Hlink VPN涉及的关键技术( 隧道技术介绍、第二层隧道与第三层隧道)
VPN在表面上是一种联网的方式,比起专线网络来,它具有许多优点。在VPN中,通过采用一种所谓"隧道"的技术,可以通过公共路由网络传送数据分组,例如Internet网或其他商业性网络。
这里,专有的"隧道"类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。
通过TUNNEL的建立,可实现以下功能:
●将数据流量强制到特定的目的地
●隐藏私有的网络地址
●在IP网上传输非IP协议数据包
●提供数据安全支持
●协助完成用户基于AAA的管理。
在安全方面可提供数据包认证、数据加密以及密钥管理等手段。
拨号VPNs使用隧道技术远程访问服务器把用户数据打包进IP信息包中,这些信息包通过电信服务提供商网络传递,在Internet里,则需要穿过不同的网络,最后到达隧道终点,然后数据拆包,转发成最初的形式。VPN允许网络协议的转换,还允许对来自许多源的流量进行区别,这样可以指定特定的目的地,接受指定级别的服务。公司网进行远程访问通信,从电路交换的,长距离的本地电信服务提供商到ISPs和Internet需要采用隧道技术。隧道技术使用点对点通信协议,代替了交换连接,通过路由网络来连接数据地址。这代替了电话交换网络使用的电话号码连接。隧道技术允许授权移动用户或已授权的用户再任何时间任何地点访问企业网络。应用授权技术,隧道技术也禁止未授权的访问。
下面是一个隧道包典型设计:
要形成隧道,基本的要素有以下几项:
●隧道开通器(TI)
●有路由能力的公用网络
●一个或多个隧道终止器(TT)
●必要时增加一个隧道交换机以增加灵活性
隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如:(1)配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机;(2)分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器;(3)网络服务提供商站点中的有VPN能力的访问集中器。
隧道终止器的任务是使隧道到此终止,不再继续向前延伸。也有多种网络设备和软件可完成此项任务,例如:(1)专门的隧道终止器;(2)企业网络中的隧道交换机;(3)NSP网络的Extranet路由器上的VPN网关。
VPN网络中通常还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外,还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息,如带宽、隧道端点、网络策略和服务等级。
通过软件或模块升级,现有的网络设备就可以增加VPN能力。一个有VPN能力的设备可以承担多项VPN应用。
现在已经有许多Internet(IETF)的建议,都是关于隧道技术如何应用的。其中包括点对点隧道协议(PPTP)、第二层转发(L2F)、第二层隧道协议(L2TP)、虚拟隧道协议(VTP)和移动IP。由于得到了不同网络厂商的支持,建议的标准定义了远程设备如何能以简单安全的方式访问公司网络和Internet。
隧道技术非常有用:
●首先,一个IP隧道可以调整任何形式的有效负载,使用桌面或便携式计算机的用户能够透明地拨号上网来访问他们公司的IP、IPX或AppleTalk网络。
●第二,隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利用封装技术来实现。例如IETF RFC1701定义的一般路由封装。
●第三,使用隧道技术访问公司网时,公司网不会向Internet报告它的IP网络地址。
●第四,隧道技术允许接受者滤掉或报告个人的隧道连接。
如下图所示,按照隧道的起始和终止位置可分为第二层和第三层隧道。隧道终止在不同的位置取决于第二层隧道或第三层隧道是否使用。使用第三层隧道时,利用终端设备在服务提供商的网络上进行隧道产生和终止。在远程访问服务器(RAS)上也能终止远程用户对点协议(PPP)对话。使用第二层隧道时,隧道的创建可以在RAS也可以在服务商提供的网络上或在RAS上 ,第三层隧道终止第二层隧道连接。在这个服务提供商网络的企业内部网或路由驻留,它仅仅通过隧道传送第三层有效负载到隧道终点。远程访问服务器上,另一方面,第二层隧道在服务提供商的骨干网上把这个PPP帧传到预先确定的终点。远程客户端。隧道的终止则在路由器的用户端或一般的服务器上。
下面是第二层隧道与第三层隧道比较:
针对IP隧道协议,通过PPTP和IPSec协议建立的隧道从客户端起始,终止于企业端VPN接入设备。如下图所示:
过L2F和L2TP协议建立的隧道从ISP接入设备端起始,终止于企业端VPN接入设备。如下图所示: