摘要：隨著經(jīng)濟(jì)的發(fā)展，社會(huì)的進(jìn)步，Internet被在更深和更廣的使用，使許多諸如公司內(nèi)部異地聯(lián)網(wǎng)，個(gè)人遠(yuǎn)程訪問內(nèi)網(wǎng)，通信信息安全等一些問題凸顯出來，虛擬專用網(wǎng)VPN通過使用隧道，安全聯(lián)盟的設(shè)置，實(shí)現(xiàn)異地訪問，本地通信的效果，即保證的網(wǎng)絡(luò)通信的安全和保密要求，同時(shí)也避免向運(yùn)營商租用昂貴的。物理專用線路從而減少了通信的支出。

關(guān)鍵詞：VPN；隧道技術(shù)；安全聯(lián)盟

中圖分類號：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1007-9599 （2012） 21-0000-02

VPN即虛擬專用網(wǎng)絡(luò)。它不是真正的物理線路，但能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)功能。就是利用Internet技術(shù)來組建專用網(wǎng)絡(luò)，實(shí)現(xiàn)異地組網(wǎng)，本地通信效果。VPN利用家門技術(shù)，利用公用網(wǎng)絡(luò)上建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)，實(shí)現(xiàn)企事業(yè)單位任何兩個(gè)授權(quán)端點(diǎn)間的鏈接。利用Internet公網(wǎng)的物理鏈路資源，動(dòng)態(tài)組成，使用戶實(shí)現(xiàn)“不花錢的專網(wǎng)”效果[1]。

1 VPN網(wǎng)絡(luò)的基本概念

Internet所具備的高寬帶，低費(fèi)用以及無限連接特性，但是Internet網(wǎng)絡(luò)具有的開放性和松散管理特征，也是企業(yè)網(wǎng)了面臨的網(wǎng)絡(luò)安全問題益發(fā)尖銳，此問題成了Internet做網(wǎng)商務(wù)網(wǎng)絡(luò)必須跨越的重大障礙。而虛擬專用網(wǎng)VPN技術(shù)，具有防止數(shù)據(jù)在Internet公網(wǎng)傳輸中北竊聽，防止數(shù)據(jù)在公網(wǎng)中被篡改，可以驗(yàn)證數(shù)據(jù)的真實(shí)來源，成本低廉（相對于專線，長途撥號），應(yīng)用靈活，可擴(kuò)展性好等多項(xiàng)特性，是目前和今后一段時(shí)間內(nèi)，政府企事業(yè)單位構(gòu)建企事業(yè)內(nèi)部網(wǎng)絡(luò)的發(fā)展趨勢，逐步實(shí)現(xiàn)單位網(wǎng)絡(luò)跨地域安全互聯(lián)的主要技術(shù)。

2 VPN網(wǎng)絡(luò)的分類

VPN虛擬專用網(wǎng)的實(shí)現(xiàn)依賴于隧道技術(shù)，常見的網(wǎng)絡(luò)隧道協(xié)議分為兩大類：第二層隧道協(xié)議（數(shù)據(jù)鏈路層），和第三層隧道協(xié)議（網(wǎng)絡(luò)層）

2.1 第二層隧道協(xié)議

（1）PPTP點(diǎn)對點(diǎn)通道協(xié)議

第二層隧道協(xié)議點(diǎn)到點(diǎn)隧道協(xié)議即PPTP，是點(diǎn)對點(diǎn)的安全隧道協(xié)議，是PPP協(xié)議的一種擴(kuò)展，PPTP把PPP的幀分裝到IP數(shù)據(jù)包里，用過因特網(wǎng)或者內(nèi)網(wǎng)等進(jìn)行發(fā)送，提供了一種在因特網(wǎng)上建立多協(xié)議的安全虛擬專用網(wǎng)的通信方式。PPTP采用了RSA公司的RS4作為加密的方法，可以直接與PPTP的服務(wù)器建立虛擬通道，但是由于把建立隧道的主動(dòng)權(quán)交給了用戶，使得用戶要在自己的PC機(jī)上配置PPTP，增加了用戶的工作量，又會(huì)造成網(wǎng)絡(luò)的安全隱患。

（2）L2TP協(xié)議

第二層隧道協(xié)議L2TP，大致功能與PPTP協(xié)議類似，并且同樣也可以對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密，不同之處在于，PPTP是單一隧道，而L2TP是使用多隧道，PPTP要求使用IP網(wǎng)絡(luò)，而L2TIP要求點(diǎn)對點(diǎn)的鏈接；不同于PPTP，L2TP還提供隧道驗(yàn)證和包頭壓縮。此外L2TP支持多種協(xié)議如IPX，Appletalk等協(xié)議。目前贛州的網(wǎng)絡(luò)運(yùn)營商是使用L2TP協(xié)議為用戶提供基礎(chǔ)的VPN協(xié)議。

