ＶＰＮ及其隧道技术研究.docVIP

ＶＰＮ及其隧道技术研究 　　摘要：文章探讨了VPN 及其具体实现技术――隧道技术。首先介绍了VPN的概念，接着探讨了VPN的工作原理，最后详细分析了VPN的隧道技术，特别是L2TP隧道协议。 　　关键词：VPN；隧道技术；L2TP 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)23-879-02 　　VPN and Its Tunneling Technology Research 　　CHEN Xing-gang, MENG Chuan-liang 　　(Guizhou University, Electronic Science and Information Technology Institute, Guiyang 550025, China) 　　Abstract: The article introduced VPN and its concrete implementing technology―Tunneling Technology. First it introduced the concept of VPN, and then it discussed the principle of work. In the end, it analyzed the VPN’s tunneling technology in detail, especially focusing on analyzing the L2TP tunneling protocol. 　　Key words: VPN; Tunneling Technology; L2TP 　　 　　1 VPN的概念 　　 　　VPN，即虚拟专用网(Virtual Private Network)，它指的是一种依靠ISP和其它NSP，在公用网络中建立专用的数据通信网络的技术。通过对网络数据的特殊封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解的基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”，即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 　　通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴以及供应商同公司的内部网建立可信的安全连接，并保证数据传输的安全。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，以便经济有效地连接到商业伙伴和公司分支机构。 　　 　　2 VPN的原理 　　 　　VPN通过公众IP网络建立了私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来，减轻了企业的远程访问费用负担、节省电话费用开支，并且提供了安全的端到端的数据通讯。 　　常规的直接拨号连接与虚拟专网连接的异同点在于：在前一种情形之中，PPP（点对点协议）数据包流是通过专用线路传输的；在VPN中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。 　　这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么，如何形成VPN隧道呢？ 　　建立隧道有两种主要的方式：客户启动（Client－Initiated）或客户透明（Client-Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。 　　另一方面，如果希望隧道对客户透明，ISP的POPS就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。 　　 　　3 VPN的隧道技术 　　 　　VPN技术比较复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。具体来讲，目前VPN主要采用下列四项技术来保证其安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption Dec