基于PPTP、IPsec、L2TP协议的VPDN业务

目前隧道技术有很多种,但从根本上来讲可分为两类:第二层网络隧道协议PPTP、L2F、L2TP和第三层网络隧道协议GRE、IPsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。在这里将主要介绍三种常用的VPDN协议:PPTP、IPsec和L2TP。

1.基于PPTP协议的VPDN业务

PPTP协议于1996年由3Com公司、Ascend公司、ECI公司、U.SRobotics公司以及Microsoft公司合作开发,用于在Internet上为数据搭建隧道。目前PPTP协议已经内嵌到Windows95/98/NT/以及Windows2000/XP系统中。PPTP协议在一个已存在的IP连接上封装PPP会话,而不管IP连接是如何建立的,也就是说,只要网络层是连通的,就可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。

GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,因此PPTP可以支持所有的协议,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身没有定义加密机制,但它继承了PPP的认证和加密机制,包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE。

PPTPVPDN适用于小型企业的一般接入需求,使用用户对网络安全有一定要求,但不十分严格,PPTP能通过PAP/CHAP提供用户认证;PPTPVPDN实现简单,能在较短时间内完成搭建工作。用户使用PPTPVPDN业务需要部署PPTP VPDN网关,根据不同要求还需要增加网关的集中管理系统,称为PPTP Server。该系统可集中在VPDN网关,也可单独配置一台服务器。PPTP Server支持对网关VPDN和安全策略集中管理、运行监控等功能,有效地简化了VPDN管理的复杂性。PPTP Server还可进行用户的开户、账号修改、账号删除等操作,并对所有账号进行集中统一管理。对于二级单位以及移动用户,不需要安装任何客户端软件,可以利用微软操作系统内嵌的PPTP协议,拨入PPTP VPN接入网关,即可建立一条加密隧道,实现数据的***传输。用户身份的验证带有强制性质,只有通过VPDN安全接入网关身份验证的用户,才能进行安全访问。

2.基于IPsec的VPDN业务

IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间,网络安全网关之间(如防火墙,路由器),或主机与网关之间。

IPsec协议分两种:ESP和AH。这两种协议都可以提供网络安全,如数据源认证(确保接收到的数据是来自发送方),数据完整性(确保数据没有被更改)以及防中继保护(确保数据到达次序的完整性)。除此之外,ESP协议还支持数据的保密性,能够确保其它人无法读取传送的数据,这实际上是采用加密算法来实现的。

IPsec的安全服务要求支持共享钥匙完成认证和/或保密,并且手工输入钥匙的方式是必须要支持的,其目的是要保证IPsec协议的互操作性。当然,手工输入钥匙方式的扩展能力很差,因此在IPsec协议中引入了一个钥匙管理协议,称Internet钥匙交换协议——IKE,该协议可以动态认证IPsec对等体,协商安全服务,并自动生成共享钥匙。

IPsec协议(AH或ESP)保护整个IP包或IP包中的上层协议。IPsec有两种工作方式:传输方式保护上层协议(如TCP);隧道方式保护整个IP包。在传输方式下,IPsec包头加在IP包头和上层协议包头之间;而在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH和ESP都可以工作在传输方式下或隧道方式下。


共3页: 上一页123下一页

相关内容

    暂无相关文章