于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)_圖文

1、大連理工大學碩士學位論文基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn) 姓名:于海深申請學位級別:碩士專業(yè):軟件工程指導教師:江賀20050521大連理.大學碩士學位論文摘 要虛擬專用網(wǎng)(VPN被定義為通過一個公用網(wǎng)絡建立一個臨時的、安全的連接,是 一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。承載在VPN上的數(shù)據(jù)應該與P骨干網(wǎng) 沒有任何關系,可以實現(xiàn)不透明包傳輸。VPN的實現(xiàn)必須通過某種類型的隧道機制,以 便VPN的數(shù)據(jù)包格式以及編址能夠與P骨干網(wǎng)上的數(shù)據(jù)包互不相干。VPN可以在VPN 作用的范圍內(nèi)提供一定程度數(shù)據(jù)安全保障。本文所研究的是軟件VPN產(chǎn)品,使用的是安 全套接層(SSL協(xié)議。C/S結構的S

2、SL VPN會提供更靈活的網(wǎng)絡安全解決方案,國內(nèi) 外同類產(chǎn)品都處于起步階段,目前還沒有成熟的產(chǎn)品。本課題的任務是獨立研發(fā)VPN的體系結構并設計功能模塊。網(wǎng)絡數(shù)據(jù)包過濾是VPN 系統(tǒng)必需的底層模塊之一,然而在VPN的相關技術資料中關于這方面的介紹極其匱乏。 本文將討論如何過濾網(wǎng)絡層數(shù)據(jù)包,在數(shù)據(jù)包過濾基礎上分析如何實現(xiàn)VPN數(shù)據(jù)包封 裝。通過協(xié)議轉(zhuǎn)換將數(shù)據(jù)包嵌入SSL協(xié)議記錄層,被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所 經(jīng)過的邏輯路徑被稱為“隧道”。本文深入剖析VPN隧道的概念,在分析結果上結合實 際提出隧道對接模塊的概念。在本文中將詳述所開發(fā)的VPN系統(tǒng)的功能模塊,以及如何 設計這些功能模塊來實現(xiàn)該V

3、PN工程。對SSL隧道模塊進行詳細的分析,并結合實際 開發(fā)過程,說明如何使用Winpcap和Opcnssl實現(xiàn)VPN隧道的主要功能的原理。本文還 針對VPN網(wǎng)關服務器效率問題引入多線程同步與單線程異步模式之間的比較,對多線程 并發(fā)問題進行了深入的探討,同時分析了部分windows平臺上實現(xiàn)同步阻塞的技術,并 輔以設計過程中的UML構件圖和順序圖來解釋服務器的多線程設計。改進了VPN網(wǎng)關 的多線程設計,保證了多個隧道線程之間的高質(zhì)量的數(shù)據(jù)交換,提高VPN的性能。 本文所研究的內(nèi)容是實際開發(fā)VPN系統(tǒng)的技術總結,同時對該VPN項目的進一步 丌發(fā)起指導作用。本文所著重討論的VPN底層數(shù)據(jù)包過濾技術、

4、多線程之間數(shù)據(jù)交換的 解決方法以及隧道對接的概念對于同類網(wǎng)絡安全產(chǎn)品的開發(fā)都具有一定的應用價值和意 義。關鍵詞:虛擬專用網(wǎng);安全套接層;隧道技術基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)Design and Realization ofVirtual Private NetworkBased Oil SSL Tunnel TechnologyAbstractThe Viaual Private Network is deftned in order to set up a temporary,safe connection through a public network;it is a sec

5、urity and steady tunnel cmssing the confused public network. The data carried on VPN should not have any relation with the public IP network.It can realize the nontrans!carent transmission of data packet.The realization of VPN must use some kind of ttt!-lnel mechanisms.So that data packet ofVPN form

6、at as well as the address is irrelevant with the data packets carried on the public IP network.VPN call offer certain data security within the range ofVPN,眥s thesis concentrates on soRware VPN system,using SSL(security Socket Layerprotoc01.砥s kind ofClient/Server SSL VPN can provide more flexible so

7、lution曲out network sag;urity,There is no mature product ofthis kind ofVPN intemational矗eld.T11is essay's task is to develop and research血e VPN arc陸tccture and design the modules ofVPN.The network packet filter is an essential basic module ofVPN system.however there is few issue in this field ofi

8、nformation that concerning VPN.In this text,the way offilter packet carried on network layer will be discussed,meanwhile witl aRatyses how to realize the encapsulation of VPN packet.nle packet is injected into the record layer of SSL through protocol convemioil.The logical path ofthat the encapsulat

9、ed packets pass iscalled tunnel,This thesis construes the VPN tunnel concept deeply,and educes a result with tunnel entry module based oll development.In this text,the functional modules of the developed VPN system are descfibed in detail.There is description ofdesigning these functional modules洫ord

10、er to realize the VPN project.The SSL module is analyzed particularly.It Presents the practical development for instance of principle how to use Winpcap and Openssl to realize essential functions ofthe VPN tunnel.To solve the problem of the server's performance,the comparison between multithread

11、ing synchronization and singlethreading asynchronism is explained i11this text.The mulfithreading is discussed deeply,meanwhile some synchronization blocking technologies used onwindows platform is analyzed assisted with some UML diagrams such as component diagram and sequence diagram in order to ex

12、plain the multithreading design ofthe server.Improved on the design ofN gatewa37s multithreading,it guarantees the higll quaiity data exchange oftunnel multithreads and enhance the VPNs performance.111e content ofthis articles research is a conclusion ofdeveloping the VPN systern.at the same time it

13、 can be direction of the farther development ofthisN projeet.What are 一.人連理r人學碩士學位論文emphasized in this article,such as the packet filter technology of VPNs substratc,solution of data exchange between multithreads and the concept oftunnel-threads-joint,have useful value and meaning in developing same

14、 type ofnetwork's security software.Key Words:Virtual Private Network;Security SocketLayer:Tunnel Technology .一獨創(chuàng)性說明作者鄭重聲明:本碩士學位論文是我個人在導師指導下進行的研究 工作及取得研究成果。盡我所知,除了文中特別加以標注和致謝的地方 外,論文中不包含其他人已經(jīng)發(fā)表或撰寫的研究成果,也不包含為獲得 大連理工大學或其他單位的學位或證書所使用過的材料。與我一同工作 的同志對本研究所做的貢獻均已在論文中做了明確的說明并表示了謝 意?；赟SL隧道技術的虛擬專H|網(wǎng)設計與實現(xiàn)

