目前,VPN主要借助防火墙技术、路由器配以隧道技术、加密协议和安全密钥技术来确保企业员工安全地访问公司网络。
VPN的基本技术是在公用网建一条数据通道(隧道),来传输数据包。隧道协议形成了隧道,协议分为第二层和第三层。第二层隧道协议是先把所有网络协议封装到PPP中,再把全部数据包装进隧道协议中。这种双层封装方法形包需第二层协议传输。该层协议有L2F、PPTP、L2TP等。现在IETF的标准是L2TP协议,由IETF结合PPTP与L2F形成。
第三层隧道协议是把所有网络协议直接装进隧道协议中,形成的数据包依第三层协议传输。该层协议有VTP、IPSec等。IPSec是一组RFC文档构成的,说明一个系统给出安全协议选择和安全算法,规定服务所用密钥等服务,从而在IP层给出安全保障。
封装隧道和加密隧道是形成隧道的两种方法,前者是借助封装协议,分组上层数据来透明封装传输而形成的;后者是借助数据加密,形成数据的透明传输,而形成它的。
加密与封装是非常相关的,前者本身是不能形成隧道的,在被加密分组后一定要封装传输,这样才可以形成加密隧道。形成隧道的方式只有封装。隧道中的数据有明文的,无保护的,有密文的,也有受完整保护的不同方式。加密仅仅是封装协议的一种安全服务。
为使隧道构建的VPN达到人们的所有服务需求,隧道技术应可以给出以下几种服务。
1.数据安全性服务
VPN隧道机制应可以满足不一样级别的安全服务。
2.多协议传输
建构VPN的另一关键动机就是利用现有的网络基础设施,实现异勾网络上分组的传输。人们一般愿意看到隧道机制能达到对一样类型的协议分组封装传输。
3.信号协议
隧道的端点一般是非固定的,它接入也许是暂时、随机的,并且一条隧道通常要跨越不一样的管理域。手动隧道设置甚至是SNMPMIB变量管理和配置是低效且不安全的。规划一个信号协议给隧道机制,来达到它的自动建立、配置、维护和关闭是非常重要的。它明显减少了人为干预,节省了时间和精力,还提高了隧道的安全性。
4.复用
这里的复用含两方面:两个服务提供商之间能同时有多条隧道;在同一条隧道中,能在同一时间封装多个用户会话。
复用的好处是明显的,两个服务商间同一时间有多条隧道,有助于区别通信,来给出不一样的QOs保障,从而优化通信效能;而同一条隧道内封装多条用户会话,则有助于统一管理会话,从而协议的实现效率得意提高。
5.分组排序、分段与重组功能
VPN模拟物理租用网络的功能,而且用户也愿意它能分组排序。能排序的好处是透明实施VPN功能应用及有效实现VPN隧道协议。隧道机制应满足隧道级的分组分段/重组机制,这可以提升系统的效能。隧道级的封装比利用隧道内的上层协议的分段明显更方便。
6.隧道维护功能
一个经典的隧道机制应给出在什么时间建立隧道的规则:是网络开通即永久性建立隧道,还是用管理命令触发或用数据驱动的方式建立。
典型的隧道机制应在隧道的存活时间内动态维护隧道的安全性及有效性。还应明确隧道另一端的存活性的探测方法,便于在对端死时释放本地资源。
7.系统开销最小化
系统开销的节省含带宽和系统处理两种节省,这种优势是明显的。既然VPN隧道只能借助封装达到,系统开销的加大不能避免,因此设计者们要尽可能减少这种开销。
8.QOs的保证
当做一种链路机制,用户也愿意隧道机制能给流量如延迟、吞吐量、优先级等QOS的保证。
