网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1758|回复: 1

[VPN技术] VPN技术介绍

[复制链接]
发表于 2007-8-26 08:28:42 | 显示全部楼层 |阅读模式
VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交*科学。目前,CPE-based VPN主要包含两种技术:隧道技术与安全技术。
  
  一、隧道技术
  
  隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
  
  要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
  1.点到点隧道协议—PPTP
  PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
  2.第二层隧道协议—L2TP
  L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
  3.IPSec协议
  IPSec协议是一个范围广泛、开放的VPN安全协议,工作在OSI模型中的第三层——网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性,不会隐藏路由信息。1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上了ISAKMP协议,其中还包括密钥分配协议IKE和Oakley。
  一种趋势是将L2TP和IPSec结合起来: 用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN采用这类技术。
  表 4种隧道协议在OSI七层模型中的位置
    
  优点:它定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上的VPN之间的互操作性。
  
  缺点:除了包过滤外,它没有指定其他访问控制方法,对于采用NAT方式访问公共网络的情况难以处理。
  
  适用场合:最适合可信LAN到LAN之间的VPN。
  
  4.SOCKS v5协议
  
  SOCKS v5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制,因此适用于安全性较高的VPN。 SOCKS v5现在被IETF建议作为建立VPN的标准。
  
  优点:非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术。SOCKS v5可根据规则过滤数据流,包括Java Applet和Actives控制。
  
  缺点:其性能比低层次协议差,必须制定更复杂的安全管理策略。
  
  适用场合:最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。
  
  二、安全技术
  
  VPN 是在不安全的Internet 中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
  
  1.认证技术
  
  认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH 函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途:验证数据的完整性、用户认证。
  
  2.加密技术
  
  IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES 、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。当然国外还有更好的加密算法,但国外禁止出口高位加密算法。基于同样理由,国内也禁止重要部门使用国外算法。国内算法不对外公开,被破解的可能性极小。
  
  3.密钥交换和管理
  
  VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE (互联网密钥交换)、SKIP (互联网简单密钥管理)和Oakley。(胡英)
  
  VPN组网方式
  
  VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同,要仔细选择。
  
  1. Access VPN (远程访问VPN):客户端到网关
  
  远程用户拨号接入到本地的ISP,它适用于流动人员远程办公,可大大降低电话费。SOCKS v5协议适合这类连接。
  
  2. Intranet VPN (企业内部VPN):网关到网关
  
  它适用于公司两个异地机构的局域网互连,在Internet 上组建世界范围内的企业网。利用Internet 的线路保证网络的互联性,而利用隧道、加密等VPN 特性可以保证信息在整个Intranet VPN 上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接,因此,在这类组网方式中用得最多。
  3.Extranet VPN (扩展的企业内部VPN):与合作伙伴企业网构成Extranet
  由于不同公司的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接,选择IPSec协议是明智之举。


