VPN隧道協議發展現狀

2019-11-03 19:07:42

字體：大中小

來源：轉載

供稿：網友

何寶宏摘要本文首先介紹了VPN常見的隧道協議，然后對三層隧道協議和二層隧道協議進行了分析比較，剖析了目前廣泛使用的L2TP協議存在的問題，最后就這幾種隧道協議的成熟程度進行了小結，并對企業和運營商目前如何組建VPN提出了自己的看法。

關鍵詞 VPN 隧道協議 L2TP ipSec MPLS

1 引言

    虛擬專用網（VPN）是通過公眾互聯網（IP）建立私有數據傳輸通道，將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來，并且提供安全的端到端的數據通信的一種網絡技術。VPN兼備了公眾網和專用網的許多特點，將公眾網可靠的性能、豐富的功能與專用網的靈活、高效結合在一起，是介于公眾網與專用網之間的一種網絡。

    可以把VPN簡單協議劃分為兩類：隧道協議和其他相關協議。后者包括RADIUS、LDAP、X.509等，本文只介紹隧道協議。IETF與VPN隧道協議相關的研究有三個：“PPP Extension for PPTP and L2TP”、“IP Security”和“MPLS”，已經公布了一些RFC和草案。

    1999年8月公布了L2TP標準RFC 2661。GRE是由Cisco和NetSmiths等公司1994年提交給IETF的，標號為RFC1701和RFC1702。IPSec系列標準從1995年問世以來得到了廣泛的支持，IETF工作組中已制定的與IPSec相關的RFC文檔有：RFC2104、RFC2401-RFC2409、RFC2451等。其中RFC2409介紹了互連網密鑰交換（IKE）協議；RFC2401介紹了IPSec協議；RFC2402介紹了驗證包頭（AH）；RFC2406介紹了加密數據的報文安全封裝（ESP）協議。IPSec的ESP協議和報文完整性協議認證的協議框架已趨成熟，IKE協議也已經增加了橢圓曲線密鑰交換協議。MPLS協議本身的制定尚未完成，MPLS VPN目前是IETF和ITU-T等國際標準化組織研究的熱點。

2 隧道協議簡介

2.1 L2TP

    PPTP（點到點隧道協議）是在Window95/98中支持的，為中小企業提供的一個VPN解決方案。但根據一群安全專家的研究，PPTP在實現上存在著重大的安全問題，它的安全性甚至比PPP（點到點協議）還要弱，因此PPTP協議存在著重大安全缺陷。L2F協議的主要缺陷是沒有把標準加密方法包括在內，因此它基本上已經成為一個過時的隧道協議。

    L2TP協議結合了Microsoft的PPTP和Cisco的L2F（二層前向轉發）的優點。L2TP提供了一種PPP包的機制，特別適合于通過VPN撥號進入一個專用網絡的用戶。L2TP支持在各種網絡連接上提供PPP包的封裝，支持一個用戶同時使用多個并發的隧道。它同樣適用于非IP協議，支持動態尋址，是目前唯一能夠提供全網狀Intranet VPN連接的多協議隧道。

2.2 IPSec

    IPSec是一組開放的網絡安全協議的總稱，提供訪問控制、無連接的完整性、數據來源驗證、防重放保護、加密以及數據流分類加密等服務。IPSec在IP層提供這些安全服務，它包括兩個安全協議AH（報文驗證頭協議）和ESP（報文安全封裝協議）。AH主要提供的功能有數據來源驗證、數據完整性驗證和防報文重放功能。ESP在AH協議的功能之外再提供對IP報文的加密功能。AH和ESP同時具有認證功能，IPSec存在兩個不同的認證協議是因為ESP要求使用高強度密碼學算法，無論產際上是否在使用。而高強度密碼學算法在很多國家都存在很多嚴格的政策限制。但認證措施是不受限制的，因此AH可以在全世界自由使用。另外一個原因是很多情況下人們只使用認證服務。AH或ESP協議都支持兩種模式的使用：隧道模式和傳輸模式。隧道模式對傳經不安全的鏈路或Internet的專用IP內部數據包進行加密和封裝（此種模式適合于有NAT的環境）。傳輸模式直接對IP負載內容（即TCP或UDP數據）加密（適合于無NAT的環境）。

