VPN隧道協議的研究與探討

摘要:虛擬企業網(Virtual Private Network)簡稱VPN，是一種通過使用互聯網絡基礎設施在網絡之間傳遞數據的方式，它能在開放的網絡環境下向用戶提供專用網絡信息傳輸的服務。如何在公共網絡下保障VPN網絡的安全性，隧道協議成為了網絡的核心。該文將介紹VPN網絡隧道協議的工作原理，比較分析，進一步研究探討VPN網絡技術。

關鍵詞:VPN;隧道協議;PPP;核心

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)03-609-02

虛擬企業網(VPN)是依靠網絡服務商，利用公共網絡建立企業專用數據通信的一種網絡技術。也就是說利用開放性的公共網絡作為信息傳輸的媒體，通過加密、認證、封裝等技術在公共網絡上開辟了一條專用隧道，使得授權用戶可以安全地訪問內部的私有數據。

VPN的出現替代了原來昂貴的專線租賃或幀中繼方式，將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來， 并且提供安全的端到端的數據通信。VPN 將公共網絡可靠的性能、豐富的功能與專用網的靈活、高效結合在一起，是介于公眾網與專用網之間的一種網絡。并且隨著全球化企業網絡互聯能力的要求，VPN網絡的應用將越來越廣泛。

1 VPN的安全技術

VPN技術采用了加密、認證、存取控制、數據完整性校驗等措施，相當于在各VPN設

備之間形成了一些跨越公共網絡的虛擬通道，又稱為隧道。數據在隧道中以加密的形式傳輸，只有預定的接收者才能解密，再加上數據完整性校驗等措施，保證了信息的安全傳輸。

目前VPN主要采用4項技術來保證數據的安全性，分別是隧道(Tunneling)技術、加密解密(Encryption Decryption)技術、密鑰管理(Key Management)技術和身份認證(Authentication)技術。其中隧道技術是整個VPN技術的核心，也是本文主要研究和討論的核心。

2 典型的隧道協議

在VPN技術中，隧道技術是網絡建立的關鍵，而隧道協議又是整個隧道技術的核心，

起到了至關重要的作用。隧道協議分為了第二、第三層隧道協議，二者本質的區別就在于用戶的數據包是被封裝到哪一層的隧道里進行傳輸。

2.1 二層隧道協議

2.1.1 PPTP

PPTP(Point-to-Point Tunneling Protocol，點對點隧道協議)是在PPP協議的基礎上開發的一種新的增強型安全協議。PPTP是用于PPP協議幀傳輸的一種隧道協議。利用PPP協議的身份驗證、加密和協議配置機制，PPTP為遠程訪問和VPN連接提供了一條安全路徑。通過PPTP， 客戶可以采用撥號方式接入公共網絡。PPTP通過PPTP控制連接來創建、維護和終止一條隧道，并使用GRE(Generic Routing Encapsulation，通用路由封裝)對PPP幀進行封裝。PPP幀的有效傳輸數據在封裝前必須經過加密、壓縮處理。

2.1.2 L2F

L2F(Level 2 Forwarding Protocol，第二層轉發協議)是由Cisco公司提出的可以在多種傳輸網絡上建立多協議的一種隧道協議。遠程用戶通過撥號方式接入到公共網絡。L2F可以在多種傳輸介質(如ATM、FR)上建立VPN通信隧道。它可以將鏈路層協議封裝起來進行傳輸，因此網絡的鏈路層獨立于用戶的鏈路層協議。

L2F遠程用戶按常規方式撥號到ISP的接入服務器NAS，建立PPP連接，NAS根據用戶名等信息，發起第二重連接，呼叫用戶網絡的服務器。整個過程中，L2F隧道的建立和配置對用戶是完全透明的。L2F允許撥號接入服務器NAS通過WAN將PPP幀發送到L2F服務器。L2F服務器則將去除封裝后的幀傳輸到公司自己的網絡中。

2.1.3 L2TP

L2TP(Layer 2 Tunneling Protocol，第二層隧道協議)是國際標準隧道協議。L2TP是把鏈路層PPP幀分裝在公共網絡設施(如IP、ATM、FR)中進行隧道傳輸的協議。它結合了PPTP協議以及L2F協議的優點，能以隧道方式使PPP數據包通過各種網絡協議。

L2TP主要由LAC(L2TP Access Concentrator，L2TP訪問集中器)和LNS(L2TP Network Server，L2TP網絡服務器)組成。其中LAC用于為用戶提供網絡接入服務，具有PPP端系統和L2TP協議處理能力。LNS是用于處理L2TP協議服務器端部分的軟件。

與PPTP不同，L2TP隧道的維護不在獨立的連接上進行，數據信息的傳輸是通過多級封裝實現的。在安全性上，L2TP 僅僅定義了控制包的加密傳輸方式，對傳輸中的數據并不加密。

2.2 三層隧道協議

IPSec(IP Security，IP層安全協議)是集多種安全技術為一體的安全體系結構，是一組IP安全協議集。IPSec協議定義了數據加密，網絡單元訪問控制，數據源地址驗證，數據完整性和防止重放攻擊等服務。

IPSec使用驗證包頭(AH)提供驗證來源驗證，確保數據的完整性，IPSec使用封裝安全負載(ESP)與加密一道提供來源驗證，確保數據完整性。IPSec支持傳輸模式和隧道模式。AH 和ESP 都支持這兩種模式。傳輸模式一般應用于主機之間的端對端的通信，隧道模式則應用于網關模式中。

IPSec的優點在于它定義了一套用于保護私有性和完整性的標準協議，支持一系列加密算法如DES、3DES、IDEA， 它檢查傳輸數據包的完整性， 以確保數據沒有被修改， 具有數據源認證功能，IPSec可確保運行在TCP協議上的VPN網絡之間的互操作性。

2.3 二層、三層協議的比較

第三層隧道協議與第二層隧道協議相比，優點在于它的安全性、可擴展性及可靠性。從安全的角度來看， 第二層隧道一般終止在用戶網設備上，對用戶網的安全及防火墻技術要求很高;而第三層的隧道一般終止在ISP的網關上，不會對用戶網的安全構成威脅。從可擴展性角度來看，第二層隧道將整個PPP 幀封裝在報文內，可能會產生傳輸效率問題，PPP會話貫穿整個隧道，并終止在用戶網的網關或服務器上，導致用戶網內的網關要保存大量的PPP 對話狀態及信息，這會對系統負荷產生較大的影響，也影響系統的擴展性。除此之外，由于PPP的LCP(數據鏈路層控制)及NCP(網絡層控制)對時間非常敏感，隧道的效率會造成PPP 會話超時等問題;而第三層隧道終止在ISP網內，并且PPP 會話終止在RAS 處， 網點無需管理和維護每個PPP會話狀態，從而減輕了系統負荷。

3 結論

隨著VPN網絡的廣泛應用，VPN技術也得到了發展。隧道技術作為VPN技術的核心也日益成熟。通常情況下，第二層、三層隧道協議是獨立使用的，但如果合理地同時運用兩層協議，將具有更高的安全性。例如:L2TP與IPSec協議的配合使用。這種形式的VPN也是目前性能最好、應用最廣的一種，因為它能提供更加安全的數據通信，解決用戶的后顧之憂。

參考文獻:

[1] 李磊.網絡工程師考前輔導[M].北京:清華大學出版社，2007.

[2] 瞿海生.VPN隧道協議及其應用[DB/OL].http://tech.c1114.net/166/a137980.html.