資源描述:
《基于隧道技術(shù)的vpn技術(shù)初探 》由會(huì)員上傳分享���,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)��。
1����、基于隧道技術(shù)的VPN技術(shù)初探 【論文關(guān)鍵詞】:虛擬專用網(wǎng)��;隧道技術(shù)��;隧道協(xié)議;數(shù)據(jù)封裝 【論文摘要】:虛擬專用網(wǎng)(VPN)技術(shù)主要包括數(shù)據(jù)封裝化�,隧道協(xié)議,防火墻技術(shù)���,加密及防止數(shù)據(jù)被篡改技術(shù)等等��。文章著重介紹了虛擬專用網(wǎng)以及對(duì)相關(guān)技術(shù)��。并對(duì)VPN隧道技術(shù)的分類提出了一些新的探索?! ∫浴 √摂M專用網(wǎng)即VPN(VirtualPrivateNetgprotocol) PPTP協(xié)議又稱為點(diǎn)對(duì)點(diǎn)的隧道協(xié)議。PPTP協(xié)議允許對(duì)IP�,IPX或BEUT數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送
2、����。 ?、?TP(Layer2TunnelingProtocol) 該協(xié)議是遠(yuǎn)程訪問(wèn)型VPN今后的標(biāo)準(zhǔn)協(xié)議?���! 2F、PPTP���、L2TP共同特點(diǎn)是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)入口的VPN設(shè)備建立PPP連接����,端口用戶可以在客戶側(cè)管理PPP�。它們除了能夠利用內(nèi)部IP地址的擴(kuò)展功能外,還能在VPN上利用PPP支持的多協(xié)議通信功能�����,多鏈路功能及PPP的其他附加功能��。因此在Inter上實(shí)現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道���。對(duì)于不提供PPP功能的隧道協(xié)議都由標(biāo)準(zhǔn)的IP層來(lái)處理����,稱其為第三層隧道,以區(qū)分于第二層隧道����。
3����、 ⑷TMP/BAYDVS ATMP(AscendTumnelingManagementProtocol)和BaydVs(BayDialVPNService)是基于ISP遠(yuǎn)程訪問(wèn)的VPN協(xié)議���,它部分采用了移動(dòng)IP的機(jī)制���。ATMP以GRE實(shí)現(xiàn)封裝化,將VPN的起點(diǎn)和終點(diǎn)配置ISP內(nèi)�����。因此���,用戶可以不裝與VPN想適配的軟件���。 ?��、蒔SEC IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架�。該規(guī)范規(guī)定了VPN能夠利用認(rèn)證頭標(biāo)(AH:AuthmenticationHeader)和封裝化安全凈荷(ESP:EncapsnlatingSecu
4���、rityPaylamd)����。IPSEC隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密�,然后封裝在IP包頭中,通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如INTER發(fā)送��?��! 囊陨系乃淼绤f(xié)議����,我們可以看出隧道機(jī)制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò)��,DSI七層網(wǎng)絡(luò)中的位置��,將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法�,從此產(chǎn)生了"二層VPN"與"三層VPN"的區(qū)別。但是隨著技術(shù)的發(fā)展��,這樣的劃分出現(xiàn)了不足�����,比如基于會(huì)話加密的SSLVPN技術(shù)[2]�����、基于端口轉(zhuǎn)發(fā)的HTTPTunnel[1]技術(shù)等等�����。如果繼續(xù)使用這樣的分類��,將出現(xiàn)"四層VPN"����、"五
5、層VPN"�,分類教為冗余。因此�����,目前出現(xiàn)了其他的隧道機(jī)制的分類����。 2.2改進(jìn)后的幾種隧道機(jī)制的分類 ?���、臞.Heinanen等人提出的根據(jù)隧道建立時(shí)采用的接入方式不同來(lái)分類,將隧道分成四類�。分別是使用撥號(hào)方式的VPN,使用路由方式的VPN�����,使用專線方式的VPN和使用局域網(wǎng)仿真方式的VPLS����。 例如同樣是以太網(wǎng)的技術(shù)����,根據(jù)實(shí)際情況的不同,可能存在PPPOE�、MPLSYBGP��、MSIP�、或者IPSEC等多種VPN組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別��,因此按照接入方式不同來(lái)分類也無(wú)法表示這幾種方式在網(wǎng)絡(luò)性能上的差異��,由此將引
6����、起在實(shí)際應(yīng)用中對(duì)VPN技術(shù)選型造成誤導(dǎo)?! 、朴捎诰W(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評(píng)價(jià)標(biāo)準(zhǔn)����。根據(jù)隧道建立的機(jī)制對(duì)網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法����。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息����,從而使重新封裝的數(shù)據(jù)包仍能夠通過(guò)公眾網(wǎng)絡(luò)傳遞。例如L2TP就是典型的封裝型隧道?! 「綦x型隧道的建立,則是參考了數(shù)據(jù)交換的原理��,根據(jù)不同的標(biāo)記��,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去���。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時(shí)已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離
7��、的就保證了數(shù)據(jù)的安全性����,例如LSVPN。從性能上看�,使用封裝型隧道技術(shù)一般只能提供點(diǎn)對(duì)點(diǎn)的通道,而點(diǎn)對(duì)多點(diǎn)的業(yè)務(wù)支持能力教差��,但是可擴(kuò)展性�,靈活性具有優(yōu)勢(shì)?�! 〔捎酶綦x型隧道技術(shù)���,則不存在以上問(wèn)題�����,可以根據(jù)實(shí)際需要�����,提供點(diǎn)對(duì)點(diǎn)���,點(diǎn)對(duì)多點(diǎn)�,多點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)拓?fù)?��?�! ?.諸種安全與加密技術(shù) IPVPN技術(shù)���,由于利用了Inter網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本�����,遠(yuǎn)距離�。但隨之而來(lái)的是由于Inter技術(shù)的標(biāo)準(zhǔn)化和開放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對(duì)策的訪問(wèn)控制來(lái)提高網(wǎng)絡(luò)的安全性����,但黑客仍可以從世界上任何地方
8、對(duì)網(wǎng)絡(luò)進(jìn)行攻擊���,使得在IPVPN的網(wǎng)點(diǎn)A和網(wǎng)點(diǎn)B之間安全通信受到威脅���。因此,利用IPVPN通信時(shí)�����,應(yīng)比專線更加注意Inter接入點(diǎn)的安全�����。為此���,IPVPN采用了以下諸種安全與加密技術(shù)。[2] ?����、欧阑饓夹g(shù) 防火墻技術(shù),主要用于抵御來(lái)自黑客的攻擊���?����! �����、萍用芗胺乐箶?shù)據(jù)被篡改技術(shù) 加密技
