VPN的實現技術

來源:本站原創 CISCO 超過746 views圍觀 0條評論

VPN的實現技術
VPN實現的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現也至關重要。
1.VPN訪問點模型
首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術和加密技術。
2.隧道技術
隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。
(1)GRE
GRE主要用于源路由和終路由之間所形成的隧道。例如,將通過隧道的報文用一個新的報文頭(GRE報文頭)進行封裝然后帶著隧道終點地址放入隧道中。當報文到達隧道終點時,GRE報文頭被剝掉,繼續原始報文的目標地址進行尋址。 GRE隧道通常是點到點的,即隧道只有一個源地址和一個終地址。然而也有一些實現允許點到多點,即一個源地址對多個終地址。這時候就要和下一跳路由協議(Next-Hop Routing Protocol,NHRP)結合使用。NHRP主要是為了在路由之間建立捷徑。 中國_網管聯盟bitsCN.com
GRE隧道用來建立VPN有很大的吸引力。從體系結構的觀點來看,VPN就象是通過普通主機網絡的隧道集合。普通主機網絡的每個點都可利用其地址以及路由所形成的物理連接,配置成一個或多個隧道。在GRE隧道技術中入口地址用的是普通主機網絡的地址空間,而在隧道中流動的原始報文用的是VPN的地址空間,這樣反過來就要求隧道的終點應該配置成VPN與普通主機網絡之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網絡的路由信息中隔離出來,多個VPN可以重復利用同一個地址空間而沒有沖突,這使得VPN從主機網絡中獨立出來。從而滿足了VPN的關鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數量眾多的協議族,減少實現VPN功能函數的數量。還有,對許多VPN所支持的體系結構來說,用同一種格式來支持多種協議同時又保留協議的功能,這是非常重要的。IP路由過濾的主機網絡不能提供這種服務,而只有隧道技術才能把VPN私有協議從主機網絡中隔離開來。基于隧道技術的VPN實現的另一特點是對主機網絡環境和VPN路由環境進行隔離。對VPN而言主機網絡可看成點到點的電路集合,VPN能夠用其路由協議穿過符合VPN管理要求的虛擬網。同樣,主機網絡用符合網絡要求的路由設計方案,而不必受VPN用戶網絡的路由協議限制。
bitsCN.nET*中國網管博客
雖然GRE隧道技術有很多優點,但用其技術作為VPN機制也有缺點,例如管理費用高、隧道的規模數量大等。因為GRE是由手工配置的,所以配置和維護隧道所需的費用和隧道的數量是直接相關的——每次隧道的終點改變,隧道要重新配置。隧道也可自動配置,但有缺點,如不能考慮相關路由信息、性能問題以及容易形成回路問題。一旦形成回路,會極大惡化路由的效率。除此之外,通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進入隧道前的)進行的話,就會影響路由發送速率的能力及服務性能。 GRE隧道技術是用在路由器中的,可以滿足Extranet VPN以及Intranet VPN的需求。但是在遠程訪問VPN中,多數用戶是采用撥號上網。這時可以通過L2TP和PPTP來加以解決。
(2)L2TP和PPTP
L2TP是L2F(Layer 2 Forwarding)和PPTP的結合。但是由于PC機的桌面操作系統包含著PPTP,因此PPTP仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“NAS初始化”(Network Access Server)隧道。前者一般指“主動”隧道,后者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的,而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。 [email protected]_com網管軟件下載
L2TP作為“強制”隧道模型是讓撥號用戶與網絡中的另一點建立連接的重要機制。建立過程如下:①用戶通過Modem與NAS建立連接;②用戶通過 NAS的L2TP接入服務器身份認證;③在政策配置文件或NAS與政策服務器進行協商的基礎上,NAS和L2TP接入服務器動態地建立一條L2TP隧道; ④用戶與L2TP接入服務器之間建立一條點到點協議(Point to Point Protocol,PPP)訪問服務隧道;⑤用戶通過該隧道獲得VPN服務。
與之相反的是,PPTP作為“主動”隧道模型允許終端系統進行配置,與任意位置的PPTP服務器建立一條不連續的、點到點的隧道。并且,PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網絡服務。PPTP建立過程如下:①用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網絡服務;②用戶通過路由信息定位PPTP接入服務器;③用戶形成一個PPTP虛擬接口;④用戶通過該接口與PPTP接入服務器協商、認證建立一條 PPP訪問服務隧道;⑤用戶通過該隧道獲得VPN服務。
在L2TP中,用戶感覺不到NAS的存在,仿佛與PPTP接入服務器直接建立連接。而在PPTP中,PPTP隧道對NAS是透明的;NAS不需要知道PPTP接入服務器的存在,只是簡單地把PPTP流量作為普通IP流量處理。 bitsCN.nET*中國網管博客
采用L2TP還是PPTP實現VPN取決于要把控制權放在NAS還是用戶手中。L2TP比PPTP更安全,因為L2TP接入服務器能夠確定用戶從哪里來的。L2TP主要用于比較集中的、固定的VPN用戶,而PPTP比較適合移動的用戶。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文標題:VPN的實現技術
本文鏈接:http://www.qdxgqk.live/?p=373轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