基于隧道技術的ＶＰＮ技術初探

基于隧道技術的ＶＰＮ技術初探

【論文關鍵詞】：虛擬專用網；隧道技術；隧道協議;數據封裝【論文摘要】：虛擬專用網(VPN)技術主要包括數據封裝化，隧道協議，防火墻技術，加密及防止數據被篡改技術等等。文章著重介紹了虛擬專用網以及對相關技術。并對VPN隧道技術的分類提出了一些新的探索。引言

虛擬專用網即VPN（VirtualPrivateNetwork）是利用接入服務器（AccessSever）、廣域網上的路由器以及VPN專用設備在公用的WAN上實現虛擬專用網技術。通常利internet上開展的VPN服務被稱為IPVPN。

利用共用的WAN網，傳輸企業(yè)局域網上的信息，一個關鍵的問題就是信息的安全問題。為了解決此問題，VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。

1.隧道技術

Internet中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機。總部和分公司到ISP的接入點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發(fā)送數據。在分公司的LAN上的IP分組的IP地址是以內部IP地址表示的"目的地址A""源地址B"。因此分組到達分公司的VPN設備后，立即在它的前部加上與全局IP地址對應的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設備從D發(fā)往VPN設備C而添加的。此IP分組到達總部的VPN設備C后，全局IP地址即被刪除，恢復成IP分組發(fā)往地址A。由此可見，隧道技術就是VPN利用公用網進行信息傳輸的關鍵。為此，還必須在IP分組上添加新頭標，這就是所謂IP的封裝化。同時利用隧道技術，還必須使得隧道的入口與出口相對地出現。

基于隧道技術VPN網絡，對于通信的雙方，感覺如同在使用專用網絡進行通信。

2.隧道協議

在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此，要成功的使用VPN技術還需要有隧道協議。

2.1當前主要的隧道協議以及隧道機制的分類：

⑴L2F（Layer2Forwarding）

L2F是cisco公司提出的隧道技術，作為一種傳輸協議L2F支持撥號接入服務器。將撥號數據流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器（路由器）.

⑵PTP(PointtopointTunnelimgprotocol)

PPTP協議又稱為點對點的隧道協議。PPTP協議允許對IP，IPX或NETBEUT數據流進行加密，然后封裝在IP包頭中通過企業(yè)IP網絡或公共互連網絡傳送。

⑶2TP（Layer2TunnelingProtocol）

該協議是遠程訪問型VPN今后的標準協議。

L2F、PPTP、L2TP共同特點是從遠程客戶直至內部網入口的VPN設備建立PPP連接，端口用戶可以在客戶側管理PPP。它們除了能夠利用內部IP地址的擴展功能外，還能在VPN上利用PPP支持的多協議通信功能，多鏈路功能及PPP的其他附加功能。因此在Internet上實現第二層連接的PPPSecsion的隧道協議被稱作第二層隧道。對于不提供PPP功能的隧道協議都由標準的IP層來處理，稱其為第三層隧道，以區(qū)分于第二層隧道。

⑷TMP/BAYDVS

ATMP（AscendTumnelingManagementProtocol）和BaydVs(BayDialVPNService)是基于ISP遠程訪問的VPN協議，它部分采用了移動IP的機制。ATMP以GRE實現封裝化，將VPN的起點和終點配置ISP內。因此，用戶可以不裝與VPN想適配的軟件。

⑸PSEC

IPSEC規(guī)定了在IP網絡環(huán)境中的安全框架。該