OSI中各層次的VPN技術比較
1 引言
隨著網路技術和網路應用的迅猛發展,使用者對專用網路的需求越來越大,遠端辦公室、公司各分支機構、公司與合作伙伴、供應商、公司與客戶之間都可能要建立連線通道以進行資訊傳送。為了在在Internet上為企業開通一條專用通道,以代替原來昂貴的專線租賃或幀中繼方式,將遠端的分支辦公室、商業夥伴、移動辦公人員等連線起來。並且提供安全的端到端的資料通訊,虛擬私有網路(VPN,VirtualPrivate Network)就是這樣的背景下誕生了。VPN通過隧道(Tunneling)技術,將公眾網可靠的效能、豐富的功能與專用網的靈活、高效結合在一起,是介於公眾網與專用網之間的一種網路。
2 VPN的層次劃分
VPN的分類方法可以有多種,根據分層模型,VPN可以在第二層建立,也可以在第三層建立,甚至可以在更高層。按層次劃分的主流VPN技術有以下幾種:
(1)第二層隧道協議(資料鏈路層):這包括點到點隧道協議(PPTP)、第二層轉發協議(L2F),第二層隧道協議(L2TP)、多協議標記交換(MPLS)等。
(2)第三層隧道協議(網路層):這包括通用路由封裝協議(GRE)、IP安全(IPSec),這是目前最流行的兩種三層協議。
(3)會話層隧道協議:Socks處於OSI模型的會話層。Secks4協議,它為TELNET、FTP、HTTP,WAIS和GOPHER等基於TCP協議(不包括UDP)的客戶朋睦務器程式提供了一個無需認證的防火牆.建立了一個沒有加密認證的VPN隧道。Socks5協議擴充套件了Socks4,以使其支援UDP、TCP框架規定的安全認證方案、地址解析方案中所規定的IPv4、域名解析和IPv6。
(4)應用層隧道協議:安全套接字層(Secure SocketLayer,SSL)屬於應用層隧道協議.它廣泛應用於Web瀏覽程式和Web伺服器程式.提供對等的身份認證和應用資料的加密。
3 第二層隧道協議
L2TP是L2F(Layer 2 Forwarding)和PPTP的結合。但是由於PC機的桌面作業系統包含著PPTP,因此PPTP仍比較流行。隧道的建立有兩種方式即:“使用者初始化”隧道和“NAS初始化”(Network Access Server)隧道。前者一般指“主動”隧道,後者指“強制”隧道。“主動”隧道是使用者為某種特定目的的請求建立的,而“強制”隧道則是在沒有任何來自使用者的動作以及選擇的情況下建立的。
L2TP作為“強制”隧道模型是讓撥號使用者與網路中的另一點建立連線的重要機制。建立過程如下:①使用者通過Modem與NAS建立連線;②使用者通過NAS的L2TP接入伺服器身份認證;③在政策配置檔案或NAS與政策伺服器進行協商的基礎上。NAS和L2TP接人伺服器動態地建立一條L2TP隧道;④使用者與L2TP接入伺服器之間建立一條點到點協議(Point to Point Protocol,PPP)訪問服務隧道;⑤使用者通過該隧道獲得VPN服務。
L2TP協議封裝結構如圖1所示。
圖1 L2TP封裝結構
與之相反的是,PPTP作為“主動”隧道模型允許終端系統進行配置,與任意位置的PPTP伺服器建立一條不連續的、點到點的隧道。並且,PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網路服務。PPTP建立過程如下:①使用者通過串列埠以撥號IP訪問的方式與NAS建立連線取得網路服務;②使用者通過路由資訊定位PPIP接人伺服器;③使用者形成一個PPTP虛擬介面;④使用者通過該介面與PPTP接入伺服器協商、認證建立一條PPP訪問服務隧道;⑤使用者通過該隧道獲得VPN服務。
PPTP的封裝結構如圖2所示。
圖2 PPTP封裝結構
在L2TP中,使用者感覺不到NAS的存在,彷彿與PPTP接入伺服器直接建立連線。而在PPTP中,PPTP隧道對NAS是透明的;NAS不需要知道PPTP接入伺服器的存在,只是簡單地把PPTP流量作為普通IP流量處理。
採用L2TP還是PPTP實現VPN取決於要把控制權放在NAS還是使用者手中。L2TP比PPTP更安全,因為L2TP接入伺服器能夠確定使用者從哪裡來的。L2TP主要用於比較集中的、固定的VPN使用者,而PPTP比較適合移動的使用者。
3.1優點
PPTP/L2TP對用微軟作業系統的使用者來說很方便,因為微軟已把它作為路由軟體的一部分。PP2TP支援其他網路協議,如Novell的IPX。NetBEUI和Apple Talk協議,還支援流量控制。它通過減少丟棄包來改善網路效能,這樣可減少重傳。
3.2不足
