基于隧道技术的ＶＰＮ技术初探的论文.docVIP

　　基于隧道技术的ＶＰＮ技术初探的论文 　　【论文关键词】：虚拟专用网；隧道技术；隧道协议;数据封装 　　【论文摘要】：虚拟专用网(vpn)技术主要包括数据封装化，隧道协议，防火墙技术，加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对vpn隧道技术的分类提出了一些新的探索。 　　 　　引言 　　 　　 虚拟专用网即vpn（virtual private g protocol) 　　 pptp协议又称为点对点的隧道协议。pptp协议允许对ip，ipx或beut数据流进行加密，然后封装在ip包头中通过企业ip网络或公共互连网络传送。 　　 ⑶ 2tp（layer 2 tunneling protocol） 　　 该协议是远程访问型vpn今后的标准协议。 　　 l2f、pptp、l2tp共同特点是从远程客户直至内部网入口的vpn设备建立ppp连接，端口用户可以在客户侧管理ppp。它们除了能够利用内部ip地址的扩展功能外，还能在vpn上利用ppp支持的多协议通信功能，多链路功能及ppp的其他附加功能。因此在inter上实现第二层连接的pppsecsion的隧道协议被称作第二层隧道。对于不提供ppp功能的隧道协议都由标准的ip层来处理，称其为第三层隧道，以区分于第二层隧道。 　　 ⑷ tmp/baydvs 　　 atmp（ascend tumneling management protocol）和baydvs(bay dial vpn service)是基于isp远程访问的vpn协议，它部分采用了移动ip的机制。atmp以gre实现封装化，将vpn的起点和终点配置isp内。因此，用户可以不装与vpn想适配的软件。 　　 ⑸ psec 　　 ipsec规定了在ip网络环境中的安全框架。该规范规定了vpn能够利用认证头标（ah：authmentication header）和封装化安全净荷（esp：encapsnlating security paylamd）。 　　 ipsec隧道模式允许对ip负载数据进行加密，然后封装在ip包头中，通过企业ip网络或公共ip互联网络如inter发送。 　　 从以上的隧道协议，我们可以看出隧道机制的分类是根据虚拟数据链络层的网络，dsi七层网络中的位置，将自己定义为第二层的隧道分类技术。按照这种划分方法，从此产生了二层vpn 与三层vpn的区别。但是随着技术的发展，这样的划分出现了不足，比如基于会话加密的sslvpn技术[2]、基于端口转发的httptunnel[1]技术等等。如果继续使用这样的分类，将出现四层vpn、五层vpn，分类教为冗余。因此，目前出现了其他的隧道机制的分类。 　　 　　 2.2 改进后的几种隧道机制的分类 　　 ⑴ j.heinanen等人提出的根据隧道建立时采用的接入方式不同来分类，将隧道分成四类。分别是使用拨号方式的vpn，使用路由方式的vpn，使用专线方式的vpn和使用局域网仿真方式的vpls。 　　 例如同样是以太网的技术，根据实际情况的不同，可能存在pppoe、mplsybgp、msip、或者ipsec等多种vpn组网方式所提供的网络性能将大有区别，因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异，由此将引起在实际应用中对vpn技术选型造成误导。 　　 ⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同，可以将隧道分成封装型隧道和隔离型隧道的vpn分类方法。封装型隧道技术是利用封装的思想，将原本工作在某一层的数据包在包头提供了控制信息与网络信息，从而使重新封装的数据包仍能够通过公众网络传递。例如l2tp就是典型的封装型隧道。 　　 隔离型隧道的建立，则是参考了数据交换的原理，根据不同的标记，直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离，如果接入网络的数据包也是相互隔离的就保证了数据的安全性，例如lsvpn。从性能上看，使用封装型隧道技术一般只能提供点对点的通道，而点对多点的业务支持能力教差，但是可扩展性，灵活性具有优势。 　　 采用隔离型隧道技术，则不存在以上问题，可以根据实际需要，提供点对点，点对多点，多点对多点的网络拓扑。 　　 　　3. 诸种安全与加密技术 　　 　　 ipvpn技术，由于利用了inter网络传输总部局域网的内部信息，使得低成本，远距离。但随之而来的是由于inter技术的标准化和开放性，导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性，但黑客仍可以从世界上任何地方对网络进行攻击，使得在ipvpn的网点a和网点b之间安全通信受到威胁。因此，利用ipvpn通信时，应比专线