不同协议层的各种VPN_技术比较与分析.pdfVIP

不同协议层的各种 VPN 技术比较与分析  闫兆乾 苗银军 张闰华 陈志博 孔祥震   （清华大学 计算机科学与技术系，北京  100084）    摘要:   为了利用公共通信网络实现安全的保密数据通道而提出的虚拟专用网 VPN 技术，可 以方便、灵活、低成本的为企业构建安全的数据传输通道。目前实现VPN 的技术多种多样， 本文根据 VPN 实现技术和协议所处的 OSI 参考模型中的层次，将 VPN 技术分为数据链路层 VPN 、网络层VPN 、传输层以上层VPN 技术。本文分别对每一种 VPN 技术进行介绍和分析； 对它们的优缺点进行评析，并给出典型的应用场景。另外我们还介绍了一些经典的商业的或 者免费的实现实例。最后我们对不同 VPN 的实现技术进行了比较分析，以发掘不同实现技 术的特点，为将来 VPN 技术的改进和创新提供有益的依据。    关键字:  虚拟专用网 VPN; 数据链路层 VPN;  网络层VPN; SSL‐VPN    1  引言    随着计算机网络的普及，人们可能需要随时随地联入自己的企业或单位的网络。另一方 面，随着企业的发展和规模的不断扩大，企业各个分支机构也在迅速增加，企业各分部之间 也需要随时通信，这涉及到远程联网的复杂性。为了保证数据传输的安全可靠，一种方法是 租用专线，但是专线的代价昂贵，而且大量专线资源重复、无法共享，同时也增加了管理的 负担。虚拟专用网（VPN ，virtual private network）技术就是为了解决上述问题而被提出。    VPN 技术的提出是为了利用公共通信网络（如 Internet）实现安全的保密数据通信。其 原理是：需要进行机密数据传输的两个端点均连接在公共通信网上，当需要进行机密数据传 输时，通过端点上的 VPN 设备在公共网上建立一条虚拟的专用通信通道，并且所有数据均 经过加密后再在网上传输，这样就保证了机密数据的安全传输。通过 VPN ，授权的业务伙伴 就可以在授权范围内使用单位内部的数据，实现数据的安全交换。利用 VPN 构建安全、可 靠的 Internet 访问通道主要有以下优点：（1）增强了网络安全性。VPN 支持认证、加密等安 全协议，可以提供较强的安全性。（2 ）简化网络设计。用 VPN 代替租用线路，可将对远程 链路进行安装、配置和管理的任务减少到最小。（3 ）降低成本。降低了移动用户的通信成本 和主要设备成本。（4 ）容易扩展。可以很容易地扩大 VPN 的容量和覆盖范围。（5 ）可随意 与合作伙伴联网。（6 ）完全控制主动权。借助VPN 企业可以利用 ISP 的设施和服务，同时又 完全掌握着自己网络的控制权。（7 ）支持新兴应用。  正式因为 VPN 的以上诸多优点，使得 VPN 收到青睐，并得到迅猛的发展。    VPN 的发展日趋多样化，实现技术和利用的协议也各不相同。按照 VPN 实现技术和基 于的协议在 OSI 七层模型中所处的层次，可以将 VPN 分为数据链路层 VPN 、网络层VPN 、传 输层及应用层 VPN 等等。本文余下部分将分别对这几种 VPN 进行介绍：在第 2 部分，首先 我们介绍了几种典型的数据链路层 VPN 技术，包括 PPTP、L2F 以及 L2TP；然后我们介绍了 MPLS 等其它近些年发展起来的较新的 2 层 VPN 技术；第 3 部分首先对经典的利用 IPSec 实 现的 VPN 技术进行了介绍；然后介绍了 GRE 隧道等其他 3 层 VPN 技术；第 4 部分介绍了传 输层以上的 VPN 技术，主要介绍了 SSL‐VPN 。以上的介绍着重于对 VPN 的功能和实现技术 上的介绍，同时对它们的优缺点进行评析。并给出典型的应用场景，介绍了一些经典的商业 的或者免费的实现实例。第 5 部分对不同 VPN 实现技术进行了比较；最后在第 6 部分对全 文进行了总结。    2 数据链路层 VPN 技术  2.1 基于 PPTP，L2F 和 L2TP 协议的 VPN 技术  2.1.1 PPTP VPN  由3Com 和微软公司合作开发的 PPTP （Point‐to‐Point Tunneling Protocol）协议是第一个 广泛使用建立 VPN 的协议，Window