王 龍

（山東能源棗莊礦業(yè)（集團）有限責任公司柴里煤礦 山東 277519）

0 引言

VPN指的是虛擬專用網(wǎng)，利用VPN技術(shù)，可以利用公用網(wǎng)絡來安全的遠程訪問企業(yè)內(nèi)部專用網(wǎng)絡，在組成方面，它一致于普通網(wǎng)絡，包括客戶機、傳輸介質(zhì)以及服務器；但是相較于普通網(wǎng)絡，它也存在著一定的差異，那就是它在傳輸中，利用的是隧道，在公共網(wǎng)絡或者專用網(wǎng)絡基礎上來構(gòu)建隧道。目前通常將隧道技術(shù)、加解密技術(shù)以及密鑰管理技術(shù)等應用到VPN中，其中隧道技術(shù)得到了最為廣泛的應用。

1 VPN隧道協(xié)議的分類和VPN安全機制

通常情況下，可以將VPN隧道協(xié)議劃分為三種類型，分別是PPTP、I.2TP和TPSee，其中，在OSI模型的第二層進行PPTP和 I.2TP的工作，因此又可以將這兩種協(xié)議綜稱為二層隧道協(xié)議，一般比較常見。其中，目前應用最為廣泛的則是配合使用I.2TP和IPSee，它們有著最好的性能。

將加密技術(shù)以及認證技術(shù)等應用過來，通過虛擬專用網(wǎng)絡將安全專用隧道的網(wǎng)絡構(gòu)建于公共網(wǎng)絡上，VPN系統(tǒng)封裝那些需要傳輸?shù)臄?shù)據(jù)，將一個VPN包頭給加上去，將路由信息提供給包頭中，這樣封裝數(shù)據(jù)就可以通過公共網(wǎng)絡。那么為了促使公共網(wǎng)絡傳輸?shù)陌踩缘玫奖ＷC，就需要加密處理這些封裝數(shù)據(jù)，即使有人截獲了公共網(wǎng)絡上的這些數(shù)據(jù)，沒有密鑰，這些內(nèi)容也不會被獲取到。

2 隧道技術(shù)

具體來講，隧道技術(shù)指的是在網(wǎng)絡之間數(shù)據(jù)傳遞過程中，采用的是互聯(lián)網(wǎng)絡基礎設施。如果數(shù)據(jù)通過隧道傳遞，那么數(shù)據(jù)幀或者包就可以有不同的協(xié)議。隧道協(xié)議來重新封裝其他協(xié)議的數(shù)據(jù)幀或者包，然后進行發(fā)送。路由信息由新的幀頭提供，這樣那些被封裝的負載數(shù)據(jù)就可以通過互聯(lián)網(wǎng)來進行傳遞。如果VPN在傳輸信息時，利用的是公用網(wǎng)，那么非常關(guān)鍵的內(nèi)容就是隧道技術(shù)。因此，還需要將新頭標添加于IP分組上，也就是我們說的IP封裝化。同時，隧道技術(shù)的利用，還需要相對的出現(xiàn)隧道的入口和出口。VPN網(wǎng)絡利用隧道技術(shù)來進行傳輸，那么通信的雙方在通信過程中，就好比利用的是專用網(wǎng)絡。

3 隧道協(xié)議

通過研究發(fā)現(xiàn)，目前主要將兩類隧道協(xié)議應用到IP網(wǎng)上，分別是第二層隧道協(xié)議和第三層隧道協(xié)議，兩類協(xié)議的區(qū)別在于是在網(wǎng)絡協(xié)議棧的第幾層來封裝用戶數(shù)據(jù)。其中，網(wǎng)絡接入服務器以及用戶網(wǎng)設備分別是第二層隧道技術(shù)的起始點。另外，將整個PPP幀都封裝于隧道內(nèi)，要在CPE界內(nèi)的網(wǎng)關(guān)或服務器上來貫穿PPP會話。ISP界內(nèi)是第三層隧道技術(shù)的起始點，在NAS內(nèi)終止PPP會話，只對第三層報文體進行攜帶，CPE的網(wǎng)關(guān)就是終接設備。

一是第二層隧道協(xié)議：對于多種路由協(xié)議，都可以被第二層隧道協(xié)議所支持，也可以對多種廣域網(wǎng)技術(shù)和局域網(wǎng)技術(shù)進行支持，廣域網(wǎng)技術(shù)如FR、ATM等，局域網(wǎng)技術(shù)如以太網(wǎng)、令牌環(huán)等，其中，應用比較頻繁的是PPTP和I.2PP。

PPTP作為一種點到點的安全隧道協(xié)議，是由PPTP論壇開發(fā)的，將安全VPN業(yè)務提供給電話上網(wǎng)的用戶。其實，PPTP擴展了PPP協(xié)議，將多協(xié)議的安全VPN通信方式構(gòu)建于IP網(wǎng)上，遠端用戶在對企業(yè)的專用網(wǎng)絡進行訪問時，只需要支持PPTP的ISP即可。本協(xié)議的運行是借助于PC機進行的，我們將其稱之為PPTP客戶機，而運行本協(xié)議的服務器則被人們稱之為PPTP服務器。

