基于網(wǎng)絡(luò)安全的VPN技術(shù)實(shí)踐探究

王 龍

（山東能源棗莊礦業(yè)（集團(tuán)）有限責(zé)任公司柴里煤礦 山東 277519）

0 引言

VPN指的是虛擬專用網(wǎng)，利用VPN技術(shù)，可以利用公用網(wǎng)絡(luò)來安全的遠(yuǎn)程訪問企業(yè)內(nèi)部專用網(wǎng)絡(luò)，在組成方面，它一致于普通網(wǎng)絡(luò)，包括客戶機(jī)、傳輸介質(zhì)以及服務(wù)器；但是相較于普通網(wǎng)絡(luò)，它也存在著一定的差異，那就是它在傳輸中，利用的是隧道，在公共網(wǎng)絡(luò)或者專用網(wǎng)絡(luò)基礎(chǔ)上來構(gòu)建隧道。目前通常將隧道技術(shù)、加解密技術(shù)以及密鑰管理技術(shù)等應(yīng)用到VPN中，其中隧道技術(shù)得到了最為廣泛的應(yīng)用。

1 VPN隧道協(xié)議的分類和VPN安全機(jī)制

通常情況下，可以將VPN隧道協(xié)議劃分為三種類型，分別是PPTP、I.2TP和TPSee，其中，在OSI模型的第二層進(jìn)行PPTP和 I.2TP的工作，因此又可以將這兩種協(xié)議綜稱為二層隧道協(xié)議，一般比較常見。其中，目前應(yīng)用最為廣泛的則是配合使用I.2TP和IPSee，它們有著最好的性能。

將加密技術(shù)以及認(rèn)證技術(shù)等應(yīng)用過來，通過虛擬專用網(wǎng)絡(luò)將安全專用隧道的網(wǎng)絡(luò)構(gòu)建于公共網(wǎng)絡(luò)上，VPN系統(tǒng)封裝那些需要傳輸?shù)臄?shù)據(jù)，將一個(gè)VPN包頭給加上去，將路由信息提供給包頭中，這樣封裝數(shù)據(jù)就可以通過公共網(wǎng)絡(luò)。那么為了促使公共網(wǎng)絡(luò)傳輸?shù)陌踩缘玫奖ＷC，就需要加密處理這些封裝數(shù)據(jù)，即使有人截獲了公共網(wǎng)絡(luò)上的這些數(shù)據(jù)，沒有密鑰，這些內(nèi)容也不會(huì)被獲取到。

2 隧道技術(shù)

具體來講，隧道技術(shù)指的是在網(wǎng)絡(luò)之間數(shù)據(jù)傳遞過程中，采用的是互聯(lián)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。如果數(shù)據(jù)通過隧道傳遞，那么數(shù)據(jù)幀或者包就可以有不同的協(xié)議。隧道協(xié)議來重新封裝其他協(xié)議的數(shù)據(jù)幀或者包，然后進(jìn)行發(fā)送。路由信息由新的幀頭提供，這樣那些被封裝的負(fù)載數(shù)據(jù)就可以通過互聯(lián)網(wǎng)來進(jìn)行傳遞。如果VPN在傳輸信息時(shí)，利用的是公用網(wǎng)，那么非常關(guān)鍵的內(nèi)容就是隧道技術(shù)。因此，還需要將新頭標(biāo)添加于IP分組上，也就是我們說的IP封裝化。同時(shí)，隧道技術(shù)的利用，還需要相對(duì)的出現(xiàn)隧道的入口和出口。VPN網(wǎng)絡(luò)利用隧道技術(shù)來進(jìn)行傳輸，那么通信的雙方在通信過程中，就好比利用的是專用網(wǎng)絡(luò)。

3 隧道協(xié)議

通過研究發(fā)現(xiàn)，目前主要將兩類隧道協(xié)議應(yīng)用到IP網(wǎng)上，分別是第二層隧道協(xié)議和第三層隧道協(xié)議，兩類協(xié)議的區(qū)別在于是在網(wǎng)絡(luò)協(xié)議棧的第幾層來封裝用戶數(shù)據(jù)。其中，網(wǎng)絡(luò)接入服務(wù)器以及用戶網(wǎng)設(shè)備分別是第二層隧道技術(shù)的起始點(diǎn)。另外，將整個(gè)PPP幀都封裝于隧道內(nèi)，要在CPE界內(nèi)的網(wǎng)關(guān)或服務(wù)器上來貫穿PPP會(huì)話。ISP界內(nèi)是第三層隧道技術(shù)的起始點(diǎn)，在NAS內(nèi)終止PPP會(huì)話，只對(duì)第三層報(bào)文體進(jìn)行攜帶，CPE的網(wǎng)關(guān)就是終接設(shè)備。

一是第二層隧道協(xié)議：對(duì)于多種路由協(xié)議，都可以被第二層隧道協(xié)議所支持，也可以對(duì)多種廣域網(wǎng)技術(shù)和局域網(wǎng)技術(shù)進(jìn)行支持，廣域網(wǎng)技術(shù)如FR、ATM等，局域網(wǎng)技術(shù)如以太網(wǎng)、令牌環(huán)等，其中，應(yīng)用比較頻繁的是PPTP和I.2PP。

PPTP作為一種點(diǎn)到點(diǎn)的安全隧道協(xié)議，是由PPTP論壇開發(fā)的，將安全VPN業(yè)務(wù)提供給電話上網(wǎng)的用戶。其實(shí)，PPTP擴(kuò)展了PPP協(xié)議，將多協(xié)議的安全VPN通信方式構(gòu)建于IP網(wǎng)上，遠(yuǎn)端用戶在對(duì)企業(yè)的專用網(wǎng)絡(luò)進(jìn)行訪問時(shí)，只需要支持PPTP的ISP即可。本協(xié)議的運(yùn)行是借助于PC機(jī)進(jìn)行的，我們將其稱之為PPTP客戶機(jī)，而運(yùn)行本協(xié)議的服務(wù)器則被人們稱之為PPTP服務(wù)器。

