經典實用技術詳解-VPN（八）

2019-11-05 01:57:55

字體：大中小

來源：轉載

供稿：網友

隧道類型

1.自愿隧道（Voluntarytunnel)

用戶或客戶端計算機可以通過發送VPN請求配置和創建一條自愿隧道。此時，用戶端計算機作為隧道客戶方成為隧道的一個端點。

2.強制隧道（Compulsorytunnel）

由支持VPN的撥號接入服務器配置和創建一條強制隧道。此時，用戶端的計算機不作為隧道端點，而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端，成為隧道的一個端點。

目前，自愿隧道是最普遍使用的隧道類型。以下，將對上述兩種隧道類型進行具體介紹。

自愿隧道

當一臺工作站或路由器使用隧道客戶軟件創建到目標隧道服務器的虛擬連接時建立自愿隧道。為實現這一目的，客戶端計算機必須安裝適當的隧道協議。自愿隧道需要有一條ip連接（通過局域網或撥號線路）。使用撥號方式時，客戶端必須在建立隧道之前創建與公共互聯網絡的撥號連接。一個最典型的例子是Internet撥號用戶必須在創建Internet隧道之前撥通本地ISP取得與Internet的連接。

對企業內部網絡來說，客戶機已經具有同企業網絡的連接，由企業網絡為封裝負載數據提供到目標隧道服務器路由。

大多數人誤認為VPN只能使用撥號連接。其實，VPN只要求支持IP的互聯網絡。一些客戶機（如家用PC）可以通過使用撥號方式連接Internet建立IP傳輸。這只是為創建隧道所做的初步預備，并不屬于隧道協議。

強制隧道

目前，一些商家提供能夠代替撥號客戶創建隧道的撥號接入服務器。這些能夠為客戶端計算機提供隧道的計算機或網絡設備包括支持PPTP協議的前端處理器（FEP），支持L2TP協議的L2TP接入集線器（LAC）或支持IPSec的安全IP網關。本文將主要以FEP為例進行說明。為正常的發揮功能，FEP必須安裝適當的隧道協議，同時必須能夠當客戶計算機建立起連接時創建隧道。

以Internet為例，客戶機向位于本地ISP的能夠提供隧道技術的NAS發出撥號呼叫。例如，企業可以與某個ISP簽定協議，由ISP為企業在全國范圍內設置一套FEP。這些FEP可以通過Internet互聯網絡創建一條到隧道服務器的隧道，隧道服務器與企業的專用網絡相連。這樣，就可以將不同地方合并成企業網絡端的一條單一的Internet連接。

因為客戶只能使用由FEP創建的隧道，所以稱為強制隧道。一旦最初的連接成功，所有客戶端的數據流將自動的通過隧道發送。使用強制隧道，客戶端計算機建立單一的PPP連接，當客戶撥入NAS時，一條隧道將被創建，所有的數據流自動通過該隧道路由?？梢耘渲肍EP為所有的撥號客戶創建到指定隧道服務器的隧道，也可以配置FEP基于不同的用戶名或目的地創建不同的隧道。

自愿隧道技術為每個客戶創建獨立的隧道。FEP和隧道服務器之間建立的隧道可以被多個撥號客戶共享，而不必為每個客戶建立一條新的隧道。因此，一條隧道中可能會傳遞多個客戶的數據信息，只有在最后一個隧道用戶斷開連接之后才終止整條隧道。

高級安全功能

雖然Internet為創建VPN提供了極大的方便，但是需要建立強大的安全功能以確保企業內部網絡不受到外來攻擊，確保通過公共網絡傳送的企業數據的安全。

對稱加密與非對稱加密（專用密鑰與公用密鑰）

對稱加密，或專用密鑰（也稱做常規加密）由通信雙方共享一個秘密密鑰。發送方在進行數學運算時使用密鑰將明文加密成密文。接受方使用相同的密鑰將密文還原成明文。RSA RC4算法，數據加密標準（DES），國際數據加密算法（IDEA）以及Skipjack加密技術都屬于對稱加密方式。

非對稱加密，或公用密鑰，通訊各方使用兩個不同的密鑰，一個是只有發送方知道的專用密鑰，另一個則是對應的公用密鑰，任何人都可以獲得公用密鑰。專用密鑰和公用密鑰在加密算法上相互關聯，一個用于數據加密，另一個用于數據解密。

公用密鑰加密技術答應對信息進行數字簽名。數字簽名使用發送發送一方的專用密鑰對所發送信息的某一部分進行加密。接受方收到該信息后，使用發送方的公用密鑰解密數字簽名，驗證發送方身份。

證書

使用對稱加密時，發送和接收方都使用共享的加密密鑰。必須在進行加密通訊之前，完成密鑰的分布。使用非對稱加密時，發送方使用一個專用密鑰加密信息或數字簽名，接收方使用公用密鑰解密信息。公用密鑰可以自由分布給任何需要接收加密信息或數字簽名信息的一方，發送方只要保證專用密鑰的安全性即可。

為保證公用密鑰的完整性，公用密鑰隨證書一同發布。證書（或公用密鑰證書）是一種經過證書簽發機構（CA）數字簽名的數據結構。CA使用自己的專用密鑰對證書進行數字簽名。假如接受方知道CA的公用密鑰，就可以證實證書是由CA簽發，因此包含可靠的信息和有效的公用密鑰。

總之，公用密鑰證書為驗證發送方的身份提供了一種方便，可靠的方法。IPSec可以選擇使用該方式進行端到端的驗證。RAS可以使用公用密鑰證書驗證用戶身份。

擴展驗證協議（EAP）

如前文所述，PPP只能提供有限的驗證方式。EAP是由IETF提出的PPP協議的擴展，答應連接使用任意方式對一條PPP連接的有效性進行驗證。EAP支持在一條連接的客戶和服務器兩端動態加入驗證插件模塊。

交易層安全協議（EAP-TLS）

EAP-TLS已經作為提議草案提交給IETF，用于建立基于公用密鑰證書的強大的驗證方式。使用EAP-TLS，客戶向撥入服務器發送一份用戶方證書，同時，服務器把服務器證書發送給客戶。用戶證書向服務器提供了強大的用戶識別信息；服務器證書保證用戶已經連接到預期的服務器。

用戶方證書可以被存放在撥號客戶PC中，或存放在外部智能卡。無論那種方式，假如用戶不能提供沒有一定形式的用戶識別信息（PIN號或用戶名和口令），就無法訪問證書。

上一篇：經典實用技術詳解-VPN（五）

下一篇：經典實用技術詳解-VPN（一）