■ 數據傳輸階段
一旦完成上述4階段的協商,PPP就開始在連接對等雙方之間轉發數據。每個被傳送的數據報都被封裝在PPP包頭內,該包頭將會在到達接收方之后被去除。如果在階段1選擇使用數據壓縮并且在階段4完成了協商,數據將會在被傳送之間進行壓縮。類似的,如果如果已經選擇使用數據加密并完成了協商,數據(或被壓縮數據)將會在傳送之前進行加密。
點對點隧道協議(PPTP)
PPTP是一個第2層的協議,將PPP數據楨封裝在IP數據報內通過IP網絡,如Internet傳送。PPTP還可用于專用局域網絡之間的連接。RFC草案“點對點隧道協議”對PPTP協議進行了說明和介紹。該草案由PPTP論壇的成員公司,包括微軟,Ascend,3Com,和ECI等公司在1996年6月提交至IETF??稍谌缦抡军chttp://www.ietf.org http://www.ietf.org參看草案的在線拷貝.PPTP使用一個TCP連接對隧道進行維護,使用通用路由封裝(GRE)技術把數據封裝成PPP數據楨通過隧道傳送??梢詫Ψ庋bPPP楨中的負載數據進行加密或壓縮。圖7所示為如何在數據傳遞之前組裝一個PPTP數據包。
第2層轉發(L2F)
L2F是Cisco公司提出隧道技術,作為一種傳輸協議L2F支持撥號接入服務器將撥號數據流封裝在PPP楨內通過廣域網鏈路傳送到L2F服務器(路由器)。L2F服務器把數據包解包之重新注入(inject)網絡。與PPTP和L2TP不同,L2F沒有確定的客戶方。應當注意L2F只在強制隧道中有效。(自愿和強制隧道的介紹參看“隧道類型”)。
第2層隧道協議(L2TP)
L2TP結合了PPTP和L2F協議。設計者希望L2TP能夠綜合PPTP和L2F的優勢。
L2TP是一種網絡層協議,支持封裝的PPP楨在IP,X.25,楨中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協議時,可以使用L2TP作為Internet網絡上的隧道協議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。草案RFC“第2層隧道協議”對L2TP進行了說明和介紹。該文檔于1998年1月被提交至IETF。可以在以下網站http://www.ietf.org http://www.ietf.org獲得草案拷貝。
IP網上的L2TP使用UDP和一系列的L2TP消息對隧道進行維護。L2TP同樣使用UDP將L2TP協議封裝的PPP楨通過隧道發送。可以對封裝PPP楨中的負載數據進行加密或壓縮。圖8所示為如何在傳輸之前組裝一個L2TP數據包。
PPTP與L2TP
PPTP和L2TP都使用PPP協議對數據進行封裝,然后添加附加包頭用于數據在互聯網絡上的傳輸。盡管兩個協議非常相似,但是仍存在以下幾方面的不同:
1.PPTP要求互聯網絡為IP網絡。L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP(使用UDP),楨中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs網絡上使用。
2.PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP,用戶可以針對不同的服務質量創建不同的隧道。
3.L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷(overhead)占用4個字節,而PPTP協議下要占用6個字節。
4.L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時,可以由IPSEC提供隧道驗證,不需要在第2層協議上驗證隧道。
■ IPSec隧道模式
IPSEC是第3層的協議標準,支持IP網絡上數據的安全傳輸。本文將在“高級安全”一部分中對IPSEC進行詳細的總體介紹,此處僅結合隧道協議討論IPSEC協議的一個方面。除了對IP數據流的加密機制進行了規定之外,IPSEC還制定了IPoverIP隧道模式的數據包格式,一般被稱作IPSEC隧道模式。一個IPSEC隧道由一個隧道客戶和隧道服務器組成,兩端都配置使用IPSEC隧道技術,采用協商加密機制。
為實現在專用或公共IP網絡上的安全傳輸,IPSEC隧道模式使用的安全方式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內通過網絡發送到隧道服務器端。隧道服務器對收到的數據報進行處理,在去除明文IP包頭,對內容進行解密之后,獲的最初的負載IP包。負載IP包在經過正常處理之后被路由到位于目標網絡的目的地。
