购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.2 VPN技术干货

隧道技术是VPN技术的核心,按不同的划分标准可以有不同的分类。按照VPN的协议分类,可以分为PPTP、L2TP和IPSec三种协议。其中PPTP和L2TP工作在OSI模型的第二层,属于二层隧道协议;而IPSec工作在OSI模型的第三层,属于三层隧道协议。本节主要对这三种协议进行介绍。

难度:★★

2.2.1 追求速度的PPTP

点对点隧道协议(Point to Point Tunneling Protocol, PPTP)是在PPP(点对点协议)的基础上研发的一种全新的增强型协议,支持多协议虚拟专用网络,也就是VPN。通过密码传输协议、扩展认证协议增强数据传输的安全性,使远程用户拨入ISP(网络业务提供商),直接连接网络或者其他安全网络访问企业网。

公司间的PPTP连接

PPTP允许企业通过私人“隧道”在公共网络上扩展自己的企业网络。实质上,它只需要用户名、密码和服务器地址就可创建连接。PPTP在VPN协议中是速度最快的协议,主要用于流媒体和游戏中。公司和公司之间通过PPTP连接的示例如图2-7所示。

图2-7 公司和公司之间的PPTP连接

因为PPTP作为一个在大部分有VPN功能的平台和设备上都可以无须安装额外软件而使用的标准,至今仍然是企业和VPN供应商们的热门选择。

2.2.2 支持远程接入的L2TP

第二层隧道协议(Layer 2 Tunneling Protocol, L2TP),是一种工业标准的Internet隧道协议(虚拟隧道协议),通过在公共网络上建立点到点的L2TP隧道,将PPP数据帧封装后通过L2TP隧道传输,使得远端用户(比如企业驻外机构和出差人员)利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信,访问企业内部网络资源,从而为远端用户接入私有的企业网络提供了一种安全、经济且有效的通信方式。

L2TP的特点

与前面介绍的PPTP相比,L2TP有如下特点。

● L2TP自身不提供加密与可靠性验证的功能,通常与IPSec(互联网安全协议)协议搭配,从而实现数据的加密传输。

● IPSec提供加密和控制隧道内的数据包,加密端点之间的L2TP数据包。当这两个协议搭配使用时,通常合称为L2TP/IPSec。

2.2.3 值得信赖的IPSec

网络千万条,安全第一条。随着网络规模和复杂度的提升,底层网络的传输安全显得非常重要。通信双方需要一个真正在IP层提供安全性的方法,保证发送和接收的数据是安全的。

互联网安全协议(Internet Protocol Security, IPSec)是一个协议包,通过对IP(网络互连协议)的分组进行加密和认证来保护其网络传输协议簇(一些相互关联的协议集合)。特定的通信双方在IP层通过加密与数据源认证等方式,保证IP数据包在网络上传输的安全性和完整性。

IPSec是为IP网络提供安全性的协议和服务的集合,能为上层协议和应用提供透明的安全服务。所谓透明,就是在整个IPSec的工作过程中,用户是感知不到的。既保证了用户的数据安全,又不给用户添麻烦,这在企业的实际应用中也是比较注重的。

AH协议的组成

IPSec是一组IP安全协议的集合,是一个体系结构,由AH协议、ESP协议、加密和认证算法(即对称加密算法和非对称加密算法)、密钥管理和安全协商几部分组成。

对于AH协议,AH认证头部指一段报文认证代码,在发送IP包之前,它已经被事先计算好。发送方用一个加密密钥算出AH,接收方用同一个或另一个密钥对其进行验证。AH有两种工作模式,分别是传输模式和隧道模式。

在传输模式中,AH位于IP包头后,上层协议包头(比如TCP)前。AH协议的传输模式如图2-8所示。

图2-8 AH协议的传输模式

在隧道模式中,需要生成一个新的IP头,把AH和原来的整个IP包放到新IP包的载荷中。AH协议的隧道模式如图2-9所示。

图2-9 AH协议的隧道模式

ESP协议的组成

ESP提供保密功能和可选择的鉴别服务,将需要保密的用户数据进行加密后再封装到一个新的IP包中。ESP同样有传输模式和隧道模式这两种工作模式。

在传输模式中,ESP位于IP包头后,上层协议包头前。ESP协议的传输模式如图2-10所示。

图2-10 ESP协议的传输模式

在隧道模式中,相对于外层IP包头,也就是新IP包头,ESP的位置与在传输模式中相同。ESP协议的隧道模式如图2-11所示。

图2-11 ESP协议的隧道模式

密钥管理和安全协商

在使用AH或ESP前,先要在主机间建立一条网络层的逻辑连接。此逻辑连接称为安全协商(Security Association, SA)。SA可以手动建立,也可以使用IKE协议建立。SA是一个单向连接,如需进行双向的安全通信则需要建立两个SA。

SA共有两种类型,分别是IKE(Internet Key Exchange,自动密钥管理协议)/ISAKMP SA和IPSec SA。IPSec默认的自动密钥管理协议是IKE。建立并维护ISAKMP SA和IPSec SA是IKE协议的主要任务。IKE协议用了两个阶段分别建立ISAKMP SA和IPSec SA。

● 第一阶段:通信双方彼此建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。

● 第二阶段:在第一阶段建立的安全隧道上,为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA。 dSrRZuyy6RexTXtbUC9n8Dh1vNVgiNLo9Px9D79ySwX/FuIO4M8d9yu1+ongWiXa

点击中间区域
呼出菜单
上一章
目录
下一章
×