| 关键技术 |
| 2.3.1Tunnel技术 |
| 通常,企业网采用保留IP建网。保留IP网络要使用合法IP网络(例如 |
| Internet),可以通过3种方式进行: |
| *改用合法IP |
| *设置IP转换网关 |
| *采用Tunnel技术。 |
| 其中,Tunnel技术 Tunnel技术的另一个优点是 合作完成。而且,现有的许 Tunnel技术标准。 |
具有相对简单、有效和易于管理 ,既可以在ISP的节点完成,也 多网络接入交换设备、接入服务 |
的特性,更加适合VPN的要求。 可以在用户处完成,或者可以两者 器和广域网路由器都支持相关的 |
| Tunnel协议使数据流可以在公网的虚拟“管道”中传输。 |
| 图一:Tunnel的数据包结构: |
| CarrierProtocol |
| EncapsulatorProtocol |
| PassengerProtocol |
| Tunnel中包括下列类型的协议: |
| PassengerProtoco 或extdialog。 |
l:是被封装的协议。在拨号接 |
入中,此协议可以是PPP、SLIP、 |
| EncapsulatorProt |
ocol:用于建立、维护和断开Tu |
nnel。例如L2F等多种封装协议。 |
| CarrierProtocol:用于运载经 为,IP在Internet中使用广泛、路由功能 依赖关系,也还可以用FR、X25-VC、ATM- |
过封装的协议。IP是首选CarrierProtocol。这是因 较强。但是,EncapsulatorProtocol与IP之间并没有 SVC等作为CarrierProtocol。 |
| 2.3.2安全技术 |
| 能否保证VPN的安全性,是VPN网 首先要考虑的就是安全问题。 |
络能否实现“Private”的关键。基于Internet的VPN |
| 可以采用下列技术保证VPN的安全: |
| *口令保护 |
| *用户认证技术 |
| *一次性口令 |
| *用户权限设置 |
| *在传输中采用加密技术 |
| *采用防火墙,把用户网络中的对外服务部分和对内服务部分隔离开。 |
| 2.3.3可用性 |
| 由于VPN是建立在I 吞吐量等可用性指标: |
nternet的基础上的,所以可以 |
采用下列技术保证VPN的up-time和 |
| *采用相应的高速广域网设备和数据压缩技术。 |
| *采用路由备份和冗余设计。 |
| 2.3.4用户管理/认证和计费 |
| 通过NAS和CPE设备提供的LOG文 |
件,包括用户名、流量、连接时间等数据进行计费。 |
| 3有关协议的比较 |
| 3.1Tunnel技术趋势 |
| 主要的协议和技术趋势有3种: |
| *PPTP:微软和ASC WindowsNT和Netware的clie |
END在PPP基础上联合开发了PPTP nt/server环境。 |
(点对点Tunnel协议,适用于 |
| *ATMP:ASCEND开 IP、IPX、NetBIOS和NetBEU |
发的ATMP(ASCENDTunnel管理协 I环境的数据流。 |
议),融合了PPTP和GRE,适用于 |
| *L2F:CISCO开发 L2TP(Layer-2TunnelingPr |
的Layer-2ForwardingTunnel协 otocol),综合了L2F和PPTP的 |
议。在其基础上,进一步提出了 优点,即将成为一项 |
| 工业标准。 |
| 另外,还有: |
| *DLSw:IBM的DataLinkSwitchin |
g技术,支持SNA到IP的加密,已经成为工业标准。 |
| 3.2三种主要协议的比较 |
| 3.2.1ATMP与PPTP |
| ATMP和PPTP都是基于GRE的协议,区别在于: |
| *ATMP不需要Windows/NT服务器 户运行WindowNT、Window95或PPPclient |
,内部代理可以是路由器或者网关。PPTP需要远端用 软件。内部代理必须是 |
| WindowsNTserver。 |
| *PPTP支持NetBios,ATMP支持IP/IPX。 |
| *PPTP先把PPP数据 明码传输。 |
包加密,然后放在tunnel中传输 |
;ATMP只加密认证信息,其他数据 |
| 3.2.2ATMP与L2F |
| L2F协议在某些方面与ATMP很相似。最主要的区别在于封装方式不同。 |
| L2F不是基于GRE(R 且,用户端的网关和NAS设 |
FC1701)的,而是基于PPP的。使 备也必须运行L2F。 |
用L2F,远端用户必须运行PPP。而 |
| L2F的优点是不仅支持IP/IPX,还支持Appletalk等协议。 |
| 但是,L2F要求每个用户端局域网有专用的网关,费用较高。 |
| 3.2.3PPTP与L2F |
| PPTP与L2F的区别有下述几个方面: |
| *L2F不是基于GRE(RFC1701)的, 而且,用户端的网关和NAS设备也必须运 |
而是基于PPP的。使用L2F,远端用户必须运行PPP。 行L2F。 |
| *与PPTP相比,L2F 的前端不需要WindowsNTser |
不仅支持IP/IPX,还支持Applet ver。 |
alk等协议;而且每个用户局域网 |
| *但是,L2F不是真 |
正的端到端技术。PPTP虽然需要 |
WindowsNTserver,但是 |
| GREtunnel以PPPframe形式运行。PPT PPTPtunnel容易管理。 |
Ptunnel对GRE作了增强,增加了流控机制,所以, |
| *PPTP不使用tunnelIdentifier,开销较小。 |
| *L2F要求每个用户端局域网有专用的网关,费用较高。 |
| *L2F不支持流控, 媒体是IP,L2F没有假定。 |
由封装的协议自行管理数据,需 |
要数据重传功能。PPTP假定的底层 |
| *L2F本身支持的用户验证方式较多,PPTP支持的较少。 |
| *L2F不支持Callback和ISDN/Mod |
empooling,PPTP支持。 |