虚拟网络VPN的实现技术 _VPN

VPN的实现技术主要包括：

L2TP协议

L2TP是一种基于PPP的二层隧道协议。在由L2TP构建的VPN中，有两种类型的服务器，一是L2TP访问集中器LAC（L2TP Access Concentrator），附属在网络上的具有PPP端系统和L2TP协议处理能力的设备，为用户提供认证的网络接入服务器；二是L2TP 网络服务器LNS（L2TP Network Server），PPP端系统上用于处理L2TP协议服务器端部分的软件。
LNS和LAC存在两种连接类型，Tunneling连接和会话（Session）连接。
前者定义一个 LNS和LAC对；后者复用在隧道连接之上，表示隧道连接的每个PPP会话过程。
L2TP连接维护和PPP数据传送通过L2TP消息交换完成，L2TP消息分为两种：控制消息和数据消息。
控制消息用于隧道连接、会话连接建立与维护，数据消息用于承载用户PPP的数据包。消息通过UDP的1701端口承载于TCP/IP之上，图5-34所示应用L2PT构建的VPN服务。

文章插图

在L2TP构建的VPN中，L2TP协议网络组件包括三部分：
①远端系统，是接入VPDN网络的远地用户和分支机构，通常是拨号用户的一台主机或私有网络的路由设备。
②LAC，是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备，通常是当地ISP的一个NAS，为PPP类型的用户提供接入服务。
LAC位于LNS和远端系统之间，用于LNS和远端系统之间传递信息包。
LAC从远端系统收到信息包按照L2TP协议封装发送LNS，同时从LNS收到信息包解封装发送远端系统。
LAC与远端系统采用本地连接或PPP链路，VPN应用为PPP链路。
③LNS，既是PPP端系统又是L2TP协议服务器端，通常作为企业内部网的一个边缘设备。
LNS作为L2TP隧道的另一侧端点即LAC的对端设备，LAC进行隧道传输的PPP会话逻辑终止端点。
通过在公网中建立L2TP隧道，将远端系统PPP连接的另一端延伸至企业网内部LNS 。

IPSec协议

IPSec（Internet Protocol Security）是一种开放标准的框架结构，使用加密服务确保Internet通讯安全而顺畅。L2TP没有解决隧道加密和数据加密问题，IPSec协议集多种安全技术，可以建立一个安全、可靠的隧道。
安全技术包括：Diffie Hellman密钥交换技术，DES、RC4、IDEA数据加密技术，哈希散列算法Hmac、MD5、SHA，数字签名技术。
IPSec是一个应用于IP层上网络数据安全的用于认证、机密性和完整性的标准协议包，包括认证协议（Authentication Header，AH）、封装安全载荷协议（Encapsulating Security Payload，ESP）、密钥管理协议（Internet Key Exchange，IKE）和用于认证与加密的算法如DES、IDEA等。
IPSec是一个第三层VPN协议，定义了如何在对等层之间选择安全协议、安全算法和密钥交换，向上层提供访问控制、数据源验证、数据加密等安全服务；各协议之间的关系如图5-35所示。

文章插图

①AH为IP数据包提供无连接的数据完整性和数据源身份认证，具有防重放攻击的能力。数据完整性校验通过消息认证码（如MD5）产生的校验值来保证；数据源身份认证通过在待认证数据中加入一个共享密钥实现；AH报头中可以防止重放攻击。
②ESP为IP数据包提供数据保密性、无连接的数据完整性、数据源身份认证以及防重放攻击保护。与AH相比，数据保密性是ESP的新增功能，数据源身份认证、数据完整性检验以及重放保护都是AH可以实现的。
③AH和ESP可以单独使用，也可以配合使用。通过这些组合模式，可以在两台主机、两台安全网管（防火墙和路由器）或主机与安全网关之间配置多种灵活的安全机制。
④解释域DOI将所有的IPSec协议捆绑在一起，是IPSec安全参数的主要数据库。
⑤密钥管理包括IKE协议和安全联盟（SA）等部分。IKE在通信系统之间建立安全联盟，提供密钥管理和密钥确定机制，是一个产生和交换密钥材料并协调IPSec参数的框架。IKE将密钥协商的结果保留在SA中，供AH和ESP以后通信时使用。
AH和ESP都支持两种模式：传输模式和隧道模式。传输模式IPSec对上层协议提供保护，用于两个主机之间的端到端通信。
隧道模式IPSec对所有IP包保护，用于安全网关之间，可以在Internet上构建VPN 。使用隧道模式，在防火墙之后，内部网的一组主机不实现IPSec参加安全通信。
局域网边界的防火墙IPSec软件建立隧道模式SA，主机产生的未保护数据包通过隧道连接外部网络。