深究網(wǎng)絡(luò)應(yīng)用之VPN技術(shù)

導(dǎo)語：深究網(wǎng)絡(luò)應(yīng)用之VPN技術(shù)一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

關(guān)鍵詞：vpn簡介實(shí)現(xiàn)技術(shù)

摘要：重點(diǎn)分析了VPN的實(shí)現(xiàn)技術(shù)。

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性，對于企業(yè)和一些跨區(qū)域?qū)ｉT從事特定業(yè)務(wù)的部門，從經(jīng)濟(jì)實(shí)用性、網(wǎng)絡(luò)安全性、數(shù)據(jù)傳輸可靠性上來，看VPN技術(shù)無疑是一種不錯的選擇。下面就VPN技術(shù)的實(shí)現(xiàn)做一下粗淺的分析：

1VPN簡介

虛擬專用網(wǎng)(VirtuaIPrivateNetwork,VPN)是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。VPN極大地降低了用戶的費(fèi)用，而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。

VPN可分為三大類：(1)企業(yè)各部門與遠(yuǎn)程分支之間的In-tranetVPN；

(2)企業(yè)網(wǎng)與遠(yuǎn)程(移動)雇員之間的遠(yuǎn)程訪問(Re-moteAccess)VPN；

(3)企業(yè)與合作伙伴、客戶、供應(yīng)商之間的ExtranetVPNo；

在ExtranetVPN中，企業(yè)要與不同的客戶及供應(yīng)商建立聯(lián)系，VPN解決方案也會不同。因此，企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這就要求所選擇的VPN方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有IPSec、點(diǎn)到點(diǎn)隧道協(xié)議(PointtoPointTunnelingProtocol,PPTP)、第二層隧道協(xié)議(layer2TunnelingProtocol,I,2TP)等。

2VPN的實(shí)現(xiàn)技術(shù)

VPN實(shí)現(xiàn)的兩個關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù)，同時QoS技術(shù)對VPN的實(shí)現(xiàn)也至關(guān)重要。

2.1VPN訪問點(diǎn)模型

首先提供一個VPN訪問點(diǎn)功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)。

2.2隧道技術(shù)

隧道技術(shù)簡單的說就是：原始報(bào)文在A地進(jìn)行封裝，到達(dá)B地后把封裝去掉還原成原始報(bào)文，這樣就形成了一條由A到B的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(Generi-cRoutingEncapsulation,GRE)I,2TP和PPTPo。

(1)GRE

GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過隧道的報(bào)文用一個新的報(bào)文頭(GRE報(bào)文頭)進(jìn)行封裝然后帶著隧道終點(diǎn)地址放人隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時，GRE報(bào)文頭被剝掉，繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。GRE隧道通常是點(diǎn)到點(diǎn)的，即隧道只有一個源地址和一個終地址。然而也有一些實(shí)現(xiàn)允許一點(diǎn)到多點(diǎn)，即一個源地址對多個終地址。這時候就要和下一條路由協(xié)議(Next-HopRoutingProtocol,NHRP)結(jié)合使用。NHRP主要是為了在路由之間建立捷徑。

GRE隧道用來建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀點(diǎn)來看，VPN就象是通過普通主機(jī)網(wǎng)絡(luò)的隧道集合。普通主機(jī)網(wǎng)絡(luò)的每個點(diǎn)都可利用其地址以及路由所形成的物理連接，配置成一個或多個隧道。在GRE隧道技術(shù)中人口地址用的是普通主機(jī)網(wǎng)絡(luò)的地址空間，而在隧道中流動的原始報(bào)文用的是VPN的地址空間，這樣反過來就要求隧道的終點(diǎn)應(yīng)該配置成VPN與普通主機(jī)網(wǎng)絡(luò)之間的交界點(diǎn)。這種方法的好處是使VPN的路由信息從普通主機(jī)網(wǎng)絡(luò)的路由信息中隔離出來，多個VPN可以重復(fù)利用同一個地址空間而沒有沖突，這使得VPN從主機(jī)網(wǎng)絡(luò)中獨(dú)立出來。從而滿足了VPN的關(guān)鍵要求：可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族，減少實(shí)現(xiàn)VPN功能函數(shù)的數(shù)量。還有，對許多VPN所支持的體系結(jié)構(gòu)來說，用同一種格式來支持多種協(xié)議同時又保留協(xié)議的功能，這是非常重要的。IP路由過濾的主機(jī)網(wǎng)絡(luò)不能提供這種服務(wù)，而只有隧道技術(shù)才能把VPN私有協(xié)議從主機(jī)網(wǎng)絡(luò)中隔離開來。基于隧道技術(shù)的VPN實(shí)現(xiàn)的另一特點(diǎn)是對主機(jī)網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進(jìn)行隔離。對VPN而言主機(jī)網(wǎng)絡(luò)可看成點(diǎn)到點(diǎn)的電路集合，VPN能夠用其路由協(xié)議穿過符合VPN管理要求的虛擬網(wǎng)。同樣，主機(jī)網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計(jì)方案，而不必受VPN用戶網(wǎng)絡(luò)的路由協(xié)議限制。