15、本學位論文作者及指導教師完全了解“大連理工大學碩士、博士學位論文版權使用 規(guī)定”,同意大連理工大學保留并向國家有關部門或機構送交學位論文的復印件和電子 版,允許論文被查閱和借閱。本人授權大連理工大學可以將本學位論文的全部或部分內(nèi) 容編入有關數(shù)據(jù)庫進行檢索,也可采用影印、縮印或掃描等復制手段保存和匯編學位論 文。作者簽名導師簽名于酒派竺年三月衛(wèi)目大連理工大學碩士學位論文1緒論1.1課題的來源基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)課題屬于計算機科學軟件工程中網(wǎng) 絡通訊與網(wǎng)絡安全領域。在實施“盤錦市稅銀聯(lián)網(wǎng)系統(tǒng)”項目過程中對自主技術的V'PN 系統(tǒng)的迫切需求而設立了該課題。本課題在分析和比

16、較目前VPN最新發(fā)展趨勢的基礎上,采用基于SSL隧道技術實 現(xiàn)C/S架構的VPN,并將把成果應用到“稅銀聯(lián)網(wǎng)系統(tǒng)中”。解決網(wǎng)絡用戶進行網(wǎng)絡報 稅所側(cè)重的安全性和可靠性需求。1.2國內(nèi)夕阿究概況及發(fā)展趨勢我國越來越多的行業(yè)和企業(yè)用戶開始逐漸熟悉和使用VPN產(chǎn)品。VPN已經(jīng)成為中 國市場的主流消費產(chǎn)品之一。VPN已成為各種大中型企業(yè)級解決方案的主要部分。 VPN的基礎是各種安全協(xié)議。近幾年出現(xiàn)的一些新的網(wǎng)絡協(xié)議,如點對點隧道協(xié)議 (PPTP1、第二層隧道協(xié)議(L2TP2、安全IP(IPSec3協(xié)議、安全套接層(SSL4】 協(xié)議等,都在各種VPN系統(tǒng)中得以應用。目前IPSec VPN在國內(nèi)市場上應用

17、較多。一般都是IPSec VPN集成防火墻產(chǎn)品配合 使用。自20世紀90年代末以來,基于IPSec協(xié)議的VPN模式成為企業(yè)VPN的主流。 但由于IPSecVPN的一些缺點和不足,國內(nèi)外的VPN研發(fā)都在尋找新的技術。VPN領域里還有新發(fā)展的比較熱門的兩種技術。MPLS(MultiprotocolLabelSwitch, 多協(xié)議標簽交換【5VPN和基于SSL的VPN。MPLS VPN在國內(nèi)外的發(fā)展勢頭強勁。BGP/MPLS vPN5,61可以作為傳統(tǒng)的基于二 層吲專線的VPN、純?nèi)龑拥腎P VPN和隧道方式的VPN的替代技術,是未來構建VPN 技術的發(fā)展方向。但是由于VPN路由存在于PE路由器上,

18、由運營商代替用戶維護路由, 所以對于一些網(wǎng)絡安全意識較高的高端用戶,他們更傾向于使用傳統(tǒng)的二層VPN技術或 者新興的Layer281MPLS VPN。SSL的發(fā)展很快,國內(nèi)外已經(jīng)出現(xiàn)很多SSLVPN產(chǎn)品。就技術上而言,國內(nèi)在SSL VPN產(chǎn)品的研發(fā)上還處于應用層開發(fā)。少有自主實現(xiàn)SSL協(xié)議的VPN產(chǎn)品。很多SSL VPN硬件設備中使用的是國外生產(chǎn)的SSL加速芯片。但是可以預見,SSL VPN將在中基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)國市場蓬勃發(fā)展。根據(jù)市場分析,到2006年80%的公司都會使用SSL作為遠程接入手 段之一9。1.3本課題的研究的理論和技術、研究方法和內(nèi)容1.3.1課題應用的

19、理論依據(jù)(1軟件工程理論。軟件生命周期的內(nèi)容屬于軟件工程理論,從提出項目計劃開始, 就應用軟件工程理論。將項目需求分析,系統(tǒng)設計,系統(tǒng)實現(xiàn),系統(tǒng)維護等軟件生命周 期的相關內(nèi)容做好計劃和準備。應用瀑布模型,并在瀑布模型的基礎上結合極限編程的 少量特點作為該項目的軟件生命周期模型。(2面向?qū)ο罄碚?。在系統(tǒng)分析與設計過程中,應用面向?qū)ο罄碚?。包括面向?qū)ο?分析(OOA方法、面向?qū)ο笤O計(OOD方法。在面向?qū)ο蠼５倪^程中使用UML 建模工具。C/S結構的VPN按照功能模塊建模成若干構件,再對構件進行更詳細的面向 對象分析和設計。分別對客戶端、服務端、隧道模塊、前端模塊等部分的類設計、數(shù)據(jù) 流、活動狀

20、態(tài)等等做更細致的建模。(3信息安全理論。VPN系統(tǒng)通常屬于網(wǎng)絡信息安全解決方案的一部分。信息安 全技術的一個重要變化是由于網(wǎng)絡和通信設施的產(chǎn)生和應用引起的。這些網(wǎng)絡和通信設 施用來在用戶各種終端以及計算機之間傳輸數(shù)據(jù)信息,這個傳輸過程很容易受到非法竊 聽等攻擊,這就需要對在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)采取安全的保護措施。VPN、SSL等技術就 是針對這種需求發(fā)展起來的。1.3.2課題采用的基本技術(1數(shù)據(jù)包過濾技術。過濾數(shù)據(jù)包的需求一般來自于過濾、轉(zhuǎn)換協(xié)議、截取報文分 析等。過濾型的應用比較多,典型為包過濾型防火墻。轉(zhuǎn)換協(xié)議的應用局限于一些特定 環(huán)境。比如第三方開發(fā)網(wǎng)絡協(xié)議軟件,不能夠與原有操作系統(tǒng)軟件融

