基于隧道技術(shù)的VPN技術(shù)初探

杜天宇

[關(guān)鍵詞]VPN；隧道技術(shù)：隧道協(xié)議：安全與加密技術(shù)

虛擬專用網(wǎng)即VPN(Virtual PrivateNetwork)是利用接入服務(wù)器(AccessSever)、廣域網(wǎng)上的路由器以及VPN專用設(shè)備在公用的WAN上實(shí)現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利用interact上開(kāi)展的VPN服務(wù)被稱為IPVPN。

利用共用的WAN網(wǎng)，傳輸企業(yè)局域網(wǎng)上的信息，一個(gè)關(guān)鍵的問(wèn)題就是信息的安全問(wèn)題。為了解決此問(wèn)題。VPN采用了一系列的技術(shù)措施來(lái)加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。

一、隧道技術(shù)

Interact中的隧道是邏輯上的概念。假設(shè)總部的LAN上和分公司的LAN上分別連有內(nèi)部的IP地址為A和B的微機(jī)?？偛亢头止镜絀SP的接人點(diǎn)上的配置了VPN設(shè)備。它們的全局IP地址是C和D。假定從微機(jī)B向微機(jī)A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以內(nèi)部IP地址表示的“目的地址A”“源地址B”。因此分組到達(dá)分公司的VPN設(shè)備后。立即在它的前部加上與全局IP地址對(duì)應(yīng)的“目的地址C”和“源地址D”。全局IP地址C和D是為了通過(guò)Interact中的若干路由器將IP分組從VPN設(shè)備從D發(fā)往VPN設(shè)備C而添加的。此IP分組到達(dá)總部的VPN設(shè)備C后。全局IP地址即被刪除?；謴?fù)成IP分組發(fā)往地址A。由此可見(jiàn)，隧道技術(shù)就是VPN利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此，還必須在IP分組上添加新頭標(biāo)，這就是所謂IP的封裝化。同時(shí)利用隧道技術(shù)，還必須使得隧道的人口與出口相對(duì)地出現(xiàn)。

基于隧道技術(shù)VPN網(wǎng)絡(luò)，對(duì)于通信的雙方，感覺(jué)如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。

二、隧道協(xié)議

在一個(gè)分組上再加上一個(gè)頭標(biāo)被稱為封裝化。對(duì)封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此，要成功地使用VPN技術(shù)還需要有隧道協(xié)議。

1當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類：

(1)L2F(Layer 2 Forwarding)。L2F是ClSCO公司提出的隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器。將撥號(hào)數(shù)據(jù)流封裝在PPP幀內(nèi)通過(guò)廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)。

(2)PTP (Point to point Tunnelimgprotocol)。PPTP協(xié)議又稱為點(diǎn)對(duì)點(diǎn)的隧道協(xié)議。PPTP協(xié)議允許對(duì)IP，IPX或NETBEUT數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)傳送。

(3)2TP(Layer 2 Tunneling Protoc01)。該協(xié)議是遠(yuǎn)程訪問(wèn)型VPN今后的標(biāo)準(zhǔn)協(xié)議。

L2F、PPTP、L2TP共同特點(diǎn)是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)人口的VPN設(shè)備建立PPP連接，端口用戶可以在客戶側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴(kuò)展功能外。還能在VPN上利用PPP支持的多協(xié)議通信功能，多鏈路功能及PPP的其他附加功能。因此在Interact上實(shí)現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道。對(duì)于不提供PPP功能的隧道協(xié)議都由標(biāo)準(zhǔn)的IP層來(lái)處理。稱其為第三層隧道，以區(qū)分于第二層隧道。

(4)TMP／BAYDVS。ATMP(AscendTumnelingManagement Protocol)和BaydVsfBav Dial VPN Service)是基于ISP遠(yuǎn)程訪問(wèn)的VPN協(xié)議，它部分采用了移動(dòng)IP的機(jī)制。ATMP以GRE實(shí)現(xiàn)封裝化，將VPN的起點(diǎn)和終點(diǎn)配置ISP內(nèi)。因此，用戶可以不裝與VPN相適配的軟件。

