深究網絡應用之VPN技術

導語：深究網絡應用之VPN技術一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

關鍵詞：vpn簡介實現技術

摘要：重點分析了VPN的實現技術。

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡的安全性、保密性、可靠穩定性，對于企業和一些跨區域專門從事特定業務的部門，從經濟實用性、網絡安全性、數據傳輸可靠性上來，看VPN技術無疑是一種不錯的選擇。下面就VPN技術的實現做一下粗淺的分析：

1VPN簡介

虛擬專用網(VirtuaIPrivateNetwork,VPN)是一種“基于公共數據網，給用戶一種直接連接到私人局域網感覺的服務”。VPN極大地降低了用戶的費用，而且提供了比傳統方法更強的安全性和可靠性。

VPN可分為三大類：(1)企業各部門與遠程分支之間的In-tranetVPN；

(2)企業網與遠程(移動)雇員之間的遠程訪問(Re-moteAccess)VPN；

(3)企業與合作伙伴、客戶、供應商之間的ExtranetVPNo；

在ExtranetVPN中，企業要與不同的客戶及供應商建立聯系，VPN解決方案也會不同。因此，企業的VPN產品應該能夠同其他廠家的產品進行互操作。這就要求所選擇的VPN方案應該是基于工業標準和協議的。這些協議有IPSec、點到點隧道協議(PointtoPointTunnelingProtocol,PPTP)、第二層隧道協議(layer2TunnelingProtocol,I,2TP)等。

2VPN的實現技術

VPN實現的兩個關鍵技術是隧道技術和加密技術，同時QoS技術對VPN的實現也至關重要。

2.1VPN訪問點模型

首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術和加密技術。

2.2隧道技術

隧道技術簡單的說就是：原始報文在A地進行封裝，到達B地后把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generi-cRoutingEncapsulation,GRE)I,2TP和PPTPo。

(1)GRE

GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過隧道的報文用一個新的報文頭(GRE報文頭)進行封裝然后帶著隧道終點地址放人隧道中。當報文到達隧道終點時，GRE報文頭被剝掉，繼續原始報文的目標地址進行尋址。GRE隧道通常是點到點的，即隧道只有一個源地址和一個終地址。然而也有一些實現允許一點到多點，即一個源地址對多個終地址。這時候就要和下一條路由協議(Next-HopRoutingProtocol,NHRP)結合使用。NHRP主要是為了在路由之間建立捷徑。

GRE隧道用來建立VPN有很大的吸引力。從體系結構的觀點來看，VPN就象是通過普通主機網絡的隧道集合。普通主機網絡的每個點都可利用其地址以及路由所形成的物理連接，配置成一個或多個隧道。在GRE隧道技術中人口地址用的是普通主機網絡的地址空間，而在隧道中流動的原始報文用的是VPN的地址空間，這樣反過來就要求隧道的終點應該配置成VPN與普通主機網絡之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網絡的路由信息中隔離出來，多個VPN可以重復利用同一個地址空間而沒有沖突，這使得VPN從主機網絡中獨立出來。從而滿足了VPN的關鍵要求：可以不使用全局唯一的地址空間。隧道也能封裝數量眾多的協議族，減少實現VPN功能函數的數量。還有，對許多VPN所支持的體系結構來說，用同一種格式來支持多種協議同時又保留協議的功能，這是非常重要的。IP路由過濾的主機網絡不能提供這種服務，而只有隧道技術才能把VPN私有協議從主機網絡中隔離開來。基于隧道技術的VPN實現的另一特點是對主機網絡環境和VPN路由環境進行隔離。對VPN而言主機網絡可看成點到點的電路集合，VPN能夠用其路由協議穿過符合VPN管理要求的虛擬網。同樣，主機網絡用符合網絡要求的路由設計方案，而不必受VPN用戶網絡的路由協議限制。

雖然GRE隧道技術有很多優點，但用其技術作為VPN機制也有缺點，例如管理費用高、隧道的規模數量大等。因為GRE是由手工配置的，所以配置和維護隧道所需的費用和隧道的數量是直接相關的—每次隧道的終點改變，隧道要重新配置。隧道也可自動配置，但有缺點，如不能考慮相關路由信息、性能問題以及容易形成回路問題。一旦形成回路，會極大惡化路由的效率。除此之外，通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進人隧道前的)進行的話，就會影響路由發送速率的能力及服務性能。

GRE隧道技術是用在路由器中的，可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠程訪問VPN中，多數用戶是采用撥號上網。這時可以通過L2TP和PPTP來加以解決。

(2)L2TP和PPTP

L2TP是L2F(Layer2Forwarding)和PPT’I〕的結合。但是由于PC機的桌面操作系統包含著PPTP，因此PPT’I〕仍比較流行。隧道的建立有兩種方式即：“用戶初始化”隧道和“NAS初始化”(NetworkAccessServer)隧道。前者一般指“主動’，隧道，后者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的，而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。L2TP作為“強制”隧道模型是讓撥號用戶與網絡中的另一點建立連接的重要機制。建立過程如下：

a.用戶通過Modem與NAS建立連接；b.用戶通過NAS的L2TP接入服務器身份認證；；c.在政策配置文件或NAS與政策服務器進行協商的基礎上，NAS和L2TP接入服務器動態地建立一條L2TP隧道；d.用戶與L2TP接入服務器之間建立一條點到點協議(PointtoPointProtocol,PPP)訪問服務隧道；e.用戶通過該隧道獲得VPN服務。

與之相反的是，PPTP作為“主動”隧道模型允許終端系統進行配置，與任意位置的PPTP服務器建立一條不連續的、點到點的隧道。并且，PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網絡服務。PPTP建立過程如下：a.用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網絡服務；b.用戶通過路由信息定位PPTP接入服務器；c.用戶形成一個PPTP虛擬接口；d.用戶通過該接口與PPTP接入服務器協商、認證建立一條PPP訪問服務隧道；e.用戶通過該隧道獲得VPN服務。

在L2TP中，用戶感覺不到NAS的存在，仿佛與PPTP接入服務器直接建立連接。而在PPTP中，PPTP隧道對NAS是透明的；NAS不需要知道PPTP接入服務器的存在，只是簡單地把PPTP流量作為普通IP流量處理。

采用L2TP還是PPTP實現VPN取決于要把控制權放在NAS還是用戶手中。硯TP比PPTP更安全，因為硯TP接入服務器能夠確定用戶從哪里來的。硯TP主要用于比較集中的、固定的VPN用戶，而PPTP比較適合移動的用戶。

2.3加密技術

數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權者不能了解被保護信息的內容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESoRC4雖然強度比較弱，但是保護免于非專業人士的攻擊已經足夠了；DES和三次DES強度比較高，可用于敏感的商業信息。

加密技術可以在協議棧的任意層進行；可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”：加密只在路由器中進行，而終端與第一條路由之間不加密。這種方法不太安全，因為數據從終端系統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統的標準；而“隧道模式”方案，VPN安全粒度只達到子網標準。在鏈路層中，目前還沒有統一的加密標準，因此所有鏈路層加密方案基本上是生產廠家自己設計的，需要特別的加密硬件。

2.4QoS技術

通過隧道技術和加密技術，已經能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩定，管理上不能滿足企業的要求，這就要加入QoS技術。實行QoS應該在主機網絡中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。

基于公共網的VPN通過隧道技術、數據加密技術以及QoS機制，使得VPN用戶能夠降低成本、提高效率、增強安全性，VPN將是廣大用戶的最終選擇。