;虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如治理费用高、隧道的规模数量大等 。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的——每次隧道的终点改变,隧道要重新配置 。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及轻易形成回路问题 。一旦形成回路,会极大恶化路由的效率 。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型 。假如通信分类过程是通过识别报文(进入隧道前的)进行的话,就会影响路由发送速率的能力及服务性能 。
GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求 。但是在远程访问VPN中,多数用户是采用拨号上网 。这时可以通过L2TP和PPTP来加以解决 。
(2)L2TP和PPTP
L2TP是L2F(Layer2Forwarding)和PPTP的结合 。但是由于PC机的桌面操作系统包含着PPTP,因此PPTP仍比较流行 。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道 。前者一般指“主动”隧道,后者指“强制”隧道 。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的 。
L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制 。建立过程如下:①用户通过Modem与NAS建立连接;②用户通过NAS的L2TP接入服务器身份认证;③在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;④用户与L2TP接入服务器之间建立一条点到点协议(PointtoPointProtocol,PPP)访问服务隧道;⑤用户通过该隧道获得VPN服务 。
与之相反的是,PPTP作为“主动”隧道模型答应终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道 。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与 。NAS的作用只是提供网络服务 。PPTP建立过程如下:①用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;②用户通过路由信息定位PPTP接入服务器;③用户形成一个PPTP虚拟接口;④用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;⑤用户通过该隧道获得VPN服务 。
在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接 。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理 。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中 。L2TP比PPTP更安全,因为L2TP接入服务器能够确定用户从哪里来的 。L2TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户 。
3.加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容 。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES 。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息 。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密 。在网络层中的加密标准是IPSec 。网络层加密实现的最安全方法是在主机的端到端进行 。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密 。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全 。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准 。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要非凡的加密硬件 。
推荐阅读
- 基于MPLS网络的二层虚拟专用网VPN技术
- 虚拟语气倒装的三种情况 虚拟语气倒装例句
- 网通:MPLS VPN为企业搭建宽带网
- 电信级MPLS VPN的关键技术与实现
- 四 MPLS VPN技术原理
- 三 MPLS VPN技术原理
- 二 MPLS VPN技术原理
- 一 MPLS VPN技术原理
- 实施MPLS-VPN网络运营新商机
- 一 解析中国网通MPLS VPN