VPN的典型隧道協(xié)議

1、 VPN的典型隧道協(xié)議隧道技術(shù)是一種通過(guò)使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)楨（此字不正確）或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)楨或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過(guò)互聯(lián)網(wǎng)絡(luò)傳遞。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過(guò)公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑稱(chēng)為隧道一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過(guò)程1、點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP,Point-to-pointTunne

2、lingProtocol）是一種用于讓遠(yuǎn)程用戶撥號(hào)連接到本地ISP,通過(guò)因特網(wǎng)安全遠(yuǎn)程訪問(wèn)公司網(wǎng)絡(luò)資源的新型技術(shù)。PPTP對(duì)PPP協(xié)議本身并沒(méi)有做任何修改，只是使用PPP撥號(hào)連接，然后獲取這些PPP包，并把它們封裝進(jìn)GRE頭中。PPTP使用PPP協(xié)議的PAP或CHAP（MS-CHAP）進(jìn)行認(rèn)證，另外也支持Microsoft公司的點(diǎn)到點(diǎn)加密技術(shù)（MPPE）。PPTP支持的是一種客戶-LAN型隧道的VPN實(shí)現(xiàn)。傳統(tǒng)網(wǎng)絡(luò)接入服務(wù)器（NAS）執(zhí)行以下功能：它是PSTN或ISDN的本地接口，控制著外部的MODEM或終端適配器：它是PPP鏈路控制協(xié)議會(huì)話的邏輯終點(diǎn)；它是PPP認(rèn)證協(xié)議的執(zhí)行者；它為PPP多

3、鏈路由協(xié)議進(jìn)行信道匯聚管理；它是各種PPP網(wǎng)絡(luò)控制協(xié)議的邏輯終點(diǎn)。PPTP協(xié)議將上述功能分解成由兩部分即PAC（PPTP接入集中器）和PNS（PPTP網(wǎng)絡(luò)服務(wù)器）來(lái)分別執(zhí)行。這樣一來(lái)，撥號(hào)PPP鏈路的終點(diǎn)就延伸至PNS。PPTP協(xié)議正是利用了“NAS功能的分解”這樣的機(jī)制支持在因特網(wǎng)上的VPN實(shí)現(xiàn)。ISP的NAS將執(zhí)行PPTP協(xié)議中指定的PAC的功能。而企業(yè)VPN中心服務(wù)器將執(zhí)行PNS的功能，通過(guò)PPTP，遠(yuǎn)程擁護(hù)首先撥號(hào)到本地ISP的NAS,訪問(wèn)企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再需要直接撥號(hào)至企業(yè)的網(wǎng)絡(luò)，這樣，由GRE將PPP報(bào)文封裝成IP報(bào)文就可以在PACPNS之間經(jīng)由因特網(wǎng)傳遞，即在PAC和PNS

4、之間為用戶的PPP會(huì)話建立一條PPTP隧道。建立PPTP連接，首先需要建立客戶端與本地ISP的PPP連接。一旦成功的接入因特網(wǎng)，下一步就是建立PPTP連接。從最頂端PPP客戶端、PAC和PNS服務(wù)器之間開(kāi)始，由已經(jīng)安裝好PPTP的PAC建立并管理PPTP任務(wù)。如果PPP客戶端將PPTP添加到它的協(xié)議中，所有列出來(lái)的PPTP通信都會(huì)在支持PPTP的客戶端上開(kāi)始與終止。由于所有的通信都將在IP包內(nèi)通過(guò)隧道，因此PAC只起著通過(guò)PPP連接進(jìn)因特網(wǎng)的入口點(diǎn)的作用。從技術(shù)上講，PPP包從PPTP隧道的一端傳輸?shù)搅硪欢?，這種隧道對(duì)用戶是完全透明的。PPTP具有兩種不同的工作模式，即被動(dòng)模式和主動(dòng)模式。被動(dòng)

