VPN的分类(基于osi七层模型)

依然范特西╮ 提交于 2020-04-10 15:18:38

1 引言

    随着网络技术和网络应用的迅猛发展,用户对专用网络的需求越来越大,远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。为了在在Internet上为企业开通一条专用通道,以代替原来昂贵的专线租赁或帧中继方式,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。并且提供安全的端到端的数据通信,虚拟私有网络(VPN,VirtualPrivate Network)就是这样的背景下诞生了。VPN通过隧道(Tunneling)技术,将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起,是介于公众网与专用网之间的一种网络。

    2 VPN的层次划分

    VPN的分类方法可以有多种,根据分层模型,VPN可以在第二层建立,也可以在第三层建立,甚至可以在更高层。按层次划分的主流VPN技术有以下几种:

    (1)第二层隧道协议(数据链路层):这包括点到点隧道协议(PPTP)、第二层转发协议(L2F),第二层隧道协议(L2TP)、多协议标记交换(MPLS)等。

    (2)第三层隧道协议(网络层):这包括通用路由封装协议(GRE)、IP安全(IPSec),这是目前最流行的两种三层协议。

    (3)会话层隧道协议:Socks处于OSI模型的会话层。Secks4协议,它为TELNET、FTP、HTTP,WAIS和GOPHER等基于TCP协议(不包括UDP)的客户朋睦务器程序提供了一个无需认证的防火墙.建立了一个没有加密认证的VPN隧道。Socks5协议扩展了Socks4,以使其支持UDP、TCP框架规定的安全认证方案、地址解析方案中所规定的IPv4、域名解析和IPv6。

    (4)应用层隧道协议:安全套接字层(Secure SocketLayer,SSL)属于应用层隧道协议.它广泛应用于Web浏览程序和Web服务器程序.提供对等的身份认证和应用数据的加密。

    3 第二层隧道协议

    L2TP是L2F(Layer 2 Forwarding)和PPTP的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPTP仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(Network Access Server)隧道。前者一般指“主动”隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。

    L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:①用户通过Modem与NAS建立连接;②用户通过NAS的L2TP接入服务器身份认证;③在政策配置文件或NAS与政策服务器进行协商的基础上。NAS和L2TP接人服务器动态地建立一条L2TP隧道;④用户与L2TP接入服务器之间建立一条点到点协议(Point to Point Protocol,PPP)访问服务隧道;⑤用户通过该隧道获得VPN服务。

    L2TP协议封装结构如图1所示。

    图1 L2TP封装结构

    与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:①用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;②用户通过路由信息定位PPIP接人服务器;③用户形成一个PPTP虚拟接口;④用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;⑤用户通过该隧道获得VPN服务。

    PPTP的封装结构如图2所示。

    图2 PPTP封装结构

    在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。

    采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全,因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。

3.1优点

    PPTP/L2TP对用微软操作系统的用户来说很方便,因为微软已把它作为路由软件的一部分。PP2TP支持其他网络协议,如Novell的IPX。NetBEUI和Apple Talk协议,还支持流量控制。它通过减少丢弃包来改善网络性能,这样可减少重传。

    3.2不足

    PPTP和L2TP将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的用户身份就不再需要。这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制。没有强加密和认证支持。

    4 IPSec

    IPSec是网络层的VPN技术。表示它独立于应用程序。IPSec提供站点间(例如:分支办公室到总部)及远程访问的安全联机。这是一种成熟的标准。全球各地许多厂家提供这种解决方案。IPSec/IKE事实上指的是IETF标准(从RFCs2401到241X)的集合,包括密钥管理协议(IKE)和加密封包格式协议(IPSec)。IPSec/IKE可支持各种加密算法(DES、3DES、AES与RC4)及信息完整性检验机制(MD5、SHA-1)。IPSec以自己的封包封装原始口信息。因此可隐藏所有应用协议的信息。一旦‰建立加密隧道后。就可以实现各种类型的一对多的连接,如Web、电子邮件、文件传输、VoIP等连接,并且,每个传输必然对应到VPN网关之后的相关服务器上。

    (1)优点:

    1)IPSec是与应用无关的技术,因此IPSoc VPN的客户端支持所有IP层协议:

    2)IPSec技术中,客户端至站点(cllent-W-site)、站点对站点(site-to-site)、客户端至客户端(cllent-to--client)连接所使用的技术是完全相同的:

    3)IPSec VPN网关一般整合了网络防火墙的功能;

    4)IPSec 客户端程序可与个人防火墙等其他安全功能一起销售,因此,可保证配置、预防病毒,并能进行入侵检测。

    (2)不足:

    IPSee VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSee VPN的客户端程序;IPSee VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂。

    5 Socks VPN

    SOCKS不是一种传统的VPN协议.SOCKS经常充当一个防火墙的角色,用于内部网络访问外部网络。然而。SOCKS也提供了一般VPN协议所具有的认证和加密特性.同样可以被用于外部网络访问内部网络的情形。SOCKS协议包括SOCK v4和SOCK v5。

    SOCKS v5工作在OSI参考模型中的会话层。可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在于访问控制。因此适用于安全性较高的VPN。SOCKS v5现在被IETF(Internet Engineering Task Force,互联网工程任务组)建议作为建立VPN的标准。

    SOCKS VPN将SOCKS v5,VPN隧道、AES加密技术、多种身份认证(用户名,密码认证、硬件key认证、机器硬件绑定认证)相结合。通过SOCKS客户端为企业用户提供端到端的安全的异地接人服务。适用于基于TCP、UDP的B/S。