21、合,只好采取“嵌 入?yún)f(xié)議棧的塊”(Brrs10方式實施。截取包用于分析的目的, “截包”一般表示有 截斷的能力, “抓包”只需要能夠獲取即可。實現(xiàn)上一般作為協(xié)議層實現(xiàn)。本文將研究 如何過濾VPN內(nèi)部數(shù)據(jù)包,通過協(xié)議轉(zhuǎn)換將數(shù)據(jù)包嵌入SSL協(xié)議記錄層,并分析如何 實現(xiàn)VPN服務器報文分析。(2網(wǎng)絡安全技術。V'PN是在不安全的Interact中通信,通信的內(nèi)容可能涉及企 業(yè)的機密數(shù)據(jù),因此其安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交 換與管理組成。.2.大連理工大學碩士學位論文(3隧道技術。隧道技術的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)(可以是 ISO七層模型中的數(shù)據(jù)鏈

22、路層或網(wǎng)絡層數(shù)據(jù)作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)?數(shù)據(jù)格式中,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,取出負載。被封裝的數(shù)據(jù)包 在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。要使數(shù)據(jù)順利地被封裝、傳送及 解封裝,通信協(xié)議是保證的核心。(4UML建模。UML是面向?qū)ο蠹夹g領域內(nèi)占主導地位的建模語言。通過使用 UML建模,把設計的VPN部署結構和VPN系統(tǒng)的行為溝通起來,并對系統(tǒng)的體系結構 進行可視化控制。在實現(xiàn)階段使用設計階段的建?？梢愿玫睦斫庹跇嬙斓南到y(tǒng),并 在簡化和復用的時候提供完整性依據(jù)。在代碼重構的時候保證正確性。同時UML建模 還可以管理風險11。1.3.3本文采用的研究方法

23、(1理論與實踐相結合。本文論述SSL隧道的技術理論的同時,將實現(xiàn)大量實例。同時分析其它隧道協(xié)議的 技術,結合相應的編程技術實現(xiàn)一些模塊的改進方案。(2從整體分析到重點設計。在開發(fā)SSLVPN系統(tǒng)的過程中,靈活運用各種理論知識,從設計的初期做到照顧到 全局的接口部分,同時完善VPN系統(tǒng)SSL隧道需要重點解決的問題。在做到提高現(xiàn)有 管理功能的基礎上,提供可擴展的接口,從而為升級和維護做準備。1.3.4本論文內(nèi)容結構本論文的內(nèi)容結構有三個特點。采用由整體到細節(jié)進行理論分析,由上層到底層進 行系統(tǒng)分析,再由系統(tǒng)設計到實現(xiàn)實施開發(fā)過程。第一章引言部分講述了該課題的來源 和研究思路。第二章詳細分析VPN系

24、統(tǒng)的相關內(nèi)容,為SSL VPN項目的功能需求分析 做準備。第三章分析SSL協(xié)議的同時分析SSL VPN的安全性需求。第四章主要講述數(shù) 據(jù)包過濾技術。第五章是系統(tǒng)設計部分,分別從系統(tǒng)模塊、UML建模、SSL隧道模塊、 實現(xiàn)多線程幾個方面論述VPN系統(tǒng)設計內(nèi)容。第六章是主要隧道構件的設計和實現(xiàn)部 分,將說明一些程序設計和實現(xiàn)的細節(jié)。最后是總結。一3一基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)隨著信息化辦公的日益普及和企業(yè)規(guī)模的不斷擴大,許多企業(yè)都在多個不同地方建 立了分支機構,而且與供應商、合作伙伴的合作也是越來越密切了,如何在企業(yè)中建立 遠程移動、分支機構、供應商、合作伙伴和公司總部互聯(lián)的網(wǎng)絡系統(tǒng)

25、已成為大勢所趨。而 建設這些所需安全和費用,一直是困擾眾多中小型企業(yè)的難題,還有如何保證數(shù)據(jù)的傳 輸安全和數(shù)據(jù)的完整陛,也是一個非常關鍵的問題。虛擬專用網(wǎng)(VPN被定義為通過一個公用網(wǎng)絡(通常是因特網(wǎng)建立一個臨時的、 安全的連接,是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。VPN是對企業(yè)內(nèi)部網(wǎng)的 擴展。VPN可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立 可信的安全連接,并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡上,一個 企業(yè)的VPN解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡連接上的費用。同 時,這將簡化網(wǎng)絡的設計和管理,加速連接新的用戶和網(wǎng)站。另外,VPN

26、還可以保護現(xiàn) 有的網(wǎng)絡投資。隨著用戶的商業(yè)服務不斷發(fā)展,企業(yè)的VPN解決方案可以使用戶將精力 集中到自己的生意上,而不是網(wǎng)絡上。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接 入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有 效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)VPN。2.1VPN基礎和工作原理根據(jù)TF【12草案,基于疋的VPN為“使用P機制仿真出個是有的廣域網(wǎng)”。 可以理解為以下兩點。第一,虛擬VPN是指VPN網(wǎng)絡用戶之間不需要架設相應的符合 邏輯線路的物理長途數(shù)據(jù)線路,而是使用因特網(wǎng)公眾數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。第二, 專用網(wǎng)絡,意味著VPN網(wǎng)絡連接和業(yè)務是針對用戶

27、需要定制的,該網(wǎng)絡對公眾數(shù)據(jù)網(wǎng)絡 是邏輯上有層次的或者分離的。 因此可以理解VPN為通過是有隧道技術在公共數(shù)據(jù)網(wǎng) 絡上仿真的一種點到點的專線技術。2.1.1VPN的基本功能根據(jù)/ETFR.FC276412,13的說明,任何IP VPN的實現(xiàn)都必須具有以下基本功能。 (1不透明包傳輸承載在VPN上的數(shù)據(jù)應該與P骨干網(wǎng)沒有任何關系。一方面,VPN的傳輸協(xié)議可 能是多種協(xié)議的,甚至用戶數(shù)據(jù)可能是多種協(xié)議的。另一方面,VPN用戶所使用的虛擬 P地址應與骨干網(wǎng)絡節(jié)點所使用的口地址不重復。這兩方面保證了VPN的使用不會對.d.大連理工大學碩士學位論文用戶物理網(wǎng)絡所使用的網(wǎng)絡協(xié)議和編址方式做出任何限制,實現(xiàn)

