VPN技術(shù)-數(shù)據(jù)傳輸階段

WordVPN技術(shù):數(shù)據(jù)傳輸階段

VPN技術(shù):數(shù)據(jù)傳輸階段

一旦完成上述4階段的協(xié)商，PPP就開始在連接對(duì)等雙方之間轉(zhuǎn)發(fā)數(shù)據(jù)。每個(gè)被傳送的數(shù)據(jù)報(bào)都被封裝在PPP包頭內(nèi)，該包頭將會(huì)在到達(dá)接收方之后被去除。如果在階段1選擇使用數(shù)據(jù)壓縮并且在階段4完成了協(xié)商，數(shù)據(jù)將會(huì)在被傳送之間進(jìn)行壓縮。類似的，如果如果已經(jīng)選擇使用數(shù)據(jù)加密并完成了協(xié)商，數(shù)據(jù)（或被壓縮數(shù)據(jù)）將會(huì)在傳送之前進(jìn)行加密。

點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）

PPTP是一個(gè)第2層的協(xié)議，將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報(bào)內(nèi)通過(guò)IP網(wǎng)絡(luò)，如Internet傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。RFC草案“點(diǎn)對(duì)點(diǎn)隧道協(xié)議”對(duì)PPTP協(xié)議進(jìn)行了說(shuō)明和介紹。該草案由PPTP論壇的成員公司，包括微軟，Ascend，3Com，和ECI等公司在1996年6月提交至IETF?？稍谌缦抡军c(diǎn)參看草案的在線拷貝.PPTP使用一個(gè)TCP連接對(duì)隧道進(jìn)行維護(hù)，使用通用路由封裝（GRE）技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過(guò)隧道傳送?？梢詫?duì)封裝PPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。圖7所示為如何在數(shù)據(jù)傳遞之前組裝一個(gè)PPTP數(shù)據(jù)包。

第2層轉(zhuǎn)發(fā)（L2F）

L2F是Cisco公司提出隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器將撥號(hào)數(shù)據(jù)流封裝在PPP楨內(nèi)通過(guò)廣域網(wǎng)鏈路傳送到L2F服務(wù)器（路由器）。L2F服務(wù)器把數(shù)據(jù)包解包之重新注入（inject)網(wǎng)絡(luò)。與PPTP和L2TP不同，L2F沒(méi)有確定的客戶方。應(yīng)當(dāng)注意L2F只在強(qiáng)制隧道中有效。（自愿和強(qiáng)制隧道的介紹參看“隧道類型”）。

第2層隧道協(xié)議（L2TP）

L2TP結(jié)合了PPTP和L2F協(xié)議。設(shè)計(jì)者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢(shì)。

L2TP是一種網(wǎng)絡(luò)層協(xié)議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網(wǎng)絡(luò)上進(jìn)行傳送。當(dāng)使用IP作為L(zhǎng)2TP的數(shù)據(jù)報(bào)傳輸協(xié)議時(shí)，可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。草案RFC“第2層隧道協(xié)議”對(duì)L2TP進(jìn)行了說(shuō)明和介紹。該文檔于1998年1月被提交至IETF?？梢栽谝韵戮W(wǎng)站獲得草案拷貝。

IP網(wǎng)上的L2TP使用UDP和一系列的L2TP消息對(duì)隧道進(jìn)行維護(hù)。L2TP同樣使用UDP將L2TP協(xié)議封裝的PPP楨通過(guò)隧道發(fā)送?？梢詫?duì)封裝PPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。圖8所示為如何在傳輸之前組裝一個(gè)L2TP數(shù)據(jù)包。

PPTP與L2TP

PPTP和L2TP都使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。盡管兩個(gè)協(xié)議非常相似，但是仍存在以下幾方面的不同：

1.PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs),X.25虛擬電路（VCs）或ATMVCs網(wǎng)絡(luò)上使用。

2.PPTP只能在兩端點(diǎn)間建立單一隧道。L2TP支持在兩端點(diǎn)間使用多隧道。使用L2TP，用戶可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。

3.L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷（overhead）占用4個(gè)字節(jié)，而PPTP協(xié)議下要占用6個(gè)字節(jié)。

4.L2TP可以提供隧道驗(yàn)證，而PPTP則不支持隧道驗(yàn)證。但是當(dāng)L2TP或PPTP與IPSEC共同使用時(shí)，可以由IPSEC提供隧道驗(yàn)證，不需要在第2層協(xié)議上驗(yàn)證隧道。

IPSec隧道模式

IPSEC是第3層的協(xié)議標(biāo)準(zhǔn)，支持IP網(wǎng)絡(luò)上數(shù)據(jù)的安全傳輸。本文將在“高級(jí)安全”一部分中對(duì)IPSEC進(jìn)行詳細(xì)的總體介紹，此處僅結(jié)合隧道協(xié)議討論IPSEC協(xié)議的一個(gè)方面。除了對(duì)IP數(shù)據(jù)流的加密機(jī)制進(jìn)行了規(guī)定之外，IPSEC還制定了IPoverIP隧道模式的數(shù)據(jù)包格式，一般被稱作IPSEC隧道模式。一個(gè)IPSEC隧道由一個(gè)隧道客戶和隧道服務(wù)器組成，兩端都配置使用IPSEC隧道技術(shù)，采用協(xié)商加密機(jī)制。

為實(shí)現(xiàn)在專用或公共IP網(wǎng)絡(luò)上的安全傳輸，IPSEC隧道模式使用的安全方式封裝和加密整個(gè)IP包。然后對(duì)加密的負(fù)載再次封裝在明文IP包頭內(nèi)通過(guò)網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對(duì)收到的數(shù)據(jù)報(bào)進(jìn)行處理，在去除明文IP包頭，對(duì)內(nèi)容進(jìn)行解密之后，獲的最初的負(fù)載IP包。負(fù)載IP包在經(jīng)過(guò)正常處理之后被路由到位于目標(biāo)網(wǎng)絡(luò)的目的地。

IPSEC隧道模式具有以下功能和局限：

1.只能支持IP數(shù)據(jù)流

2.工作在IP棧（IPstack）的底層，因此，應(yīng)用程序和高層協(xié)議可以繼承IPSEC的行為。

3.由一個(gè)安全策略（一整套過(guò)濾機(jī)制）進(jìn)行控制。安全策略按照優(yōu)先級(jí)的先后順序創(chuàng)建可供使用的加密和隧道機(jī)制以及驗(yàn)證方式。當(dāng)需要建立通訊時(shí)，雙方機(jī)器執(zhí)行相互驗(yàn)證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使