VPN相關(guān)協(xié)議與草案

VPN相關(guān)協(xié)議與草案（何寶宏）
摘要本文介紹了VPN技術(shù)的相關(guān)懷準(zhǔn)和協(xié)議，以及他門的發(fā)展現(xiàn)狀。
關(guān)鍵詞 VPN PPTP L2F L2TP IPSec
1VPN與隧道技術(shù)
    VPN（虛擬專用網(wǎng)）是指在公眾數(shù)據(jù)網(wǎng)絡(luò)上建立屬于自己的私有數(shù)據(jù)網(wǎng)絡(luò)。VPN具有兩個(gè)
方面的含義：首先它是“虛擬”的，不再使用長途專線建立私有數(shù)據(jù)網(wǎng)絡(luò)，而是將其建立在
分布廣泛的公用網(wǎng)絡(luò)，尤其是因特網(wǎng)上；其次它又是一個(gè)“專網(wǎng)”，每個(gè)VPN的用戶都可以臨
時(shí)從公用網(wǎng)絡(luò)中獲得一部分資源供自己使用。VPN既可以讓客戶連接到公網(wǎng)所能夠達(dá)到的任何
地方，也可以容易地解決保密性、安全性、可管理性等問題，降低網(wǎng)絡(luò)的使用成本。
    VPN的具體實(shí)現(xiàn)是采用隧道技術(shù)，在公網(wǎng)中建立企業(yè)之間的鏈接，將用戶的數(shù)據(jù)封裝在隧
道中進(jìn)行傳輸。隧道技術(shù)與接入方式無關(guān)，它可以支持各種形式的接入，如撥號(hào)方式接入、
CABLE Modem、xDSL以及ISDN、E1專線和無線接入等。一個(gè)隧道協(xié)議通常包括以下幾個(gè)方面：
    乘客協(xié)議——被封裝的協(xié)議，如PPP、SLIP；
    封裝協(xié)議——隧道的建立、維持和斷開，如L2TP、IPSec等；
    承載協(xié)議——承載經(jīng)過封裝后的數(shù)據(jù)包的協(xié)議，如IP和ATM等。
    目前因特網(wǎng)上較為常見的隧道協(xié)議大致有兩類：第二層隧道協(xié)議PPTP、L2F、L2TP和第三
層隧道協(xié)議GRE、IPSec。第二層和第三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的
第幾層被封裝。其中GRE和IPSec主要用于實(shí)現(xiàn)專線VPN業(yè)務(wù)，L2TP主要用于實(shí)現(xiàn)撥號(hào)VPN業(yè)務(wù)，
也可用于實(shí)現(xiàn)專線VPN業(yè)務(wù)。本文的其余部分分別介紹這些隧道協(xié)議。
2第二層隧道協(xié)議
    第二層隧道協(xié)議可以支持多種路由協(xié)議，如IP、IPX和AppleTalk；也可以支持多種廣域
網(wǎng)技術(shù)，如幀中繼、ATM、X.25或SDH／SONET；還可以支持任意局域網(wǎng)技術(shù)，如以太網(wǎng)、令牌
環(huán)和FDDI等。
2.1PPTP
    點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）是由PPTP論壇開發(fā)的點(diǎn)到點(diǎn)的安全隧道協(xié)議，為使用電話上網(wǎng)
的用戶提供安全VPN業(yè)務(wù)，1996年成為IETF草案。PPTP是PPP協(xié)議的一種擴(kuò)展，提供了在IP網(wǎng)
上建立多協(xié)議的安全VPN的通信方式，遠(yuǎn)端用戶能夠通過任何支持PPTP的ISP訪問企業(yè)的專用
網(wǎng)絡(luò)。PPTP提供PPTP客戶機(jī)和PPTP服務(wù)器之間的保密通信。PPTP客戶機(jī)是指運(yùn)行該協(xié)議的PC
機(jī)，PPTP服務(wù)器是指運(yùn)行該協(xié)議的服務(wù)器。
    通過PPTP，客戶可以采用撥號(hào)方式接入公共的IP網(wǎng)。撥號(hào)客戶首先按常規(guī)方式撥號(hào)到ISP
的接入服務(wù)器（NAS），建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號(hào)建立到PPTP服務(wù)器的
連接，該連接稱為PPTP隧道，實(shí)質(zhì)上是基于IP協(xié)議的另一個(gè)PPP連接，其中IP包可以封裝多種
