| ■ 数据传输阶段 |
| 一旦完成上述4阶段的 据报都被封装在PPP包头内 据压缩并且在阶段4完成了 择使用数据加密并完成了协 |
协商,PPP就开始在连接对等双 ,该包头将会在到达接收方之后 协商,数据将会在被传送之间进 商,数据(或被压缩数据)将会 |
方之间转发数据。每个被传送的数 被去除。如果在阶段1选择使用数 行压缩。类似的,如果如果已经选 在传送之前进行加密。 |
| 点对点隧道协议(PPTP) |
| PPTP是一个第2层的协 。PPTP还可用于专用局域网 明和介绍。该草案由PPTP论 月提交至IETF。可在如下站 贝.PPTP使用一个TCP连接对 据桢通过隧道传送。可以对 传递之前组装一个PPTP数据 |
议,将PPP数据桢封装在IP数据 络之间的连接。RFC草案“点对 坛的成员公司,包括微软,Asce 点http://www.ietf.org http:/ 隧道进行维护,使用通用路由封 封装PPP桢中的负载数据进行加 包。 |
报内通过IP网络,如Internet传送 点隧道协议”对PPTP协议进行了说 nd,3Com,和ECI等公司在1996年6 /www.ietf.org参看草案的在线拷 装(GRE)技术把数据封装成PPP数 密或压缩。图7所示为如何在数据 |
| 第2层转发(L2F) |
| L2F是Cisco公司提出隧 封装在PPP桢内通过广域网 新注入(inject)网络。与P 道中有效。(自愿和强制隧 |
道技术,作为一种传输协议L2F 链路传送到L2F服务器(路由器 PTP和L2TP不同,L2F没有确定的 道的介绍参看“隧道类型”)。 |
支持拨号接入服务器将拨号数据流 )。L2F服务器把数据包解包之重 客户方。应当注意L2F只在强制隧 |
| 第2层隧道协议(L2TP) |
| L2TP结合了PPTP和L2F协议。设计者 |
希望L2TP能够综合PPTP和L2F的优势。 |
| L2TP是一种网络层协议,支持封装的 。当使用IP作为L2TP的数据报传输协议时 L2TP还可以直接在各种WAN媒介上使用而 L2TP进行了说明和介绍。该文档于1998年 http://www.ietf.org http://www.ietf. |
PPP桢在IP,X.25,桢中继或ATM等的网络上进行传送 ,可以使用L2TP作为Internet网络上的隧道协议。 不需要使用IP传输层。草案RFC“第2层隧道协议”对 1月被提交至IETF。可以在以下网站 org获得草案拷贝。 |
| IP网上的L2TP使用UDP 议封装的PPP桢通过隧道发 如何在传输之前组装一个L2 |
和一系列的L2TP消息对隧道进行 送。可以对封装PPP桢中的负载 TP数据包。 |
维护。L2TP同样使用UDP将L2TP协 数据进行加密或压缩。图8所示为 |
| PPTP与L2TP |
| PPTP和L2TP都使用PPP协议对数据进 传输。尽管两个协议非常相似,但是仍存 |
行封装,然后添加附加包头用于数据在互联网络上的 在以下几方面的不同: |
| 1.PPTP要求互联网络为 L2TP可以在IP(使用UDP) 络上使用。 |
IP网络。L2TP只要求隧道媒介提 ,桢中继永久虚拟电路(PVCs), |
供面向数据包的点对点的连接。 X.25虚拟电路(VCs)或ATM VCs网 |
| 2.PPTP只能在两端点间 可以针对不同的服务质量创 |
建立单一隧道。L2TP支持在两端 建不同的隧道。 |
点间使用多隧道。使用L2TP,用户 |
| 3.L2TP可以提供包头压 协议下要占用6个字节。 |
缩。当压缩包头时,系统开销( |
overhead)占用4个字节,而PPTP |
| 4.L2TP可以提供隧道验证,而PPTP则 用时,可以由IPSEC提供隧道验证,不需 |
不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使 要在第2层协议上验证隧道。 |
| ■ IPSec隧道模式 |
| IPSEC是第3层的协议标准,支持IP网 中对IPSEC进行详细的总体介绍,此处仅 数据流的加密机制进行了规定之外,IPSE 称作IPSEC隧道模式。一个IPSEC隧道由一 IPSEC隧道技术,采用协商加密机制。 |
络上数据的安全传输。本文将在“高级安全”一部分 结合隧道协议讨论IPSEC协议的一个方面。除了对IP C还制定了IPoverIP隧道模式的数据包格式,一般被 个隧道客户和隧道服务器组成,两端都配置使用 |
| 为实现在专用或公共IP 个IP包。然后对加密的负载 器对收到的数据报进行处理 。负载IP包在经过正常处理 |
网络上的安全传输,IPSEC隧道 再次封装在明文IP包头内通过网 ,在去除明文IP包头,对内容进 之后被路由到位于目标网络的目 |
模式使用的安全方式封装和加密整 络发送到隧道服务器端。隧道服务 行解密之后,获的最初的负载IP包 的地。 |
| IPSEC隧道模式具有以下功能和局限: |
| 1.只能支持IP数据流 |