PPTP和L2TP將不安全的IP包封裝在安全的IP包內,它們用IP幀在兩臺計算機之間建立和開啟資料通道,一旦通道開啟,源和目的使用者身份就不再需要。這樣可能帶來問題。它不對兩個節點間的資訊傳輸進行監視或控制。PPTP和L2TP限制同時最多隻能連線255個使用者。端點使用者需要在連線前手工建立加密通道。認證和加密受到限制。沒有強加密和認證支援。
4 IPSec
IPSec是網路層的VPN技術。表示它獨立於應用程式。IPSec提供站點間(例如:分支辦公室到總部)及遠端訪問的安全聯機。這是一種成熟的標準。全球各地許多廠家提供這種解決方案。IPSec/IKE事實上指的是IETF標準(從RFCs2401到241X)的集合,包括金鑰管理協議(IKE)和加密封包格式協議(IPSec)。IPSec/IKE可支援各種加密演算法(DES、3DES、AES與RC4)及資訊完整性檢驗機制(MD5、SHA-1)。IPSec以自己的封包封裝原始口資訊。因此可隱藏所有應用協議的資訊。一旦‰建立加密隧道後。就可以實現各種型別的一對多的連線,如Web、電子郵件、檔案傳輸、VoIP等連線,並且,每個傳輸必然對應到VPN閘道器之後的相關伺服器上。
(1)優點:
1)IPSec是與應用無關的技術,因此IPSoc VPN的客戶端支援所有IP層協議:
2)IPSec技術中,客戶端至站點(cllent-W-site)、站點對站點(site-to-site)、客戶端至客戶端(cllent-to--client)連線所使用的技術是完全相同的:
3)IPSec VPN閘道器一般整合了網路防火牆的功能;
4)IPSec 客戶端程式可與個人防火牆等其他安全功能一起銷售,因此,可保證配置、預防病毒,並能進行入侵檢測。
(2)不足:
IPSee VPN需要安裝客戶端軟體,但並非所有客戶端作業系統均支援IPSee VPN的客戶端程式;IPSee VPN的連線性會受到網路地址轉換(NAT)的影響,或受閘道器代理裝置(proxy)的影響;IPSec VPN需要先完成客戶端配置才能建立通訊通道,並且配置複雜。
5 Socks VPN
SOCKS不是一種傳統的VPN協議.SOCKS經常充當一個防火牆的角色,用於內部網路訪問外部網路。然而。SOCKS也提供了一般VPN協議所具有的認證和加密特性.同樣可以被用於外部網路訪問內部網路的情形。SOCKS協議包括SOCK v4和SOCK v5。
SOCKS v5工作在OSI參考模型中的會話層。可作為建立高度安全的VPN的基礎。SOCKS v5協議的優勢在於訪問控制。因此適用於安全性較高的VPN。SOCKS v5現在被IETF(Internet Engineering Task Force,網際網路工程任務組)建議作為建立VPN的標準。
SOCKS VPN將SOCKS v5,VPN隧道、AES加密技術、多種身份認證(使用者名稱,密碼認證、硬體key認證、機器硬體繫結認證)相結合。通過SOCKS客戶端為企業使用者提供端到端的安全的異地接人服務。適用於基於TCP、UDP的B/S。
5.1優點
能夠非常詳細地進行訪問控制。在網路層只能根據源和目的地址允許或拒絕資料報通過.在會話層控制手段更多一些;由於工作在會話層,能同低層協議如IP v4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理伺服器可隱藏網路地址結構:能為認證、加密和金鑰管理提供“外掛”模組,讓使用者自由地採用所需要的技術;SOKS v5可根據規則過濾資料流,包括JavaApplet和Actives控制。
5.2不足
效能比低層次協議差,必須制定更復雜的安全管理策略。這樣,它最適合用於客戶機到伺服器的連線模式。
6 SSL VPN
SSL VPN指的是以HTTPS為基礎的VPN。但也包括可支援SSL的應用程式,例如,電子郵件客戶端程式,如Microsoft Outlook或Eudora。SSL VPN經常被稱之。無客戶端”,因為目前大多數計算機在出貨時。都已經安裝了支援HTTP和HTTPS(以SSL為基礎的HTTP)的Web瀏覽器。
目前,SSL已由TLS傳輸層安全協議(RFC 2246)整合取代,它工作在TCP之上。如同IPSec/IKE一樣,它必須首先進行配置,包括使用公鑰與對稱金鑰加密以交換資訊。此種交換通過數字簽名讓客戶端使用已驗證的伺服器。還可選擇性地通過簽名或其他方法讓伺服器驗證客戶端的合法性,接著可安全地產生會話金鑰進行資訊加密並提供完整性檢查。ssL可利用各種公鑰(RSA、DSA)演算法、對稱金鑰演算法(DES、3DES、RC4)和完整性(MD5、SHA-1)演算法。
6.1優點