5、模式的PPTP會(huì)話通過(guò)一個(gè)一般是位于ISP處的前端處理器發(fā)起，在客戶端不需要安裝任何與PPTP有關(guān)的軟件。在撥號(hào)連接到ISP的過(guò)程中，ISP為用戶提供所有的相應(yīng)服務(wù)和幫助。被動(dòng)方式的好處是降低了對(duì)客戶的要求，缺點(diǎn)是限制了客戶對(duì)因特網(wǎng)其他部分的訪問(wèn)。主動(dòng)方式是由客戶建立一個(gè)與網(wǎng)絡(luò)另外一端服務(wù)器直接連接的PPTP隧道，這種方式不需要ISP的參與，不再需要位于ISP處的前端處理器，ISP只提供透明的傳輸通道。這種方式的優(yōu)點(diǎn)是客戶擁有對(duì)PPTP的絕對(duì)控制，缺點(diǎn)是對(duì)用戶的要求較高，并需要在客戶端安裝支持PPTP的相應(yīng)軟件。通過(guò)PPTP，遠(yuǎn)程用戶經(jīng)由因特網(wǎng)訪問(wèn)企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再需要直接撥號(hào)至企業(yè)的網(wǎng)

6、絡(luò)。這樣大大的減少了建立和維護(hù)專(zhuān)用遠(yuǎn)程線路的費(fèi)用。且為企業(yè)提供了充分的安全保證。另外，PPTP還在IP網(wǎng)絡(luò)中支持IP協(xié)議。PPTP隧道”將IP、IPX、APPLE-TALK等協(xié)議封裝在IP包中，使用戶能夠運(yùn)行基于特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。同時(shí)，“隧道”采用現(xiàn)有的安全檢測(cè)和認(rèn)證策略，還允許管理員和用戶對(duì)數(shù)據(jù)進(jìn)行加密，使數(shù)據(jù)更加安全。PPTP還提供了靈活的IP地址管理。如果企業(yè)專(zhuān)用的網(wǎng)絡(luò)使用未經(jīng)注冊(cè)的IP地址，那么PNS將把此地址和企業(yè)專(zhuān)用地址聯(lián)系起來(lái)。PPTP協(xié)議是一個(gè)為中小企業(yè)提供的VPN解決方案，但PPTP協(xié)議在實(shí)現(xiàn)上存在著重大安全隱患。有研究表明其安全性甚至比PPP還要弱，因此不適用于需要一

7、定安全保證的通信。如果條件允許，用戶最好選擇完全能夠替代PPTP的下一代二層協(xié)議L2TP。2、第二層轉(zhuǎn)發(fā)(L2F)L2F由Cisco公司在1998年5月提交給IETF,RFC2341對(duì)L2F有詳細(xì)的闡述。L2F可以在多種介質(zhì)(如AMT、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專(zhuān)用網(wǎng)。它將鏈路層的協(xié)議(如HDLC,PPP,ASYNC等)封裝起來(lái)傳送。因此,網(wǎng)絡(luò)的鏈路層完全獨(dú)立于用戶的鏈路層協(xié)議。L2F遠(yuǎn)端用戶能夠通過(guò)任何撥號(hào)方式接入公共IP網(wǎng)絡(luò),首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器(NAS)，建立PPP連接：NAS根據(jù)用戶名等信息，發(fā)起第二重連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。在這種方式下隧道的建立和配

8、置對(duì)用戶是完全透明的。L2F允許撥號(hào)接入服務(wù)器發(fā)送PPP幀傳輸并通過(guò)WAN連接到達(dá)L2F服務(wù)器。L2F服務(wù)器將包去封裝后把它們接入到公司自己的網(wǎng)絡(luò)中。3、二層隧道協(xié)議(L2TP)L2TP協(xié)議的前身是Microsoft公司的點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)和Cisco公司的二層轉(zhuǎn)發(fā)協(xié)議(L2F)。PPTP協(xié)議是一個(gè)為中小企業(yè)提供的VPN解決方案。但PPTP協(xié)議在實(shí)現(xiàn)上存在著重大安全隱患，有研究表明其安全性甚至比PPP還要弱，因此不適用于需要一定安全保證的通信。L2F協(xié)議是一種安全通信隧道協(xié)議，但它的主要缺陷是沒(méi)有把標(biāo)準(zhǔn)加密方法包括在內(nèi)，因此它也已經(jīng)成為一個(gè)過(guò)時(shí)的隧道協(xié)議。IETF的開(kāi)放標(biāo)準(zhǔn)L2TP協(xié)議

