【文章內容簡介】 網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有 VTP、 IP Sec、 GRE 等。 ① PPTP(Point to Point Tunneling Protocol): PPTP 是 VPN 的基礎。 PPTP 的封裝在數(shù)據(jù)鏈路層產生， PPTP 協(xié)議采用擴展的 GRE(Generic Routing Encapsulation)頭對 PPP/SLIP 報進行封裝。點對點隧道協(xié)議 (PPTP) 是一種網(wǎng)絡協(xié)議，其通過跨越基于 TCP/IP 的數(shù)據(jù)網(wǎng)絡創(chuàng)建 VPN 實現(xiàn)了從遠程客戶端到專用企業(yè)服務器之間數(shù)據(jù)的安全傳輸。 PPTP 支持通過公共網(wǎng)絡（例如 Inter）建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡。 PPTP 允許加密 IP 通訊， 然后在要跨越公司 IP 網(wǎng)絡或公共 IP 網(wǎng)絡（如 Inter）發(fā)送的 IP 頭中對其進行封裝。 PPTP 連接只要求通過基于 PPP 的身份驗證協(xié)議進行用戶級身份驗證。 ② L2F(Layer 2 Forwording): L2F 可在多種介質（如 ATM、 幀中繼 、 IP 網(wǎng)）上 第 6 頁 共 29 頁 建立多協(xié)議的安全虛擬專用網(wǎng)，他將鏈路層的協(xié)議（如 PPP 等）封裝起來傳送。因此網(wǎng)絡的鏈路層完全獨立于用戶的鏈路層協(xié)議。 ③ L2TP((Layer 2 Tunneling Protocol ): L2TP 協(xié)議是目前 IETF 的標準，由 IETF融合 PPTP 與 L2F 而形成 ,它結合了 PPTP 和 L2F 協(xié)議的優(yōu)點，幾乎能實現(xiàn) PPTP 和L2F 協(xié)議能實現(xiàn)的所有服務，并且更加強大、靈活。第 2 層隧道協(xié)議 (L2TP) 是一種工業(yè)標準 Inter 隧道協(xié)議，其可以為跨越面向數(shù)據(jù)包的媒體發(fā)送點到點協(xié)議 (PPP) 框架提供封裝。 L2TP 允許加密 IP 通訊，然后在任何支持點到點數(shù)據(jù)報交付的媒體上（如 IP）進行發(fā)送。 Microsoft 的 L2TP 實現(xiàn)使用 Inter 協(xié)議安全 (IP Sec) 加密來保護從 VPN 客戶端到 VPN 服務器 之間的數(shù)據(jù)流。 IP Sec 隧道模式允許加密 IP 數(shù)據(jù)包，然后在要跨越公司 IP 網(wǎng)絡或公共 IP 網(wǎng)絡（如 Inter）發(fā)送的 IP 頭中對其進行封裝。 ④ IP Sec：在 IP 層提供通信安全的一套協(xié)議簇，包括封裝的安全負載 ESP 和認證報頭 AH、 ISAKMP，它對所有鏈路層上的數(shù)據(jù)提供安全保護和透明服務。 AH 用于通信雙方驗證數(shù)據(jù)在傳輸過程中是否被更改并能驗證發(fā)送方的身份，實現(xiàn)訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源的認證功能。 ISAKMP 用于通信雙方協(xié)商加密密鑰和加密算法，并且用戶的公鑰和私鑰是由可信任的第三 方產生。 IP Sec 上的 L2TP 連接不僅需要相同的用戶級身份驗證，而且還需要使用計算機憑據(jù)進行計算機級身份驗證。 VPN協(xié)議比較 PPTP、 L2F、 L2TP 和 VTP、 IP Sec、 GRE，它們各自有自己的優(yōu)點，但對于隧道的加密和數(shù)據(jù)加密問題都密鑰最佳的解決方案。同時，無論何種隧道技術，一旦進行加密或驗證，都會影響系統(tǒng)的性能。 