28、了VPN數(shù)據(jù)包骨干P 網(wǎng)絡中傳輸?shù)牟煌该鳌?2隧道VPN的事先必須通過某種類型的隧道機制,以便VPN的數(shù)據(jù)包格式以及編址能夠 與P骨干網(wǎng)上的隧道包互不相干。VPN的部署可以使用多種隧道結構。隧道的實現(xiàn)可以 使用多種協(xié)議,可以提供某種程度的數(shù)據(jù)安全保證。但是在同一個VPN域內(nèi)只可以使用 一種隧道協(xié)議。另外,這樣的隧道機制可以隨著P數(shù)據(jù)流量管理機制的發(fā)展而發(fā)展。 (3數(shù)據(jù)安全VPN可以在VPN作用域范圍內(nèi)的一定程度數(shù)據(jù)安全保障。同時VPN應該提供分層 次的數(shù)據(jù)安全保障,這一點通過訪問權限控制和隧道連接管理實現(xiàn)。在VPN作用域范圍 之外的用戶數(shù)據(jù)安全由用戶負責。用戶可以根據(jù)數(shù)據(jù)的安全敏感程度來選擇使

29、用VPN。 大多數(shù)情況下,VPN數(shù)據(jù)的安全性還取決于用戶網(wǎng)絡所使用的防火墻等網(wǎng)絡實施方面的 因素。(4QoS(Quality ofService14,15服務質(zhì)量保證VPN在更廣的范圍內(nèi)采用之后,市場也一定需要這樣的保證,以便能夠保證端到端 的應用透明性。P VPN的QoS保證主要依賴于P骨干網(wǎng)基礎設施的響應能力,隨著p QoS技術的發(fā)展,VPN也必將利用這些手段使VPN具有QoS保證的能力。2.1.2VPN的工作原理通過VPN的定義可知,VPN就是通過共享公共網(wǎng)絡在兩臺機器或兩個網(wǎng)絡之間建 立的專用連接。實際上,VPN技術是組織可以安全的通過因特網(wǎng)將網(wǎng)絡服務延伸至遠程 用戶、分支機構和合作公

30、司。把因特網(wǎng)用作專用廣域網(wǎng),需要克服兩個主要障礙。首先,網(wǎng)絡經(jīng)常使用多種協(xié)議, 但因特網(wǎng)只能處理口流量。所以,VPN就需要提供一種方法,將非P協(xié)議從一個網(wǎng)絡 傳送到另一個網(wǎng)絡。其次,網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸,因而,只要看得到因特 網(wǎng)流量,就能讀取包內(nèi)所含數(shù)據(jù)。如果希望利用因特網(wǎng)傳輸重要的商業(yè)機密信息,這顯 然是一個問題。VPN克服這些障礙的辦法就是采用了隧道技術:數(shù)據(jù)包不是公開在網(wǎng)上傳輸,而是 首先進行加密以確保安全,然后由V'PN封裝成P包的形式,通過隧道在網(wǎng)上傳輸,如 圖2.1所示。一5-基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)網(wǎng)絡上的一個VPN用戶端接入VPN網(wǎng)關(或稱作V

31、PN服務器,兩者協(xié)商一致的 隧道協(xié)議,包括加密方案和IP分配。當?shù)卿沄PN的用戶有訪問VPN網(wǎng)絡內(nèi)容的數(shù)據(jù)包 時,用戶端使用協(xié)商好的隧道協(xié)議封裝數(shù)據(jù)包。封裝數(shù)據(jù)包的隧道協(xié)議可以提供多種驗 證強度,比如有用戶名和口令的弱驗證,還有用證書的強驗證,以及口令加證書(或者 USBkey和智能卡等的多因素驗證。封裝好的數(shù)據(jù)包使用珥協(xié)議,不管原數(shù)據(jù)包時何種協(xié)議,它都能在純P因特網(wǎng)上 傳輸。又因為數(shù)據(jù)包進行了加密。保證了原始數(shù)據(jù)不會泄露。當數(shù)據(jù)包通過公共網(wǎng)絡到達目標網(wǎng)絡VPN網(wǎng)關或者目標用戶VPN終端,都可以根 據(jù)VPN隧道協(xié)議對數(shù)據(jù)包進行解密,解密后的數(shù)據(jù)包在目標網(wǎng)絡到達最終目標終端。 根據(jù)不同的VPN部

32、署情況,有兩種隧道結構,一種是VPN用戶終端之間點對點的 隧道。這種情況下,點到點之間的連接就是隧道。一種是通過VPN網(wǎng)關或服務器對接的 隧道。這種青況下,VPN終端到VPN服務器之間的連接就是隧道。圈2.1VPN的隧道概念H孚2.1Abstract ofVPN tunnel .6.大連理工大學碩士學位論文2.1.3VPN的特點VPN提供了安全、可靠的Internet訪問通道,而且VPN能提供專用線路類型服務, 是方便快捷的企業(yè)私有網(wǎng)絡。節(jié)省了企業(yè)建立自己的廣域網(wǎng)和維護的開銷。由于VPN的 出現(xiàn),用戶可以從以下幾個方面獲益:實現(xiàn)網(wǎng)絡安全。高度的安全|生對于現(xiàn)在的網(wǎng)絡是極其重要的。新的服務如在線

33、銀行、 在線交易都需要絕對的安全,而VPN以多種方式增強了網(wǎng)絡的智能和安全性。簡化網(wǎng)絡設計。網(wǎng)絡管理者可以使用VPN代替租用線路來實現(xiàn)分支機構的連接。這 樣就可以將遠程鏈路的安裝、配置和管理的任務減少,極大地簡化企業(yè)廣域網(wǎng)的設計。 減低成本。VPN可以節(jié)省建設廣域網(wǎng)的大量人力物力開銷。可以降低移動用戶通信 成本、租用線路成本和設備成本。容易擴展。由于VPN是虛擬的專用網(wǎng),因此擴展網(wǎng)絡容量和覆蓋范圍只需對VPN 進行配置和更新,一般很少做網(wǎng)絡物理結構上的改動?？呻S意與合作伙伴聯(lián)網(wǎng)。4削k2_間聯(lián)網(wǎng),V'PN相比專用網(wǎng),VPN省去了企業(yè)之間 協(xié)商建立租用線路或禎中繼線路的麻煩。支持新應用。

