薛以輝
VPN中的隧道是由隧道協(xié)議形成的,VPN使用的隧道協(xié)議主要有三種:點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)、第二層隧道協(xié)議(L2TP)以及IPSec。
PPTP封裝了PPP數(shù)據(jù)包中包含的用戶信息,支持隧道交換。隧道交換可以根據(jù)用戶權(quán)限,開啟并分配新的隧道,將PPP數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸。另外,隧道交換還可以將用戶導(dǎo)向指定的企業(yè)內(nèi)部服務(wù)器。PPTP便于企業(yè)在防火墻和內(nèi)部服務(wù)器上實(shí)施訪問控制。位于企業(yè)防火墻的隧道終端器接受包含用戶信息的PPP數(shù)據(jù)包,然后對(duì)不同來源的數(shù)據(jù)包實(shí)施訪問控制。
L2TP協(xié)議綜合了PPTP協(xié)議和L2F(Layer 2 Forwarding)協(xié)議的優(yōu)點(diǎn),并且支持多路隧道,這樣可以使用戶同時(shí)訪問Internet和企業(yè)網(wǎng)。
IPSec是用來增強(qiáng)VPN安全性的標(biāo)準(zhǔn)協(xié)議。IPSec包含了用戶身份認(rèn)證、查驗(yàn)和數(shù)據(jù)完整性等內(nèi)容。該協(xié)議標(biāo)準(zhǔn)由IETF組織制訂,其中規(guī)定了用以在兩個(gè)IP工作站之間進(jìn)行加密、數(shù)字簽名等而使用的一系列IP級(jí)協(xié)議。IPSec實(shí)現(xiàn)來自不同廠商的設(shè)備在進(jìn)行隧道開通和終止時(shí)的互操作。另外,由于IPSec的安全性功能與密鑰管理系統(tǒng)松散耦合,所以當(dāng)密鑰管理系統(tǒng)發(fā)生變化時(shí),IPsec的安全機(jī)制不需要進(jìn)行修改。
基于MPLS的VPN是一種基于網(wǎng)絡(luò)的新型VPN解決方案,它要求廣域網(wǎng)絡(luò)支持MPLS,利用MPLS的標(biāo)記交換在廣域網(wǎng)絡(luò)上為VPN用戶提供虛擬連接。MPLS VPN的優(yōu)點(diǎn)是全網(wǎng)統(tǒng)一管理的能力很強(qiáng),由于MPLS VPN是基于網(wǎng)絡(luò)的,全部的VPN網(wǎng)絡(luò)配置和VPN策略配置都在網(wǎng)絡(luò)端完成,可以大大降低管理維護(hù)的開銷。
ITU-T形成的基于網(wǎng)絡(luò)IP VPN草案中提出了關(guān)于基于MPLS的IP VPN技術(shù)要求,在業(yè)務(wù)提供商的網(wǎng)絡(luò)中采用IP技術(shù),且骨干網(wǎng)用MPLS,對(duì)于IP VPN業(yè)務(wù)只能在邊緣設(shè)備上提供,而對(duì)于骨干設(shè)備,IP VPN業(yè)務(wù)是透明的,這樣才有利于可擴(kuò)展性。
文章來源:中國計(jì)算機(jī)報(bào)