協(xié)議數(shù)據(jù)，包括TCP／IP，IPX和NetBEUI。對(duì)于直接連接到IP網(wǎng)的客戶則不需要第一次的PPP
撥號(hào)連接，可以直接與PPTP服務(wù)器建立虛擬通路。
    PPTP的最大優(yōu)勢是Microsoft公司的支持。NT4.0已經(jīng)包括了PPTP客戶機(jī)和服務(wù)器的功能，
并且考慮了Windows95環(huán)境。另外一個(gè)優(yōu)勢是它支持流量控制，可保證客戶機(jī)與服務(wù)器間不
擁塞，改善通信性能，最大限度地減少包丟失和重發(fā)現(xiàn)象。PPTP把建立隧道的主動(dòng)權(quán)交給了
客戶，但客戶需要在其PC機(jī)上配置PPTP，這樣做既會(huì)增加用戶的工作量，又會(huì)造成網(wǎng)絡(luò)的安
全隱患。另外，PPTP僅工作于IP，不具有隧道終點(diǎn)的驗(yàn)證功能，需要依賴用戶的驗(yàn)證。
2.2 L2F
    L2F（Layer 2 Forwarding）是由Cisco公司提出的，可以在多種介質(zhì)（如 ATM、幀中繼、
IP）上建立多協(xié)議的安全VPN的通信方式。它將鏈路層的協(xié)議（如 HDLC、PPP、ASYNC等）封
裝起來傳送，因此網(wǎng)絡(luò)的鏈路層完全獨(dú)立于用戶的鏈路層協(xié)議。1998年提交給IETF，成為RFC
 2341。
    L2F遠(yuǎn)端用戶能夠通過任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號(hào)到ISP的接
人服務(wù)器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服
務(wù)器。這種方式下，隧道的配置和建立對(duì)用戶是完全透明的。
    L2F允許撥號(hào)服務(wù)器發(fā)送PPP幀，并通過WAN連接到L2F服務(wù)器。L2F服務(wù)器將包去封裝后，
把它們接入到企業(yè)自己的網(wǎng)絡(luò)中。與PPTP和PPP所不同的是，L2F沒有定義客戶。
2.3 L2TP
    L2TP協(xié)議由Cisco、Ascend、Microsoft、3Com和Bay等廠商共同制訂，1999年8月公布了
L2TP的標(biāo)準(zhǔn)RFC 2661。上述廠商現(xiàn)有的VPN設(shè)備已具有L2TP的互操作性。
    L2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或接人服務(wù)器端發(fā)起VPN連接。L2TP
定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。目前用戶撥號(hào)訪問因特網(wǎng)時(shí)，必須使
用IP協(xié)議，并且其動(dòng)態(tài)得到的IP地址也是合法的。L2TP的好處就在于支持多種協(xié)議，用戶可
以保留原來的IPX、AppleTalk等協(xié)議或企業(yè)原有的IP地址，企業(yè)在原來非IP網(wǎng)上的投資不致
于浪費(fèi)。另外，L2TP還解決了多個(gè)PPP鏈路的捆綁問題。
    L2TP主要由LAC（接入集中器）和LNS（L2TP網(wǎng)絡(luò)服務(wù)器）構(gòu)成。LAC支持客戶端的L2TP，
用于發(fā)起呼叫，接收呼叫和建立隧道。LNS是所有隧道的終點(diǎn)。在傳統(tǒng)的PPP連接中，用戶撥
號(hào)連接的終點(diǎn)是LAC，L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。
    在安全性考慮上，L2TP僅僅定義了控制包的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。
因此，L2TP并不能滿足用戶對(duì)安全性的需求。如果需要安全的VPN，則依然需要IPSec。
3第三層隧道協(xié)議
3.1 IPSec
    利用隧道方式來實(shí)現(xiàn)VPN時(shí)，除了要充分考慮隧道的建立及其工作過程之外，另外一個(gè)重
要的問題是隧道的安全。第二層隧道協(xié)議只能保證在隧道發(fā)生端及終止端進(jìn)行認(rèn)證及加密，
而隧道在公網(wǎng)的傳輸過程中并不能完全保證安全。IPSec加密技術(shù)則是在隧道外面再封裝，保
