2.2 实现VPN的关键技术和主要协议
2.2.1 实现VPN的关键技术
(1) 隧道技术
所谓“隧道”就是这样一种封装技术,它利用一种网络传输协议,将其他协议产生的数据 报文封装在它自己的报文中在网络中传输。在目的局域网和公网的接口处将数据解封装, 取出负载。隧道技术是指包括数据封装,传输和解包在内的全过程。 有两种隧道类型:一是自愿式隧道,当一个客户终端利用隧道客户端软件主动与目标隧道服务器建立一个虚连接,则该连接称为自愿式隧道。这要求在该用户的终端上需要装载所需的协议并且与互联网要有连接;二是强制式隧道,在这种方式中,有一台网络设备(一般是ISP端的设备)代替拨号用户建立与目的地隧道服务器的隧道。
(2) 加解密认证技术
加解密技术是VPN的另一核心技术。为了保证数据在传输过程中的安全性,不被非法的用户窃取或篡改,一般都在传输之前进行加密,在接受方再对其进行解密。
(3) 身份认证技术
这最常用的是使用者名称与密码或智能卡认证等方式。
(4) 密钥管理技术
它的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。线性密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双发都有两把密钥,分别用于公用、私用。
2.2.2 VPN的主要安全协议
(1) 隧道协议
VPN具体实现是采用隧道技术,而隧道是通过隧道协议实现的,隧道协议规定了隧道的建立,文护和删除规则以及怎样将企业网的数据封装在隧道中进行传输。隧道协议可分为第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议IPsec等。它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。
无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组成的。以L2TP为例,看一下隧道协议的组成。
图 2.3
传输协议被用来传送封装协议。IP是一种常见的传输协议,这是因为IP具有强大的路 由选择能力,可以运行于不同介质上,并且其应用最为广泛。此外,帧中继、ATM PVC 和SVC也是非常合适的传输协议。比如用户想通过Internet将其分公司网络连接起来,但他的 网络环境是IPX,这时用户就可以使用IP作为传输协议,通过封装协议封装IPX的数据包, 然后就可以在Internet 网上传递IPX 数据。
封装协议被用来建立、保持和拆卸隧道。包括L2F、L2TP、GRE 协 议。而乘客协议 是被封装的协议,它们可以是PPP、SLIP。
隧道协议有很多好处,例如在拨号网络中,用户大都接受ISP分配的动态IP地址,而企业网一般均采用防火墙、NAT等安全措施来保护自己的网络,企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后,企业拨号用户就可以得到企 业内部网IP地址,通过对PPP帧进行封装,用户数据包可以穿过防火墙到达企业内部网。
(2) PPTP--点对点隧道协议
PPTP将PPP(Point-to-Point Protocol)帧封装进IP数据报中,通过IP网络如Internet 及其他企业专用Intranet等发送 。PPTP支持Client-LAN型隧道。
通过利用PPP所采用的身份验证、数据加密与协议配置机制,PPTP连接提供了一种通过诸如Internet这样的公共网络针对远程访问与路由器到路由器虚拟专用网络(VPN)创建安全连接的有效方式。 Linux系统下VPN的研究与部署实现(8):http://www.youerw.com/jisuanji/lunwen_9562.html