IP VPN隧道協(xié)議及其應(yīng)用

□ 信息產(chǎn)業(yè)部電信規(guī)劃研究院 翟海生

一、IP VPN隧道協(xié)議

　　目前IP網(wǎng)上較為常見的隧道協(xié)議大致有兩類：第二層隧道協(xié)議（包括PPTP、L2F、L2TP）和第三層隧道協(xié)議（包括GRE、IPSec、MPLS）。二層和三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝。第二層隧道技術(shù)的起始點在網(wǎng)絡(luò)接入服務(wù)器（NAS），終點在用戶網(wǎng)設(shè)備（CPE）上。另外，在隧道內(nèi)整個PPP幀都封裝在內(nèi)，PPP會話要貫穿到CPE界內(nèi)的網(wǎng)關(guān)或服務(wù)器上。第三層隧道技術(shù)的起點及終點均在ISP界內(nèi)，PPP會話終止于NAS內(nèi)，只攜帶第三層報文體，終接設(shè)備同時也作為CPE的網(wǎng)關(guān)。

1．第二層隧道協(xié)議

　　第二層隧道協(xié)議可以支持多種路由協(xié)議（如IP、IPX和AppleTalk）,也可以支持多種廣域網(wǎng)技術(shù)（如FR、ATM、X.25或SDH／SONET）,還可以支持任意局域網(wǎng)技術(shù)(如以太網(wǎng)、令牌環(huán)和FDDI等)。

PPTP

　　PPTP（點到點隧道協(xié)議）是由PPTP論壇開發(fā)的點到點的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全VPN業(yè)務(wù)，1996年成為IETF草案。PPTP是PPP協(xié)議的一種擴展，提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式，遠端用戶能夠通過任何支持PPTP的ISP訪問企業(yè)的專用網(wǎng)絡(luò)。PPTP提供PPTP客戶機和PPTP服務(wù)器之間的保密通信。PPTP客戶機是指運行該協(xié)議的PC機，PPTP服務(wù)器是指運行該協(xié)議的服務(wù)器。

　　通過PPTP，客戶可以采用撥號方式接入公共的IP網(wǎng)。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶進行二次撥號建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道。PPTP隧道實質(zhì)上是基于IP協(xié)議的另一個PPP連接，其中IP包可以封裝多種協(xié)議數(shù)據(jù)，包括TCP／IP、IPX和NetBEUI。對于直接連接到IP網(wǎng)的客戶則不需要第一次的PPP撥號連接，可以直接與PPTP服務(wù)器建立虛擬通路。

　　PPTP的最大優(yōu)勢是Microsoft公司的支持。NT4.0已經(jīng)包括了PPTP客戶機和服務(wù)器的功能，并且考慮了Windows95環(huán)境。另外一個優(yōu)勢是它支持流量控制，可保證客戶機與服務(wù)器間不擁塞，改善通信性能，最大限度地減少包丟失和重發(fā)現(xiàn)象。PPTP把建立隧道的主動權(quán)交給了客戶，但客戶需要在其PC機上配置PPTP，這樣做既會增加用戶的工作量，又會造成網(wǎng)絡(luò)的安全隱患。另外，PPTP僅工作于IP，不具有隧道終點的驗證功能，需要依賴用戶的驗證。

L2F

　　L2F（Layer 2 Forwarding）是由Cisco公司提出的，可以在多種介質(zhì)（如 ATM、FR、IP）上建立多協(xié)議的安全VPN的通信方式。它將鏈路層的協(xié)議（如 HDLC、PPP、ASYNC等）封裝起來傳送，因此網(wǎng)絡(luò)的鏈路層完全獨立于用戶的鏈路層協(xié)議。該協(xié)議1998年提交給IETF，成為RFC2341。

　　L2F遠端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號到ISP的接入服務(wù)器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器，這種方式下，隧道的配置和建立對用戶是完全透明的。

L2F允許撥號服務(wù)器發(fā)送PPP幀，并通過WAN連接到L2F服務(wù)器。L2F服務(wù)器將包去封裝后，把它們接入到企業(yè)自己的網(wǎng)絡(luò)中。與PPTP和L2F所不同的是，L2F沒有定義客戶。L2F的主要缺陷是沒有把標準加密方法包括在內(nèi)，因此它基本上已經(jīng)成為一個過時的隧道協(xié)議。

L2TP

　　L2TP協(xié)議是由Cisco、Ascend、Microsoft、3Com和Bay等廠商共同制訂的，1999年8月公布了L2TP的標準RFC2661。上述廠商現(xiàn)有的VPN設(shè)備已具有L2TP的互操作性。