34、專用網(wǎng)必須更新升級或者徹底改造才有可能支持互聯(lián)網(wǎng)絡新的業(yè)務應 用,而VPN因為是建立在IP骨干網(wǎng)絡上的虛擬專用網(wǎng),因此VPN對新業(yè)務應用的支持 與骨干網(wǎng)絡支持能力樣。同時VPN還存在以下不足:數(shù)據(jù)包進入VPN隧道需要一個加密過程,因此VPN的網(wǎng)絡連接速度和數(shù)據(jù)吞吐量 受隧道處理能力的限制,一般比實際接入網(wǎng)絡的速度慢一倍以上。數(shù)據(jù)包的安全性與所使用的隧道協(xié)議和加密算法有關,不能達到理想狀態(tài)的專用線 路的安全性。不同廠商VPN產(chǎn)品的協(xié)議和工作原理不同,導致使用VPN技術沒有統(tǒng)一標準。 2.2VPN的體系結構2.2.1VPN的應用根據(jù)用戶使用的情況和應用環(huán)境的不同特點,VPN技術大致分為三種典型的應

35、用方 式,即:內(nèi)聯(lián)網(wǎng)VPN、外聯(lián)網(wǎng)VPN和遠程接入VPN業(yè)務。內(nèi)聯(lián)網(wǎng)VPN內(nèi)聯(lián)網(wǎng)VPN應用主要是實現(xiàn)用戶內(nèi)部網(wǎng)絡各LAN的安全互聯(lián)。.7.基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)在VPN技術出現(xiàn)以前,如果企業(yè)的兩個異地的局域網(wǎng)想要互聯(lián),就需要租用專線。 租用專線的成本很高,如果兩個局域網(wǎng)絡是跨國的,這種租用專線的成本將不可想象。圖2.2內(nèi)聯(lián)網(wǎng)VPNFig.2.2Inner VI'N應用內(nèi)聯(lián)網(wǎng)VPN連接異地的局域網(wǎng)絡,建立各分支機構的安全的連接,只需各分支 機構和網(wǎng)絡服務供應商的網(wǎng)絡服務成本。不再需要昂貴的專線連接。同時輕而易舉的就 增強了企業(yè)的地域覆蓋能力。內(nèi)聯(lián)網(wǎng)VPN如

36、圖2.2所示。外聯(lián)網(wǎng)VPN外聯(lián)網(wǎng)悄應用主要是將Intcmvt在范圍上向外擴展,將若干個企業(yè)的Intranet VPN 結合起來構成一個大的虛擬企業(yè)內(nèi)部網(wǎng)絡,從而為企業(yè)與他的業(yè)務伙伴提供靈活、安全 的連接。外聯(lián)網(wǎng)VPN業(yè)務用于將公司與外部供應商、客戶及其他利益相關群體相連接。外聯(lián) 網(wǎng)VPN是公司與其它供應商、銷售商和客戶之間能進行電子商務等活動,其最主要的好 處是改善提供商務服務的速度和效率。外聯(lián)網(wǎng)VPN的基本拓撲如圖2-3所示。 .8.大連理工大學碩士學位論文圖23外聯(lián)網(wǎng)VPNFig.2.3Exteraal VPN遠程接入VPN遠程接入VPN拼0用公共網(wǎng)絡的撥號及接

37、入網(wǎng),實現(xiàn)虛擬專用網(wǎng),為企業(yè)、小型ISP、 移動辦公人員提供接入服務。VPN的一個基本應用就是滿足漫游用戶訪問企業(yè)網(wǎng)絡資源的要求。遠程用戶有時需 要訪問企業(yè)內(nèi)部網(wǎng)的高層應用軟件和各種企業(yè)內(nèi)部資源,以往的解決方法是企業(yè)設置網(wǎng) 絡接入服務器,移動用戶長途撥號的方式接入公司內(nèi)部業(yè)務網(wǎng)。這種方法需要額外的建 網(wǎng)成本和長途通信費用。通過接入VPN提供的移動用戶接入企業(yè)網(wǎng)的業(yè)務充分利用了因特網(wǎng)資源,通過共享 的m網(wǎng)絡承載用戶業(yè)務,使業(yè)務成本大大降低。但是這種使用方式也帶來了安全問題, 用戶的數(shù)據(jù)流在共享P網(wǎng)絡中傳遞,容易被別人監(jiān)聽和攔截,也容易被黑客偽冒攻擊, 因此在漫游用戶的使用過程中,可以選擇使用多種

38、驗證、授權、加密機制,以最大限度 的防治受到攻擊。使用VPN后的拓撲方案如圖24 9-基于SSL隧道技術的虛擬專用阿設計與實現(xiàn)圖2.4遠秸裝入V'PNFig.2.4Remote access VPN2_22實現(xiàn)VPN的協(xié)議VPN中的隧道是由隧道協(xié)議形成的,VPN使用的隧道協(xié)議主要有三種:點到點隧道 協(xié)議(PPTP、第二層隧道協(xié)議(L2TP以及IPSee。PPTP封裝了PPP數(shù)據(jù)包中包含的用戶信息,支持隧道交換。隧道交換可以根據(jù)用 戶權限,開啟并分配新的隧道,將PPP數(shù)據(jù)包在網(wǎng)絡中傳輸。另外,隧道交換還可以將 用戶導向指定的企業(yè)內(nèi)部服務器。PPTP便于企業(yè)在防火墻和內(nèi)部服務器上實施訪問控

39、 制。位于企業(yè)防火墻16,17道終端器接受包含用戶信息的PPP數(shù)據(jù)包,然后對不同來源 的數(shù)據(jù)包實施訪問控制。L2TP協(xié)議綜合了唧P協(xié)議和L2F18(Layer 2Forwarding協(xié)議的優(yōu)點,并且支持 多路隧道,這樣可以使用戶同時訪問Intemet和企業(yè)網(wǎng)。IPSec是用來增強VPN安全陛的標準協(xié)議。PSec包含了用戶身份認證、查驗和數(shù) 據(jù)完整性等內(nèi)容。該協(xié)議標準由IETF組織制訂,其中規(guī)定了用以在兩個口工作站之間 進行加密、數(shù)字簽名等而使用的一系列邛級協(xié)議。IPSec實現(xiàn)來自不同廠商的設備在進 .10.大連理工大學碩士學位論文行隧道開通和終止時的互操作。另外,由于IPSec的安全性功能與密

