基于网络安全的VPN技术实践探究

王 龙

（山东能源枣庄矿业（集团）有限责任公司柴里煤矿 山东 277519）

0 引言

VPN指的是虚拟专用网，利用VPN技术，可以利用公用网络来安全的远程访问企业内部专用网络，在组成方面，它一致于普通网络，包括客户机、传输介质以及服务器；但是相较于普通网络，它也存在着一定的差异，那就是它在传输中，利用的是隧道，在公共网络或者专用网络基础上来构建隧道。目前通常将隧道技术、加解密技术以及密钥管理技术等应用到VPN中，其中隧道技术得到了最为广泛的应用。

1 VPN隧道协议的分类和VPN安全机制

通常情况下，可以将VPN隧道协议划分为三种类型，分别是PPTP、I.2TP和TPSee，其中，在OSI模型的第二层进行PPTP和 I.2TP的工作，因此又可以将这两种协议综称为二层隧道协议，一般比较常见。其中，目前应用最为广泛的则是配合使用I.2TP和IPSee，它们有着最好的性能。

将加密技术以及认证技术等应用过来，通过虚拟专用网络将安全专用隧道的网络构建于公共网络上，VPN系统封装那些需要传输的数据，将一个VPN包头给加上去，将路由信息提供给包头中，这样封装数据就可以通过公共网络。那么为了促使公共网络传输的安全性得到保证，就需要加密处理这些封装数据，即使有人截获了公共网络上的这些数据，没有密钥，这些内容也不会被获取到。

2 隧道技术

具体来讲，隧道技术指的是在网络之间数据传递过程中，采用的是互联网络基础设施。如果数据通过隧道传递，那么数据帧或者包就可以有不同的协议。隧道协议来重新封装其他协议的数据帧或者包，然后进行发送。路由信息由新的帧头提供，这样那些被封装的负载数据就可以通过互联网来进行传递。如果VPN在传输信息时，利用的是公用网，那么非常关键的内容就是隧道技术。因此，还需要将新头标添加于IP分组上，也就是我们说的IP封装化。同时，隧道技术的利用，还需要相对的出现隧道的入口和出口。VPN网络利用隧道技术来进行传输，那么通信的双方在通信过程中，就好比利用的是专用网络。

3 隧道协议

通过研究发现，目前主要将两类隧道协议应用到IP网上，分别是第二层隧道协议和第三层隧道协议，两类协议的区别在于是在网络协议栈的第几层来封装用户数据。其中，网络接入服务器以及用户网设备分别是第二层隧道技术的起始点。另外，将整个PPP帧都封装于隧道内，要在CPE界内的网关或服务器上来贯穿PPP会话。ISP界内是第三层隧道技术的起始点，在NAS内终止PPP会话，只对第三层报文体进行携带，CPE的网关就是终接设备。

一是第二层隧道协议：对于多种路由协议，都可以被第二层隧道协议所支持，也可以对多种广域网技术和局域网技术进行支持，广域网技术如FR、ATM等，局域网技术如以太网、令牌环等，其中，应用比较频繁的是PPTP和I.2PP。

PPTP作为一种点到点的安全隧道协议，是由PPTP论坛开发的，将安全VPN业务提供给电话上网的用户。其实，PPTP扩展了PPP协议，将多协议的安全VPN通信方式构建于IP网上，远端用户在对企业的专用网络进行访问时，只需要支持PPTP的ISP即可。本协议的运行是借助于PC机进行的，我们将其称之为PPTP客户机，而运行本协议的服务器则被人们称之为PPTP服务器。

I.2TP协议则将1.2F和PPTP的优点都集中了起来，用户要想发起VPN连接，通过客户端或者接入服务器端都可以实现。对于利用公共网络设施来对传输链路层PPP帧进行封装的方法由 I.2PP定义了，目前用户如果在对因特网进行访问时，利用的是拨号方式，那么IP协议是必须要用到的；而利用I.2PP协议，就可以对多种协议进行支持，用户可以将原来的协议或者企业原有的IP地址给保留下来，企业对非IP网进行改造和升级，节约了大量的资金。另外，对于多个PPP链路的捆绑问题，也可以通过I.2PP来进行解决。

二是第三层隧道协议：三层隧道协议与OSI模型中的网络层相对应，在数据交换中，采用的是试用报告。其中，目前应用最为广泛的是IPSee。这种协议作为一种开放的结构，不属于特殊的加密算法或者认证算法，在IP数据包格式中定义，将数据结构提供给目前的数据加密或者认证加密，这样在实现这些算法时，采用的体系结构都是统一的，从而进一步发展和标准化数据安全措施。这种协议比较的开放，有着较为广泛的应用，并且可以迁移于Ipv6，保护网络层上的所有数据，提高安全通信的透明度。

三是两种隧道协议比较：相较于第二层隧道，第三层隧道协议在安全性、可扩展性以及可靠性方面更优。从安全层面上来讲，因为在用户网设备上终止第二层隧道，那么就会在很大程度上挑战到用户网的安全和防火墙技术。而在ISP网关上来终止第三层隧道，不会威胁到用户网的安全。从可扩展性角度上来讲，第二层IP隧道在报文内封装了整个PPP帧，那么就会对传输效率产生一定的影响；并且在整个隧道内都会贯穿PPP会话，并且在用户网的网关或者服务器上终止。因为有大量的PPP对话状态存在于用户网的网关上，那么就会在很大程度上影响到系统负荷和系统的扩展性。另外，因为PPP的数据链路层控制以及网络层控制对时间较为敏感，那么PPP会话就可能会因为IP隧道的效率给造成超时等问题。因为在ISP网内终止第三层隧道，并且在RAS处终止PPP会话，那么PPP会话状态就不需要网点来进行管理和维护，这样系统的负荷就可以得到大大的减轻。

4 结语

通过上文的叙述分析我们可以得知，如果私有安全通信需要利用公用网络设施来实现，那么最好的方式就是VPN技术。相较于传统的各种技术，VPN技术具有一系列的优点。通过构建安全隧道，可以保证信息传输的安全性。随着时代的进步和社会的发展，特别是科学技术的不断革新，VPN技术将会获得更大的发展，并且得到更加广泛的应用。本文简要分析了基于网络安全的VPN技术，希望可以提供一些有价值的参考意见。

[1]金海，胡永泉.基于W INDOWS SERVER 2003的VPN实验环境的构建[J].台州学院学报，2005，2（6）：123-125.

[2]费建英.VPN技术在校园网络安全体系中的应用[J].计算机光盘软件与应用，2013，2（23）：99-101.

[3]幕东周，于本成.中小型企业VPN网络的规划与设计[J].网络安全技术与应用，2011，2（7）：198-199.

[4]王晶.VPN关键技术研究[J].网络安全技术与应用，2003，2（5）：55-57.