| 2.工作在IP栈(IPstac |
k)的底层,因此,应用程序和 |
高层协议可以继承IPSEC的行为。 |
| 3.由一个安全策略(一整套过滤机制 供使用的加密和隧道机制以及验证方式。 商使用何种加密方式。此后的所有数据流 隧道包头内。 |
)进行控制。安全策略按照优先级的先后顺序创建可 当需要建立通讯时,双方机器执行相互验证,然后协 都将使用双方协商的加密机制进行加密,然后封装在 |
| 关于IPSEC的详细介绍参看本文稍后的“高级安全”部分。 |
| ■ 隧道类型 |
| 1.自愿隧道(Voluntarytunnel) |
| 用户或客户端计算机可 机作为隧道客户方成为隧道 |
以通过发送VPN请求配置和创建 的一个端点。 |
一条自愿隧道。此时,用户端计算 |
| 2.强制隧道(Compulsorytunnel) |
| 由支持VPN的拨号接入 道端点,而是由位于客户计 道的一个端点。 |
服务器配置和创建一条强制隧道 算机和隧道服务器之间的远程接 |
。此时,用户端的计算机不作为隧 入服务器作为隧道客户端,成为隧 |
| 目前,自愿隧道是最普遍使用的隧道类型。以下,将对上述两种隧道类型进行详细介绍。 |
| 自愿隧道 |
| 当一台工作站或路由器使用隧道客户 道。为实现这一目的,客户端计算机必须 通过局域网或拨号线路)。使用拨号方式 的拨号连接。一个最典型的例子是Intern ISP取得与Internet的连接。 |
软件创建到目标隧道服务器的虚拟连接时建立自愿隧 安装适当的隧道协议。自愿隧道需要有一条IP连接( 时,客户端必须在建立隧道之前创建与公共互联网络 et拨号用户必须在创建Internet隧道之前拨通本地 |
| 对企业内部网络来说, 供到目标隧道服务器路由。 |
客户机已经具有同企业网络的连 |
接,由企业网络为封装负载数据提 |
| 大多数人误认为VPN只能使用拨号连 机(如家用PC)可以通过使用拨号方式连 步准备,并不属于隧道协议。 |
接。其实,VPN只要求支持IP的互联网络。一些客户 接Internet建立IP传输。这只是为创建隧道所做的初 |
| 强制隧道 |
| 目前,一些商家提供能 算机提供隧道的计算机或网 L2TP接入集线器(LAC)或 常的发挥功能,FEP必须安 隧道。 |
够代替拨号客户创建隧道的拨号 络设备包括支持PPTP协议的前端 支持IPSec的安全IP网关。本文 装适当的隧道协议,同时必须能 |
接入服务器。这些能够为客户端计 处理器(FEP),支持L2TP协议的 将主要以FEP为例进行说明。为正 够当客户计算机建立起连接时创建 |
| 以Internet为例,客户 ,企业可以与某个ISP签定 Internet互联网络创建一条 就可以将不同地方合并成企 |
机向位于本地ISP的能够提供隧 协议,由ISP为企业在全国范围 到隧道服务器的隧道,隧道服务 业网络端的一条单一的Internet |
道技术的NAS发出拨号呼叫。例如 内设置一套FEP。这些FEP可以通过 器与企业的专用网络相连。这样, 连接。 |
| 因为客户只能使用由FEP创建的隧道 户端的数据流将自动的通过隧道发送。使 客户拨入NAS时,一条隧道将被创建,所 有的拨号客户创建到指定隧道服务器的隧 不同的隧道。 |
,所以称为强制隧道。一旦最初的连接成功,所有客 用强制隧道,客户端计算机建立单一的PPP连接,当 有的数据流自动通过该隧道路由。可以配置FEP为所 道,也可以配置FEP基于不同的用户名或目的地创建 |
| 自愿隧道技术为每个客 拨号客户共享,而不必为每 的数据信息,只有在最后一 |
户创建独立的隧道。FEP和隧道 个客户建立一条新的隧道。因此 个隧道用户断开连接之后才终止 |
服务器之间建立的隧道可以被多个 ,一条隧道中可能会传递多个客户 整条隧道。 |
| ■ 高级安全功能 |
| 虽然Internet为创建VPN提供了极大 部网络不受到外来攻击,确保通过公共网 |
的方便,但是需要建立强大的安全功能以确保企业内 络传送的企业数据的安全。 |
| 对称加密与非对称加密(专用密钥与公用密钥) |
| 对称加密,或专用密钥(也称做常规 数学运算时使用密钥将明文加密成密文。 算法,数据加密标准(DES),国际数据 加密方式。 |
加密)由通信双方共享一个秘密密钥。发送方在进行 接受方使用相同的密钥将密文还原成明文。RSA RC4 加密算法(IDEA)以及Skipjack加密技术都属于对称 |
| 非对称加密,或公用密 密钥,另一个则是对应的公 算法上相互关联,一个用于 |
钥,通讯各方使用两个不同的密 用密钥,任何人都可以获得公用 数据加密,另一个用于数据解密 |
钥,一个是只有发送方知道的专用 密钥。专用密钥和公用密钥在加密 。 |
| 公用密钥加密技术允许 发送信息的某一部分进行加 验证发送方身份。 |
对信息进行数字签名。数字签名 密。接受方收到该信息后,使用 |
使用发送发送一方的专用密钥对所 发送方的公用密钥解密数字签名, |