9、結(jié)合了PPTP協(xié)議和L2F的優(yōu)點(diǎn)，特別適合組建遠(yuǎn)程接入方式的VPN,已經(jīng)成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。遠(yuǎn)程撥號(hào)的用戶通過(guò)本地PSTN、ISDN或PLMN撥號(hào)，利用ISP提供的VPDN特服號(hào)，接入ISP在當(dāng)?shù)氐慕尤敕?wù)器(NAS)NAS通過(guò)當(dāng)?shù)氐腣PDN的管理系統(tǒng)(如認(rèn)證系統(tǒng))，對(duì)用戶身份進(jìn)行認(rèn)證，并獲得用戶對(duì)應(yīng)的企業(yè)安全網(wǎng)關(guān)(CPE)的隧道屬性(如企業(yè)網(wǎng)關(guān)的IP地址等)。NAS根據(jù)獲得的這些信息,采用適當(dāng)?shù)乃淼绤f(xié)議封裝上層協(xié),議建立一個(gè)位于NAS和LNS(本地網(wǎng)絡(luò)服務(wù)器)之間的虛擬轉(zhuǎn)網(wǎng)。4、多協(xié)議標(biāo)記交換(MPLS)MPLS為每個(gè)IP包加上一個(gè)固定長(zhǎng)度的標(biāo)簽，并根據(jù)標(biāo)簽值轉(zhuǎn)發(fā)數(shù)據(jù)包MPLS實(shí)際上就是一

10、種隧道技術(shù)，所以使用它來(lái)建立VPN隧道是十分容易的。同時(shí)，MPLS是一種完備的網(wǎng)絡(luò)技術(shù)，可以用它來(lái)建立起VPN成員之間簡(jiǎn)單而高效的VPN。MPLSVPN適用于實(shí)現(xiàn)對(duì)服務(wù)質(zhì)量、服務(wù)等級(jí)的劃分以及網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。CE路由器是用于將一個(gè)用戶站點(diǎn)接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。CE路由器不使用MPLS,它可以只是一臺(tái)IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。PE路由器是與用戶CE路由器相連的服務(wù)提供者邊緣路由器。PE實(shí)際上就是MPLS中的邊緣標(biāo)記交換路由器(LER)，它需要能夠支持BGP協(xié)議，一種或幾種IGP路由協(xié)議以及MPLS協(xié)議，需要能夠執(zhí)行

11、IP包檢查、協(xié)議轉(zhuǎn)換等功能。用戶站點(diǎn)是指這樣一組網(wǎng)絡(luò)或子網(wǎng),它們是用戶網(wǎng)絡(luò)的一部分并且通過(guò)一條或多條PE/CE鏈路接至VPN。一組共享相同路由信息的站點(diǎn)就構(gòu)成了VPN。一個(gè)站點(diǎn)可以同時(shí)位于不同的幾個(gè)VPN之中。從MPLSVPN網(wǎng)絡(luò)的結(jié)構(gòu)可以看到，與前幾種VPN技術(shù)不同，MPLSVPN網(wǎng)絡(luò)中的主角雖然仍然是邊緣路由器(此時(shí)是MPLS網(wǎng)絡(luò)的邊緣LSR)，但是它需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由都能夠支持MPLS,所以這種技術(shù)對(duì)網(wǎng)絡(luò)有較為特殊的要求。5、IP安全（IPSec）IPSec是專(zhuān)門(mén)為IP設(shè)計(jì)提供安全服務(wù)的一種協(xié)議（其實(shí)是一種協(xié)議族）。IPSec可有效保護(hù)IP數(shù)據(jù)報(bào)的安全，所采取的具體保護(hù)形式

