基于隧道技術的vpn技術初探

1、基于隧道技術的ＶＰＮ技術初探【論文摘要】：虛擬專用網(wǎng)(VPN)技術主要包括數(shù)據(jù)封裝化，隧道協(xié)議，防火墻技術，加密及防止數(shù)據(jù)被篡改技術等等。文章著重介紹了虛擬專用網(wǎng)以及對相關技術。并對VPN隧道技術的分類提出了一些新的探索。引言虛擬專用網(wǎng)即VPN（VirtualPrivatewk）是利用接入服務器（AccessSever）、廣域網(wǎng)上的路由器以及VPN專用設備在公用的WAN上實現(xiàn)虛擬專用網(wǎng)技術。通常利inter上開展的VPN服務被稱為IPV

2、PN。利用共用的WAN網(wǎng)，傳輸企業(yè)局域網(wǎng)上的信息，一個關鍵的問題就是信息的安全問題。為了解決此問題，VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。1.隧道技術Inter中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機?？偛亢头止镜絀SP的接入點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址

3、是以內部IP地址表示的“目的地址A““源地址B“。因此分組到達分公司的VPN設備后，立即在它的前部加上與全局IP地址對應的“目的地址C“和“源地址D“。全局IP地址C和D是為了通過Inter中的若干路由器將IP分組從VPN設備從D發(fā)往VPN設備C而添加的。此IP分組到達總部的VPN設備C后，全局IP地址即被刪除，恢復成IP分組發(fā)往地址A。由此可見，隧道技術就是VPN利用公用網(wǎng)進行信息傳輸?shù)年P鍵。為此，還必須在IP分組上添加新頭標，這就是

4、所謂IP的封裝化。同時利用隧道技術，還必須使得隧道的入口與出口相對地出現(xiàn)。⑸PSECIPSEC規(guī)定了在IP網(wǎng)絡環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認證頭標基于隧道技術的ＶＰＮ技術初探(2)發(fā)布時間:20101108來源:應屆畢業(yè)生求職網(wǎng)（AH：AuthmenticationHeader）和封裝化安全凈荷（ESP：EncapsnlatingSecurityPaylamd）。IPSEC隧道模式允許對IP負載數(shù)據(jù)進行加密，然后封裝在I

5、P包頭中，通過企業(yè)IP網(wǎng)絡或公共IP互聯(lián)網(wǎng)絡如INTER發(fā)送。從以上的隧道協(xié)議，我們可以看出隧道機制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡層的網(wǎng)絡，DSI七層網(wǎng)絡中的位置，將自己定義為第二層的隧道分類技術。按照這種劃分方法，從此產(chǎn)生了“二層VPN“與“三層VPN“的區(qū)別。但是隨著技術的發(fā)展，這樣的劃分出現(xiàn)了不足，比如基于會話加密的SSLVPN技術[2]、基于端口轉發(fā)的HTTPTunnel[1]技術等等。如果繼續(xù)使用這樣的分類，將出現(xiàn)“四層VPN“、“

6、五層VPN“，分類教為冗余。因此，目前出現(xiàn)了其他的隧道機制的分類。2.2改進后的幾種隧道機制的分類⑴J.Heinanen等人提出的根據(jù)隧道建立時采用的接入方式不同來分類，將隧道分成四類。分別是使用撥號方式的VPN，使用路由方式的VPN，使用專線方式的VPN和使用局域網(wǎng)仿真方式的VPLS。例如同樣是以太網(wǎng)的技術，根據(jù)實際情況的不同，可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網(wǎng)方式所提供的網(wǎng)絡性能將大有區(qū)別