    5.1优点

    能够非常详细地进行访问控制。在网络层只能根据源和目的地址允许或拒绝数据报通过.在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IP v4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服务器可隐藏网络地址结构:能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术;SOKS v5可根据规则过滤数据流,包括JavaApplet和Actives控制。

    5.2不足

    性能比低层次协议差,必须制定更复杂的安全管理策略。这样,它最适合用于客户机到服务器的连接模式。

    6 SSL VPN

    SSL VPN指的是以HTTPS为基础的VPN。但也包括可支持SSL的应用程序,例如,电子邮件客户端程序,如Microsoft Outlook或Eudora。SSL VPN经常被称之。无客户端”,因为目前大多数计算机在出货时。都已经安装了支持HTTP和HTTPS(以SSL为基础的HTTP)的Web浏览器。

    目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。如同IPSec/IKE一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器。还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息加密并提供完整性检查。ssL可利用各种公钥(RSA、DSA)算法、对称密钥算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。

   6.1优点

    (1)它的HTTPS客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装:

    (2)像Microsoft Outlook与Eudora这类流行的邮件客户端/服务器程序所支持的SSL HTTPS功能,同样也与市场上主要的Web服务器捆绑销售,或者通过专门的软硬件供货商(例如Web存取设备)获得;

    (3)SSL VPN可在NAT代理装置上以透明模式工作;

    (4)SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。

    6.2不足

    (1)SSL VPN不适用做点对点的VPN,后者通常是使用IPSec/IKE技术:

    (2)SSL VPN需要开放网络防火墙中的HTTPS连接端口,以使SSL VPN网关流量通过;

    (3)SSL VPN通常需要其他安全配置,例如用第三方技术验证“非信任”设备的安全性(“非信任”设备是指其他信息站或家用计算机)。

    7 结论

    近年来。VPN技术得到了快速的发展,尤其是SSLVPN与IPSec得到了广泛的应用,为用户提供了高速、可靠、安全、廉价的远程网络互联方案。VPN技术的应用降低了网络的运营成本,提高了资源利用效率,具有明显的应用价值。随着各行各业信息化进程的加快,特别是电子商务、电子政务以及远程教育、远程办公、管理等应用的推动,VPN技术将会发挥更大的优势,必将成为未来网络安全的一项重要技术和远程网络互联理想的解决方案。具有广阔的发展和应用前景。在不同的需求情况之下,我们应该根据各个VPN技术的特点,合理选择恰当的VPN技术。  

从透传的数据单元来看:L3 VPN透传的是三层IP数据,故也只支持IP数据透传了;L2 VPN透传的是二层数据单元,故能支持很多种业务类型的透传,比如以太网帧,帧中继,ATM,TDM等;


从组网应用上来看:基于上面的原因,可以看到,二层VPN应用上更贴近于传送网的功能,PTN就是基于L2 VPN实现业务透传方式的一种传送网技术,L2 VPN中,公网设备相对于私网设备来说相当于是私网的下层,整个提供VPN的公网有点像是一台大以太网交换机。但是,如果需要三层IP的灵活组网,就必须要用L3 VPN了,比如IP RAN解决方案,因为LTE网络中,eNodeB之间,或于PS域设备之间在网络地位上是属于不同子网的关系,是需要基于三层的关系进行相互间的业务承载,就必须采用L3 VPN方案,L3 VPN中,公网设备和私网设备在网络层次上相当于处于同一平面,整个提供VPN公网有点像是一台路由器。

 

L2VPN适合大客户的租用,因为安全和信息保密,另外就是2层隧道对3层隧道来说,用户使用起来简单要求也少,如2楼所说,就像一台交换机。
L2VPN适合哪种需要3层需求的私网业务,像LTEnodeB承载,它需要3层的路由能力来定向业务流,可以在上层将业务分流,缓解核心路由器业务处理,降低网络时延等。当然,3层VPN也能提供大客户,大客户把路由信息发布给L3VPN的PE路由器即可。

 

 

 

http://www.cnblogs.com/yaozhongxiao/archive/2009/10/27/1590563.html

-----------------------------------------------------------------------------------------------------------------------------------------------------

二、三层隧道协议比较 
第三层隧道与第二层隧道相比,优点在于它的安全性、可扩展性及可靠性。从安全的角度来看,由于第二层隧道一般终止在用户网设备(CPE)上,会对用户网的安全及防火墙技术提出较严竣的挑战。而第三层的隧道一般终止在ISP的网关上,不会对用户网的安全构成威胁。从可扩展性角度来看,第二层IP隧道将整个PPP帧封装在报文内,可能会产生传输效率问题;其次,PPP会话会贯穿整个隧道,并终止在用户网的网关或服务器上。由于用户网内的网关要保存大量的PPP对话状态及信息,这会对系统负荷产生较大的影响,当然也会影响系统的扩展性。除此之外,由于PPP的LCP(数据链路层控制)及NCP(网络层控制)对时间非常敏感,IP隧道的效率会造成PPP会话超时等问题。第三层隧道终止在ISP网内,并且PPP会话终止在RAS处,网点无需管理和维护每个PPP会话状态,从而减轻系统负荷。 
第三层隧道技术对于公司网络还有一些其他优点,网络管理者采用第三层隧道技术时,不必在他们的远程为客户原有设备(CPE)安装特殊软件。因为PPP和隧道终点由ISP的设备生成,CPE不用负担这些功能,而仅作为一台路由器。第三层隧道技术可采用任意厂家的CPE予以实现。使用第三层隧道技术的公司网络不需要IP地址,也具有安全性。服务提供商网络能够隐藏私有网络和远端节点地址。

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!