基于隧道技術(shù)的VPN技術(shù)初探

杜天宇

[關(guān)鍵詞]VPN；隧道技術(shù)：隧道協(xié)議：安全與加密技術(shù)

虛擬專用網(wǎng)即VPN(Virtual PrivateNetwork)是利用接入服務(wù)器(AccessSever)、廣域網(wǎng)上的路由器以及VPN專用設(shè)備在公用的WAN上實現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利用interact上開展的VPN服務(wù)被稱為IPVPN。

利用共用的WAN網(wǎng)，傳輸企業(yè)局域網(wǎng)上的信息，一個關(guān)鍵的問題就是信息的安全問題。為了解決此問題。VPN采用了一系列的技術(shù)措施來加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。

一、隧道技術(shù)

Interact中的隧道是邏輯上的概念。假設(shè)總部的LAN上和分公司的LAN上分別連有內(nèi)部的IP地址為A和B的微機。總部和分公司到ISP的接人點上的配置了VPN設(shè)備。它們的全局IP地址是C和D。假定從微機B向微機A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以內(nèi)部IP地址表示的“目的地址A”“源地址B”。因此分組到達分公司的VPN設(shè)備后。立即在它的前部加上與全局IP地址對應(yīng)的“目的地址C”和“源地址D”。全局IP地址C和D是為了通過Interact中的若干路由器將IP分組從VPN設(shè)備從D發(fā)往VPN設(shè)備C而添加的。此IP分組到達總部的VPN設(shè)備C后。全局IP地址即被刪除。恢復(fù)成IP分組發(fā)往地址A。由此可見，隧道技術(shù)就是VPN利用公用網(wǎng)進行信息傳輸?shù)年P(guān)鍵。為此，還必須在IP分組上添加新頭標，這就是所謂IP的封裝化。同時利用隧道技術(shù)，還必須使得隧道的人口與出口相對地出現(xiàn)。

基于隧道技術(shù)VPN網(wǎng)絡(luò)，對于通信的雙方，感覺如同在使用專用網(wǎng)絡(luò)進行通信。

二、隧道協(xié)議

在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此，要成功地使用VPN技術(shù)還需要有隧道協(xié)議。

1當(dāng)前主要的隧道協(xié)議以及隧道機制的分類：

(1)L2F(Layer 2 Forwarding)。L2F是ClSCO公司提出的隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號接入服務(wù)器。將撥號數(shù)據(jù)流封裝在PPP幀內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)。

(2)PTP (Point to point Tunnelimgprotocol)。PPTP協(xié)議又稱為點對點的隧道協(xié)議。PPTP協(xié)議允許對IP，IPX或NETBEUT數(shù)據(jù)流進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)傳送。

(3)2TP(Layer 2 Tunneling Protoc01)。該協(xié)議是遠程訪問型VPN今后的標準協(xié)議。

L2F、PPTP、L2TP共同特點是從遠程客戶直至內(nèi)部網(wǎng)人口的VPN設(shè)備建立PPP連接，端口用戶可以在客戶側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴展功能外。還能在VPN上利用PPP支持的多協(xié)議通信功能，多鏈路功能及PPP的其他附加功能。因此在Interact上實現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道。對于不提供PPP功能的隧道協(xié)議都由標準的IP層來處理。稱其為第三層隧道，以區(qū)分于第二層隧道。

(4)TMP／BAYDVS。ATMP(AscendTumnelingManagement Protocol)和BaydVsfBav Dial VPN Service)是基于ISP遠程訪問的VPN協(xié)議，它部分采用了移動IP的機制。ATMP以GRE實現(xiàn)封裝化，將VPN的起點和終點配置ISP內(nèi)。因此，用戶可以不裝與VPN相適配的軟件。

(5)PSEC。IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認證頭標(AH：AuthmenticationHeader)和封裝化安全凈荷(ESP：Encapsnlating Security Pavlamd)。IPSEC隧道模式允許對IP負載數(shù)據(jù)進行加密，然后封裝在IP包頭中，通過企業(yè)IP網(wǎng)絡(luò)或公共IPX聯(lián)網(wǎng)絡(luò)如INTERNET發(fā)送。

從以上的隧道協(xié)議，我們可以看出隧道機制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò)，DSI七層網(wǎng)絡(luò)中的位置，將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法，從此產(chǎn)生了“二層VPN”與“三層VPN”的區(qū)別。但是隨著技術(shù)的發(fā)展，這樣的劃分出現(xiàn)了不足，比如基于會話加密的SSLVPN技術(shù)、基于端口轉(zhuǎn)發(fā)的HTTPTunnel技術(shù)等等。如果繼續(xù)使用這樣的分類，將出現(xiàn)“四層VPN”、“五層VPN”，分類教為冗余。因此，目前出現(xiàn)了其他的隧道機制的分類。

2改進后的幾種隧道機制的分類

(1)J Heinanen等人提出的根據(jù)隧道建立時采用的接入方式不同來分類，將隧道分成四類。分別是使用撥號方式的VPN，使用路由方式的VPN，使用專線方式的VPN和使用局域網(wǎng)仿真方式的VPLS。

(2)由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評價標準。根據(jù)隧道建立的機制對網(wǎng)絡(luò)性能的影響不同，可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術(shù)是利用封裝的思想，將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息，從而使重新封裝的數(shù)據(jù)包仍能夠通過公眾網(wǎng)絡(luò)傳遞。

隔離型隧道的建立，則是參考了數(shù)據(jù)交換的原理，根據(jù)不同的標記，直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標記的數(shù)據(jù)包在進入網(wǎng)絡(luò)邊緣時已經(jīng)相互隔離，如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性，例如LSVPN。從性能上看，使用封裝型隧道技術(shù)一般只能提供點對點的通道，而點對多點的業(yè)務(wù)支持能力較差，但是可擴展性，靈活性具有優(yōu)勢。

采用隔離型隧道技術(shù)，則不存在以上問題，可以根據(jù)實際需要，提供點對點，點對多點，多點對多點的網(wǎng)絡(luò)拓撲。

三、諸種安全與加密技術(shù)

IPVPN技術(shù)，由于利用了Intemet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息，使得低成本，遠距離。但隨之而來的是由于Intemet技術(shù)的標準化和開放性，導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對策的訪問控制來提高網(wǎng)絡(luò)的安全性，但黑客仍可以從世界上任何地方對網(wǎng)絡(luò)進行攻擊，使得在IPVPN的網(wǎng)點A和網(wǎng)點B之間安全通信受到威脅。因此，利用IPVPN通信時，應(yīng)比專線更加注意Interact接人點的安全。為此，IPVPN采用了以下諸種安全與加密技術(shù)。

(1)防火墻技術(shù)。

(2)加密及防止數(shù)據(jù)被篡改技術(shù)。

非對稱加密，或公用密鑰，通信雙方使用兩個不同的密鑰，一個是只有發(fā)送方知道的專用密鑰，另一個則是對應(yīng)的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術(shù)的VPN虛擬專用網(wǎng)，只有采用了以上諸種技術(shù)以后，才能夠發(fā)揮其良好的通信功能。

編輯穆楊