　　L2TP結(jié)合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。目前用戶撥號訪問因特網(wǎng)時，必須使用IP協(xié)議，并且其動態(tài)得到的IP地址也是合法的。L2TP的好處就在于支持多種協(xié)議，用戶可以保留原來的IPX、AppleTalk等協(xié)議或企業(yè)原有的IP地址，企業(yè)在原來非IP網(wǎng)上的投資不致于浪費。另外，L2TP還解決了多個PPP鏈路的捆綁問題。

　　L2TP主要由LAC（接入集中器）和LNS（L2TP網(wǎng)絡(luò)服務(wù)器）構(gòu)成。LAC支持客戶端的L2TP，用于發(fā)起呼叫、接收呼叫和建立隧道。LNS是所有隧道的終點。在傳統(tǒng)的PPP連接中，用戶撥號連接的終點是LAC，L2TP使得PPP協(xié)議的終點延伸到LNS。

　　在安全性考慮上，L2TP僅僅定義了控制包的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。因此，L2TP并不能滿足用戶對安全性的需求，如果需要安全的VPN，則依然需要IPSec。

2．第三層隧道協(xié)議

IPSec

　　IPSec不是某種特殊的加密算法或認證算法，也沒有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種特殊的加密算法或認證算法，它只是一個開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，為目前流行的數(shù)據(jù)加密或認證的實現(xiàn)提供了數(shù)據(jù)結(jié)構(gòu)，為這些算法的實現(xiàn)提供了統(tǒng)一的體系結(jié)構(gòu)，這有利于數(shù)據(jù)安全方面的措施進一步發(fā)展和標準化。同時，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實施。

IPSec協(xié)議是一個應(yīng)用廣泛、開放的VPN安全協(xié)議。IPSec適應(yīng)向Ipv6遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護，進行透明的安全通信。IPSec提供了如何使敏感數(shù)據(jù)在開放的網(wǎng)絡(luò)（如Internet）中傳輸?shù)陌踩珯C制。IPSec工作在網(wǎng)絡(luò)層，在參加IPSec的設(shè)備（如路由器）之間為數(shù)據(jù)的傳輸提供保護，主要是對數(shù)據(jù)的加密和數(shù)據(jù)收發(fā)方的身份認證。

　　IPSec用密碼技術(shù)提供以下安全服務(wù)：接入控制，無連接完整性，數(shù)據(jù)源認證，防重放，加密，防傳輸流分析。 IPSec協(xié)議可以設(shè)置成在兩種模式下運行：一種是隧道（tunnel）模式，一種是傳輸(transport)模式。在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中。傳輸模式是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。在1999年底，IETF安全工作組完成了IPSec的擴展，在IPSec協(xié)議中加上ISAKMP(Internet Security Association and Key Management Protocol)協(xié)議、密鑰分配協(xié)議IKE（Internet Key Exchange）、Oakley。ISAKMP/IKE/Oakley支持自動建立加密、認證信道，以及密鑰的自動安全分發(fā)和更新。

　　IPSec的優(yōu)點：它定義了一套用于保護私有性和完整性的標準協(xié)議；IPSec支持一系列加密算法如DES、3DES、IDEA；它檢查傳輸?shù)臄?shù)據(jù)包的完整性，以確保數(shù)據(jù)沒有被修改，具有數(shù)據(jù)源認證功能；IPSec可確保運行在TCP/IP協(xié)議上的VPN之間的互操作性。

　　IPSec的缺點：IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動態(tài)分配地址時不太適合于IPSec；除了TCP/IP協(xié)議以外，IPSec不支持其它協(xié)議；除了包過濾外，它沒有指定其它訪問控制方法；對于采用NAT方式訪問公共網(wǎng)絡(luò)的情況難以處理；IPSec目前還僅支持單播的（Unicast）IP數(shù)據(jù)包，不支持多播（Multicast）和廣播（Broadcast）的IP數(shù)據(jù)包。

GRE

　　GRE(通用路由協(xié)議封裝）是由Cisco和Net-smiths等公司于1994年提交給IETF的，標號為RFC1701和RFC1702。目前有多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持GRE隧道協(xié)議。

　　GRE規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、OSPF等）。通過GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進行網(wǎng)絡(luò)互連，或者對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GRE只提供了數(shù)據(jù)包的封裝，并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊，所以在實際環(huán)境中經(jīng)常與IPSec在一起使用，由IPSec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。

GRE協(xié)議的主要用途有兩個：企業(yè)內(nèi)部協(xié)議封裝和私有地址封裝。在國內(nèi)，由于企業(yè)網(wǎng)幾乎全部采用的是TCP/IP協(xié)議，因此在中國建立隧道時沒有對企業(yè)內(nèi)部協(xié)議封裝的市場需求。企業(yè)使用GRE的唯一理由應(yīng)該是對內(nèi)部地址的封裝。當(dāng)運營商向多個用戶提供這種方式的VPN業(yè)務(wù)時會存在地址沖突的可能性。

