欢迎来到天天文库
浏览记录
ID:9500402
大小:57.50 KB
页数:8页
时间:2018-05-01
《vpn隧道协议发展现状》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、VPN隧道协议发展现状~教育资源库 1引言 虚拟专用网(VPN)是通过公众互联网(IP)建立私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种网络技术。VPN兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起,是介于公众网与专用网之间的一种网络。 可以把VPN简单协议划分为两类:隧道协议和其他相关协议。后者包括RADIUS、LDAP、X.509等,本文只介绍隧道协议。IETF与VPN隧道协议相关的研究有三个:PPPExtensionforPPTPand
2、L2TP、IPSecurity和MPLS,已经公布了一些RFC和草案。 1999年8月公布了L2TP标准RFC2661.GRE是由Cisco和NetSmiths等公司1994年提交给IETF的,标号为RFC1701和RFC1702.IPSec系列标准从1995年问世以来得到了广泛的支持,IETF工作组中已制定的与IPSec相关的RFC文档有:RFC2104、RFC2401-RFC2409、RFC2451等。其中RFC2409介绍了互连网密钥交换(IKE)协议;RFC2401介绍了IPSec协议;RFC2402介绍了验证包头(AH);RFC2406介绍了加密
3、数据的报文安全封装(ESP)协议。IPSec的ESP协议和报文完整性协议认证的协议框架已趋成熟,IKE协议也已经增加了椭圆曲线密钥交换协议。MPLS协议本身的制定尚未完成,MPLSVPN目前是IETF和ITU-T等国际标准化组织研究的热点。 2隧道协议简介 2.1L2TP PPTP(点到点隧道协议)是在PLSVPN MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道是十分容易的。同时,MPLS是一种完备的网络技术,可以用它来建立起VPN成员之间简单而高效的VPN.MPLSVPN适用于实现对于服务质量、服务等级划分以及网络资源的利用率,网络的可
4、靠性有较高要求的VPN业务。用户边缘(CE)路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。CE路由器不使用MPLS,它可以只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。提供者边缘(PE)路由器是与用户CE路由器相连的服务提供者边缘路由器。PE实际上就是MPLS中的边缘标记交换路由器(LER),它需要能够支持BGP协议,一种或几种IGP路由协议以及MPLS协议,需要能够执行IP包检查,协议转换等功能。用户站点是指这样一组网络或多条PE/CE链路接至VPN.一组共享相同路由信息的站点就构成了VPN.一个站点可以同时位于不同的几个
5、VPN之中。 与前面几种VPN技术不同,MPLSVPRN网络中的主角虽然仍然是边缘路由器(此时是MPLS网络的边缘LSR),但是它将需要公共IP网内部的所有相关路由器都能够支持MPLS,所以这种技术对网络有较为特殊的要求。 2.4GRE 通用路由协议封装(GRE)规定了如何用一种网络协议去封装另一种网络协议的方法。 3隧道技术要求 隧道类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点
6、访问企业网络。通过隧道的建立,可实现以下功能: ●将数据流量强制到特定的目的地; ●隐藏私有的网络地址; ●在IP网上传输非IP协议数据包; ●提供数据安全支持; ●协助完成用户基于AAA的管理。 在安全方面可提供数据包认证、数据加密以及密钥管理等手段。 4隧道协议剖析 4.1二层和三层隧道协议 二层和三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第二层隧道技术的起始点在网络接入服务器(NAS),终点在用户网设备(CPE)上。另外,在隧道内整个PPP帧都封装在内,PPP会话要贯穿到CPE界内的网关或服务器上。第三层隧道技术的
7、起点及终点均在ISP界内,PPP会话终止NAS内,只携带第三层报文体,终接设备同时也作为CPE的网关。 第三层隧道与第二层隧道相比,优点在于它的安全性、可扩展性及可靠性。从安全的角度来看,由于第二层隧道一般终止在用户网设备(CPE)上,会对用户网的安全及防火墙技术提出较严竣的挑战。而第三层的隧道一般终止在ISP的网关上,不会对用户网的安12下一页友情提醒:,特别!全构成威胁。从可扩展性角度来看,第二层IP隧道将整个PPP帧封装在报文内,可能会产生传输效率问题。其次,PPP会话会贯穿整个隧道,并终止在用户网的网关或服务器上。由于用户网内的网关要保存大量的PP
8、P对话状态及信息,这会对系统负荷产生较大的影响,当然
此文档下载收益归作者所有