(1)它的HTTPS客戶端程式,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經預裝在了終端裝置中,因此不需要再次安裝:
(2)像Microsoft Outlook與Eudora這類流行的郵件客戶端/伺服器程式所支援的SSL HTTPS功能,同樣也與市場上主要的Web伺服器捆綁銷售,或者通過專門的軟硬體供貨商(例如Web存取裝置)獲得;
(3)SSL VPN可在NAT代理裝置上以透明模式工作;
(4)SSL VPN不會受到安裝在客戶端與伺服器之間的防火牆的影響。
6.2不足
(1)SSL VPN不適用做點對點的VPN,後者通常是使用IPSec/IKE技術:
(2)SSL VPN需要開放網路防火牆中的HTTPS連線埠,以使SSL VPN閘道器流量通過;
(3)SSL VPN通常需要其他安全配置,例如用第三方技術驗證“非信任”裝置的安全性(“非信任”裝置是指其他資訊站或家用計算機)。
7 結論
近年來。VPN技術得到了快速的發展,尤其是SSLVPN與IPSec得到了廣泛的應用,為使用者提供了高速、可靠、安全、廉價的遠端網路互聯方案。VPN技術的應用降低了網路的運營成本,提高了資源利用效率,具有明顯的應用價值。隨著各行各業資訊化程序的加快,特別是電子商務、電子政務以及遠端教育、遠端辦公、管理等應用的推動,VPN技術將會發揮更大的優勢,必將成為未來網路安全的一項重要技術和遠端網路互聯理想的解決方案。具有廣闊的發展和應用前景。在不同的需求情況之下,我們應該根據各個VPN技術的特點,合理選擇恰當的VPN技術。
從透傳的資料單元來看:L3 VPN透傳的是三層IP資料,故也只支援IP資料透傳了;L2 VPN透傳的是二層資料單元,故能支援很多種業務型別的透傳,比如乙太網幀,幀中繼,ATM,TDM等;
從組網應用上來看:基於上面的原因,可以看到,二層VPN應用上更貼近於傳送網的功能,PTN就是基於L2 VPN實現業務透傳方式的一種傳送網技術,L2 VPN中,公網裝置相對於私網裝置來說相當於是私網的下層,整個提供VPN的公網有點像是一臺大乙太網交換機。但是,如果需要三層IP的靈活組網,就必須要用L3
VPN了,比如IP RAN解決方案,因為LTE網路中,eNodeB之間,或於PS域裝置之間在網路地位上是屬於不同子網的關係,是需要基於三層的關係進行相互間的業務承載,就必須採用L3 VPN方案,L3 VPN中,公網裝置和私網裝置在網路層次上相當於處於同一平面,整個提供VPN公網有點像是一臺路由器。
L2VPN適合大客戶的租用,因為安全和資訊保密,另外就是2層隧道對3層隧道來說,使用者使用起來簡單要求也少,如2樓所說,就像一臺交換機。 L2VPN適合哪種需要3層需求的私網業務,像LTEnodeB承載,它需要3層的路由能力來定向業務流,可以在上層將業務分流,緩解核心路由器業務處理,降低網路時延等。當然,3層VPN也能提供大客戶,大客戶把路由資訊釋出給L3VPN的PE路由器即可。 |
-----------------------------------------------------------------------------------------------------------------------------------------------------
二、三層隧道協議比較
第三層隧道與第二層隧道相比,優點在於它的安全性、可擴充套件性及可靠性。從安全的角度來看,由於第二層隧道一般終止在使用者網裝置(CPE)上,會對使用者網的安全及防火牆技術提出較嚴竣的挑戰。而第三層的隧道一般終止在ISP的閘道器上,不會對使用者網的安全構成威脅。從可擴充套件性角度來看,第二層IP隧道將整個PPP幀封裝在報文內,可能會產生傳輸效率問題;其次,PPP會話會貫穿整個隧道,並終止在使用者網的閘道器或伺服器上。由於使用者網內的閘道器要儲存大量的PPP對話狀態及資訊,這會對系統負荷產生較大的影響,當然也會影響系統的擴充套件性。除此之外,由於PPP的LCP(資料鏈路層控制)及NCP(網路層控制)對時間非常敏感,IP隧道的效率會造成PPP會話超時等問題。第三層隧道終止在ISP網內,並且PPP會話終止在RAS處,網點無需管理和維護每個PPP會話狀態,從而減輕系統負荷。
第三層隧道技術對於公司網路還有一些其他優點,網路管理者採用第三層隧道技術時,不必在他們的遠端為客戶原有裝置(CPE)安裝特殊軟體。因為PPP和隧道終點由ISP的裝置生成,CPE不用負擔這些功能,而僅作為一臺路由器。第三層隧道技術可採用任意廠家的CPE予以實現。使用第三層隧道技術的公司網路不需要IP地址,也具有安全性。服務提供商網路能夠隱藏私有網路和遠端節點地址。