證了隧道在傳輸過程中的安全性。
    IPSec是一個(gè)第三層VPN協(xié)議標(biāo)準(zhǔn)，它支持信息通過IP公網(wǎng)的安全傳輸。IPSec系列標(biāo)準(zhǔn)從
1995年問世以來得到了廣泛的支持，IETF工作組中已制定的與IPSec相關(guān)的RFC文檔有：RFC 
214、RFC2401-RFC 2409、RFC 2451等。其中 RFC 2409介紹了互連網(wǎng)密鑰交換（IKE）協(xié)議；
RFC 2401介紹了IPSec協(xié)議；RFC 2402介紹了驗(yàn)證包頭（AH）；RFC2406介紹了加密數(shù)據(jù)的報(bào)
文安全封裝（ESP）協(xié)議。
    IPSec兼容設(shè)備在OSI模型的第三層提供加密、驗(yàn)證、授權(quán)、管理，對(duì)于用戶來說是透明
的，用戶使用時(shí)與平常無任何區(qū)別。密鑰交換、核對(duì)數(shù)字簽名、加密等都在后臺(tái)自動(dòng)進(jìn)行。
另外，為了組建大型VPN，需要認(rèn)證中心來進(jìn)行身份認(rèn)證和分發(fā)用戶公共密鑰。
    IPSec可用兩種方式對(duì)數(shù)據(jù)流進(jìn)行加密：隧道方式和傳輸方式。隧道方式對(duì)整個(gè)IP包進(jìn)行
加密，使用一個(gè)新的IPSec包打包。這種隧道協(xié)議是在IP上進(jìn)行的，因此不支持多協(xié)議。傳輸
方式時(shí)IP包的地址部分不處理，僅對(duì)數(shù)據(jù)凈荷進(jìn)行加密。
    IPSec支持的組網(wǎng)方式包括：主機(jī)之間、主機(jī)與網(wǎng)關(guān)、網(wǎng)關(guān)之間的組網(wǎng)。IPSec還支持對(duì)
遠(yuǎn)程訪問用戶的支持。IPSec可以和L2TP、GRE等隧道協(xié)議一起使用，給用戶提供更大的靈活
性和可靠性。
    IPSec的ESP協(xié)議和報(bào)文完整性協(xié)議認(rèn)證的協(xié)議框架已趨成熟，IKE協(xié)議也已經(jīng)增加了橢圓
曲線密鑰交換協(xié)議。由于IPSec必須在端系統(tǒng)的操作系統(tǒng)內(nèi)核的IP層或網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的IP層實(shí)
現(xiàn)，因此需要進(jìn)一步完善IPSec的密鑰管理協(xié)議。
3.2 GRE
    通用路由協(xié)議封裝（GRE）是由Cisco和Net－smiths等公司1994年提交給IETF的，標(biāo)號(hào)為
RFC1701和RFC 1702。目前有多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持  GRE隧道協(xié)議。
    GRE規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GRE的隧道由兩端的源IP
地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路
由協(xié)議（如RIP2、OSPF等）。通過GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)
絡(luò)，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互連，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GER只提供了數(shù)據(jù)
包的封裝，并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊，所以在實(shí)際環(huán)境中經(jīng)常與IPSec在一起使
用，由IPSec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。
4小結(jié)
    IETF的其他一些工作組也在為VPN制定相關(guān)協(xié)議，其中的很多建議已形成草案。這些草案
中涉及的協(xié)議有：MPLS、RADIUS、LDAP、VPMT等。
摘自《中國數(shù)據(jù)通訊網(wǎng)絡(luò)》