MPLS

　　MPLS實際上就是一種隧道技術(shù)，所以使用它來建立VPN隧道是十分容易的。同時，MPLS又是一種完備的網(wǎng)絡(luò)技術(shù)，因此可以用它來建立起VPN成員之間簡單而高效的VPN。MPLS VPN適用于實現(xiàn)對于服務(wù)質(zhì)量（QoS）、服務(wù)等級劃分以及對網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。用戶邊緣路由器（CE）是用于一個用戶站點接入服務(wù)提供者網(wǎng)絡(luò)的路由器。CE路由器不使用MPLS，它可以只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。提供者邊緣路由器（PE）是與用戶CE路由器相連的服務(wù)提供者邊緣路由器，PE實際上就是MPLS中的邊緣標記交換路由器（LER），它需要能夠支持BGP協(xié)議、一種或幾種IGP路由協(xié)議以及MPLS協(xié)議，需要能夠執(zhí)行IP包檢查、協(xié)議轉(zhuǎn)換等功能。用戶站點是指這樣一組網(wǎng)絡(luò)或多條PE/CE鏈路接至VPN。一組共享相同路由信息的站點就構(gòu)成了VPN，一個站點可以同時位于不同的幾個VPN之中。

　　雖然MPLS VPN網(wǎng)絡(luò)中的主角仍然是邊緣路由器（此時是MPLS網(wǎng)絡(luò)的邊緣LSR），但是它需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由器都能夠支持MPLS，所以這種技術(shù)對網(wǎng)絡(luò)有較為特殊的要求。

3．二、三層隧道協(xié)議比較

　　第三層隧道與第二層隧道相比，優(yōu)點在于它的安全性、可擴展性及可靠性。從安全的角度來看，由于第二層隧道一般終止在用戶網(wǎng)設(shè)備（CPE）上，會對用戶網(wǎng)的安全及防火墻技術(shù)提出較嚴竣的挑戰(zhàn)。而第三層的隧道一般終止在ISP的網(wǎng)關(guān)上，不會對用戶網(wǎng)的安全構(gòu)成威脅。從可擴展性角度來看，第二層IP隧道將整個PPP幀封裝在報文內(nèi)，可能會產(chǎn)生傳輸效率問題；其次，PPP會話會貫穿整個隧道，并終止在用戶網(wǎng)的網(wǎng)關(guān)或服務(wù)器上。由于用戶網(wǎng)內(nèi)的網(wǎng)關(guān)要保存大量的PPP對話狀態(tài)及信息，這會對系統(tǒng)負荷產(chǎn)生較大的影響，當(dāng)然也會影響系統(tǒng)的擴展性。除此之外，由于PPP的LCP(數(shù)據(jù)鏈路層控制)及NCP(網(wǎng)絡(luò)層控制)對時間非常敏感，IP隧道的效率會造成PPP會話超時等問題。第三層隧道終止在ISP網(wǎng)內(nèi)，并且PPP會話終止在RAS處，網(wǎng)點無需管理和維護每個PPP會話狀態(tài)，從而減輕系統(tǒng)負荷。

　　第三層隧道技術(shù)對于公司網(wǎng)絡(luò)還有一些其他優(yōu)點，網(wǎng)絡(luò)管理者采用第三層隧道技術(shù)時，不必在他們的遠程為客戶原有設(shè)備（CPE）安裝特殊軟件。因為PPP和隧道終點由ISP的設(shè)備生成，CPE不用負擔(dān)這些功能，而僅作為一臺路由器。第三層隧道技術(shù)可采用任意廠家的CPE予以實現(xiàn)。使用第三層隧道技術(shù)的公司網(wǎng)絡(luò)不需要IP地址，也具有安全性。服務(wù)提供商網(wǎng)絡(luò)能夠隱藏私有網(wǎng)絡(luò)和遠端節(jié)點地址。

二、國內(nèi)IP VPN應(yīng)用

　　對于我國來說，目前全國的公用網(wǎng)，無論是電話網(wǎng)或數(shù)據(jù)網(wǎng)都已具有相當(dāng)?shù)囊?guī)模和水平。X.25、DDN、FR和ATM網(wǎng)絡(luò)已經(jīng)相繼投入運營；中國電信、中國聯(lián)通、中國網(wǎng)通、中國移動等運營商都已經(jīng)擁有一定規(guī)模的IP骨干網(wǎng)絡(luò)資源，為國內(nèi)IP VPN業(yè)務(wù)提供了較為完備的承載網(wǎng)絡(luò)，但由于我國的大多數(shù)企業(yè)網(wǎng)都不是十分成熟，同時很多企業(yè)也沒有真正了解到VPN技術(shù)能為其帶來的經(jīng)濟效益，所以VPN業(yè)務(wù)的開展還需要各大運營商及相關(guān)服務(wù)提供商花費大力氣在全國進行推廣。