40、鑰管理系統(tǒng)松散耦 合,所以當密鑰管理系統(tǒng)發(fā)生變化時,IPSec的安全機制不需要進行修改?；贛PLS的VPN是一種基于網(wǎng)絡的新型VPN解決方案,它要求廣域網(wǎng)支持 MPLS,利用MPLS的標記交換在廣域網(wǎng)絡上為VPN用戶提供虛擬連接。MPLS VPN的 優(yōu)點是全網(wǎng)統(tǒng)一管理的能力很強,由于MPLS VPN是基于網(wǎng)絡的,全部的VPN網(wǎng)絡配 置和VPN策略配置都在網(wǎng)絡端完成,可以大大降低管理維護的開銷。rrUT形成的基于網(wǎng)絡IP VPN草案中提出了關于基于MPLS的IP VPN技術要求, 在業(yè)務提供商的網(wǎng)絡中采用m技術,且骨干網(wǎng)用MPLS,對于IP VPN業(yè)務只能在邊緣 設備上提供,而對于骨干設備,I

41、P VPN業(yè)務是透明的,這樣才有利于可擴展性。采用SSL協(xié)議實現(xiàn)的VPN是最熱門的VPN解決方案。SSL的驗證與數(shù)據(jù)加密功能 子集可以提供VPN的數(shù)據(jù)安全性保證。同時SSL協(xié)議使得SSLVPN能對加密隧道進行 細分,從而使得終端用戶能夠同時接入Intemet和訪問內(nèi)部企業(yè)網(wǎng)資源,也就是說它具備 可控功能。另外,SSL VPN還能細化接入控制功能,易于將不同的訪問權限賦予不同用 戶,實現(xiàn)伸縮性訪問;這種精確的接入控制功能對遠程接入IPSec VPN來說幾乎是不可 能實現(xiàn)的。基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)3.1SSL協(xié)議隨著計算機網(wǎng)絡技術向整個經(jīng)濟社會各層次延伸,整個社會表現(xiàn)對Intem

42、et、Intranet、 Extranet等使用的更大的依賴性。隨著企業(yè)間信息交互的不斷增加,任何一種網(wǎng)絡應用和 增值服務的使用程度將取決于所使用網(wǎng)絡的信息安全有無保障,網(wǎng)絡安全已成為現(xiàn)代計 算機網(wǎng)絡應用的最大障礙,也是急需解決的難題之一。由于Web上有時要傳輸重要或敏感的數(shù)據(jù),因此Netseape公司在推出w曲瀏覽器 首版的同時,提出了安全通信協(xié)議SSL(SeeureSocketLayer,目前已有2.0和3.O版本。SSL 采用公開密鑰技術。其目標是保證兩個應用間通信的保密性和可靠性,可在服務器和客戶 機兩端同時實現(xiàn)支持。目前,利用公開密鑰技術的SSL協(xié)議,并已成為Intemet上保密 通

43、訊的工業(yè)標準?，F(xiàn)行web瀏覽器普遍將HTTP和SSL相結合,從而實現(xiàn)安全通信。 3.¨SSL協(xié)議概述安全套接層協(xié)議(SSL是在Internet基礎上提供的一種保證私密性的安全協(xié)議。它 能使客戶朋艮務器應用之間的通信不被攻擊者竊聽,并且始終對服務器進行認證,還可選 擇對客戶進行認證。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議19-22】(例如:TCP之上。 SSL協(xié)議的優(yōu)勢在于它是與應用層協(xié)議獨立無關的。高層的應用層協(xié)議(例如:m耶-, FTP,TEL.NET能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應用層協(xié)議通信之前就 已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務器認證工作。在此之后應用層協(xié)議

44、所傳送 的數(shù)據(jù)都會被加密,從而保證通信的私密性。JSSL握手協(xié)議 SSL侮改巷文 SSL告警協(xié)議 HTTP、FTP虹。ELNET協(xié)議 等應用層協(xié)議SSL記錄協(xié)議TCPD 圖3.1SSL協(xié)議棧Fig.3.1SSL protocol stack通過以上敘述,SSL協(xié)議提供的安全信道有以下三個特性-12大連理工大學碩士學位論文(1私密性。因為在握手協(xié)議定義了會話密鑰后,所有的消息都被加密。(2確認性。因為盡管會話的客戶端認證是可選的,但是服務器端始終是被認證的。(3可靠性。因為傳送的消息包括消息完整性檢查(使用MAC。SSL協(xié)議被設計成使用TCP協(xié)議提供端到端的安全服務,實際上,SSL有一組協(xié)議 組

45、成,而不是單個協(xié)議。SSL的協(xié)議棧如圖3.1。SSL記錄協(xié)議2326為不同的高層協(xié)議提供安全服務,哪、m等高層應用協(xié)議 都可以在SSL協(xié)議上運行。SSL握手協(xié)議、SSL修改密文協(xié)議和SSL告警協(xié)議也是SSL 協(xié)議的一部分,它們的作用是用來管理與SSL有關的交換。SSL協(xié)議中有兩個重要的概念,即連接和會話。連接是指兩臺主機之間提供特定類 型服務的傳輸,是點對點的關系。一般來說,連接是短暫的,每一個連接都與一個會話 想關聯(lián)。會話是客戶和服務器之間的關聯(lián),會話是通過握手協(xié)議進行創(chuàng)建的。會話是加 密安全參數(shù)的一個集合,包含了比如加密算法、臨時加密密鑰和初始向量等。會話可以 被多個連接所共享,這樣可以避