2.2 三層隧道協(xié)議

（1）IPSec協(xié)議

由于第二層隧道協(xié)議沒有很好的解決隧道加密和數(shù)據(jù)加密的問題。針對這個(gè)問題IPSec協(xié)議通過把多種安全技術(shù)集合在一起，建立一個(gè)可靠，安全的隧道。IPSec協(xié)議不是單個(gè)協(xié)議，它包括了3個(gè)協(xié)議分別是AH協(xié)議（數(shù)據(jù)認(rèn)證），ESP（封裝安全載荷），IKE（密鑰管理協(xié)議）。通過，對數(shù)據(jù)的認(rèn)證加密，以進(jìn)一步提高數(shù)據(jù)傳輸?shù)陌踩?。IPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議。

（2）SSL VPN

由于90%的企業(yè)事業(yè)單位利用VPN進(jìn)行內(nèi)部網(wǎng)和外部網(wǎng)的連接，多數(shù)只用來訪問郵件或者萬維網(wǎng)。SSL VPN可以提供更安全，更有效的解決方案，基于SSL的VPN支持遠(yuǎn)程訪問，更容易配置和管理，而且成本IPSec更加便宜。SSL全名“安全套接協(xié)議層”提供數(shù)據(jù)連接安全的協(xié)議，它可以為TCP/IP連接提供數(shù)據(jù)加密，身份驗(yàn)證等等服務(wù)，被視為遠(yuǎn)程訪問VPN的首選協(xié)議。

（3）GRE VPN

GRE VPN是一種基于隧道的VPN，GRE VPN可以對網(wǎng)絡(luò)的廣播和組播數(shù)據(jù)進(jìn)行封裝傳輸，還可以通過封裝路由協(xié)議報(bào)文，保證安全傳輸，GRE的封裝技術(shù)與IPSec類似，把IP數(shù)據(jù)包上加上GRE頭，封裝在IP數(shù)據(jù)包內(nèi)，GRE的好處在于它不僅可以封裝IP包，IPX包和AppleTalk包，并支持所有路由協(xié)議（例如OSPF，RIP等），但是由于GRE不提供加密和認(rèn)證。由于GRE VPN的以上特性，和IPSec互補(bǔ)，所以日常使用中一般會(huì)兩種VPN技術(shù)結(jié)合使用（IPSec Over GRE）。

3 VPN的配置

3.1 IPSec的配置

（1）配置IPSec前的準(zhǔn)備工作

確認(rèn)在配置IPSec之前，網(wǎng)絡(luò)是通的。確認(rèn)AH流量（IP協(xié)議號為50）、ESP流量（IP協(xié)議號為51）和ISAKMP流量（UDP的端口500）不會(huì)被ACL所阻塞。

（2）配置IKE參數(shù)

啟用IKE，創(chuàng)建IKE策略集policy，配置IKE身份認(rèn)證的相關(guān)參數(shù)，驗(yàn)證IKE配置。

（3）配置IPSec參數(shù)

配置IPSec變換集，用ACL定義需要IPSec保護(hù)的流量，創(chuàng)建crypto map，把crypto map應(yīng)用到路由器的端口上。

（4）測試并驗(yàn)證IPSec是否正常工作

顯示IKE策略show crypto isakmp policy，顯示IPSec變換集show crypto ipsec transform-set，

顯示crypto maps，show crypto map。顯示IPSec SA的狀態(tài)show crypto ipsec sa，debug IPSec事件debug crypto ipsec，debug ISAKMP事件debug crypto isakmp。

（5）兩個(gè)節(jié)點(diǎn)相互ping通。

3.2 GRE的配置

（1）創(chuàng)建虛擬Tunnel接口interface tunnel1給tunnel設(shè)置接口的源端地址lip address。

（2）配置Tunnel接口的目的地址Tunnel destination。

（3）在路由器上啟動(dòng)RIPv2路由協(xié)議。

Router rip

No auto-summary

Network

（4）配置完畢后，兩個(gè)節(jié)點(diǎn)相互ping通。

4 結(jié)語

每一種VPN技術(shù)都有其優(yōu)缺點(diǎn)，L2TP的安全性能不是特別好，SSL不支持內(nèi)部訪問的VPN，而IPSec雖然訪問安全性比較高，但是對于普通用戶來說安裝比較復(fù)雜，價(jià)格比較昂貴，同時(shí)IPSec要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議。基于幾種VPN不同的特性，企業(yè)可以根據(jù)自身的需求選擇適合的VPN來保證，內(nèi)部網(wǎng)絡(luò)，遠(yuǎn)程訪問網(wǎng)絡(luò)，或企業(yè)間訪問的數(shù)據(jù)安全性。

參考文獻(xiàn)：

[1]金漢均，仲紅，汪雙頂.VPN虛擬專用網(wǎng)安全實(shí)踐教程[M].北京：清華大學(xué)出版社，2011.

[2]Merike Kaeo.網(wǎng)絡(luò)安全性設(shè)計(jì)[M].北京：人民郵電出版社，2005.

[3]何寶宏，田輝.IP虛擬專用網(wǎng)技術(shù)[M].北京：人民郵電出版社，2008.

[作者簡介]陳淦（1983-），碩士生，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)；王蘇敏（1986-），碩士生，主要研究方向：電子通信。