　　另外，對比國外VPN的發(fā)展，若從時間看并不比國內(nèi)早多少，但是國外市場的成熟度要高于國內(nèi)�？梢詳喽�目前國內(nèi)很大一部分需要VPN服務(wù)的用戶都是一些跨國公司，因為他們在國外的總部已經(jīng)在應(yīng)用VPN服務(wù)，所以，當(dāng)他們進入中國，也希望能在中國獲得這種服務(wù)�？梢哉f，國內(nèi)VPN市場的發(fā)展還受到國際大環(huán)境的很大影響。

　　2001年7月3日中國電信正式宣布，向全國市場推出“V信通”（VPDN，Virtual Private Dial-Network）業(yè)務(wù)，VPDN建基于中國電信寬帶網(wǎng)，用戶只要撥打中國電信“V信通”特服號“17979”，利用安全的L2TP隧道傳輸協(xié)議，就可以在現(xiàn)有的撥號網(wǎng)絡(luò)上構(gòu)建一條虛擬的、不受外界干擾的專用通道，從而安全訪問企業(yè)內(nèi)部網(wǎng)資源。

三、IP VPN面臨的問題

　　盡管IP VPN向人們展示了美好的發(fā)展前景，并且已經(jīng)給人們帶來了好處，但是也還面臨著不少問題。倘若這些問題得到解決，那么IP VPN將會有更加廣闊的市場發(fā)展空間。

1．IPSec隧道方式連接時存在互操作的問題

　　IPSec以及與之相關(guān)的IKE已基本完成最后的標準化工作，但不同廠家設(shè)備的IPSec隧道方式連接時還存在互操作的問題。對于自己組建IPSec VPN的企業(yè)而言，可以選擇同一廠家的IPSec產(chǎn)品以回避這一問題。但對運營商，除了前面的問題外，還有一個問題是當(dāng)向多個用戶提供這種方式的VPN業(yè)務(wù)時，如果多個用戶共享一臺VPN接入設(shè)備，因為用戶普遍使用內(nèi)部網(wǎng)IP地址，會存在地址沖突的可能性。但解決地址沖突的虛擬路由技術(shù)目前還不成熟。因此運營商目前大規(guī)模使用IPSec還存在困難。

2．MPLS VPN仍處于研究、開發(fā)和實驗之中

　　MPLS協(xié)議本身的制定尚未完成，MPLS VPN也正處于研究、開發(fā)和實驗之中也就不足為奇。目前使用MPLS VPN還面臨著許多問題，首先就是MPLS技術(shù)的不成熟性，MPLS技術(shù)本身還面臨著不少問題，比如信令協(xié)議的選擇問題等；其次，MPLS VPN解決方案需要網(wǎng)絡(luò)中所有的節(jié)點都要支持MPLS，這將需要對網(wǎng)絡(luò)中所有的節(jié)點進行功能的升級；第三，雖然MPLS本身利用已經(jīng)能夠提供一定的安全機制，MPLS VPN可以將不同用戶的數(shù)據(jù)流分開，可以利用標記來判斷分組所屬的VPN，從而可以防止數(shù)據(jù)的誤傳，但是MPLS中并沒有描述對于用戶數(shù)據(jù)的加密機制以及用戶的認證過程，所以，當(dāng)對于數(shù)據(jù)的加密以及用戶的認證有較高的要求時，需要將MPLS與IPSec等安全協(xié)議結(jié)合起來使用。在安全能力上的欠缺也是MPLS有待完善的方面。

3．IKE協(xié)議的復(fù)雜性問題

　　IKE協(xié)議是用于交換和管理在VPN中使用的加密密鑰的，但是IETF認為IKE過于復(fù)雜，而這種復(fù)雜性可能會帶來某些安全漏洞。因此，IETF就有關(guān)IKE協(xié)議（Internet Key Exchange）的前景問題進行了專門的討論。

雖然，在VPN設(shè)備中使用IKE的廠商已證明使用它是足夠安全的，但是IETF的安全專家擔(dān)心IKE過于復(fù)雜，以至于難以證明它是安全的。他們推薦發(fā)展一種新型的下一代IKE協(xié)議，工作組的成員將其稱為子IKE。安全專家正致力于他們稱之為JFK（Just Fast Keying）的IKE的替代品，這種協(xié)議稱為子IKE（Son of IKE），它的設(shè)計思想主要是修改已認識到的IKE的缺陷。有計劃表明，在2001年12月IETF的下一次會議上將揭開JFK的神秘面紗。

摘自《通信世界》