46、免為每個連接重新進行安全參數(shù)的協(xié)商而花費昂貴的時 間代價。任何一對服務器和客戶之間可以存在多個安全SSL連接,這些連接可以共享一 個會話,也可以共享不同的會話。理論上說,一對服務器和客戶之間也可以存在多個會 話,但是由于這樣付出相當高的代價,所以一般來說不支持這種做法。SSL修改密文協(xié)議是一個最簡單的SSL相關協(xié)議,它只有一個報文,報文由值為l 的單個字節(jié)組成。這個協(xié)議的唯一作用就是將掛起狀態(tài)被復制到當前狀態(tài),改變連接將 要使用的密文族。SSL告警協(xié)議是將SSL有關的告警信息傳送給通信的對方實體。SSL 告警協(xié)議跟其它使用SSL的應用協(xié)議(如HrrP協(xié)議一樣,報文安裝當前狀態(tài)的被壓 縮和加密。

47、SSL記錄協(xié)議和SSL握手協(xié)議相對復雜,下面詳述SSL記錄協(xié)議與握手協(xié)議。 3.1.2SSL記錄協(xié)議SSL記錄協(xié)議為SSL連接提供了機密性和報文完整陛兩種服務。機密性和報文完整 性所需要的密鑰都是在握手協(xié)議中協(xié)商提供的。記錄協(xié)議接受到傳輸?shù)膽脠笪暮?將 數(shù)據(jù)分片成可管理的塊,可選地壓縮數(shù)據(jù),應用MAC(Message Authentication Code, 加密和增加首部,然后使用TCP報文傳輸。記錄層接收到底層發(fā)來的數(shù)據(jù)后,進行解密、 驗證、解壓和重新排序組合,然后交給上層的應用協(xié)議。.13.基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)應用層數(shù)據(jù)記錄協(xié)議單元壓縮單元加密數(shù)據(jù)TCP數(shù)據(jù)圖3.2

48、SSL記錄協(xié)議生成報文過程Fig.3.2Routine ofthe SSL record protocol creating packet在SSL協(xié)議中,所有的傳輸數(shù)據(jù)都被封裝在記錄中。記錄是由記錄頭和長度不為0的記錄數(shù)據(jù)組成的。所有的SSL通信包括握手消息、安全空白記錄和應用數(shù)據(jù)都使用SSL 記錄層。SSL記錄協(xié)議包括了記錄頭和記錄數(shù)據(jù)格式的規(guī)定。1SSL記錄頭格式:SSL的記錄頭可以是兩個或三個字節(jié)長的編碼。SSL記錄頭的包含的信息包括:記 錄頭的長度、記錄數(shù)據(jù)的長度、記錄數(shù)據(jù)中是否有粘貼數(shù)據(jù)。其中粘貼數(shù)據(jù)是在使用塊 加密算法時,填充實際數(shù)據(jù),使其長度恰好是塊的整數(shù)倍。最高位為1時,不含有

49、粘貼 數(shù)據(jù),記錄頭的長度為兩個字節(jié),記錄數(shù)據(jù)的最大長度為32767個字節(jié);最高位為0時, 含有粘貼數(shù)據(jù),記錄頭的長度為三個字節(jié),記錄數(shù)據(jù)的最大長度為16383個字節(jié)。當數(shù)據(jù)頭長度是三個字節(jié)時,次高位有特殊的含義。次高位為1時,標識所傳輸?shù)?記錄是普通的數(shù)據(jù)記錄;次高位為0時,標識所傳輸?shù)挠涗浭前踩瞻子涗?被保留用于 將來協(xié)議的擴展。記錄頭中數(shù)據(jù)長度編碼不包括數(shù)據(jù)頭所占用的字節(jié)長度。記錄頭長度為兩個字節(jié)的 記錄長度的計算公式:記錄長度=(b,ceO&0x7f“8I byte1。其中byteO、byte1分別表示傳輸?shù)牡谝粋€、第二個字節(jié)。記錄頭長度為三個字節(jié)的記錄長度的計算公式: .14

50、.大連理工大學碩士學位論文記錄長度=(byteO】&ox308I byte1。其中byteo、byte1的含義同上。判斷是否 是安全空白記錄的計算公式:(byte0&0x40!=O。粘貼數(shù)據(jù)的長度為傳輸?shù)牡谌齻€字節(jié)。 2SSL記錄數(shù)據(jù)的格式:SSL的記錄數(shù)據(jù)包含三個部分:MAC數(shù)據(jù)、實際數(shù)據(jù)和粘貼數(shù)據(jù)。MAC數(shù)據(jù)用于數(shù)據(jù)完整性檢查。計算MAC所用的散列函數(shù)由握手協(xié)議中的 CIPHER-CHOICE消息確定。若使用MD2和MD5算法,則MAC數(shù)據(jù)長度是16個字 節(jié)。MAC的計算公式:MAC數(shù)據(jù)=HAsH密鑰,實際數(shù)據(jù),粘貼數(shù)據(jù),序號】。當會話 的客戶端發(fā)送數(shù)據(jù)時,密鑰是客戶的寫密

51、鑰(服務器用讀密鑰來驗證MAC數(shù)據(jù);而當會 話的客戶端接收數(shù)據(jù)時,密鑰是客戶的讀密鑰(服務器用寫密鑰來產(chǎn)生MAC數(shù)據(jù)。序號 是一個可以被發(fā)送和接收雙方遞增的計數(shù)器。每個通信方向都會建立一對計數(shù)器,分別 被發(fā)送者和接收者擁有。計數(shù)器有32位,計數(shù)值循環(huán)使用,每發(fā)送一個記錄計數(shù)值遞增 一次,序號的初始值為0。3.1-3SSL握手協(xié)議SSL握手協(xié)議包含兩個階段,第一個階段用于建立私密性通信信道,第二個階段用 于客戶認證。(1第一階段:第一階段是通信的初始化階段,通信雙方都發(fā)出HELLO消息。當雙方都接收到 印u。O消息時,就有足夠的信息確定是否需要一個新的密鑰。若不需要新的密鑰,雙方 立即進入握手協(xié)

52、議的第二階段。否則,此時服務器方的S職R一印juD消息將包含足 夠的信息使客戶方產(chǎn)生一個新的密鑰。這些信息包括服務器所持有的證書、加密規(guī)約和 連接標識。若密鑰產(chǎn)生成功,客戶方發(fā)出CLIEbFr-MASTER-KEY消息,否則發(fā)出錯 誤消息。最終當密鑰確定以后,服務器方向客戶方發(fā)出SERVER-VERIFY消息。因為 只有擁有合適的公鑰的服務器才能解開密鑰。圖3.3為第一階段的流程:需要注意的一點是每一通信方向上都需要一對密鑰,所以一個連接需要四個密鑰, 分別為客戶方的讀密鑰、客戶方的寫密鑰、服務器方的讀密鑰、服務器方的寫密鑰。 (2第二階段:第二階段的主要任務是對客戶進行認證,此時服務器已經(jīng)被