2.3 MPLS VPN

    MPLS實際上就是一種隧道技術，所以使用它來建立VPN隧道是十分容易的。同時，MPLS是一種完備的網絡技術，可以用它來建立起VPN成員之間簡單而高效的VPN。MPLS VPN適用于實現對于服務質量、服務等級劃分以及網絡資源的利用率，網絡的可靠性有較高要求的VPN業務。用戶邊緣（CE）路由器是用于將一個用戶站點接入服務提供者網絡的用戶邊緣路由器。CE路由器不使用MPLS，它可以只是一臺IP路由器。CE不必支持任何VPN的特定路由協議或信令。提供者邊緣（PE）路由器是與用戶CE路由器相連的服務提供者邊緣路由器。PE實際上就是MPLS中的邊緣標記交換路由器（LER），它需要能夠支持BGP協議，一種或幾種IGP路由協議以及MPLS協議，需要能夠執行IP包檢查，協議轉換等功能。用戶站點是指這樣一組網絡或多條PE/CE鏈路接至VPN。一組共享相同路由信息的站點就構成了VPN。一個站點可以同時位于不同的幾個VPN之中。

    與前面幾種VPN技術不同，MPLS VPRN網絡中的主角雖然仍然是邊緣路由器（此時是MPLS網絡的邊緣LSR），但是它將需要公共IP網內部的所有相關路由器都能夠支持MPLS，所以這種技術對網絡有較為特殊的要求。

2.4 GRE

    通用路由協議封裝（GRE）規定了如何用一種網絡協議去封裝另一種網絡協議的方法。

3 隧道技術要求

    隧道類似于點到點的連接。這種方式能夠使得來自許多源的網絡流量從同一個基礎設施中通過分開的隧道。這種技術使用點對點通信協議代替了交換連接，通過路由網絡來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間任何地點訪問企業網絡。通過隧道的建立，可實現以下功能：

    ●將數據流量強制到特定的目的地；

    ●隱藏私有的網絡地址；

    ●在IP網上傳輸非IP協議數據包；

    ●提供數據安全支持；

    ●協助完成用戶基于AAA的管理。

    在安全方面可提供數據包認證、數據加密以及密鑰管理等手段。

4 隧道協議剖析

4.1 二層和三層隧道協議

    二層和三層隧道協議的區別主要在于用戶數據在網絡協議棧的第幾層被封裝。第二層隧道技術的起始點在網絡接入服務器（NAS），終點在用戶網設備（CPE）上。另外，在隧道內整個PPP幀都封裝在內，PPP會話要貫穿到CPE界內的網關或服務器上。第三層隧道技術的起點及終點均在ISP界內，PPP會話終止NAS內，只攜帶第三層報文體，終接設備同時也作為CPE的網關。

     第三層隧道與第二層隧道相比，優點在于它的安全性、可擴展性及可靠性。從安全的角度來看，由于第二層隧道一般終止在用戶網設備（CPE）上，會對用戶網的安全及防火墻技術提出較嚴竣的挑戰。而第三層的隧道一般終止在ISP的網關上，不會對用戶網的安全構成威脅。從可擴展性角度來看，第二層IP隧道將整個PPP幀封裝在報文內，可能會產生傳輸效率問題。其次，PPP會話會貫穿整個隧道，并終止在用戶網的網關或服務器上。由于用戶網內的網關要保存大量的PPP對話狀態及信息，這會對系統負荷產生較大的影響，當然也會影響系統的擴展性。除此之外，由于PPP的LCP及NCP對時間非常敏感，這樣，IP隧道的效率會造成PPP會話超時等問題。而第三層隧道終止在ISP網內，并且PPP會話終止在RAS處，網點無需管理和維護每個PPP會話狀態，從而減輕系統負荷。

    第三層隧道技術對于公司網絡還有一些其他優點，網絡管理者采用第三層隧道技術時，不必在他們的遠程為或客戶原有設備（CPE）上安裝特殊軟件。因為PPP和隧道終點由ISP的設備生成，CPE不用負擔這些功能，而僅作為一臺路由器。第三層隧道技術可采用任意廠家的CPE予以實現。使用第三層隧道技術的公司網絡不需要IP地址，也具有安全性。服務提供商網絡能夠隱藏私有網絡和遠端節點地址。