I.2TP協(xié)議則將1.2F和PPTP的優(yōu)點(diǎn)都集中了起來，用戶要想發(fā)起VPN連接，通過客戶端或者接入服務(wù)器端都可以實(shí)現(xiàn)。對(duì)于利用公共網(wǎng)絡(luò)設(shè)施來對(duì)傳輸鏈路層PPP幀進(jìn)行封裝的方法由 I.2PP定義了，目前用戶如果在對(duì)因特網(wǎng)進(jìn)行訪問時(shí)，利用的是撥號(hào)方式，那么IP協(xié)議是必須要用到的；而利用I.2PP協(xié)議，就可以對(duì)多種協(xié)議進(jìn)行支持，用戶可以將原來的協(xié)議或者企業(yè)原有的IP地址給保留下來，企業(yè)對(duì)非IP網(wǎng)進(jìn)行改造和升級(jí)，節(jié)約了大量的資金。另外，對(duì)于多個(gè)PPP鏈路的捆綁問題，也可以通過I.2PP來進(jìn)行解決。

二是第三層隧道協(xié)議：三層隧道協(xié)議與OSI模型中的網(wǎng)絡(luò)層相對(duì)應(yīng)，在數(shù)據(jù)交換中，采用的是試用報(bào)告。其中，目前應(yīng)用最為廣泛的是IPSee。這種協(xié)議作為一種開放的結(jié)構(gòu)，不屬于特殊的加密算法或者認(rèn)證算法，在IP數(shù)據(jù)包格式中定義，將數(shù)據(jù)結(jié)構(gòu)提供給目前的數(shù)據(jù)加密或者認(rèn)證加密，這樣在實(shí)現(xiàn)這些算法時(shí)，采用的體系結(jié)構(gòu)都是統(tǒng)一的，從而進(jìn)一步發(fā)展和標(biāo)準(zhǔn)化數(shù)據(jù)安全措施。這種協(xié)議比較的開放，有著較為廣泛的應(yīng)用，并且可以遷移于Ipv6，保護(hù)網(wǎng)絡(luò)層上的所有數(shù)據(jù)，提高安全通信的透明度。

三是兩種隧道協(xié)議比較：相較于第二層隧道，第三層隧道協(xié)議在安全性、可擴(kuò)展性以及可靠性方面更優(yōu)。從安全層面上來講，因?yàn)樵谟脩艟W(wǎng)設(shè)備上終止第二層隧道，那么就會(huì)在很大程度上挑戰(zhàn)到用戶網(wǎng)的安全和防火墻技術(shù)。而在ISP網(wǎng)關(guān)上來終止第三層隧道，不會(huì)威脅到用戶網(wǎng)的安全。從可擴(kuò)展性角度上來講，第二層IP隧道在報(bào)文內(nèi)封裝了整個(gè)PPP幀，那么就會(huì)對(duì)傳輸效率產(chǎn)生一定的影響；并且在整個(gè)隧道內(nèi)都會(huì)貫穿PPP會(huì)話，并且在用戶網(wǎng)的網(wǎng)關(guān)或者服務(wù)器上終止。因?yàn)橛写罅康腜PP對(duì)話狀態(tài)存在于用戶網(wǎng)的網(wǎng)關(guān)上，那么就會(huì)在很大程度上影響到系統(tǒng)負(fù)荷和系統(tǒng)的擴(kuò)展性。另外，因?yàn)镻PP的數(shù)據(jù)鏈路層控制以及網(wǎng)絡(luò)層控制對(duì)時(shí)間較為敏感，那么PPP會(huì)話就可能會(huì)因?yàn)镮P隧道的效率給造成超時(shí)等問題。因?yàn)樵贗SP網(wǎng)內(nèi)終止第三層隧道，并且在RAS處終止PPP會(huì)話，那么PPP會(huì)話狀態(tài)就不需要網(wǎng)點(diǎn)來進(jìn)行管理和維護(hù)，這樣系統(tǒng)的負(fù)荷就可以得到大大的減輕。

4 結(jié)語

通過上文的敘述分析我們可以得知，如果私有安全通信需要利用公用網(wǎng)絡(luò)設(shè)施來實(shí)現(xiàn)，那么最好的方式就是VPN技術(shù)。相較于傳統(tǒng)的各種技術(shù)，VPN技術(shù)具有一系列的優(yōu)點(diǎn)。通過構(gòu)建安全隧道，可以保證信息傳輸?shù)陌踩浴ｋS著時(shí)代的進(jìn)步和社會(huì)的發(fā)展，特別是科學(xué)技術(shù)的不斷革新，VPN技術(shù)將會(huì)獲得更大的發(fā)展，并且得到更加廣泛的應(yīng)用。本文簡(jiǎn)要分析了基于網(wǎng)絡(luò)安全的VPN技術(shù)，希望可以提供一些有價(jià)值的參考意見。

[1]金海，胡永泉.基于W INDOWS SERVER 2003的VPN實(shí)驗(yàn)環(huán)境的構(gòu)建[J].臺(tái)州學(xué)院學(xué)報(bào)，2005，2（6）：123-125.

[2]費(fèi)建英.VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013，2（23）：99-101.

[3]幕東周，于本成.中小型企業(yè)VPN網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011，2（7）：198-199.

[4]王晶.VPN關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003，2（5）：55-57.