電子正規刊發論文隧道技術的ＶＰＮ

　　虛擬專用網指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路。

　　【摘要】：虛擬專用網(VPN)技術主要包括數據封裝化，隧道協議，防火墻技術，加密及防止數據被篡改技術等等。文章著重介紹了虛擬專用網以及對相關技術。并對VPN隧道技術的分類提出了一些新的探索。

　　【關鍵詞】：虛擬專用網;隧道技術;隧道協議;數據封裝

　　引言

　　虛擬專用網即VPN(Virtual Private Network)是利用接入服務器(Access Sever)、廣域網上的路由器以及VPN專用設備在公用的WAN上實現虛擬專用網技術。通常利internet上開展的VPN服務被稱為IPVPN。

　　利用共用的WAN網，傳輸企業局域網上的信息，一個關鍵的問題就是信息的安全問題。為了解決此問題，VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。

　　1. 隧道技術

　　Internet中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機。總部和分公司到ISP的接入點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發送數據。在分公司的LAN上的IP分組的IP地址是以內部IP地址表示的"目的地址A""源地址B"。因此分組到達分公司的VPN設備后，立即在它的前部加上與全局IP地址對應的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設備從D發往VPN設備C而添加的。此IP分組到達總部的VPN設備C后，全局IP地址即被刪除，恢復成IP分組發往地址A。由此可見，隧道技術就是VPN利用公用網進行信息傳輸的關鍵。為此，還必須在IP分組上添加新頭標，這就是所謂IP的封裝化。同時利用隧道技術，還必須使得隧道的入口與出口相對地出現。

　　基于隧道技術VPN網絡，對于通信的雙方，感覺如同在使用專用網絡進行通信。

　　2. 隧道協議

　　在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此，要成功的使用VPN技術還需要有隧道協議。

　　2.1 當前主要的隧道協議以及隧道機制的分類：

　　⑴ L2F(Layer 2 Forwarding)

　　L2F是cisco公司提出的隧道技術，作為一種傳輸協議L2F支持撥號接入服務器。將撥號數據流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器(路由器).

　　⑵ PTP(Point to point Tunnelimg protocol)

　　PPTP協議又稱為點對點的隧道協議。PPTP協議允許對IP，IPX或NETBEUT數據流進行加密，然后封裝在IP包頭中通過企業IP網絡或公共互連網絡傳送。

　　⑶ 2TP(Layer 2 Tunneling Protocol)

　　該協議是遠程訪問型VPN今后的標準協議。

　　L2F、PPTP、L2TP共同特點是從遠程客戶直至內部網入口的VPN設備建立PPP連接，端口用戶可以在客戶側管理PPP。它們除了能夠利用內部IP地址的擴展功能外，還能在VPN上利用PPP支持的多協議通信功能，多鏈路功能及PPP的其他附加功能。因此在Internet上實現第二層連接的PPPSecsion的隧道協議被稱作第二層隧道。對于不提供PPP功能的隧道協議都由標準的IP層來處理，稱其為第三層隧道，以區分于第二層隧道。

　　⑷ TMP/BAYDVS

　　ATMP(Ascend Tumneling Management Protocol)和BaydVs(Bay Dial VPN Service)是基于ISP遠程訪問的VPN協議，它部分采用了移動IP的機制。ATMP以GRE實現封裝化，將VPN的起點和終點配置ISP內。因此，用戶可以不裝與VPN想適配的軟件。

　　⑸ PSEC

　　IPSEC規定了在IP網絡環境中的安全框架。該規范規定了VPN能夠利用認證頭標(AH：Authmentication Header)和封裝化安全凈荷(ESP：Encapsnlating Security Paylamd)。

　　小編推薦優秀電子期刊　《計算機系統應用》

　　《計算機系統應用》(月刊)創刊于1991年，由中國科學院軟件研究所主辦。辦刊宗旨：宣傳推廣信息技術在各行各業的應用。重點是宣傳介紹計算機應用系統的建設(包括系統的規劃、設計與開發等方面)、信息技術的應用研究與開發成果以及相關技術的分析、探討與應用，系統建設：面向中高層管理人員與應用系統設計的專業人員。榮獲中文核心期刊(2000)。