浅谈络应用之vpn技术

1、浅谈络应用之vpn技术浅谈络应用之vpn技术论文关键词:vpn简介实现技术 论文摘要:重点分析了vpn的实现技术。 随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性，对于企业和一些跨区域专门从事特定业务的部门，从经济实用性、网络安全性、数据传输可靠性上来，看vpn技术无疑是一种不错的选择。下面就vpn技术的实现做一下粗浅的分析: 1vpn简介 虚拟专用网(virtuaiprivatenetwork,vpn)是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。vpn极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。 vpn

2、可分为三大类:(1)企业各部门与远程分支之间的in-tranetvpn;(2)企业网与远程(移动)雇员之间的远程访问(re-moteaccess)vpn;(3)企业与合作伙伴、客户、供应商之间的extranetvpno 在extranetvpn中，企业要与不同的客户及供应商建立联系，vpn解决方案也会不同。因此，企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec、点到点隧道协议(pointtopointtunnelingprotocol,pptp)、第二层隧道协议(layer2tunnelingprotocol,i,2

3、tp)等。 2vpn的实现技术 vpn实现的两个关键技术是隧道技术和加密技术，同时qos技术对vpn的实现也至关重要。 2.1vpn访问点模型 首先提供一个vpn访问点功能组成模型图作为参考。其中ipsec集成了ip层隧道技术和加密技术。 2.2隧道技术 隧道技术简单的说就是:原始报文在a地进行封装，到达b地后把封装去掉还原成原始报文，这样就形成了一条由a到b的通信隧道。目前实现隧道技术的有一般路由封装(generi-croutingencapsulation,gre)i,2tp和pptpo (1)gre gre主要用于源路由和终路由之间所形成的隧道。例如，将通过隧道的报文用一个新的报文头(g

4、re报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时，gre报文头被剥掉，继续原始报文的目标地址进行寻址。gre隧道通常是点到点的，即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点，即一个源地址对多个终地址。这时候就要和下一条路由协议(next-hoproutingprotocol,nhrp)结合使用。nhrp主要是为了在路由之间建立捷径。 gre隧道用来建立vpn有很大的吸引力。从体系结构的观点来看，vpn就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接，配置成一个或多个隧道。在gre隧道技术中人口地址用的是普通

5、主机网络的地址空间，而在隧道中流动的原始报文用的是vpn的地址空间，这样反过来就要求隧道的终点应该配置成vpn与普通主机网络之间的交界点。这种方法的好处是使vpn的路由信息从普通主机网络的路由信息中隔离出来，多个vpn可以重复利用同一个地址空间而没有冲突，这使得vpn从主机网络中独立出来。从而满足了vpn的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族，减少实现vpn功能函数的数量。还有，对许多vpn所支持的体系结构来说，用同一种格式来支持多种协议同时又保留协议的功能，这是非常重要的。ip路由过滤的主机网络不能提供这种服务，而只有隧道技术才能把vpn私有协议从主机网络中隔

6、离开来。基于隧道技术的vpn实现的另一特点是对主机网络环境和vpn路由环境进行隔离。对vpn而言主机网络可看成点到点的电路集合，vpn能够用其路由协议穿过符合vpn管理要求的虚拟网。同样，主机网络用符合网络要求的路由设计方案，而不必受vpn用户网络的路由协议限制。 虽然gre隧道技术有很多优点，但用其技术作为vpn机制也有缺点，例如管理费用高、隧道的规模数量大等。因为gre是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的每次隧道的终点改变，隧道要重新配置。隧道也可自动配置，但有缺点，如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路，会极大恶化路由的效率。除此之外，通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话，就会影响路由发送速率的能力及服