(5)PSEC。IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認(rèn)證頭標(biāo)(AH：AuthmenticationHeader)和封裝化安全凈荷(ESP：Encapsnlating Security Pavlamd)。IPSEC隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中，通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共IPX聯(lián)網(wǎng)絡(luò)如INTERNET發(fā)送。

從以上的隧道協(xié)議，我們可以看出隧道機(jī)制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò)，DSI七層網(wǎng)絡(luò)中的位置，將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法，從此產(chǎn)生了“二層VPN”與“三層VPN”的區(qū)別。但是隨著技術(shù)的發(fā)展，這樣的劃分出現(xiàn)了不足，比如基于會(huì)話加密的SSLVPN技術(shù)、基于端口轉(zhuǎn)發(fā)的HTTPTunnel技術(shù)等等。如果繼續(xù)使用這樣的分類，將出現(xiàn)“四層VPN”、“五層VPN”，分類教為冗余。因此，目前出現(xiàn)了其他的隧道機(jī)制的分類。

2改進(jìn)后的幾種隧道機(jī)制的分類

(1)J Heinanen等人提出的根據(jù)隧道建立時(shí)采用的接入方式不同來(lái)分類，將隧道分成四類。分別是使用撥號(hào)方式的VPN，使用路由方式的VPN，使用專線方式的VPN和使用局域網(wǎng)仿真方式的VPLS。

(2)由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評(píng)價(jià)標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對(duì)網(wǎng)絡(luò)性能的影響不同，可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術(shù)是利用封裝的思想，將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息，從而使重新封裝的數(shù)據(jù)包仍能夠通過(guò)公眾網(wǎng)絡(luò)傳遞。

隔離型隧道的建立，則是參考了數(shù)據(jù)交換的原理，根據(jù)不同的標(biāo)記，直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時(shí)已經(jīng)相互隔離，如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性，例如LSVPN。從性能上看，使用封裝型隧道技術(shù)一般只能提供點(diǎn)對(duì)點(diǎn)的通道，而點(diǎn)對(duì)多點(diǎn)的業(yè)務(wù)支持能力較差，但是可擴(kuò)展性，靈活性具有優(yōu)勢(shì)。

采用隔離型隧道技術(shù)，則不存在以上問(wèn)題，可以根據(jù)實(shí)際需要，提供點(diǎn)對(duì)點(diǎn)，點(diǎn)對(duì)多點(diǎn)，多點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)拓?fù)洹?/p>

三、諸種安全與加密技術(shù)

IPVPN技術(shù)，由于利用了Intemet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息，使得低成本，遠(yuǎn)距離。但隨之而來(lái)的是由于Intemet技術(shù)的標(biāo)準(zhǔn)化和開(kāi)放性，導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對(duì)策的訪問(wèn)控制來(lái)提高網(wǎng)絡(luò)的安全性，但黑客仍可以從世界上任何地方對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，使得在IPVPN的網(wǎng)點(diǎn)A和網(wǎng)點(diǎn)B之間安全通信受到威脅。因此，利用IPVPN通信時(shí)，應(yīng)比專線更加注意Interact接人點(diǎn)的安全。為此，IPVPN采用了以下諸種安全與加密技術(shù)。

(1)防火墻技術(shù)。

(2)加密及防止數(shù)據(jù)被篡改技術(shù)。

非對(duì)稱加密，或公用密鑰，通信雙方使用兩個(gè)不同的密鑰，一個(gè)是只有發(fā)送方知道的專用密鑰，另一個(gè)則是對(duì)應(yīng)的公用密鑰。任何一方都可以得到公用密鑰?；谒淼兰夹g(shù)的VPN虛擬專用網(wǎng)，只有采用了以上諸種技術(shù)以后，才能夠發(fā)揮其良好的通信功能。

編輯穆楊