資源描述:
《基于隧道技術(shù)的vpn技術(shù)初探 》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。
1、基于隧道技術(shù)的VPN技術(shù)初探 【論文關(guān)鍵詞】:虛擬專用網(wǎng);隧道技術(shù);隧道協(xié)議;數(shù)據(jù)封裝 【論文摘要】:虛擬專用網(wǎng)(VPN)技術(shù)主要包括數(shù)據(jù)封裝化,隧道協(xié)議,防火墻技術(shù),加密及防止數(shù)據(jù)被篡改技術(shù)等等。文章著重介紹了虛擬專用網(wǎng)以及對(duì)相關(guān)技術(shù)。并對(duì)VPN隧道技術(shù)的分類提出了一些新的探索?! ∫浴 √摂M專用網(wǎng)即VPN(VirtualPrivateNetgprotocol) PPTP協(xié)議又稱為點(diǎn)對(duì)點(diǎn)的隧道協(xié)議。PPTP協(xié)議允許對(duì)IP,IPX或BEUT數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送
2、。 ?、?TP(Layer2TunnelingProtocol) 該協(xié)議是遠(yuǎn)程訪問(wèn)型VPN今后的標(biāo)準(zhǔn)協(xié)議?! 2F、PPTP、L2TP共同特點(diǎn)是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)入口的VPN設(shè)備建立PPP連接,端口用戶可以在客戶側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴(kuò)展功能外,還能在VPN上利用PPP支持的多協(xié)議通信功能,多鏈路功能及PPP的其他附加功能。因此在Inter上實(shí)現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道。對(duì)于不提供PPP功能的隧道協(xié)議都由標(biāo)準(zhǔn)的IP層來(lái)處理,稱其為第三層隧道,以區(qū)分于第二層隧道。
3、 ⑷TMP/BAYDVS ATMP(AscendTumnelingManagementProtocol)和BaydVs(BayDialVPNService)是基于ISP遠(yuǎn)程訪問(wèn)的VPN協(xié)議,它部分采用了移動(dòng)IP的機(jī)制。ATMP以GRE實(shí)現(xiàn)封裝化,將VPN的起點(diǎn)和終點(diǎn)配置ISP內(nèi)。因此,用戶可以不裝與VPN想適配的軟件。 ?、蒔SEC IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認(rèn)證頭標(biāo)(AH:AuthmenticationHeader)和封裝化安全凈荷(ESP:EncapsnlatingSecu
4、rityPaylamd)。IPSEC隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在IP包頭中,通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如INTER發(fā)送?! 囊陨系乃淼绤f(xié)議,我們可以看出隧道機(jī)制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò),DSI七層網(wǎng)絡(luò)中的位置,將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法,從此產(chǎn)生了"二層VPN"與"三層VPN"的區(qū)別。但是隨著技術(shù)的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會(huì)話加密的SSLVPN技術(shù)[2]、基于端口轉(zhuǎn)發(fā)的HTTPTunnel[1]技術(shù)等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)"四層VPN"、"五
5、層VPN",分類教為冗余。因此,目前出現(xiàn)了其他的隧道機(jī)制的分類。 2.2改進(jìn)后的幾種隧道機(jī)制的分類 ?、臞.Heinanen等人提出的根據(jù)隧道建立時(shí)采用的接入方式不同來(lái)分類,將隧道分成四類。分別是使用撥號(hào)方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網(wǎng)仿真方式的VPLS。 例如同樣是以太網(wǎng)的技術(shù),根據(jù)實(shí)際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別,因此按照接入方式不同來(lái)分類也無(wú)法表示這幾種方式在網(wǎng)絡(luò)性能上的差異,由此將引
6、起在實(shí)際應(yīng)用中對(duì)VPN技術(shù)選型造成誤導(dǎo)?! 、朴捎诰W(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評(píng)價(jià)標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對(duì)網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過(guò)公眾網(wǎng)絡(luò)傳遞。例如L2TP就是典型的封裝型隧道?! 「綦x型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標(biāo)記,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時(shí)已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離
7、的就保證了數(shù)據(jù)的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術(shù)一般只能提供點(diǎn)對(duì)點(diǎn)的通道,而點(diǎn)對(duì)多點(diǎn)的業(yè)務(wù)支持能力教差,但是可擴(kuò)展性,靈活性具有優(yōu)勢(shì)?! 〔捎酶綦x型隧道技術(shù),則不存在以上問(wèn)題,可以根據(jù)實(shí)際需要,提供點(diǎn)對(duì)點(diǎn),點(diǎn)對(duì)多點(diǎn),多點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)拓?fù)??! ?.諸種安全與加密技術(shù) IPVPN技術(shù),由于利用了Inter網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠(yuǎn)距離。但隨之而來(lái)的是由于Inter技術(shù)的標(biāo)準(zhǔn)化和開放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對(duì)策的訪問(wèn)控制來(lái)提高網(wǎng)絡(luò)的安全性,但黑客仍可以從世界上任何地方
8、對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,使得在IPVPN的網(wǎng)點(diǎn)A和網(wǎng)點(diǎn)B之間安全通信受到威脅。因此,利用IPVPN通信時(shí),應(yīng)比專線更加注意Inter接入點(diǎn)的安全。為此,IPVPN采用了以下諸種安全與加密技術(shù)。[2] ?、欧阑饓夹g(shù) 防火墻技術(shù),主要用于抵御來(lái)自黑客的攻擊?! 、萍用芗胺乐箶?shù)據(jù)被篡改技術(shù) 加密技