【论文关键词】:虚拟专用网;隧道技术;隧道协议;数据封装
【论文摘要】:虚拟专用网(vpn)技术主要包括数据封装化,隧道协议,防火墙技术,加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对vpn隧道技术的分类提出了一些新的探索。
引言
虚拟专用网即vpn(virtual private network)是利用接入服务器(access sever)、广域网上的路由器以及vpn专用设备在公用的wan上实现虚拟专用网技术。通常利internet上开展的vpn服务被称为ipvpn。
利用共用的wan网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,vpn采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
internet中的隧道是逻辑上的概念。假设总部的lan上和分公司的lan上分别连有内部的ip地址为a和b的微机。总部和分公司到isp的接入点上的配置了vpn设备。它们的全局ip地址是c和d。假定从微机b向微机a发送数据。在分公司的lan上的ip分组的ip地址是以内部ip地址表示的"目的地址a""源地址b"。因此分组到达分公司的vpn设备后,立即在它的前部加上与全局ip地址对应的"目的地址c"和"源地址d"。全局ip地址c和d是为了通过internet中的若干路由器将ip分组从vpn设备从d发往vpn设备c而添加的。WWw.133229.COm此ip分组到达总部的vpn设备c后,全局ip地址即被删除,恢复成ip分组发往地址a。由此可见,隧道技术就是vpn利用公用网进行信息传输的关键。为此,还必须在ip分组上添加新头标,这就是所谓ip的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术vpn网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用vpn技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ l2f(layer 2 forwarding)
l2f是cisco公司提出的隧道技术,作为一种传输协议l2f支持拨号接入服务器。将拨号数据流封装在ppp帧内通过广域网链路传送到l2f服务器(路由器).
⑵ ptp(point to point tunnelimg protocol)
pptp协议又称为点对点的隧道协议。pptp协议允许对ip,ipx或netbeut数据流进行加密,然后封装在ip包头中通过企业ip网络或公共互连网络传送。
⑶ 2tp(layer 2 tunneling protocol)
该协议是远程访问型vpn今后的标准协议。
l2f、pptp、l2tp共同特点是从远程客户直至内部网入口的vpn设备建立ppp连接,端口用户可以在客户侧管理ppp。它们除了能够利用内部ip地址的扩展功能外,还能在vpn上利用ppp支持的多协议通信功能,多链路功能及ppp的其他附加功能。因此在internet上实现第二层连接的pppsecsion的隧道协议被称作第二层隧道。对于不提供ppp功能的隧道协议都由标准的ip层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ tmp/baydvs
atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp远程访问的vpn协议,它部分采用了移动ip的机制。atmp以gre实现封装化,将vpn的起点和终点配置isp内。因此,用户可以不装与vpn想适配的软件。
⑸ psec
ipsec规定了在ip网络环境中的安全框架。该规范规定了vpn能够利用认证头标(ah:authmentication header)和封装化安全净荷(esp:encapsnlating security paylamd)。
ipsec隧道模式允许对ip负载数据进行加密,然后封装在ip包头中,通过企业ip网络或公共ip互联网络如internet发送。