     一般情況，第二層隧道協議和第三層隧道協議分別使用，但合理地運用兩層協議，將具有更好的安全性。

4.2 L2TP協議的弱點

     L2TP也有一些弱點。協議自身并不提供對連接安全性的保證，它依賴于PPP提供的認證和鏈路層加密，比如CHAP和PAP認證以及使用DES的ECP，或者配合使用IPSec的保護。L2TP并不能滿足用戶對安全性的需求。如果需要安全的VPDN，則依然需要IPSec。L2TP協議存在以下的安全問題：

     －－僅僅定義了對隧道的終端實體進行身份認證，而不是認證隧道中流過的每一個數據報文。這樣的隧道無法抵抗插入攻擊和地址欺騙攻擊。

     －－由于沒有針對每個數據報文的完整性校驗，就有可能遭到拒絕服務（DoS）的攻擊：發送一些假冒的控制信息，導致L2TP隧道或底層PPP連接的關閉。

     －－L2TP本身不提供任何加密手段，當數據需要保密時，就要另想辦法。

     －－雖然PPP報文的數據可以加密，但PPP協議不支持密鑰的自動產生和自動刷新。這樣進行監聽的攻擊者就有可能最終攻破密鑰，從而得到所傳輸的數據。

     因此，為了保證L2TP業務的安全性，需要結合IPSec使用，但這會降低L2TP協議的可擴展性。另外，當設計使用“有狀態”算法實現點到點的可靠鏈路時，比如采用IETF建立的IPCOMP進行PPP壓縮和加密時，包丟失率可能會明顯增加，因為IPCOMP技術對包丟失不敏感。

5 標準成熟程度與應用

     L2TP協議主要由Cisco、Ascend、Microsoft、3Com和Bay等廠商共同制定，目前已經比較成熟，國內外已經開始大規模開展了VPDN業務。建設VPDN應該是企業和運營商共同建設：運營商提供遠程撥號接入設備（LAC），企業自己購置企業VPDN服務器。

     雖然IPSec以及與之相關的IKE已基本完成最后的標準化工作，但不同廠家設備的IPSec隧道方式連接時還存在互操作的問題。對于自己組建IPSec VPN的企業而言，可以選擇同一廠家的IPSec產品以回避這一問題。但對運營商，除了前面的問題外，還有一個問題是當向多個用戶提供這種方式的VPN業務時，如果多個用戶共享一臺VPN接入設備，因為用戶普遍使用內部網IP地址，會存在地址沖突的可能性。但解決地址沖突的虛擬路由技術目前還不成熟。因此運營商目前大規模使用IPSec還存在困難。

     GRE協議的主要用途有兩個：企業內部協議封裝和私有地址封裝。中國的企業網幾乎全部采用的是TCP/IP協議，因此筆者認為在中國建立隧道時沒有對企業內部協議封裝的市場需求，企業使用GRE的唯一理由應該是對內部地址的封裝。當運營商向多個用戶提供這種方式的VPN業務時與IPSec一樣，仍然存在地址沖突的可能性。

     MPLS協議本身的制定尚未完成，MPLS VPN也正處于研究、開發和實驗之中也就不足為奇。目前使用MPLS VPN還面臨著許多問題，首先就是MPLS技術的不成熟性，MPLS技術本身還面臨著不少問題，比如信令協議的選擇問題等。其次，MPLS VPN解決方案需要網絡中所有的節點都要支持MPLS，這將需要對網絡中所有的節點進行功能的升級。第三，雖然MPLS本身利用已經能夠提供一定的安全機制，MPLS VPN可以將不同用戶的數據流分開，可以利用標記來判斷分組所屬的VPN，從而可以防止數據的誤傳。但是MPLS中并沒有描述對于用戶數據的加密機制以及用戶的認證過程。所以，當對于數據的加密以及用戶的認證有較高的要求時，需要將MPLS與IPSec等安全協議結合起來使用。在安全能力上的欠缺也是MPLS有待完善的方面。

摘自《中國數據通信》

上一篇：智能IP城域網提供話音解決方案

下一篇：DWDM城域網