雖然GRE隧道技術(shù)有很多優(yōu)點(diǎn)，但用其技術(shù)作為VPN機(jī)制也有缺點(diǎn)，例如管理費(fèi)用高、隧道的規(guī)模數(shù)量大等。因?yàn)镚RE是由手工配置的，所以配置和維護(hù)隧道所需的費(fèi)用和隧道的數(shù)量是直接相關(guān)的—每次隧道的終點(diǎn)改變，隧道要重新配置。隧道也可自動配置，但有缺點(diǎn)，如不能考慮相關(guān)路由信息、性能問題以及容易形成回路問題。一旦形成回路，會極大惡化路由的效率。除此之外，通信分類機(jī)制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報(bào)文(進(jìn)人隧道前的)進(jìn)行的話，就會影響路由發(fā)送速率的能力及服務(wù)性能。

GRE隧道技術(shù)是用在路由器中的，可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠(yuǎn)程訪問VPN中，多數(shù)用戶是采用撥號上網(wǎng)。這時可以通過L2TP和PPTP來加以解決。

(2)L2TP和PPTP

L2TP是L2F(Layer2Forwarding)和PPT’I〕的結(jié)合。但是由于PC機(jī)的桌面操作系統(tǒng)包含著PPTP，因此PPT’I〕仍比較流行。隧道的建立有兩種方式即：“用戶初始化”隧道和“NAS初始化”(NetworkAccessServer)隧道。前者一般指“主動’，隧道，后者指“強(qiáng)制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的，而“強(qiáng)制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。L2TP作為“強(qiáng)制”隧道模型是讓撥號用戶與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過程如下：

a.用戶通過Modem與NAS建立連接；b.用戶通過NAS的L2TP接入服務(wù)器身份認(rèn)證；；c.在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上，NAS和L2TP接入服務(wù)器動態(tài)地建立一條L2TP隧道；d.用戶與L2TP接入服務(wù)器之間建立一條點(diǎn)到點(diǎn)協(xié)議(PointtoPointProtocol,PPP)訪問服務(wù)隧道；e.用戶通過該隧道獲得VPN服務(wù)。

與之相反的是，PPTP作為“主動”隧道模型允許終端系統(tǒng)進(jìn)行配置，與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道。并且，PPTP協(xié)商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過程如下：a.用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù)；b.用戶通過路由信息定位PPTP接入服務(wù)器；c.用戶形成一個PPTP虛擬接口；d.用戶通過該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證建立一條PPP訪問服務(wù)隧道；e.用戶通過該隧道獲得VPN服務(wù)。

在L2TP中，用戶感覺不到NAS的存在，仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中，PPTP隧道對NAS是透明的；NAS不需要知道PPTP接入服務(wù)器的存在，只是簡單地把PPTP流量作為普通IP流量處理。

采用L2TP還是PPTP實(shí)現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶手中。硯TP比PPTP更安全，因?yàn)槌嶵P接入服務(wù)器能夠確定用戶從哪里來的。硯TP主要用于比較集中的、固定的VPN用戶，而PPTP比較適合移動的用戶。

2.3加密技術(shù)

數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息，使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESoRC4雖然強(qiáng)度比較弱，但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了；DES和三次DES強(qiáng)度比較高，可用于敏感的商業(yè)信息。

加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行；可以對數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全方法是在主機(jī)的端到端進(jìn)行。另一個選擇是“隧道模式”：加密只在路由器中進(jìn)行，而終端與第一條路由之間不加密。這種方法不太安全，因?yàn)閿?shù)據(jù)從終端系統(tǒng)到第一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達(dá)到個人終端系統(tǒng)的標(biāo)準(zhǔn)；而“隧道模式”方案，VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中，目前還沒有統(tǒng)一的加密標(biāo)準(zhǔn)，因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計(jì)的，需要特別的加密硬件。

2.4QoS技術(shù)

通過隧道技術(shù)和加密技術(shù)，已經(jīng)能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定，管理上不能滿足企業(yè)的要求，這就要加入QoS技術(shù)。實(shí)行QoS應(yīng)該在主機(jī)網(wǎng)絡(luò)中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。

基于公共網(wǎng)的VPN通過隧道技術(shù)、數(shù)據(jù)加密技術(shù)以及QoS機(jī)制，使得VPN用戶能夠降低成本、提高效率、增強(qiáng)安全性，VPN將是廣大用戶的最終選擇。