问型VPN今后的标准协议。
  L2F、PPTP、L2TP共同特点是从远程客户直至内部网人口的VPN设备建立PPP连接,端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外。还能在VPN上利用PPP支持的多协议通信功能,多链路功能及PPP的其他附加功能。因此在Interact上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理。称其为第三层隧道,以区分于第二层隧道。
  (4)TMP/BAYDVS。ATMP(AscendTumneling Management Protocol)和BaydVsfBav Dial VPN Service)是基于ISP远程访问的VPN协议,它部分采用了移动IP的机制。ATMP以GRE实现封装化,将VPN的起点和终点配置ISP内。因此,用户可以不装与VPN相适配的软件。
  (5)PSEC。IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标(AH:AuthmenticationHeader)和封装化安全净荷(ESP:Encapsnlating Security Pavlamd)。IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IPX联网络如INTERNET发送。
  从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,DSI七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了“二层VPN”与“三层VPN”的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的SSLVPN技术、基于端口转发的HTTPTunnel技术等等。如果继续使用这样的分类,将出现“四层VPN”、“五层VPN”,分类教为冗余。因此,目前出现了其他的隧道机制的分类。
  2 改进后的几种隧道机制的分类
  (1)J Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的VPN,使用路由方式的VPN,使用专线方式的VPN和使用局域网仿真方式的VPLS。
  (2)由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。
  隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如LSVPN。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力较差,但是可扩展性,灵活性具有优势。
  采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
  
  三、诸种安全与加密技术
  
  IPVPN技术,由于利用了Intemet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于Intemet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此,利用IPVPN通信时,应比专线更加注意Interact接人点的安全。为此,IPVPN采用了以下诸种安全与加密技术。
  (1)防火墙技术。
  (2)加密及防止数据被篡改技术。
  非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
  
  编 辑 穆 杨


转载注明来源:https://www.xzbu.com/2/view-475046.htm