您当前的位置:首页 > 计算机论文>信息管理论文

基于隧道技术的VPN技术初探

2015-07-04 09:14 来源:学术参考网 作者:未知

  【论文关键词】:虚拟专用网;隧道技术;隧道协议;数据封装

  【论文摘要】:虚拟专用网(vpn)技术主要包括数据封装化,隧道协议,防火墙技术,加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对vpn隧道技术的分类提出了一些新的探索。
  
  引言
  
   虚拟专用网即vpn(virtual private network)是利用接入服务器(access sever)、广域网上的路由器以及vpn专用设备在公用的wan上实现虚拟专用网技术。通常利internet上开展的vpn服务被称为ipvpn。
   利用共用的wan网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,vpn采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
  
  1. 隧道技术
  
   internet中的隧道是逻辑上的概念。假设总部的lan上和分公司的lan上分别连有内部的ip地址为a和b的微机。总部和分公司到isp的接入点上的配置了vpn设备。它们的全局ip地址是c和d。假定从微机b向微机a发送数据。在分公司的lan上的ip分组的ip地址是以内部ip地址表示的"目的地址a""源地址b"。因此分组到达分公司的vpn设备后,立即在它的前部加上与全局ip地址对应的"目的地址c"和"源地址d"。全局ip地址c和d是为了通过internet中的若干路由器将ip分组从vpn设备从d发往vpn设备c而添加的。WWw.133229.COm此ip分组到达总部的vpn设备c后,全局ip地址即被删除,恢复成ip分组发往地址a。由此可见,隧道技术就是vpn利用公用网进行信息传输的关键。为此,还必须在ip分组上添加新头标,这就是所谓ip的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
   基于隧道技术vpn网络,对于通信的双方,感觉如同在使用专用网络进行通信。
  
  2. 隧道协议
  
   在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用vpn技术还需要有隧道协议。
  
   2.1 当前主要的隧道协议以及隧道机制的分类:
   ⑴ l2f(layer 2 forwarding)
   l2f是cisco公司提出的隧道技术,作为一种传输协议l2f支持拨号接入服务器。将拨号数据流封装在ppp帧内通过广域网链路传送到l2f服务器(路由器).
   ⑵ ptp(point to point tunnelimg protocol)
   pptp协议又称为点对点的隧道协议。pptp协议允许对ip,ipx或netbeut数据流进行加密,然后封装在ip包头中通过企业ip网络或公共互连网络传送。
   ⑶ 2tp(layer 2 tunneling protocol)
   该协议是远程访问型vpn今后的标准协议。
   l2f、pptp、l2tp共同特点是从远程客户直至内部网入口的vpn设备建立ppp连接,端口用户可以在客户侧管理ppp。它们除了能够利用内部ip地址的扩展功能外,还能在vpn上利用ppp支持的多协议通信功能,多链路功能及ppp的其他附加功能。因此在internet上实现第二层连接的pppsecsion的隧道协议被称作第二层隧道。对于不提供ppp功能的隧道协议都由标准的ip层来处理,称其为第三层隧道,以区分于第二层隧道。
   ⑷ tmp/baydvs
   atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp远程访问的vpn协议,它部分采用了移动ip的机制。atmp以gre实现封装化,将vpn的起点和终点配置isp内。因此,用户可以不装与vpn想适配的软件。
   ⑸ psec
   ipsec规定了在ip网络环境中的安全框架。该规范规定了vpn能够利用认证头标(ah:authmentication header)和封装化安全净荷(esp:encapsnlating security paylamd)。

   ipsec隧道模式允许对ip负载数据进行加密,然后封装在ip包头中,通过企业ip网络或公共ip互联网络如internet发送。
   从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,dsi七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层vpn "与"三层vpn"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的sslvpn技术[2]、基于端口转发的httptunnel[1]技术等等。如果继续使用这样的分类,将出现"四层vpn"、"五层vpn",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
  
   2.2 改进后的几种隧道机制的分类
   ⑴ j.heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的vpn,使用路由方式的vpn,使用专线方式的vpn和使用局域网仿真方式的vpls。
   例如同样是以太网的技术,根据实际情况的不同,可能存在pppoe、mplsybgp、msip、或者ipsec等多种vpn组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对vpn技术选型造成误导。
   ⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的vpn分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如l2tp就是典型的封装型隧道。
   隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如lsvpn。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
   采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
  
  3. 诸种安全与加密技术
  
   ipvpn技术,由于利用了internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在ipvpn的网点a和网点b之间安全通信受到威胁。因此,利用ipvpn通信时,应比专线更加注意internet接入点的安全。为此,ipvpn采用了以下诸种安全与加密技术。[2]
   ⑴ 防火墙技术
   防火墙技术,主要用于抵御来自黑客的攻击。
   ⑵ 加密及防止数据被篡改技术
   加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
   非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的vpn虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
  
  参考文献
   [1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.
   [2] 徐国爱. 网络安全[m]. 北京邮电大学出版社, 2004,5.
相关文章
学术参考网 · 手机版
https://m.lw881.com/
首页