一般來說,企業在選用一種遠程網絡互聯方案時都希望能夠對訪問企業資源和信息的要求加以控制,所選用的方案應當既能夠實現授權用戶與企業局域網資源的自由連接,不同分支機構之間的資源共享;又能夠確保企業數據在公共互聯網絡或企業內部網絡上傳輸時安全性不受破壞.因此,最低限度,一個成功的VPN方案應當能夠滿足以下所有方面的要求:
1.用戶驗證
VPN方案必須能夠驗證用戶身份并嚴格控制只有授權用戶才能訪問VPN。另外,方案還必須能夠提供審計和記費功能,顯示何人在何時訪問了何種信息。
2.地址管理
VPN方案必須能夠為用戶分配專用網絡上的地址并確保地址的安全性。
3.數據加密
對通過公共互聯網絡傳遞的數據必須經過加密,確保網絡其他未授權的用戶無法讀取該信息。
4.密鑰管理
VPN方案必須能夠生成并更新客戶端和服務器的加密密鑰。
5.多協議支持
VPN方案必須支持公共互聯網絡上普遍使用的基本協議,包括IP,IPX等。以點對點隧道協議(PPTP)或第2層隧道協議(L2TP)為基礎的VPN方案既能夠滿足以上所有的基本要求,又能夠充分利用遍及世界各地的Internet互聯網絡的優勢。其它方案,包括安全IP協議(IPSec),雖然不能滿足上述全部要求,但是仍然適用于在特定的環境。本文以下部分將主要集中討論有關VPN的概念,協議,和部件(component)。
■ 隧道技術基礎
隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據(或負載)可以是不同協議的數據楨(此字不正確)或包。隧道協議將這些其它協議的數據楨或包重新封裝在新的包頭中發送。新的包頭提供了路由信息,從而使封裝的負載數據能夠通過互聯網絡傳遞。
被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道。一旦到達網絡終點,數據將被解包并轉發到最終目的地。注意隧道技術是指包括數據封裝,傳輸和解包在內的全過程。
隧道所使用的傳輸網絡可以是任何類型的公共互聯網絡,本文主要以目前普遍使用Internet為例進行說明。此外,在企業網絡同樣可以創建隧道。隧道技術在經過一段時間的發展和完善之后,目前較為成熟的技術包括:
1.IP網絡上的SNA隧道技術
當系統網絡結構(SystemNetworkArchitecture)的數據流通過企業IP網絡傳送時,SNA數據楨將被封裝在UDP和IP協議包頭中。
2.IP網絡上的NovellNetWareIPX隧道技術
當一個IPX數據包被發送到NetWare服務器或IPX路由器時,服務器或路由器用UDP和IP包頭封裝IPX數據包后通過IP網絡發送。另一端的IP-TO-IPX路由器在去除UDP和IP包頭之后,把數據包轉發到IPX目的地。
近幾年不斷出現了一些新的隧道技術,本文將主要介紹這些新技術。具體包括:
1.點對點隧道協議(PPTP)
PPTP協議允許對IP,IPX或NetBEUI數據流進行加密,然后封裝在IP包頭中通過企業IP網絡或公共互聯網絡發送。
2.第2層隧道協議(L2TP)
L2TP協議允許對IP,IPX或NetBEUI數據流進行加密,然后通過支持點對點數據報傳遞的任意網絡發送,如IP,X.25,楨中繼或ATM。
3.安全IP(IPSec)隧道模式
IPSec隧道模式允許對IP負載數據進行加密,然后封裝在IP包頭中通過企業IP網絡或公共IP互聯網絡如Internet發送。
■ 隧道協議
為創建隧道,隧道的客戶機和服務器雙方必須使用相同的隧道協議。
隧道技術可以分別以第2層或第3層隧道協議為基礎。上述分層按照開放系統互聯(OSI)的參考模型劃分。第2層隧道協議對應OSI模型中的數據鏈路層,使用楨作為數據交換單位。PPTP,L2TP和L2F(第2層轉發)都屬于第2層隧道協議,都是將數據封裝在點對點協議(PPP)楨中通過互聯網絡發送。第3層隧道協議對應OSI模型中的網絡層,使用包作為數據交換單位。IP overIP以及IPSec隧道模式都屬于第3層隧道協議,都是將IP包封裝在附加的IP包頭中通過IP網絡傳送。
■ 隧道技術如何實現
對于象PPTP和L2TP這樣的第2層隧道協議,創建隧道的過程類似于在雙方之間建立會話;隧道的兩個端點必須同意創建隧道并協商隧道各種配置變量,如地址分配,加密或壓縮等參數。絕大多數情況下,通過隧道傳輸的數據都使用基于數據報的協議發送。隧道維護協議被用來作為管理隧道的機制。
第3層隧道技術通常假定所有配置問題已經通過手工過程完成。這些協議不對隧道進行維護。與第3層隧道協議不同,第2層隧道協議(PPTP和L2TP)必須包括對隧道的創建,維護和終止。
隧道一旦建立,數據就可以通過隧道發送。隧道客戶端和服務器使用隧道數據傳輸協議準備傳輸數據。例如,當隧道客戶端向服務器端發送數據時,客戶端首先給負載數據加上一個隧道數據傳送協議包頭,然后把封裝的數據通過互聯網絡發送,并由互聯網絡將數據路由到隧道的服務器端。隧道服務器端收到數據包之后,去除隧道數據傳輸協議包頭,然后將負載數據轉發到目標網絡。
