| ■ VPN的基本要求 |
| 一般来说,企业在选用 加以控制,所选用的方案应 构之间的资源共享;又能够 破坏.因此,最低限度,一 |
一种远程网络互联方案时都希望 当既能够实现授权用户与企业局 确保企业数据在公共互联网络或 个成功的VPN方案应当能够满足 |
能够对访问企业资源和信息的要求 域网资源的自由连接,不同分支机 企业内部网络上传输时安全性不受 以下所有方面的要求: |
| 1.用户验证 |
| VPN方案必须能够验证 须能够提供审计和记费功能 |
用户身份并严格控制只有授权用 ,显示何人在何时访问了何种信 |
户才能访问VPN。另外,方案还必 息。 |
| 2.地址管理 |
| VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 |
| 3.数据加密 |
| 对通过公共互联网络传 息。 |
递的数据必须经过加密,确保网 |
络其他未授权的用户无法读取该信 |
| 4.密钥管理 |
| VPN方案必须能够生成并更新客户端和服务器的加密密钥。 |
| 5.多协议支持 |
| VPN方案必须支持公共互联网络上普 协议(PPTP)或第2层隧道协议(L2TP) 又能够充分利用遍及世界各地的Internet IPSec),虽然不能满足上述全部要求,但 中讨论有关VPN的概念,协议,和部件(c |
遍使用的基本协议,包括IP,IPX等。以点对点隧道 为基础的VPN方案既能够满足以上所有的基本要求, 互联网络的优势。其它方案,包括安全IP协议( 是仍然适用于在特定的环境。本文以下部分将主要集 omponent)。 |
| ■ 隧道技术基础 |
| 隧道技术是一种通过使用互联网络的 的数据(或负载)可以是不同协议的数据 数据桢或包重新封装在新的包头中发送。 够通过互联网络传递。 |
基础设施在网络之间传递数据的方式。使用隧道传递 桢(此字不正确)或包。隧道协议将这些其它协议的 新的包头提供了路由信息,从而使封装的负载数据能 |
| 被封装的数据包在隧道 共互联网络上传递时所经过 最终目的地。注意隧道技术 |
的两个端点之间通过公共互联网 的逻辑路径称为隧道。一旦到达 是指包括数据封装,传输和解包 |
络进行路由。被封装的数据包在公 网络终点,数据将被解包并转发到 在内的全过程。 |
 |
| 隧道所使用的传输网络可以是任何类 Internet为例进行说明。此外,在企业网 展和完善之后,目前较为成熟的技术包括 |
型的公共互联网络,本文主要以目前普遍使用 络同样可以创建隧道。隧道技术在经过一段时间的发 : |
| 1.IP网络上的SNA隧道技术 |
| 当系统网络结构(Syst 数据桢将被封装在UDP和IP |
emNetworkArchitecture)的数 协议包头中。 |
据流通过企业IP网络传送时,SNA |
| 2.IP网络上的NovellNetWareIPX隧道技术 |
| 当一个IPX数据包被发 头封装IPX数据包后通过IP 把数据包转发到IPX目的地 |
送到NetWare服务器或IPX路由器 网络发送。另一端的IP-TO-IPX 。 |
时,服务器或路由器用UDP和IP包 路由器在去除UDP和IP包头之后, |
| 近几年不断出现了一些新的隧道技术,本文将主要介绍这些新技术。具体包括: |
| 1.点对点隧道协议(PPTP) |
| PPTP协议允许对IP,IP 或公共互联网络发送。 |
X或NetBEUI数据流进行加密,然 |
后封装在IP包头中通过企业IP网络 |
| 2.第2层隧道协议(L2TP) |
| L2TP协议允许对IP,IPX或NetBEUI数 意网络发送,如IP,X.25,桢中继或ATM |
据流进行加密,然后通过支持点对点数据报传递的任 。 |
| 3.安全IP(IPSec)隧道模式 |
| IPSec隧道模式允许对IP负载数据进 IP互联网络如Internet发送。 |
行加密,然后封装在IP包头中通过企业IP网络或公共 |
| ■ 隧道协议 |
| 为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。 |
| 隧道技术可以分别以第 的参考模型划分。第2层隧 PPTP,L2TP和L2F(第2层转 )桢中通过互联网络发送。 。IP overIP以及IPSec隧道 过IP网络传送。 |
2层或第3层隧道协议为基础。上 道协议对应OSI模型中的数据链 发)都属于第2层隧道协议,都 第3层隧道协议对应OSI模型中的 模式都属于第3层隧道协议,都 |
述分层按照开放系统互联(OSI) 路层,使用桢作为数据交换单位。 是将数据封装在点对点协议(PPP 网络层,使用包作为数据交换单位 是将IP包封装在附加的IP包头中通 |
| ■ 隧道技术如何实现 |
| 对于象PPTP和L2TP这样 隧道的两个端点必须同意创 。绝大多数情况下,通过隧 作为管理隧道的机制。 |
的第2层隧道协议,创建隧道的 建隧道并协商隧道各种配置变量 道传输的数据都使用基于数据报 |
过程类似于在双方之间建立会话; ,如地址分配,加密或压缩等参数 的协议发送。隧道维护协议被用来 |
| 第3层隧道技术通常假定所有配置问 护。与第3层隧道协议不同,第2层隧道协 止。 |
题已经通过手工过程完成。这些协议不对隧道进行维 议(PPTP和L2TP)必须包括对隧道的创建,维护和终 |
| 隧道一旦建立,数据就 备传输数据。例如,当隧道 道数据传送协议包头,然后 的服务器端。隧道服务器端 发到目标网络。 |
可以通过隧道发送。隧道客户端 客户端向服务器端发送数据时, 把封装的数据通过互联网络发送 收到数据包之后,去除隧道数据 |
和服务器使用隧道数据传输协议准 客户端首先给负载数据加上一个隧 ,并由互联网络将数据路由到隧道 传输协议包头,然后将负载数据转 |