資源描述:
《VPN的實現(xiàn)技術(shù)之隧道技術(shù)和加密技術(shù).doc》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1��、VPN的實現(xiàn)技術(shù)???VPN實現(xiàn)的兩個關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù)�����,同時QoS技術(shù)對VPN的實現(xiàn)也至關(guān)重要�����。???1.VPN訪問點模型???首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)��。???2.隧道技術(shù)???隧道技術(shù)簡單的說就是:原始報文在A地進行封裝����,到達(dá)B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道���。目前實現(xiàn)隧道技術(shù)的有一般路由封裝(GenericRoutingEncapsulation,GRE)L2TP和PPTP.???(1)GRE???GRE主要用于源路由和終路由之間所形成的隧道
2�����、��。例如�,將通過隧道的報文用一個新的報文頭(GRE報文頭)進行封裝然后帶著隧道終點地址放入隧道中�����。當(dāng)報文到達(dá)隧道終點時��,GRE報文頭被剝掉����,繼續(xù)原始報文的目標(biāo)地址進行尋址。GRE隧道通常是點到點的���,即隧道只有一個源地址和一個終地址�。然而也有一些實現(xiàn)允許點到多點����,即一個源地址對多個終地址。這時候就要和下一跳路由協(xié)議(Next-HopRoutingProtocol,NHRP)結(jié)合使用�����。NHRP主要是為了在路由之間建立捷徑����。中國_網(wǎng)管聯(lián)盟bitsCN.com???GRE隧道用來建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀點來看��,VPN就象是通過普通主機網(wǎng)絡(luò)的隧道集合����。
3、普通主機網(wǎng)絡(luò)的每個點都可利用其地址以及路由所形成的物理連接�,配置成一個或多個隧道。在GRE隧道技術(shù)中入口地址用的是普通主機網(wǎng)絡(luò)的地址空間���,而在隧道中流動的原始報文用的是VPN的地址空間�,這樣反過來就要求隧道的終點應(yīng)該配置成VPN與普通主機網(wǎng)絡(luò)之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網(wǎng)絡(luò)的路由信息中隔離出來�����,多個VPN可以重復(fù)利用同一個地址空間而沒有沖突�,這使得VPN從主機網(wǎng)絡(luò)中獨立出來。從而滿足了VPN的關(guān)鍵要求:可以不使用全局唯一的地址空間����。隧道也能封裝數(shù)量眾多的協(xié)議族,減少實現(xiàn)VPN功能函數(shù)的數(shù)量��。還有��,對許多VPN所支持的體系結(jié)構(gòu)來
4�、說,用同一種格式來支持多種協(xié)議同時又保留協(xié)議的功能�����,這是非常重要的���。IP路由過濾的主機網(wǎng)絡(luò)不能提供這種服務(wù),而只有隧道技術(shù)才能把VPN私有協(xié)議從主機網(wǎng)絡(luò)中隔離開來?�;谒淼兰夹g(shù)的VPN實現(xiàn)的另一特點是對主機網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進行隔離����。對VPN而言主機網(wǎng)絡(luò)可看成點到點的電路集合,VPN能夠用其路由協(xié)議穿過符合VPN管理要求的虛擬網(wǎng)�����。同樣���,主機網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計方案�,而不必受VPN用戶網(wǎng)絡(luò)的路由協(xié)議限制�����。雖然GRE隧道技術(shù)有很多優(yōu)點�����,但用其技術(shù)作為VPN機制也有缺點���,例如管理費用高�、隧道的規(guī)模數(shù)量大等。因為GRE是由手工配置的��,所以配置和維護隧
5�、道所需的費用和隧道的數(shù)量是直接相關(guān)的--每次隧道的終點改變,隧道要重新配置��。隧道也可自動配置��,但有缺點��,如不能考慮相關(guān)路由信息�����、性能問題以及容易形成回路問題�����。一旦形成回路���,會極大惡化路由的效率�����。除此之外��,通信分類機制是通過一個好的粒度級別來識別通信類型����。如果通信分類過程是通過識別報文(進入隧道前的)進行的話����,就會影響路由發(fā)送速率的能力及服務(wù)性能。GRE隧道技術(shù)是用在路由器中的���,可以滿足ExtranetVPN以及IntranetVPN的需求����。但是在遠(yuǎn)程訪問VPN中���,多數(shù)用戶是采用撥號上網(wǎng)����。這時可以通過L2TP和PPTP來加以解決�。???(2)L2TP和PPT
6、P???L2TP是L2F(Layer2Forwarding)和PPTP的結(jié)合��。但是由于PC機的Windwos/index.html'target='_blank'>桌面操作系統(tǒng)包含著PPTP,因此PPTP仍比較流行�����。隧道的建立有兩種方式即:"用戶初始化"隧道和"NAS初始化"(NetworkAccessServer)隧道。前者一般指"主動"隧道���,后者指"強制"隧道��。"主動"隧道是用戶為某種特定目的的請求建立的���,而"強制"隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。???L2TP作為"強制"隧道模型是讓撥號用戶與網(wǎng)絡(luò)中的另一點建立連接的重要機制��。
7���、建立過程如下:①用戶通過Modem與NAS建立連接�����;②用戶通過NAS的L2TP接入服務(wù)器身份認(rèn)證�;③在政策配置文件或NAS與政策服務(wù)器進行協(xié)商的基礎(chǔ)上�����,NAS和L2TP接入服務(wù)器動態(tài)地建立一條L2TP隧道;④用戶與L2TP接入服務(wù)器之間建立一條點到點協(xié)議(PointtoPointProtocol,PPP)訪問服務(wù)隧道��;⑤用戶通過該隧道獲得VPN服務(wù)����。???與之相反的是�,PPTP作為"主動"隧道模型允許終端系統(tǒng)進行配置,與任意位置的PPTP服務(wù)器建立一條不連續(xù)的��、點到點的隧道�����。并且�,PPTP協(xié)商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)
8�、絡(luò)服務(wù)。PPTP建立過程如下:①用戶通過串口以撥號IP訪問的方式與
