資源描述:
《不同協(xié)議層的各種vpn技術(shù)比較與分析》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1、不同協(xié)議層的各種VPN技術(shù)比較與分析閆兆乾苗銀軍張閏華陳志博孔祥震(清華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系,北京100084)摘要:為了利用公共通信網(wǎng)絡(luò)實(shí)現(xiàn)安全的保密數(shù)據(jù)通道而提出的虛擬專用網(wǎng)VPN技術(shù)�,可以方便、靈活�、低成本的為企業(yè)構(gòu)建安全的數(shù)據(jù)傳輸通道。目前實(shí)現(xiàn)VPN的技術(shù)多種多樣�����,本文根據(jù)VPN實(shí)現(xiàn)技術(shù)和協(xié)議所處的OSI參考模型中的層次�����,將VPN技術(shù)分為數(shù)據(jù)鏈路層VPN���、網(wǎng)絡(luò)層VPN����、傳輸層以上層VPN技術(shù)����。本文分別對(duì)每一種VPN技術(shù)進(jìn)行介紹和分析�;對(duì)它們的優(yōu)缺點(diǎn)進(jìn)行評(píng)析,并給出典型的應(yīng)用場(chǎng)景���。另外我們還介紹了一些經(jīng)典的商業(yè)的或者免費(fèi)的實(shí)現(xiàn)實(shí)例����。最后我們對(duì)不同VPN的實(shí)現(xiàn)技術(shù)進(jìn)行了比
2、較分析�,以發(fā)掘不同實(shí)現(xiàn)技術(shù)的特點(diǎn),為將來(lái)VPN技術(shù)的改進(jìn)和創(chuàng)新提供有益的依據(jù)����。關(guān)鍵字:虛擬專用網(wǎng)VPN;數(shù)據(jù)鏈路層VPN;網(wǎng)絡(luò)層VPN;SSL-VPN1引言隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及,人們可能需要隨時(shí)隨地聯(lián)入自己的企業(yè)或單位的網(wǎng)絡(luò)�。另一方面,隨著企業(yè)的發(fā)展和規(guī)模的不斷擴(kuò)大���,企業(yè)各個(gè)分支機(jī)構(gòu)也在迅速增加�����,企業(yè)各分部之間也需要隨時(shí)通信�,這涉及到遠(yuǎn)程聯(lián)網(wǎng)的復(fù)雜性��。為了保證數(shù)據(jù)傳輸?shù)陌踩煽?��,一種方法是租用專線���,但是專線的代價(jià)昂貴�,而且大量專線資源重復(fù)���、無(wú)法共享����,同時(shí)也增加了管理的負(fù)擔(dān)�����。虛擬專用網(wǎng)(VPN�,virtualprivatenetwork)技術(shù)就是為了解決上述問(wèn)題而被提出。VPN技
3����、術(shù)的提出是為了利用公共通信網(wǎng)絡(luò)(如Internet)實(shí)現(xiàn)安全的保密數(shù)據(jù)通信。其原理是:需要進(jìn)行機(jī)密數(shù)據(jù)傳輸?shù)膬蓚€(gè)端點(diǎn)均連接在公共通信網(wǎng)上���,當(dāng)需要進(jìn)行機(jī)密數(shù)據(jù)傳輸時(shí)����,通過(guò)端點(diǎn)上的VPN設(shè)備在公共網(wǎng)上建立一條虛擬的專用通信通道�,并且所有數(shù)據(jù)均經(jīng)過(guò)加密后再在網(wǎng)上傳輸,這樣就保證了機(jī)密數(shù)據(jù)的安全傳輸��。通過(guò)VPN��,授權(quán)的業(yè)務(wù)伙伴就可以在授權(quán)范圍內(nèi)使用單位內(nèi)部的數(shù)據(jù)�����,實(shí)現(xiàn)數(shù)據(jù)的安全交換���。利用VPN構(gòu)建安全����、可靠的Internet訪問(wèn)通道主要有以下優(yōu)點(diǎn):(1)增強(qiáng)了網(wǎng)絡(luò)安全性��。VPN支持認(rèn)證����、加密等安全協(xié)議,可以提供較強(qiáng)的安全性�����。(2)簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)���。用VPN代替租用線路��,可將對(duì)遠(yuǎn)程鏈路進(jìn)行安
