基于隧道技術的VPN技術初探

杜天宇

[關鍵詞]VPN；隧道技術：隧道協議：安全與加密技術

虛擬專用網即VPN(Virtual PrivateNetwork)是利用接入服務器(AccessSever)、廣域網上的路由器以及VPN專用設備在公用的WAN上實現虛擬專用網技術。通常利用interact上開展的VPN服務被稱為IPVPN。

利用共用的WAN網，傳輸企業局域網上的信息，一個關鍵的問題就是信息的安全問題。為了解決此問題。VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。

一、隧道技術

Interact中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機。總部和分公司到ISP的接人點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發送數據。在分公司的LAN上的IP分組的IP地址是以內部IP地址表示的“目的地址A”“源地址B”。因此分組到達分公司的VPN設備后。立即在它的前部加上與全局IP地址對應的“目的地址C”和“源地址D”。全局IP地址C和D是為了通過Interact中的若干路由器將IP分組從VPN設備從D發往VPN設備C而添加的。此IP分組到達總部的VPN設備C后。全局IP地址即被刪除。恢復成IP分組發往地址A。由此可見，隧道技術就是VPN利用公用網進行信息傳輸的關鍵。為此，還必須在IP分組上添加新頭標，這就是所謂IP的封裝化。同時利用隧道技術，還必須使得隧道的人口與出口相對地出現。

基于隧道技術VPN網絡，對于通信的雙方，感覺如同在使用專用網絡進行通信。

二、隧道協議

在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此，要成功地使用VPN技術還需要有隧道協議。

1當前主要的隧道協議以及隧道機制的分類：

(1)L2F(Layer 2 Forwarding)。L2F是ClSCO公司提出的隧道技術，作為一種傳輸協議L2F支持撥號接入服務器。將撥號數據流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器(路由器)。

(2)PTP (Point to point Tunnelimgprotocol)。PPTP協議又稱為點對點的隧道協議。PPTP協議允許對IP，IPX或NETBEUT數據流進行加密，然后封裝在IP包頭中通過企業IP網絡或公共互聯網絡傳送。

(3)2TP(Layer 2 Tunneling Protoc01)。該協議是遠程訪問型VPN今后的標準協議。

L2F、PPTP、L2TP共同特點是從遠程客戶直至內部網人口的VPN設備建立PPP連接，端口用戶可以在客戶側管理PPP。它們除了能夠利用內部IP地址的擴展功能外。還能在VPN上利用PPP支持的多協議通信功能，多鏈路功能及PPP的其他附加功能。因此在Interact上實現第二層連接的PPPSecsion的隧道協議被稱作第二層隧道。對于不提供PPP功能的隧道協議都由標準的IP層來處理。稱其為第三層隧道，以區分于第二層隧道。

(4)TMP／BAYDVS。ATMP(AscendTumnelingManagement Protocol)和BaydVsfBav Dial VPN Service)是基于ISP遠程訪問的VPN協議，它部分采用了移動IP的機制。ATMP以GRE實現封裝化，將VPN的起點和終點配置ISP內。因此，用戶可以不裝與VPN相適配的軟件。

(5)PSEC。IPSEC規定了在IP網絡環境中的安全框架。該規范規定了VPN能夠利用認證頭標(AH：AuthmenticationHeader)和封裝化安全凈荷(ESP：Encapsnlating Security Pavlamd)。IPSEC隧道模式允許對IP負載數據進行加密，然后封裝在IP包頭中，通過企業IP網絡或公共IPX聯網絡如INTERNET發送。

從以上的隧道協議，我們可以看出隧道機制的分類是根據虛擬數據鏈絡層的網絡，DSI七層網絡中的位置，將自己定義為第二層的隧道分類技術。按照這種劃分方法，從此產生了“二層VPN”與“三層VPN”的區別。但是隨著技術的發展，這樣的劃分出現了不足，比如基于會話加密的SSLVPN技術、基于端口轉發的HTTPTunnel技術等等。如果繼續使用這樣的分類，將出現“四層VPN”、“五層VPN”，分類教為冗余。因此，目前出現了其他的隧道機制的分類。

2改進后的幾種隧道機制的分類

(1)J Heinanen等人提出的根據隧道建立時采用的接入方式不同來分類，將隧道分成四類。分別是使用撥號方式的VPN，使用路由方式的VPN，使用專線方式的VPN和使用局域網仿真方式的VPLS。

(2)由于網絡性能是所有網絡技術的重要評價標準。根據隧道建立的機制對網絡性能的影響不同，可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術是利用封裝的思想，將原本工作在某一層的數據包在包頭提供了控制信息與網絡信息，從而使重新封裝的數據包仍能夠通過公眾網絡傳遞。

隔離型隧道的建立，則是參考了數據交換的原理，根據不同的標記，直接將數據分發到不同的設備上去。由于不同標記的數據包在進入網絡邊緣時已經相互隔離，如果接入網絡的數據包也是相互隔離的就保證了數據的安全性，例如LSVPN。從性能上看，使用封裝型隧道技術一般只能提供點對點的通道，而點對多點的業務支持能力較差，但是可擴展性，靈活性具有優勢。

采用隔離型隧道技術，則不存在以上問題，可以根據實際需要，提供點對點，點對多點，多點對多點的網絡拓撲。

三、諸種安全與加密技術

IPVPN技術，由于利用了Intemet網絡傳輸總部局域網的內部信息，使得低成本，遠距離。但隨之而來的是由于Intemet技術的標準化和開放性，導致威脅網絡的安全。雖然可采取安全對策的訪問控制來提高網絡的安全性，但黑客仍可以從世界上任何地方對網絡進行攻擊，使得在IPVPN的網點A和網點B之間安全通信受到威脅。因此，利用IPVPN通信時，應比專線更加注意Interact接人點的安全。為此，IPVPN采用了以下諸種安全與加密技術。

(1)防火墻技術。

(2)加密及防止數據被篡改技術。

非對稱加密，或公用密鑰，通信雙方使用兩個不同的密鑰，一個是只有發送方知道的專用密鑰，另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術的VPN虛擬專用網，只有采用了以上諸種技術以后，才能夠發揮其良好的通信功能。

編輯穆楊