I.2TP協(xié)議則將1.2F和PPTP的優(yōu)點都集中了起來，用戶要想發(fā)起VPN連接，通過客戶端或者接入服務器端都可以實現(xiàn)。對于利用公共網(wǎng)絡設施來對傳輸鏈路層PPP幀進行封裝的方法由 I.2PP定義了，目前用戶如果在對因特網(wǎng)進行訪問時，利用的是撥號方式，那么IP協(xié)議是必須要用到的；而利用I.2PP協(xié)議，就可以對多種協(xié)議進行支持，用戶可以將原來的協(xié)議或者企業(yè)原有的IP地址給保留下來，企業(yè)對非IP網(wǎng)進行改造和升級，節(jié)約了大量的資金。另外，對于多個PPP鏈路的捆綁問題，也可以通過I.2PP來進行解決。

二是第三層隧道協(xié)議：三層隧道協(xié)議與OSI模型中的網(wǎng)絡層相對應，在數(shù)據(jù)交換中，采用的是試用報告。其中，目前應用最為廣泛的是IPSee。這種協(xié)議作為一種開放的結(jié)構(gòu)，不屬于特殊的加密算法或者認證算法，在IP數(shù)據(jù)包格式中定義，將數(shù)據(jù)結(jié)構(gòu)提供給目前的數(shù)據(jù)加密或者認證加密，這樣在實現(xiàn)這些算法時，采用的體系結(jié)構(gòu)都是統(tǒng)一的，從而進一步發(fā)展和標準化數(shù)據(jù)安全措施。這種協(xié)議比較的開放，有著較為廣泛的應用，并且可以遷移于Ipv6，保護網(wǎng)絡層上的所有數(shù)據(jù)，提高安全通信的透明度。

三是兩種隧道協(xié)議比較：相較于第二層隧道，第三層隧道協(xié)議在安全性、可擴展性以及可靠性方面更優(yōu)。從安全層面上來講，因為在用戶網(wǎng)設備上終止第二層隧道，那么就會在很大程度上挑戰(zhàn)到用戶網(wǎng)的安全和防火墻技術(shù)。而在ISP網(wǎng)關(guān)上來終止第三層隧道，不會威脅到用戶網(wǎng)的安全。從可擴展性角度上來講，第二層IP隧道在報文內(nèi)封裝了整個PPP幀，那么就會對傳輸效率產(chǎn)生一定的影響；并且在整個隧道內(nèi)都會貫穿PPP會話，并且在用戶網(wǎng)的網(wǎng)關(guān)或者服務器上終止。因為有大量的PPP對話狀態(tài)存在于用戶網(wǎng)的網(wǎng)關(guān)上，那么就會在很大程度上影響到系統(tǒng)負荷和系統(tǒng)的擴展性。另外，因為PPP的數(shù)據(jù)鏈路層控制以及網(wǎng)絡層控制對時間較為敏感，那么PPP會話就可能會因為IP隧道的效率給造成超時等問題。因為在ISP網(wǎng)內(nèi)終止第三層隧道，并且在RAS處終止PPP會話，那么PPP會話狀態(tài)就不需要網(wǎng)點來進行管理和維護，這樣系統(tǒng)的負荷就可以得到大大的減輕。

4 結(jié)語

通過上文的敘述分析我們可以得知，如果私有安全通信需要利用公用網(wǎng)絡設施來實現(xiàn)，那么最好的方式就是VPN技術(shù)。相較于傳統(tǒng)的各種技術(shù)，VPN技術(shù)具有一系列的優(yōu)點。通過構(gòu)建安全隧道，可以保證信息傳輸?shù)陌踩浴ｋS著時代的進步和社會的發(fā)展，特別是科學技術(shù)的不斷革新，VPN技術(shù)將會獲得更大的發(fā)展，并且得到更加廣泛的應用。本文簡要分析了基于網(wǎng)絡安全的VPN技術(shù)，希望可以提供一些有價值的參考意見。

[1]金海，胡永泉.基于W INDOWS SERVER 2003的VPN實驗環(huán)境的構(gòu)建[J].臺州學院學報，2005，2（6）：123-125.

[2]費建英.VPN技術(shù)在校園網(wǎng)絡安全體系中的應用[J].計算機光盤軟件與應用，2013，2（23）：99-101.

[3]幕東周，于本成.中小型企業(yè)VPN網(wǎng)絡的規(guī)劃與設計[J].網(wǎng)絡安全技術(shù)與應用，2011，2（7）：198-199.

[4]王晶.VPN關(guān)鍵技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用，2003，2（5）：55-57.