关键技术
2.3.1Tunnel技术
通常,企业网采用保留IP建网。保留IP网络要使用合法IP网络(例如
Internet),可以通过3种方式进行:
*改用合法IP
*设置IP转换网关
*采用Tunnel技术。
其中,Tunnel技术具有相对简单、有效和易于管理的特性,更加适合VPN的要求。Tunnel技术的另一个优点是,既可以在ISP的节点完成,也可以在用户处完成,或者可以两者合作完成。而且,现有的许多网络接入交换设备、接入服务器和广域网路由器都支持相关的Tunnel技术标准。
Tunnel协议使数据流可以在公网的虚拟“管道”中传输。
图一:Tunnel的数据包结构:
CarrierProtocol
EncapsulatorProtocol
PassengerProtocol
Tunnel中包括下列类型的协议:
PassengerProtocol:是被封装的协议。在拨号接入中,此协议可以是PPP、SLIP、或extdialog。
EncapsulatorProtocol:用于建立、维护和断开Tunnel。例如L2F等多种封装协议。
CarrierProtocol:用于运载经过封装的协议。IP是首选CarrierProtocol。这是因为,IP在Internet中使用广泛、路由功能较强。但是,EncapsulatorProtocol与IP之间并没有依赖关系,也还可以用FR、X25-VC、ATM-SVC等作为CarrierProtocol。
2.3.2安全技术
能否保证VPN的安全性,是VPN网络能否实现“Private”的关键。基于Internet的VPN首先要考虑的就是安全问题。
可以采用下列技术保证VPN的安全:
*口令保护
*用户认证技术
*一次性口令
*用户权限设置
*在传输中采用加密技术
*采用防火墙,把用户网络中的对外服务部分和对内服务部分隔离开。
2.3.3可用性
由于VPN是建立在Internet的基础上的,所以可以采用下列技术保证VPN的up-time和吞吐量等可用性指标:
*采用相应的高速广域网设备和数据压缩技术。
*采用路由备份和冗余设计。
2.3.4用户管理/认证和计费
通过NAS和CPE设备提供的LOG文件,包括用户名、流量、连接时间等数据进行计费。
3有关协议的比较
3.1Tunnel技术趋势
主要的协议和技术趋势有3种:
*PPTP:微软和ASCEND在PPP基础上联合开发了PPTP(点对点Tunnel协议,适用于WindowsNT和Netware的client/server环境。
*ATMP:ASCEND开发的ATMP(ASCENDTunnel管理协议),融合了PPTP和GRE,适用于IP、IPX、NetBIOS和NetBEUI环境的数据流。
*L2F:CISCO开发的Layer-2ForwardingTunnel协议。在其基础上,进一步提出了L2TP(Layer-2TunnelingProtocol),综合了L2F和PPTP的优点,即将成为一项
工业标准。
另外,还有:
*DLSw:IBM的DataLinkSwitching技术,支持SNA到IP的加密,已经成为工业标准。
3.2三种主要协议的比较
3.2.1ATMP与PPTP
ATMP和PPTP都是基于GRE的协议,区别在于:
*ATMP不需要Windows/NT服务器,内部代理可以是路由器或者网关。PPTP需要远端用户运行WindowNT、Window95或PPPclient软件。内部代理必须是
WindowsNTserver。
*PPTP支持NetBios,ATMP支持IP/IPX。
*PPTP先把PPP数据包加密,然后放在tunnel中传输;ATMP只加密认证信息,其他数据明码传输。
3.2.2ATMP与L2F
L2F协议在某些方面与ATMP很相似。最主要的区别在于封装方式不同。
L2F不是基于GRE(RFC1701)的,而是基于PPP的。使用L2F,远端用户必须运行PPP。而且,用户端的网关和NAS设备也必须运行L2F。
L2F的优点是不仅支持IP/IPX,还支持Appletalk等协议。
但是,L2F要求每个用户端局域网有专用的网关,费用较高。
3.2.3PPTP与L2F
PPTP与L2F的区别有下述几个方面:
*L2F不是基于GRE(RFC1701)的,而是基于PPP的。使用L2F,远端用户必须运行PPP。而且,用户端的网关和NAS设备也必须运行L2F。
*与PPTP相比,L2F不仅支持IP/IPX,还支持Appletalk等协议;而且每个用户局域网的前端不需要WindowsNTserver。
*但是,L2F不是真正的端到端技术。PPTP虽然需要WindowsNTserver,但是
GREtunnel以PPPframe形式运行。PPTPtunnel对GRE作了增强,增加了流控机制,所以,PPTPtunnel容易管理。
*PPTP不使用tunnelIdentifier,开销较小。
*L2F要求每个用户端局域网有专用的网关,费用较高。
*L2F不支持流控,由封装的协议自行管理数据,需要数据重传功能。PPTP假定的底层媒体是IP,L2F没有假定。
*L2F本身支持的用户验证方式较多,PPTP支持的较少。
*L2F不支持Callback和ISDN/Modempooling,PPTP支持。
