基于隧道技术的ＶＰＮ技术初探.docxVIP

第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页 基于隧道技术的ＶＰＮ技术初探 【 论文 关键词】：虚拟专用网；隧道技术；隧道协议;数据封装 【论文摘要】：虚拟专用网(VPN)技术主要包括数据封装化，隧道协议，防火墙技术，加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对 VPN 隧道技术的分类提出了一些新的探索。 引言 虚拟专用网即 VPN（Virtual Private Network）是利用接入服务器（Access Sever）、广域网上的路由器以及 VPN 专用设备在公用的 WAN 上实现虚拟专用网技术。通常利 internet 上开展的 VPN 服务被称为 IPVPN。 利用共用的 WAN 网，传输 企业 局域网上的信息，一个关键的问题就是信息的安全问题。为了解决此问题，VPN 采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。 隧道技术 Internet 中的隧道是逻辑上的概念。假设总部的 LAN 上和分公司的 LAN 上分别连有内部的 IP 地址为 A 和 B 的微机。总部和分公司到 ISP 的接入点上的配置了 VPN 设备。它们的全局 IP 地址是 C 和 D。假定从微机 B 向微机 A 发送数据。在分公司的 LAN 上的 IP 分组的 IP 地址是以内部 IP 地址表示的目的地址 A源地址 B。因此分组到达分公司的 VPN 设备后，立即在它的前部加上与全局 IP 地址对应的目的地址 C和源地址 D。全局 IP 地 C 和 D 是为了通过 Internet 中的若干路由器将 IP 分组从 VPN 设备从 D 发往 VPN 设备 C 而添加的。此 IP 分组到达总部的 VPN 设备 C 后，全局 IP 地址即被删除，恢复成 IP 分组发往地址 A。由此可见，隧道技术就是 VPN 利用公用网进行信息传输的关键。为此，还必须在 IP 分组上添加新头标，这就是所谓 IP 的封装化。同时利用隧道技术，还必须使得隧道的入口与出口相对地出现。 基于隧道技术 VPN 网络 ，对于通信的双方，感觉如同在使用专用网络进行通信。 隧道协议 在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此，要成功的使用 VPN 技术还需要有隧道协议。 2.1 当前主要的隧道协议以及隧道机制的分类： L2F（Layer 2 Forwarding） L2F 是 cisco 公司提出的隧道技术，作为一种传输协议 L2F 支持拨号接入服务器。将拨号数据流封装在 PPP 帧内通过广域网链路传送到 L2F 服务器（路由器）. PTP(Point to point Tunnelimg protocol) PPTP 协议又称为点对点的隧道协议。PPTP 协议允许对 IP，IPX 或 NETBEUT 数据流进行加密，然后封装在 IP 包头中通过企业 IP 网络或公共互连网络传送。 2TP（Layer 2 Tunneling Protocol） 该协议是远程访问型 VPN 今后的标准协议。 L2F、PPTP、L2TP 共同特点是从远程客户直至内部网入口的 VPN 设备建立 PPP 连接，端口用户可以在客户侧管理 PPP。它们除了能够利用内部 IP 地址的扩展功能外，还能在 VPN 上利用 PPP 支持的多协议通信功能，多链路功能及 PPP 的其他附加功能。因此在 Internet 上实现第二层连接的 PPPSecsion 的隧道协议被称作第二层隧道。对于不提供 PPP 功能的隧道协议都由标准的 IP 层来处理，称其为第三层隧道，以区分于第二层隧道。 TMP/BAYDVS ATMP（Ascend Tumneling Management Protocol）和 BaydVs(Bay Dial VPN Service) 是基于 ISP 远程访问的 VPN 协议，它部分采用了移动 IP 的机制。ATMP 以 GRE 实现封装化，将 VPN 的起点和终点配置 ISP 内。因此，用户可以不装与 VPN 想适配的软件。 PSEC IPSEC 规定了在 IP 网络环境中的安全框架。该规范规定了 VPN 能够利用认证头标（AH：Authmentication Header）和封装化安全净荷（ESP：Encapsnlating Security Paylamd）。 IPSEC 隧