• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于隧道技術(shù)的VPN技術(shù)初探

      2009-04-14 10:18:50杜天宇
      活力 2009年24期

      杜天宇

      [關(guān)鍵詞]VPN;隧道技術(shù):隧道協(xié)議:安全與加密技術(shù)

      虛擬專用網(wǎng)即VPN(Virtual PrivateNetwork)是利用接入服務(wù)器(AccessSever)、廣域網(wǎng)上的路由器以及VPN專用設(shè)備在公用的WAN上實(shí)現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利用interact上開(kāi)展的VPN服務(wù)被稱為IPVPN。

      利用共用的WAN網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個(gè)關(guān)鍵的問(wèn)題就是信息的安全問(wèn)題。為了解決此問(wèn)題。VPN采用了一系列的技術(shù)措施來(lái)加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。

      一、隧道技術(shù)

      Interact中的隧道是邏輯上的概念。假設(shè)總部的LAN上和分公司的LAN上分別連有內(nèi)部的IP地址為A和B的微機(jī)??偛亢头止镜絀SP的接人點(diǎn)上的配置了VPN設(shè)備。它們的全局IP地址是C和D。假定從微機(jī)B向微機(jī)A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以內(nèi)部IP地址表示的“目的地址A”“源地址B”。因此分組到達(dá)分公司的VPN設(shè)備后。立即在它的前部加上與全局IP地址對(duì)應(yīng)的“目的地址C”和“源地址D”。全局IP地址C和D是為了通過(guò)Interact中的若干路由器將IP分組從VPN設(shè)備從D發(fā)往VPN設(shè)備C而添加的。此IP分組到達(dá)總部的VPN設(shè)備C后。全局IP地址即被刪除?;謴?fù)成IP分組發(fā)往地址A。由此可見(jiàn),隧道技術(shù)就是VPN利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此,還必須在IP分組上添加新頭標(biāo),這就是所謂IP的封裝化。同時(shí)利用隧道技術(shù),還必須使得隧道的人口與出口相對(duì)地出現(xiàn)。

      基于隧道技術(shù)VPN網(wǎng)絡(luò),對(duì)于通信的雙方,感覺(jué)如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。

      二、隧道協(xié)議

      在一個(gè)分組上再加上一個(gè)頭標(biāo)被稱為封裝化。對(duì)封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功地使用VPN技術(shù)還需要有隧道協(xié)議。

      1當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類:

      (1)L2F(Layer 2 Forwarding)。L2F是ClSCO公司提出的隧道技術(shù),作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器。將撥號(hào)數(shù)據(jù)流封裝在PPP幀內(nèi)通過(guò)廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)。

      (2)PTP (Point to point Tunnelimgprotocol)。PPTP協(xié)議又稱為點(diǎn)對(duì)點(diǎn)的隧道協(xié)議。PPTP協(xié)議允許對(duì)IP,IPX或NETBEUT數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)傳送。

      (3)2TP(Layer 2 Tunneling Protoc01)。該協(xié)議是遠(yuǎn)程訪問(wèn)型VPN今后的標(biāo)準(zhǔn)協(xié)議。

      L2F、PPTP、L2TP共同特點(diǎn)是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)人口的VPN設(shè)備建立PPP連接,端口用戶可以在客戶側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴(kuò)展功能外。還能在VPN上利用PPP支持的多協(xié)議通信功能,多鏈路功能及PPP的其他附加功能。因此在Interact上實(shí)現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道。對(duì)于不提供PPP功能的隧道協(xié)議都由標(biāo)準(zhǔn)的IP層來(lái)處理。稱其為第三層隧道,以區(qū)分于第二層隧道。

      (4)TMP/BAYDVS。ATMP(AscendTumnelingManagement Protocol)和BaydVsfBav Dial VPN Service)是基于ISP遠(yuǎn)程訪問(wèn)的VPN協(xié)議,它部分采用了移動(dòng)IP的機(jī)制。ATMP以GRE實(shí)現(xiàn)封裝化,將VPN的起點(diǎn)和終點(diǎn)配置ISP內(nèi)。因此,用戶可以不裝與VPN相適配的軟件。

