欢迎来到天天文库
浏览记录
ID:23372864
大小:55.00 KB
页数:7页
时间:2018-11-06
《网络安全应用技术vpn技术详细说明(四)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、网络安全应用技术VPN技术详细说明(四)~教育资源库 九、数据传输阶段 一旦完成上述4阶段的协商,PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内,该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商,数据将会在被传送之间进行压缩。类似的,如果如果已经选择使用数据加密并完成了协商,数据(或被压缩数据)将会在传送之前进行加密。 点对点隧道协议(PPTP) PPTP是一个第2层的协议,将PPP数据桢封装在IP数据报内通过IP网络,如Inter传送。
2、PPTP还可用于专用局域网络之间的连接。RFC草案点对点隧道协议对PPTP协议进行了说明和介绍。该草案由PPTP论坛的成员公司,包括微软,Ascend,3,和ECI等公司在1996年6月提交至IETF。可在如下站点.ietf.org.ietf.org参看草案的在线拷贝.PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。图7所示为如何在数据传递之前组装一个PPTP数据包。 第2层转发(L2F) L2F是Cis
3、co公司提出隧道技术,作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之重新注入(inject)网络。与PPTP和L2TP不同,L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。(自愿和强制隧道的介绍参看隧道类型)。 第2层隧道协议(L2TP) L2TP结合了PPTP和L2F协议。设计者希望L2TP能够综合PPTP和L2F的优势。 L2TP是一种网络层协议,支持封装的PPP桢在IP,X.25,桢中继或ATM等的网络
4、上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Inter网络上的隧道协议。L2TP还可以直接在各种VCs网络上使用。 PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。 L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。 L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧
5、道验证,不需要在第2层协议上验证隧道。 十、IPSec隧道模式 IPSEC是第3层的协议标准,支持IP网络上数据的安全传输。本文将在高级安全一部分中对IPSEC进行详细的总体介绍,此处仅结合隧道协议讨论IPSEC协议的一个方面。除了对IP数据流的加密机制进行了规定之外,IPSEC还制定了IPoverIP隧道模式的数据包格式,一般被称作IPSEC隧道模式。一个IPSEC隧道由一个隧道客户和隧道服务器组成,两端都配置使用IPSEC隧道技术,采用协商加密机制。 为实现在专用或公共IP网络上的安全传输,IPSEC隧道
6、模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。 IPSEC隧道模式具有以下功能和局限: 只能支持IP数据流 工作在IP栈(IPstack)的底层,因此,应用程序和高层协议可以继承IPSEC的行为。 由一个安全策略(一整套过滤机制)进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制
7、以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。 关于IPSEC的详细介绍参看本文稍后的高级安全部分。 十一、隧道类型 1.自愿隧道(Voluntarytunnel) 用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。 2.强制隧道(pulsorytunnel) 由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时,用户端的计算机
8、不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。 目前,自愿隧道是最普遍使用的隧道类型。以下,将对上述两种隧道类型进行详细介绍。 自愿隧道 当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的,客户端计算机必须安装适当的隧道协议。自愿隧道需要有一条IP连
此文档下载收益归作者所有