53、認證了。服務器方向客 戶發(fā)出認證請求消息:REQUEST-CERTIFICATE。當客戶收到服務器方的認證請求消 息,發(fā)出自己的證書,并且監(jiān)聽對方回送的認證結果。而當服務器收到客戶的認證,認 證成功返回SERVER-FINISH消息,否則返回錯誤消息。到此為止,握手協(xié)議全部結束。.15基于SSL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)圖3.3握手協(xié)議第一階段流程Fig.3.3Flow ofthe first stage ofHandshake protocol3.2Openssl上面簡單介紹了SSL協(xié)議,與所有的協(xié)議一樣,都只是一些規(guī)則而已,真正要應用, 必須將所有的協(xié)議規(guī)則轉(zhuǎn)換成代碼,對于任何個人和組

54、織來說,這都是一個艱巨的任務, 尤其是SSL協(xié)議這樣一種涉及到諸多專業(yè)知識的協(xié)議。.16.大連理工大學碩士學位論文3.2.1Openssl簡介Openssl是一個開放源代碼的SSL協(xié)議的產(chǎn)品實現(xiàn),它采用C語言作為開發(fā)語言, 具備了跨系統(tǒng)的性能。Openssl項目最早由加拿大人Eric A Yang和Tim J.Hudson開發(fā), 現(xiàn)在由Opemsl項目小組負責改進和開發(fā)。Openssl當前最新的版本是0.9.7e版本,完全實現(xiàn)了對SSLvl、SSLv2、SSLv3和TLS 的支持。由于采用c語言開發(fā),Openssl的源代碼庫具有良好的跨平臺性能,支持Linux、 Unix、Windows、Ma

55、c和VMS等多種平臺。目前,Openssl已經(jīng)得到了廣泛的應用,許 多類型的軟件中的安全部分都使用了Openssl的庫,如VOIP的openI-1323協(xié)議、Apache 服務器、Linux安全模塊等等。 3.2.2Openssl的組成和應用Openssl事實上包括了三部分:SSL協(xié)議、密碼算法庫和應用程序。SSL協(xié)議部分完全實現(xiàn)和封裝了SSL協(xié)議的三個版本和TLS協(xié)議,SSL協(xié)議庫的實 現(xiàn)是在密碼算法庫的基礎上實現(xiàn)的。密碼算法庫是一個強大完整的密碼算法庫,它是Openssl的基礎部分,它實現(xiàn)了目 前大部分主流的密碼算法和標準。主要包括公開密鑰算法、對稱加密算法、散列函數(shù)算 法、X509數(shù)字證

56、書標準、PKCSl2、PKCS7等標準。這個庫除了可以使用本身的缺省算 法外,在0.9.6版本之后,還提供了Engine機制,用于將如加密卡這樣外部的加密算法 實現(xiàn)集成到Openssl中。應用程序郭分基于上述的密碼算法庫和SSL協(xié)議庫實現(xiàn)了很多實用和范例性的應用 程序,覆蓋了眾多的密碼等墟用。主要包括了各種算法的加密程序和各種類型密鑰的產(chǎn) 生程序(如RSA、Md5、Enc等等、證書簽發(fā)和驗證程序(如Ca、X509、Crl等、SSL 連接測試程序(如S和 等以及其它的標準應用程序(如 和. c l i e n t S serve-Pkcsl2Smime 等。3.2.3Openssl的特點Open

57、ssl具有以下優(yōu)點:(1采用C語言開發(fā),支持多種操作系統(tǒng),可移植性好。(2功能全面,支持大部分主流密碼算法、相關標準協(xié)議和SSL協(xié)議。(3開放源代碼,可信任,能夠根據(jù)自己的需要進行修改,對技術人員有借鑒和研 究的價值。(4具備應用程序,既能直接使用,也可以方便進行二次開發(fā)。 .17.基于SsL隧道技術的虛擬專用網(wǎng)設計與實現(xiàn)(5免費使用,能夠用于商業(yè)和非商業(yè)目的。當然,Openssl也有如下一些缺點:采用非面向?qū)ο蟮腸語言開發(fā),對于初學者來說有一定的困難,也不利于代碼的剝 離。文檔不全面,增加了使用的困難性。.18.大連理工大學碩士學位論文4.1VPN系統(tǒng)中使用數(shù)據(jù)包過濾的原理在VPN系統(tǒng)中,一

58、次連接的兩個VPN終端通過隧道使用虛擬的P地址互相尋找對 方。由于VPN的存在,每個終端的應用層并不知道所訪問的虛擬疋地址是實際上不存 在的,所有訪問V'PN網(wǎng)絡口地址的數(shù)據(jù)包都會被以太網(wǎng)硬件設備嘗試發(fā)送到網(wǎng)絡上。 在以太網(wǎng)中,所有的通訊都是廣播的,也就是說通常在同一個網(wǎng)段的所有網(wǎng)絡接口 都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù),而每一個網(wǎng)絡接口都有一個唯一的硬件地址, 這個硬件地址也就是網(wǎng)卡的MAC地址,大多數(shù)系統(tǒng)使用48比特的地址,這個地址用來 表示網(wǎng)絡中的每一個設備,一般來說每一塊網(wǎng)卡上的MAC地址都是不同的,在硬件地 址和P地址間使用ARP和RARP協(xié)議進行相互轉(zhuǎn)換。在正常的情況下,個網(wǎng)絡接口應該只響應這樣的兩種數(shù)據(jù)幀:1.與自己硬件地址相匹配的數(shù)據(jù)幀。2.發(fā)向所有機器的廣播數(shù)據(jù)幀。在一個實際的系統(tǒng)中,數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成的,網(wǎng)卡接收至q傳輸來的數(shù)據(jù), 網(wǎng)卡內(nèi)的單片程序接收數(shù)據(jù)幀