      (5)PSEC。IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認(rèn)證頭標(biāo)(AH:AuthmenticationHeader)和封裝化安全凈荷(ESP:Encapsnlating Security Pavlamd)。IPSEC隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在IP包頭中,通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共IPX聯(lián)網(wǎng)絡(luò)如INTERNET發(fā)送。

      從以上的隧道協(xié)議,我們可以看出隧道機(jī)制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò),DSI七層網(wǎng)絡(luò)中的位置,將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法,從此產(chǎn)生了“二層VPN”與“三層VPN”的區(qū)別。但是隨著技術(shù)的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會(huì)話加密的SSLVPN技術(shù)、基于端口轉(zhuǎn)發(fā)的HTTPTunnel技術(shù)等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)“四層VPN”、“五層VPN”,分類教為冗余。因此,目前出現(xiàn)了其他的隧道機(jī)制的分類。

      2改進(jìn)后的幾種隧道機(jī)制的分類

      (1)J Heinanen等人提出的根據(jù)隧道建立時(shí)采用的接入方式不同來(lái)分類,將隧道分成四類。分別是使用撥號(hào)方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網(wǎng)仿真方式的VPLS。

      (2)由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評(píng)價(jià)標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對(duì)網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過(guò)公眾網(wǎng)絡(luò)傳遞。

      隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標(biāo)記,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時(shí)已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術(shù)一般只能提供點(diǎn)對(duì)點(diǎn)的通道,而點(diǎn)對(duì)多點(diǎn)的業(yè)務(wù)支持能力較差,但是可擴(kuò)展性,靈活性具有優(yōu)勢(shì)。

      采用隔離型隧道技術(shù),則不存在以上問(wèn)題,可以根據(jù)實(shí)際需要,提供點(diǎn)對(duì)點(diǎn),點(diǎn)對(duì)多點(diǎn),多點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)拓?fù)洹?/p>

      三、諸種安全與加密技術(shù)

      IPVPN技術(shù),由于利用了Intemet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠(yuǎn)距離。但隨之而來(lái)的是由于Intemet技術(shù)的標(biāo)準(zhǔn)化和開(kāi)放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對(duì)策的訪問(wèn)控制來(lái)提高網(wǎng)絡(luò)的安全性,但黑客仍可以從世界上任何地方對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,使得在IPVPN的網(wǎng)點(diǎn)A和網(wǎng)點(diǎn)B之間安全通信受到威脅。因此,利用IPVPN通信時(shí),應(yīng)比專線更加注意Interact接人點(diǎn)的安全。為此,IPVPN采用了以下諸種安全與加密技術(shù)。

      (1)防火墻技術(shù)。

      (2)加密及防止數(shù)據(jù)被篡改技術(shù)。

      非對(duì)稱加密,或公用密鑰,通信雙方使用兩個(gè)不同的密鑰,一個(gè)是只有發(fā)送方知道的專用密鑰,另一個(gè)則是對(duì)應(yīng)的公用密鑰。任何一方都可以得到公用密鑰?;谒淼兰夹g(shù)的VPN虛擬專用網(wǎng),只有采用了以上諸種技術(shù)以后,才能夠發(fā)揮其良好的通信功能。

      編輯穆楊

      陆川县| 盱眙县| 万盛区| 长兴县| 桑植县| 渭南市| 安庆市| 三江| 宁安市| 东明县| 定陶县| 台江县| 崇礼县| 鄂托克旗| 康马县| 四会市| 高要市| 英吉沙县| 彭山县| 兰西县| 永定县| 浦江县| 景东| 德昌县| 本溪市| 牙克石市| 剑川县| 汕尾市| 双鸭山市| 定边县| 沂水县| 厦门市| 襄垣县| 鄂州市| 兴国县| 古浪县| 辽阳县| 布尔津县| 岑溪市| 云浮市| 莱州市|