4����、裝、配置和管理的任務(wù)減少到最小�����。(3)降低成本�����。降低了移動(dòng)用戶的通信成本和主要設(shè)備成本���。(4)容易擴(kuò)展�����?���?梢院苋菀椎?cái)U(kuò)大VPN的容量和覆蓋范圍�。(5)可隨意與合作伙伴聯(lián)網(wǎng)����。(6)完全控制主動(dòng)權(quán)�。借助VPN企業(yè)可以利用ISP的設(shè)施和服務(wù)�����,同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)�。(7)支持新興應(yīng)用。正式因?yàn)閂PN的以上諸多優(yōu)點(diǎn)�,使得VPN收到青睞,并得到迅猛的發(fā)展��。VPN的發(fā)展日趨多樣化���,實(shí)現(xiàn)技術(shù)和利用的協(xié)議也各不相同���。按照VPN實(shí)現(xiàn)技術(shù)和基于的協(xié)議在OSI七層模型中所處的層次,可以將VPN分為數(shù)據(jù)鏈路層VPN��、網(wǎng)絡(luò)層VPN�����、傳輸層及應(yīng)用層VPN等等。本文余下部分將分別對(duì)這幾種VPN進(jìn)行
5��、介紹:在第2部分��,首先我們介紹了幾種典型的數(shù)據(jù)鏈路層VPN技術(shù)�,包括PPTP、L2F以及L2TP�;然后我們介紹了MPLS等其它近些年發(fā)展起來(lái)的較新的2層VPN技術(shù);第3部分首先對(duì)經(jīng)典的利用IPSec實(shí)現(xiàn)的VPN技術(shù)進(jìn)行了介紹��;然后介紹了GRE隧道等其他3層VPN技術(shù)����;第4部分介紹了傳輸層以上的VPN技術(shù),主要介紹了SSL-VPN��。以上的介紹著重于對(duì)VPN的功能和實(shí)現(xiàn)技術(shù)上的介紹����,同時(shí)對(duì)它們的優(yōu)缺點(diǎn)進(jìn)行評(píng)析。并給出典型的應(yīng)用場(chǎng)景���,介紹了一些經(jīng)典的商業(yè)的或者免費(fèi)的實(shí)現(xiàn)實(shí)例����。第5部分對(duì)不同VPN實(shí)現(xiàn)技術(shù)進(jìn)行了比較;最后在第6部分對(duì)全文進(jìn)行了總結(jié)��。2數(shù)據(jù)鏈路層VPN技術(shù)2.1基于PPT
6����、P�����,L2F和L2TP協(xié)議的VPN技術(shù)2.1.1PPTPVPN由3Com和微軟公司合作開發(fā)的PPTP(Point-to-PointTunnelingProtocol)協(xié)議是第一個(gè)廣泛使用建立VPN的協(xié)議�����,Windows98�、WindowsMillenniumEdition、Windows2000和WindowsXP中都包含有該協(xié)議���,其他的Linux以及Solaris操作系統(tǒng)也支持這一協(xié)議�。通過(guò)該協(xié)議�,,PPTP是用于在中間網(wǎng)絡(luò)上傳輸點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)幀的一種隧道機(jī)制�。通過(guò)利用PPP的身份驗(yàn)證、加密和協(xié)議配置機(jī)制,PPTP連接同時(shí)為遠(yuǎn)程訪問(wèn)和路由器到路由器的虛擬專用網(wǎng)(VPN)連
7�、接提供了一條在公共網(wǎng)絡(luò)(比如:Internet)上創(chuàng)建安全連接的途徑。PPTP將PPP幀封裝成IP數(shù)據(jù)包����,以便在急于IP的互聯(lián)網(wǎng)上傳輸,為了確保數(shù)據(jù)的安全性��,通常需要事先對(duì)封裝的數(shù)據(jù)進(jìn)行加密����。PPTP的文檔是RFC2637。PPTP協(xié)議是PPP的擴(kuò)展���,但PPP協(xié)議本身并不支持VPN網(wǎng)絡(luò)鏈接�。PPP是只為在同等單元之間傳輸數(shù)據(jù)包這樣的簡(jiǎn)單鏈路設(shè)計(jì)的鏈路層協(xié)議�。它提供全雙工操作,并按照順序傳遞數(shù)據(jù)包���。設(shè)計(jì)目的主要是用來(lái)通過(guò)撥號(hào)或?qū)>€方式建立點(diǎn)對(duì)點(diǎn)連接發(fā)送數(shù)據(jù)����,使其成為各種主機(jī)���、網(wǎng)橋和路由器之間簡(jiǎn)