與 PPTP 相比， L2TP 能夠提供差錯和流量控制。兩者共有的缺點：其一、認證的只是終端的實體，密鑰對信息流（通道中的數(shù)據(jù)包）進行認證，對于地址欺騙、非法復制包難 以防范；其二、由于缺乏認證信息，如果向通道發(fā)送一些錯誤信息，則可能導致服務的關閉，這也成為常用的攻擊手段。 GRE 只提供了數(shù)據(jù)包的封裝，它并沒有使用加密功能來防止網(wǎng)絡偵聽和攻擊。在實際環(huán)境中它常和 IP Sec 一起使用，由 IP Sec 提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性 [6]。 只有 IP Sec 協(xié)議集合多種安全技術，建立了一個安全可靠的隧道。這些技術 第 7 頁 共 29 頁 包括 DiffieHellman 密鑰交換技術、 DES、 RC IDEA 數(shù)據(jù)加密技術、哈希散列算法 HMAC、 MD SHA、數(shù)字簽名技術等 [7]。 IP Sec 不僅可以保證隧道的安全，同時還有一整套保證用戶數(shù)據(jù)安全的措施，由此建立的隧道更具有安全性和可靠性。IP Sec 還可以和 L2TP、 GRE 等其它隧道協(xié)議一同使用，提供更大的靈活性和可靠性。 IP Sec 可以運行于網(wǎng)絡的任意一部分，他可以在路由器和防火墻之間、路由器和路由器之間、 PC 機和服務器之間、 PC 機和撥號和訪問設備之間。 IP Sec 應作為目前較滿意的解決方案。 下面 對 VPN 協(xié)議進行了比較 ,如表 所示。 表 VPN 協(xié)議 的比較 協(xié)議 用途 安全 注釋 IP Sec 隧道模式 連 接到第三方 VPN 服務器 高 這是在您連接到非 Microsoft VPN 服務器時可以使用的唯一選項。 IP Sec 上的 L2TP 連接到 ISA Server 2021 計算機、 ISA Server 2021 計算機或 Windows VPN 服務器 高 使用路由和遠程訪問在復雜性方面比 IP Sec 隧道解決方案低，但是需要遠程 VPN 服務器是 ISA 服務器計算機或 Windows VPN 服務器。 PPTP 連接到 ISA Server 2021 計算機、 ISA Server 2021 計算機或 Windows VPN 服務器 中 使用路由和遠程訪問在限制方面與 L2TP 相同，不同之處在于其更易于配置。由于使用 IP Sec 加密，因此 L2TP 被視為是一種更加安全的解決方案。 隧道技術實現(xiàn)過程 其實現(xiàn)過程如圖 1 所示： 圖 1 隧道示意圖 第 8 頁 共 29 頁 通常情況下， VPN 網(wǎng)關采用雙網(wǎng)卡結構，外網(wǎng)卡使用公共 IP 接入 Inter；如果網(wǎng)絡一的終端 A 需要訪問網(wǎng)絡二的終端 B，其發(fā)出的訪問數(shù)據(jù)包的目標地址為終端 B 的 IP （內部 IP）； 網(wǎng)絡一的 VPN 網(wǎng)關在接收到終端 A 發(fā)出的訪問數(shù)據(jù)包時對其目標地址進行檢查，如果目標地址屬于網(wǎng)絡二的地址，則將該數(shù)據(jù)包進行封裝，封裝的方式根據(jù)所采用的 VPN 技術不同而不同，同時 VPN 網(wǎng)關會構造一個新的數(shù)據(jù)包（ VPN 數(shù)據(jù)包），并將封裝后的原數(shù)據(jù)包作為 VPN 數(shù)據(jù)包的負載， VPN 數(shù)據(jù)包的目標地址為網(wǎng)絡二的 VPN 網(wǎng)關的外部地址； 網(wǎng)絡一的 VPN 網(wǎng)關將 VPN 數(shù)據(jù)包發(fā)送到 Inter，由于 VPN 數(shù)據(jù)包的目標地址是網(wǎng)絡二的 VPN 網(wǎng)關的外部地址，所以該數(shù)據(jù)包將被 Inter 中的路由正確地發(fā)送到網(wǎng)關； 網(wǎng)絡二 的 VPN 網(wǎng)關對接收到的數(shù)據(jù)包進行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡一的 VPN 網(wǎng)關發(fā)出的，即可判定該數(shù)據(jù)包為 VPN 數(shù)據(jù)包，并對該數(shù)據(jù)包進行解包處理。