IPSEC隧道模式具有以下功能和局限:
1.只能支持IP數據流
2.工作在IP棧(IPstack)的底層,因此,應用程序和高層協議可以繼承IPSEC的行為。
3.由一個安全策略(一整套過濾機制)進行控制。安全策略按照優先級的先后順序創建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時,雙方機器執行相互驗證,然后協商使用何種加密方式。此后的所有數據流都將使用雙方協商的加密機制進行加密,然后封裝在隧道包頭內。
關于IPSEC的詳細介紹參看本文稍后的“高級安全”部分。
■ 隧道類型
1.自愿隧道(Voluntarytunnel)
用戶或客戶端計算機可以通過發送VPN請求配置和創建一條自愿隧道。此時,用戶端計算機作為隧道客戶方成為隧道的一個端點。
2.強制隧道(Compulsorytunnel)
由支持VPN的撥號接入服務器配置和創建一條強制隧道。此時,用戶端的計算機不作為隧道端點,而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端,成為隧道的一個端點。
目前,自愿隧道是最普遍使用的隧道類型。以下,將對上述兩種隧道類型進行詳細介紹。
自愿隧道
當一臺工作站或路由器使用隧道客戶軟件創建到目標隧道服務器的虛擬連接時建立自愿隧道。為實現這一目的,客戶端計算機必須安裝適當的隧道協議。自愿隧道需要有一條IP連接(通過局域網或撥號線路)。使用撥號方式時,客戶端必須在建立隧道之前創建與公共互聯網絡的撥號連接。一個最典型的例子是Internet撥號用戶必須在創建Internet隧道之前撥通本地ISP取得與Internet的連接。
對企業內部網絡來說,客戶機已經具有同企業網絡的連接,由企業網絡為封裝負載數據提供到目標隧道服務器路由。
大多數人誤認為VPN只能使用撥號連接。其實,VPN只要求支持IP的互聯網絡。一些客戶機(如家用PC)可以通過使用撥號方式連接Internet建立IP傳輸。這只是為創建隧道所做的初步準備,并不屬于隧道協議。
強制隧道
目前,一些商家提供能夠代替撥號客戶創建隧道的撥號接入服務器。這些能夠為客戶端計算機提供隧道的計算機或網絡設備包括支持PPTP協議的前端處理器(FEP),支持L2TP協議的L2TP接入集線器(LAC)或支持IPSec的安全IP網關。本文將主要以FEP為例進行說明。為正常的發揮功能,FEP必須安裝適當的隧道協議,同時必須能夠當客戶計算機建立起連接時創建隧道。#p#分頁標題#e#
以Internet為例,客戶機向位于本地ISP的能夠提供隧道技術的NAS發出撥號呼叫。例如,企業可以與某個ISP簽定協議,由ISP為企業在全國范圍內設置一套FEP。這些FEP可以通過Internet互聯網絡創建一條到隧道服務器的隧道,隧道服務器與企業的專用網絡相連。這樣,就可以將不同地方合并成企業網絡端的一條單一的Internet連接。
因為客戶只能使用由FEP創建的隧道,所以稱為強制隧道。一旦最初的連接成功,所有客戶端的數據流將自動的通過隧道發送。使用強制隧道,客戶端計算機建立單一的PPP連接,當客戶撥入NAS時,一條隧道將被創建,所有的數據流自動通過該隧道路由??梢耘渲肍EP為所有的撥號客戶創建到指定隧道服務器的隧道,也可以配置FEP基于不同的用戶名或目的地創建不同的隧道。
自愿隧道技術為每個客戶創建獨立的隧道。FEP和隧道服務器之間建立的隧道可以被多個撥號客戶共享,而不必為每個客戶建立一條新的隧道。因此,一條隧道中可能會傳遞多個客戶的數據信息,只有在最后一個隧道用戶斷開連接之后才終止整條隧道。
■ 高級安全功能
雖然Internet為創建VPN提供了極大的方便,但是需要建立強大的安全功能以確保企業內部網絡不受到外來攻擊,確保通過公共網絡傳送的企業數據的安全。
對稱加密與非對稱加密(專用密鑰與公用密鑰)
對稱加密,或專用密鑰(也稱做常規加密)由通信雙方共享一個秘密密鑰。發送方在進行數學運算時使用密鑰將明文加密成密文。接受方使用相同的密鑰將密文還原成明文。RSA RC4算法,數據加密標準(DES),國際數據加密算法(IDEA)以及Skipjack加密技術都屬于對稱加密方式。
非對稱加密,或公用密鑰,通訊各方使用兩個不同的密鑰,一個是只有發送方知道的專用密鑰,另一個則是對應的公用密鑰,任何人都可以獲得公用密鑰。專用密鑰和公用密鑰在加密算法上相互關聯,一個用于數據加密,另一個用于數據解密。
公用密鑰加密技術允許對信息進行數字簽名。數字簽名使用發送發送一方的專用密鑰對所發送信息的某一部分進行加密。接受方收到該信息后,使用發送方的公用密鑰解密數字簽名,驗證發送方身份。