 关键技术
    2.3.1Tunnel技术
    通常,企业网采用保留IP建网。保留IP网络要使用合法IP网络(例如
  Internet),可以通过3种方式进行:
    *改用合法IP
    *设置IP转换网关
    *采用Tunnel技术。
    其中,Tunnel技术具有相对简单、有效和易于管理的特性,更加适合VPN的要求。Tunnel技术的另一个优点是,既可以在ISP的节点完成,也可以在用户处完成,或者可以两者合作完成。而且,现有的许多网络接入交换设备、接入服务器和广域网路由器都支持相关的Tunnel技术标准。
    Tunnel协议使数据流可以在公网的虚拟“管道”中传输。
  图一:Tunnel的数据包结构:
  CarrierProtocol
  EncapsulatorProtocol
  PassengerProtocol
   Tunnel中包括下列类型的协议:
    PassengerProtocol:是被封装的协议。在拨号接入中,此协议可以是PPP、SLIP、或extdialog。
    EncapsulatorProtocol:用于建立、维护和断开Tunnel。例如L2F等多种封装协议。
    CarrierProtocol:用于运载经过封装的协议。IP是首选CarrierProtocol。这是因为,IP在Internet中使用广泛、路由功能较强。但是,EncapsulatorProtocol与IP之间并没有依赖关系,也还可以用FR、X25-VC、ATM-SVC等作为CarrierProtocol。
    2.3.2安全技术
    能否保证VPN的安全性,是VPN网络能否实现“Private”的关键。基于Internet的VPN首先要考虑的就是安全问题。
    可以采用下列技术保证VPN的安全:
    *口令保护
    *用户认证技术
    *一次性口令
    *用户权限设置
    *在传输中采用加密技术
    *采用防火墙,把用户网络中的对外服务部分和对内服务部分隔离开。
    2.3.3可用性
    由于VPN是建立在Internet的基础上的,所以可以采用下列技术保证VPN的up-time和吞吐量等可用性指标:
    *采用相应的高速广域网设备和数据压缩技术。
    *采用路由备份和冗余设计。
    2.3.4用户管理/认证和计费
    通过NAS和CPE设备提供的LOG文件,包括用户名、流量、连接时间等数据进行计费。
    3有关协议的比较
    3.1Tunnel技术趋势
    主要的协议和技术趋势有3种:
    *PPTP:微软和ASCEND在PPP基础上联合开发了PPTP(点对点Tunnel协议,适用于WindowsNT和Netware的client/server环境。
    *ATMP:ASCEND开发的ATMP(ASCENDTunnel管理协议),融合了PPTP和GRE,适用于IP、IPX、NetBIOS和NetBEUI环境的数据流。
    *L2F:CISCO开发的Layer-2ForwardingTunnel协议。在其基础上,进一步提出了L2TP(Layer-2TunnelingProtocol),综合了L2F和PPTP的优点,即将成为一项
  工业标准。
    另外,还有:
    *DLSw:IBM的DataLinkSwitching技术,支持SNA到IP的加密,已经成为工业标准。
    3.2三种主要协议的比较
    3.2.1ATMP与PPTP
    ATMP和PPTP都是基于GRE的协议,区别在于:
    *ATMP不需要Windows/NT服务器,内部代理可以是路由器或者网关。PPTP需要远端用户运行WindowNT、Window95或PPPclient软件。内部代理必须是
  WindowsNTserver。
    *PPTP支持NetBios,ATMP支持IP/IPX。
    *PPTP先把PPP数据包加密,然后放在tunnel中传输;ATMP只加密认证信息,其他数据明码传输。
    3.2.2ATMP与L2F
    L2F协议在某些方面与ATMP很相似。最主要的区别在于封装方式不同。
    L2F不是基于GRE(RFC1701)的,而是基于PPP的。使用L2F,远端用户必须运行PPP。而且,用户端的网关和NAS设备也必须运行L2F。
    L2F的优点是不仅支持IP/IPX,还支持Appletalk等协议。
    但是,L2F要求每个用户端局域网有专用的网关,费用较高。
    3.2.3PPTP与L2F
    PPTP与L2F的区别有下述几个方面:
    *L2F不是基于GRE(RFC1701)的,而是基于PPP的。使用L2F,远端用户必须运行PPP。而且,用户端的网关和NAS设备也必须运行L2F。
    *与PPTP相比,L2F不仅支持IP/IPX,还支持Appletalk等协议;而且每个用户局域网的前端不需要WindowsNTserver。
    *但是,L2F不是真正的端到端技术。PPTP虽然需要WindowsNTserver,但是
  GREtunnel以PPPframe形式运行。PPTPtunnel对GRE作了增强,增加了流控机制,所以,PPTPtunnel容易管理。
    *PPTP不使用tunnelIdentifier,开销较小。
    *L2F要求每个用户端局域网有专用的网关,费用较高。
    *L2F不支持流控,由封装的协议自行管理数据,需要数据重传功能。PPTP假定的底层媒体是IP,L2F没有假定。
    *L2F本身支持的用户验证方式较多,PPTP支持的较少。
    *L2F不支持Callback和ISDN/Modempooling,PPTP支持。
发表于 2007-8-26 09:22:16 | 显示全部楼层
不是说有10种VPN的么...什么时候详细道来!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-11-20 05:22 , Processed in 0.093600 second(s), 20 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表