虚拟网常用协议研究和分析.docVIP

虚拟网常用协议研究和分析 　　摘 要：虚拟网是在公用网络设施上建立的专用网络。介绍了虚拟网的工作机制，对比分析了实现虚拟网技术的几种常用协议，指出了各自的优缺点及部署的优势与不足，阐述了IPSec虚拟网的优点，为构建企业级应用提供了参考。?? 　　 　　 　　关键词：虚拟网；协议；IP Sec?? 　　中图分类号：TP393.04 文献标识码：A 文章编号：1672-7800（2011）06-0114-02?お? 　　?? 　　 　　1 VPN工作机制?? 　　虚拟专用网(Virtual Private Network ，简称VPN)是指在公用网络基础上建立的专用网络服务，是一条穿过混乱公用网络的安全、稳定的隧道，是对企业内部局域网的扩展。其之所以称为虚拟网，是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（如Internet、ATM、Frame Relay等）之上的逻辑网络，用户数据在逻辑链路中传输。?? 　　 　　 实现VPN的关键技术是在公用网络上建立虚信道，而虚信道的建立是通过采用隧道技术实现的。隧道实际上是数据的封装，即用一种协议封装另一种协议。隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。VPN使用隧道技术来支持包的透明传送和安全性。?? 　　 　　 协议Y是封装协议,它封装X协议,并通过公网传输。当协议X被Y封装时，还需增加一些用于隧道控制的信息，对于如图1所示的封装而言，将形成下列形式的隧道：(Protocol Y(tunneling header(protocol X)))。?? 　　VPN的工作流程大体如下：①主机发送信息到连接骨干网络的VPN设备，VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过，对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名；②VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数;③VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输，当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。?? 　　 经过这样的一种隧道机制，VPN则等价于在公共网络基础上形成一种专用网络服务。?? 　　2 VPN技术几种常见协议?? 　　 为创建隧道，VPN通信的双方必须使用相同的隧道协议，隧道协议按实现类型划分以下3类：①第二层隧道协议：PPTP、L2F、LSTP、MPLS等；②第三层隧道协议：GRE、IPSec，其中IPSec是目前较流行的；③位于应用层和传输层之间的安全套接口协议TLS/SSL。?? 　　 下面将按照从TCP/IP协议栈的底层到高层的顺序来进行详细的阐述MPLS、IPSec和SSL/TLS技术的VPN。?? 　　2.1 MPLS VPN?? 　　 多协议标签交换（MPLS）是20世纪90年代中期涌现的一些相似的新技术融合演化而来的。它的主要目标是标准化MPLS标签交换的基本技术和在各种链路上实现标记交换路经的技术。目前MPLS工作组已经在帧中继、ATM和PPP链路以及IEEE802.3局域网上使用的标记实现了标准化。MPLS的核心思想是边缘路由、分级转发、核心交换。MPLS最主要的优势是允许ISP提供传统IP路由技术所不能支持的新型业务。其优缺点如下：?? 　　 优点：可以指定数据包传送的先后顺序，使用标记交换，网络路由器只需要判断标记后即可进行转送处理，在根本上改变了传统IP网络逐跳路由、IGP路由汇聚、路由表过长、尽力传送等问题。可扩展性：提供商可简单地将MPLS VPN配置成全网状结构，能方便地排除内部路由故障。对移动性的支持：MPLS与移动IP技术的结合，通过移动IP技术使MPLS网络提供对移动性的支持，利用MPLS快速分组交换机制降低移动节点切换时延缓核心网络信令负荷及分组丢失。提高网络速度：使用标签交换，缩短了每一跳过程中地址搜索的时间，减少数据在网络传输中的时间。具有优先权和Qos保证：MPLS标签使服务提供商可以区分出流量，准许它们具有不同的优先权。?? 　　 缺点：增加了Internet核心的复杂性，对Internet骨干网提供商的网络管理提出了严峻的挑战。组播、路由跟踪、多播通信、多网络互连、非法访问受保护网元、错误配置以及内部（包括核心）遭受攻击等安全问题、网间结算、快速定位故障发生地点以及保证用户端到端的业务质量