關于VPN隧道技術在使用中的優勢
關于VPN隧道技術在使用中的優勢,對于VPN隧道技術破解問題,大家都很感興趣。在向大家詳細介紹如何VPN隧道技術之前,首先讓大家了解下一般密碼的基本流程,然后比較下面幾種方法的優劣。
VPN隧道技術已經成為越來越多企業使用的網絡連接方式了,為了進一步了解VPN,本篇將對它的隧道技術進行深入解釋。為了使得遠程的企業員工可以與總部實時的交換數據信息。企業得向ISP租用網絡提供服務。但公用網容易遭受各種安全攻擊(比如拒絕服務攻擊來堵塞正常的網絡服務,或竊取重要的企業內部信息)
VPN隧道技術這個概念的引進就是用來解決這個問題。它是利用公用網絡來連接到企業私有網絡。但在VPN中,用安全機制來保障機密型,真實可靠行,完整性嚴格的訪問控制。這樣就建立了一個邏輯上虛擬的私有網絡。虛擬局域網提供了一個經濟有效的手段來解決通過公用網絡安全的交換私有信息。
VPN隧道技術有何優勢?
一般VPN隧道技術所具備的優點有以下幾點:
◆最小成本:無須購買網絡設備和專用線路覆蓋所有遠程用戶
◆責任共享:通過購買公用網的資源,部分維護責任遷移至provider(更專業,有經驗,是操作,維護成本降低)。
◆安全性:
◆保障Qos
◆可靠性:如果一個VPN節點壞了,可以一個替換VPN建立起來繞過他,這種恢復工作是得VPN操作可以盡可能的延續
◆可擴展性:可以通過從公用網申請更多得資源達到非常容易的擴展VPN,或者協商重構VPN
◆其中安全性是vpn最重要的一個特性,也是各類vpn產品所必須具備和支持的要素.
VPN隧道技術的安全技術剖析
目前VPN主要采用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。
身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
隧道指的是利用一種網絡協議來傳輸另一種網絡協議,它主要利用網絡隧道協議來實現這種功能。網絡隧道技術涉及了三種網絡協議,即網絡隧道協議、隧道協議下面的承載協議和隧道協議所承載的被承載協議。網絡隧道技術是個關鍵技術,這項vpn的基本技術也是本文要詳細和闡述的。
VPN隧道技術網絡隧道協議深入解析
網絡隧道是指在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。現有兩種類型的網絡隧道協議,一種是二層隧道協議,用于傳輸二層網絡協議,它主要應用于構建遠程訪問虛擬專網(AccessVPN);另一種是三層隧道協議,用于傳輸三層網絡協議,它主要應用于構建企業內部虛擬專網(IntranetVPN)和擴展的企業內部虛擬專網(Extranet VPN)。
二層隧道協議第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議主要有以下三種:第一種是由微軟、Ascend、3COM 等公司支持的 PPTP(Point to Point Tunneling Protocol,點對點隧道協議),在WindowsNT4.0以上版本中即有支持。
第二種是Cisco、北方電信等公司支持的L2F(Layer2Forwarding,二層轉發協議),在 Cisco 路由器中有支持。第三種由 IETF 起草,微軟 Ascend 、Cisco、 3COM 等公司參與的 L2TP(Layer 2TunnelingProtocol,二層隧道協議)結合了上述兩個協議的優點,L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F而形成。這里就主要介紹一下 L2TP 網絡協議。
其中,LAC 表示 L2TP 訪問集中器(L2TPAccessConcentrator),是附屬在交換網絡上的具有 PPP 端系統和 L2TP 協議處理能力的設備,LAC 一般就是一個網絡接入服務器 NAS(Network Access Server)它用于為用戶通過 PSTN/ISDN 提供網絡接入服務;LNS 表示 L2TP 網絡服務器(L2TP Network Server),是 PPP 端系統上用于處理 L2TP 協議服務器端部分的軟件。
在一個LNS和LAC對之間存在著兩種類型的連接,一種是隧道(tunnel)連接,它定義了一個LNS和LAC對;另一種是會話(session)連接,它復用在隧道連接之上,用于表示承載在隧道連接中的每個 PPP 會話過程。
L2TP連接的維護以及PPP數據的傳送都是通過L2TP消息的交換來完成的,這些消息再通過 UDP的1701端口承載于TCP/IP之上。L2TP消息可以分為兩種類型,一種是控制消息,另一種是數據消息。
控制消息用于隧道連接和會話連接的建立與維護。數據消息用于承載用戶的 PPP 會話數據包。 L2TP 連接的維護以及 PPP 數據的傳送都是通過 L2TP 消息的交換來完成的,這些消息再通過UDP的1701端口承載于 TCP/IP 之上。
控制消息中的參數用AVP值對(AttributeValuePair)來表示,使得協議具有很好的擴展性;在控制消息的傳輸過程中還應用了消息丟失重傳和定時檢測通道連通性等機制來保證了 L2TP 層傳輸的可靠性。
數據消息用于承載用戶的 PPP 會話數據包。L2TP 數據消息的傳輸不采用重傳機制,所以它無法保證傳輸的可靠性,但這一點可以通過上層協議如TCP等得到保證;數據消息的傳輸可以根據應用的需要靈活地采用流控或不流控機制,甚至可以在傳輸過程中動態地使用消息序列號從而動態地激活消息順序檢測和流量控制功能;在采用流量控制的過程中,對于失序消息的處理采用了緩存重排序的方法來提高數據傳輸的有效性。
