IP隧道技术在企业网应用研究.docVIP

IP隧道技术在企业网应用研究 　　【摘要】本文探讨了常见隧道技术与VPN技术在企业网络融合、远程访问、应用系统隔离、安全加密等场景的应用。 　　【关键词】IP隧道技术；VPN应用研究 　　1.前言 　　在企业发展过程中，分支机构的地理位置跨度全球；企业自行建设私有网络几乎不可能，只能租用运营商专线。但专线的价格通常是根据距离和带宽收费，价格昂贵。TCP/IP技术以其诸多优势占据了网络互联技术的主流地位，而由于网络的分布式建设，各自为政，私有网络与互联网、防火墙/NAT设备、运营商垄断等给互联互通造成了许多隔阂。人们尝试着使用网络技术让跨越Internet或第三方的网络模拟出专线连接的效果，这种技术就是隧道技术（Tunnel），也就是当前很常见的VPN（Virtual Private Network）技术。本文探讨了各种IP隧道VPN技术在企业网络融合、远程访问、应用系统隔离、安全加密等场景的应用。 　　2.IP隧道技术 　　所谓隧道，实际上是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程。发送路由器将被传送的协议包进行封装，经过网络传送，接收路由器解开收到的包，取出原始协议；而在传输过程中的中间路由器并不在意封装的协议是什么。这里的封装协议，称之为传输协议，是跨过网络传输被封装协议的一种协议，IP协议是ISO唯一选择的传输协议。而被封装的协议在此为IPX协议或者AppleTalk协议，通常可以称之为乘客协议。需要特别注意的是：隧道技术是一种点对点的链接，因而必须在链接的两端配置隧道协议。 　　隧道技术是一种数据包封装技术，它是将原始IP包（其报头包含原始发送者和最终目的地）封装在另一个数据包（称为封装的IP包）的数据净荷中进行传输。在移动IP中，隧道包目的地址就是转交地址，当外地代理（或移动节点）收到这个隧道包后，解封装该包，把里面的净荷提交给移动节点，如图1所示。 　　3.隧道技术的应用 　　实现VPN，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远???拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。 　　目前流行的各种VPN技术的实质就是建立一个跨越其他网络建立隧道传输数据的过程，常见的VPN技术分为如下几类：1）GRE；2）IPSEC；3）L2TP；4）PPTP；5）SSL/TLS；6）MPLS/VPN。 　　3.1 GRE 　　GRE（通用路由封装）是一种最传统的隧道协议，其根本功能就是要实现隧道功能，通过隧道连接的两个远程网络就如同直连，GRE在两个远程网络之间模拟出直连链路，从而使网络间达到直连的效果，为此，GRE需要完成多次封装，总共有3次，隧道传递数据包的过程如下： 　　1）接收原始IP数据包当作乘客协议，原始IP数据包包头的IP地址为私有IP地址。 　　2）将原始IP数据包封装进GRE协议，GRE协议称为封装协议（Encapsulation Protocol），封装的包头IP地址为虚拟直连链路两端的IP地址。 　　3）将整个GRE数据包当作数据，在外层封装公网IP包头，也就是隧道的起源和终点，从而路由到隧道终点。 　　GRE定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议，其优点是开销小，实现简单，不仅只支持IP网络，支持动态路由协议，因此适合各种类型的网络融合、应用隔离的场景。GRE本身没有额外的安全加密机制，因此只适合对安全性要求不高的企业内部场景。GRE也经常与后文中的IPSec机制结合（GRE Over IPSec）以提供加密、认证等安全特性。 　　3.2 PPTP 　　PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE（通用路由封装）将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP的协定规范本身并未描述加密或身份验证的特性，通常可以和加密协议IPSec一起使用。 　　因为PPTP需要2个网络状态，因此会对穿越防火墙造成困难。很多防火墙不能完整地传递连接，导致无法连接。在Windows或Mac OS平台，通常PPTP可搭配MSCHAP-v2或EAP-TLS进行身份验证，也可配合微软点对点加密（MPPE）进行连接时的加密。 　　3.3 L2TP 　　L