12、包括：數(shù)據(jù)源驗(yàn)證、無(wú)連接數(shù)據(jù)的完整性驗(yàn)證、數(shù)據(jù)內(nèi)容的機(jī)密性保護(hù)、抗重播保護(hù)等。IPSec主要由AH（認(rèn)證頭）、ESP（封裝安全載荷）、IKE（因特網(wǎng)密鑰交換）三個(gè)協(xié)議組成,各協(xié)議之間的關(guān)系如下圖所示IPSc休系結(jié)荀AH為IP數(shù)據(jù)包提供無(wú)連接的數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證，同時(shí)具有防重放攻擊的能力。數(shù)據(jù)完整性校驗(yàn)通過(guò)消息認(rèn)證碼（如MD5）產(chǎn)生的校驗(yàn)來(lái)保證；數(shù)據(jù)源身份認(rèn)證通過(guò)在待認(rèn)證數(shù)據(jù)中加入一個(gè)共享密鑰來(lái)實(shí)現(xiàn)；AH報(bào)頭中的序列號(hào)可以防止重放攻擊。ESP為IP數(shù)據(jù)包提供數(shù)據(jù)的保密性（加密）、無(wú)連接的數(shù)據(jù)完整性、數(shù)據(jù)源身份認(rèn)證以及防重放攻擊保護(hù)。其中的數(shù)據(jù)保密性是ESP的基本功能，而數(shù)據(jù)源身份證、數(shù)據(jù)

13、完整性檢驗(yàn)以及重放保護(hù)都是可選的。AH和ESP可以單獨(dú)使用，也可以結(jié)合使用，甚至嵌套使用。通過(guò)這些組合方式，可以在兩臺(tái)主機(jī)、兩臺(tái)安全網(wǎng)關(guān)（防火墻和路由器），或者主機(jī)與安全網(wǎng)關(guān)之間使用。解釋域（DOI）將所有的IPSec協(xié)議捆綁在一起，是IPSec安全參數(shù)的主要數(shù)據(jù)庫(kù)。密鑰管理包括IKE協(xié)議和安全聯(lián)盟（SA）等部分。IKE提供密鑰確定、密鑰管理。它在通信系統(tǒng)之間建立安全聯(lián)盟，是一個(gè)產(chǎn)生和交換密鑰材料并協(xié)調(diào)IPSec參數(shù)框架。IPSec可以在主機(jī)、路由器/防火墻（創(chuàng)建一個(gè)安全網(wǎng)關(guān)）或兩者中同時(shí)實(shí)施和部署。用戶可以根據(jù)對(duì)安全服務(wù)的要求決定究竟在什么地方實(shí)施。、為實(shí)現(xiàn)在專(zhuān)用或公共IP網(wǎng)絡(luò)上的安全傳輸，

14、IPSEC隧道模式使用的安全方式封裝和加密整個(gè)IP包。然后對(duì)加密的負(fù)載再次封裝在明文IP包頭內(nèi)通過(guò)網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對(duì)收到的數(shù)據(jù)報(bào)進(jìn)行處理，在去除明文IP包頭，對(duì)內(nèi)容進(jìn)行解密之后，獲的最初的負(fù)載IP包。負(fù)載IP包在經(jīng)過(guò)正常處理之后被路由到位于目標(biāo)網(wǎng)絡(luò)的目的地。6、通用路由封裝（GRE）通用路由協(xié)議封裝（GRE）是由Cisco和NetSmiths等公司1994年提交給IETF的，標(biāo)號(hào)為RFC1701和RFC1702。目前有多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持GER隧道協(xié)議。GER規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法oGER的隧道由兩端的源IP和目的IP來(lái)定義，允許用戶使用IP包

15、封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、0SPF等）。通過(guò)GER,用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互聯(lián)，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GER只提供了數(shù)據(jù)包的封裝，并沒(méi)有加密功能來(lái)防止網(wǎng)絡(luò)偵聽(tīng)和攻擊，所以在實(shí)際環(huán)境中經(jīng)常與IPSec在一起使用，由IPSec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。GER的實(shí)施策略以及網(wǎng)絡(luò)結(jié)構(gòu)與IPSec非常相似，只需要網(wǎng)絡(luò)邊緣的接入設(shè)備支持GER協(xié)議即可。GER封裝的格式如下圖。第二層和第三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，其中GRE、IPSec和MPLS主要用于實(shí)現(xiàn)專(zhuān)線VPN業(yè)務(wù)，L2TP主要用于實(shí)現(xiàn)撥號(hào)VPN業(yè)務(wù)（但也可以用于實(shí)現(xiàn)專(zhuān)線VPN業(yè)務(wù)），當(dāng)然這些協(xié)議之間本身不是沖突的，而