解包的過程主要是先將 VPN 數(shù)據(jù)包的包頭剝離，在將負載通 VPN 技術反向處理還原成原始的數(shù)據(jù)包； 網(wǎng)絡二的 VPN 網(wǎng)關將還原后的原始數(shù)據(jù)包發(fā)送至目標終端，由于原始數(shù)據(jù)包的目標地址是終端 B 的 IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端 B。在終端 B看 來，它收到的數(shù)據(jù)包就從終端 A 直接發(fā)過來的一樣； 從終端 B 返回終端 A 的數(shù)據(jù)包處理過程與上述過程一樣，這樣兩個網(wǎng)絡內的終端就可以相互通 訊了。 隧道中的源和目標 IP 地址 隧道是封裝、路由與解封裝的整個過程。隧道將原始數(shù)據(jù)包隱藏（或封裝）在新的數(shù)據(jù)包內部。該新的數(shù)據(jù)包可能會有新的尋址與路由信息，從而使其能夠通過網(wǎng)絡傳輸。隧道與數(shù)據(jù)保密性結合使用時，在網(wǎng)絡上竊聽通訊的人將無法獲取原始數(shù)據(jù)包數(shù)據(jù)（以及原始的源和目標）。封裝的數(shù)據(jù)包在網(wǎng)絡中的隧道內部傳輸。封裝的數(shù)據(jù)包到達目的地后，會刪除封裝，原始數(shù)據(jù)包頭用于將數(shù)據(jù)包路由到最終目的地。 隧道本身是封裝數(shù)據(jù)經(jīng)過的邏輯數(shù)據(jù)路徑。對原始的源和目的端，隧道是不可見的，而只能看到網(wǎng)絡路徑中的點對點連 接。連接雙方并不關心隧道起點和終點之間的任何路由器、交換機、代理服務器或其他安全網(wǎng)關。將隧道和數(shù)據(jù)保密 第 9 頁 共 29 頁 性結合使用時，可用于提供 VPN。 通過上述說明我們可以發(fā)現(xiàn)，在 VPN 網(wǎng)關對數(shù)據(jù)包進行處理時，有兩個參數(shù)對于 VPN 隧道通訊十分重要：原始數(shù)據(jù)包的目標地址（ VPN 目標地址）和遠程 VPN網(wǎng)關地址。根據(jù) VPN 目標地址， VPN 網(wǎng)關能夠判斷對哪些數(shù)據(jù)包需要進行 VPN 處理，對于不需要處理的數(shù)據(jù)包通常情況下可直接轉發(fā)到上級路由 [8]；遠程 VPN 網(wǎng)關地址則指定了處理后的 VPN 數(shù)據(jù)包發(fā)送的目標地址，即 VPN 隧道的另一端 VPN網(wǎng)關地址。由于網(wǎng)絡通訊是雙向的，在進行 VPN 通訊時，隧道兩端的 VPN 網(wǎng)關都必須知道 VPN 目標地址和與此對應的遠端 VPN 網(wǎng)關地址。 第 10 頁 共 29 頁 第三章 VPN 中的安全技術 由于傳輸?shù)氖撬接行畔ⅲ?VPN 用戶對數(shù)據(jù)的安全性都比較關心。 目前 VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術（ Tunneling）、加解密技術（ Encryption amp。 Decryption）、密鑰管理技術（ Key Management）、使用者與設備身份認證技術（ Authentication） [9]。 隧道技術在第二章 已經(jīng)加已說明 ,下面就其它三種安全技術 [6]做相應說明。 （ Encryption amp。 Decryption