通信工程師互聯(lián)網(wǎng)技術考試實現(xiàn)方式

3.2.4.2 實現(xiàn)方式
由于虛擬專用網(wǎng)的“虛擬”重點在于邏輯網(wǎng)絡與物理網(wǎng)絡的分離，所以VPN的種類很多，實現(xiàn)VPN的方法也可以有很多種。從VPN實現(xiàn)的層次來說，可以有網(wǎng)絡層VPN、數(shù)據(jù)鏈路層VPN等。網(wǎng)絡層VPN多采用IP協(xié)議，而數(shù)據(jù)鏈路層VPN則由ATM或幀中繼虛電路實現(xiàn)。這里主要討論網(wǎng)絡層VPN的實現(xiàn)方法，控制路由選擇、隧道和網(wǎng)絡層封裝等。
（1）控制路由選擇
控制路由選擇(路由過濾）即控制路由的傳遞，只有一定的網(wǎng)絡才能接受屬于同一利益實體內(nèi)其他網(wǎng)絡的路由信息。與這組網(wǎng)絡有關的路由信息被過濾，使之不被相連的其他網(wǎng)絡得到，而其他非VPN的路由信息被隔絕在VPN網(wǎng)絡之外。服務供應商路由器僅將來自屬于VPNA的網(wǎng)絡的路由信息傳遞到同樣屬于VPNA的網(wǎng)絡。由于缺乏到達VPN外其他網(wǎng)絡的路由信息，VPN主機無法響應源地址為VPN外結(jié)點的數(shù)據(jù)報，由此實現(xiàn)專有服務。
這種實現(xiàn)VPN的方法存在很多缺點。首先是實現(xiàn)從VPN內(nèi)到VPN外的路由很困難。其次是這種環(huán)境假設使用一個公共的路由核心，這就會使得每個VPN使用的地址不能和這個公共網(wǎng)絡結(jié)構(gòu)上的其他VPN的地址發(fā)生沖突，即VPN不能使用任意的私有地址。另外，采用這種方法，兩個VPN之間不能通過單點連接。VPN也不可能通過一個單一結(jié)點訪問Internet,必須設置一個所謂“網(wǎng)關”，所有外部的數(shù)據(jù)流都經(jīng)過這個控制點，可以加強訪問控制，記錄外部數(shù)據(jù)流。
實現(xiàn)VPN之間的互連,需要將初始數(shù)據(jù)報傳輸?shù)絍PN的互連點，如果允許這些數(shù)據(jù)報通過，同樣的數(shù)據(jù)報再傳送到最終的VPN目的地址。如果在VPN的人口點沒有使用網(wǎng)絡地址翻譯(NAT)技術，將不支持這種通信結(jié)構(gòu)。
總的來說，僅靠路由過濾來實現(xiàn)VPN只是一種初級的方法，它容易導致錯誤，降低網(wǎng)絡的安全性和靈活性。
（2）隨道（Tunneling)
通過隧道傳送數(shù)據(jù)是實現(xiàn)VPN的另一種更有效的方法。普遍采用的隧道機制有：源路由器和目的路由器之間的GRE(Generic Routing Encapsulation)隨道，路由器到路由器或主機到主機的隧道L2TP(Layer2Tunneling Protocol)和PPTP(Point-to-Point Tunneling Protocol)以及DVMRP(Distance VectorMulticast Routing Protocol)隨道。
　　①傳統(tǒng)的隧道模式
GRE隧道通常是建立在源（人口）路由器和目的（出口）路由器之間。在隧道的開始處，通過隧道傳輸?shù)膱笪模ㄒ呀?jīng)按正常的IP協(xié)議定義加了報頭）再被加上一個新的報頭（GRE報頭），目的地址為隧道終點路由器的地址。被封裝后的報文在隧道中傳輸，當報文到達隧道終點時,GRE報頭被去掉,報文再按照原來的IP報頭中攜帶的目的地址，繼續(xù)傳送。
采用隧道實現(xiàn)VPN時,有許多優(yōu)點：首先,每一個與公共網(wǎng)絡相連接的連接點，被配置成使用公共網(wǎng)絡和相關隧道尋址和路由的物理連接。隧道技術使用的隧道出口點地址，屬于公共網(wǎng)絡，而隧道內(nèi)傳輸?shù)膱笪?，使用的是VPN的地址空間，這樣就將VPN的路由與公共網(wǎng)絡的路由隔離開來，多個VPN能夠重復使用相同的私有地址空間，使VPN在一定程度上獨立于公共網(wǎng)絡。
其次，隧道能夠封裝許多不同的協(xié)議簇，這使得基于隧道的VPN可以模擬專有網(wǎng)絡的許多功能。
隧道VPN的另一個優(yōu)點是將公共路由環(huán)境與VPN路由環(huán)境分割開來。VPN可以通過虛擬網(wǎng)絡使用符合VPN管理需要的路由協(xié)議同樣,公共網(wǎng)絡也可以根據(jù)網(wǎng)絡的管理需要，選擇路由協(xié)議，而不受VPN網(wǎng)絡使用的路由協(xié)議的限制。
