電子正規(guī)刊發(fā)論文隧道技術(shù)的ＶＰＮ

　　虛擬專用網(wǎng)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。

　　【摘要】：虛擬專用網(wǎng)(VPN)技術(shù)主要包括數(shù)據(jù)封裝化，隧道協(xié)議，防火墻技術(shù)，加密及防止數(shù)據(jù)被篡改技術(shù)等等。文章著重介紹了虛擬專用網(wǎng)以及對相關(guān)技術(shù)。并對VPN隧道技術(shù)的分類提出了一些新的探索。

　　【關(guān)鍵詞】：虛擬專用網(wǎng);隧道技術(shù);隧道協(xié)議;數(shù)據(jù)封裝

　　引言

　　虛擬專用網(wǎng)即VPN(Virtual Private Network)是利用接入服務(wù)器(Access Sever)、廣域網(wǎng)上的路由器以及VPN專用設(shè)備在公用的WAN上實(shí)現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利internet上開展的VPN服務(wù)被稱為IPVPN。

　　利用共用的WAN網(wǎng)，傳輸企業(yè)局域網(wǎng)上的信息，一個(gè)關(guān)鍵的問題就是信息的安全問題。為了解決此問題，VPN采用了一系列的技術(shù)措施來加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。

　　1. 隧道技術(shù)

　　Internet中的隧道是邏輯上的概念。假設(shè)總部的LAN上和分公司的LAN上分別連有內(nèi)部的IP地址為A和B的微機(jī)。總部和分公司到ISP的接入點(diǎn)上的配置了VPN設(shè)備。它們的全局IP地址是C和D。假定從微機(jī)B向微機(jī)A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以內(nèi)部IP地址表示的"目的地址A""源地址B"。因此分組到達(dá)分公司的VPN設(shè)備后，立即在它的前部加上與全局IP地址對應(yīng)的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設(shè)備從D發(fā)往VPN設(shè)備C而添加的。此IP分組到達(dá)總部的VPN設(shè)備C后，全局IP地址即被刪除，恢復(fù)成IP分組發(fā)往地址A。由此可見，隧道技術(shù)就是VPN利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此，還必須在IP分組上添加新頭標(biāo)，這就是所謂IP的封裝化。同時(shí)利用隧道技術(shù)，還必須使得隧道的入口與出口相對地出現(xiàn)。

　　基于隧道技術(shù)VPN網(wǎng)絡(luò)，對于通信的雙方，感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。

　　2. 隧道協(xié)議

　　在一個(gè)分組上再加上一個(gè)頭標(biāo)被稱為封裝化。對封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此，要成功的使用VPN技術(shù)還需要有隧道協(xié)議。

　　2.1 當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類：

　　⑴ L2F(Layer 2 Forwarding)

　　L2F是cisco公司提出的隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器。將撥號(hào)數(shù)據(jù)流封裝在PPP幀內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器).

　　⑵ PTP(Point to point Tunnelimg protocol)

　　PPTP協(xié)議又稱為點(diǎn)對點(diǎn)的隧道協(xié)議。PPTP協(xié)議允許對IP，IPX或NETBEUT數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送。

　　⑶ 2TP(Layer 2 Tunneling Protocol)

　　該協(xié)議是遠(yuǎn)程訪問型VPN今后的標(biāo)準(zhǔn)協(xié)議。

　　L2F、PPTP、L2TP共同特點(diǎn)是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)入口的VPN設(shè)備建立PPP連接，端口用戶可以在客戶側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴(kuò)展功能外，還能在VPN上利用PPP支持的多協(xié)議通信功能，多鏈路功能及PPP的其他附加功能。因此在Internet上實(shí)現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道。對于不提供PPP功能的隧道協(xié)議都由標(biāo)準(zhǔn)的IP層來處理，稱其為第三層隧道，以區(qū)分于第二層隧道。

　　⑷ TMP/BAYDVS

　　ATMP(Ascend Tumneling Management Protocol)和BaydVs(Bay Dial VPN Service)是基于ISP遠(yuǎn)程訪問的VPN協(xié)議，它部分采用了移動(dòng)IP的機(jī)制。ATMP以GRE實(shí)現(xiàn)封裝化，將VPN的起點(diǎn)和終點(diǎn)配置ISP內(nèi)。因此，用戶可以不裝與VPN想適配的軟件。

　　⑸ PSEC

　　IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認(rèn)證頭標(biāo)(AH：Authmentication Header)和封裝化安全凈荷(ESP：Encapsnlating Security Paylamd)。

　　小編推薦優(yōu)秀電子期刊　《計(jì)算機(jī)系統(tǒng)應(yīng)用》

　　《計(jì)算機(jī)系統(tǒng)應(yīng)用》(月刊)創(chuàng)刊于1991年，由中國科學(xué)院軟件研究所主辦。辦刊宗旨：宣傳推廣信息技術(shù)在各行各業(yè)的應(yīng)用。重點(diǎn)是宣傳介紹計(jì)算機(jī)應(yīng)用系統(tǒng)的建設(shè)(包括系統(tǒng)的規(guī)劃、設(shè)計(jì)與開發(fā)等方面)、信息技術(shù)的應(yīng)用研究與開發(fā)成果以及相關(guān)技術(shù)的分析、探討與應(yīng)用，系統(tǒng)建設(shè)：面向中高層管理人員與應(yīng)用系統(tǒng)設(shè)計(jì)的專業(yè)人員。榮獲中文核心期刊(2000)。