GRE隧道也并非VPN設計的萬全之策,GRE隧道必須手工配置，每次隧道終點改變，都需要重新配置。當然,GRE隧道也可以自動配置,但會導致路由和性能方面的很多問題。最差的結(jié)果是導致形成路由配置環(huán)，即數(shù)據(jù)會在隧道中循環(huán)通過。
②虛擬專用撥號網(wǎng)絡(VPDN)
VPDN可以使用戶通過本地連接接人到公共Internet,就可以建立一條從客戶系統(tǒng)到想要連接的遠程服務點的隧道。在實現(xiàn)虛擬專用撥號網(wǎng)絡的技術中?最常用的有兩種L2TP和微軟的PPTP隧道。L2TP融合了早期的L2F協(xié)議和PPTP協(xié)議。而PPTP包含在桌面計算機操作系統(tǒng)中，因而得到廣泛的應用。
　　a.L2TP
使用L2TP隧道時，撥號用戶撥人NAS,根據(jù)本地配置文件或NAS與配置服務器協(xié)商以及身份確認后，自動建立一條到達預定終點的L2TP隧道，而這個終點也是用戶PPP會話的結(jié)束點。
b.PPTP
PPTP是允許端系統(tǒng)配置和建立到任意地點的PPTP服務器的點到點隧道，而不需要NAS參與PPTP協(xié)商和隧道的建立。撥號用戶撥人到NAS，隨后，在客戶端系統(tǒng)和客戶想要連接的任意PPTP服務器之間建立PPTP會話，這可以通過傳統(tǒng)的路由信息實現(xiàn)，而用戶也需在PPTP服務器上具備一定的權(quán)限。
與PPTP協(xié)議一起使用的有Microsoft Point-tc Point(MPPE)協(xié)議，以增加PPTP的安全性。它在標準的Microsoft撥號網(wǎng)絡中增加了集成數(shù)據(jù)保密(封裝)。
MPPE在PPP數(shù)據(jù)報進人PPTP隧道之前，在客戶計算機上將PPP數(shù)據(jù)報進行封裝。當客戶計算機與隧道終點協(xié)商PPP時，封裝會話初始化。隧道中的交換機無法解密PPP數(shù)據(jù)報。
　　c.L2TP與PPTP的區(qū)別
為了理解I.2TP和PPTP的區(qū)別，首先，比較一下客戶發(fā)起的隧道和NSA(網(wǎng)絡訪問服務器)或撥號網(wǎng)絡服務器發(fā)起的隧道。前者是指主動的隧道，即隧道的建立是根據(jù)用戶特定的需要.而后者是指被動的隧道，即隧道的建立與用戶的行為無關，不允許用戶有任何選擇。
PPTP是主動隧道模式，撥號用戶有權(quán)在初始PPP協(xié)商之后選擇PPTP隧道目的端,,PPTP隧道對于服務提供商來說是透明的，服務供應商不需保留PPTP服務器，只需像傳送其他IP數(shù)據(jù)一樣傳送PPTP數(shù)據(jù)。
L2TP是被動隧道模式。服務供應商控制PPP會話的終結(jié)點。這在用戶需要通過服務供應商撥人到內(nèi)容供應商時,很有作用。
選擇L2TP或PPTP實現(xiàn)VPDN的關鍵在于是由服務供應商還是用戶掌握VPN的控制權(quán)。L2TP模型有大貴已配置的用戶，使得VPN很像普通的撥號訪問系統(tǒng)。L2TP的隧道開始于NAS。PPTP模型的客戶是一個單獨的端用戶，所建立的VPN結(jié)構(gòu)是端到端隧道。
（3）網(wǎng)絡層封裝
封裝技術在提供為VPN連接所需的分段和虛擬時非常有效，它能夠在協(xié)議找的任意層實現(xiàn)。正在制定的Internet網(wǎng)絡層封裝標準是IPSec(IPSecurity)。
網(wǎng)絡層封裝有兩種主要方法。最安全的方法是主機之間端到端的數(shù)據(jù)報封裝。另一種方法通常是指“隧道模式”，只是封裝在中間設備(路由器）之間傳輸?shù)臄?shù)據(jù)，而端系統(tǒng)到第一跳路由器之間傳輸?shù)氖敲魑?。如果在端系統(tǒng)和第一跳路由器之間傳輸?shù)臄?shù)據(jù)被截取.將會危及到VPN的安全。當VPN采用隧道方法實現(xiàn)時，對隧道的封裝并不能改變隧道進出口的脆弱性，因為這些點邏輯上是公共網(wǎng)絡的-部分，不是VPN網(wǎng)絡的一部分。任何對這些的點破壞都會損壞專用網(wǎng)絡的保密性。
在端到端封裝策略中，VPN的安全粒度達到端系統(tǒng)層，而隧道策略中，VPN的安全粒度達到子網(wǎng)層，在路由器之間被封裝傳輸?shù)臄?shù)據(jù)被認為是安全的。
可以說.包括IPSec，都不是實現(xiàn)VPN的獨立的技術，它是VPN技術的一個子集。

返回目錄：通信工程師終端與業(yè)務組網(wǎng)技術匯總

編輯推薦：

中級通信專業(yè)實務互聯(lián)網(wǎng)技術教程匯總

中級通信專業(yè)實務傳輸與接入教程匯總

通信專業(yè)實務考試設備與環(huán)境教程匯總

通信專業(yè)實務考試交換技術教程匯總