VPN安全与应用两方便

　　作者: JOAN, 　出处:eNet硅谷动力,　责任编辑: 郭秋爽,　 2008-06-04 09:55

　　今天将重点讨论第二层隧道协议。在谈论隧道协议之前，笔者将强调一个观点。隧道技术解决的是数据包在虚拟专用网中传输过程之中的安全问题，而对于用户登陆的安全方面没有防范。

　　在上文中，笔者谈论了如何通过用户名与密码等手段来保障VPN通讯的安全。上述讲的方法，是比较表面上的安全处理机制。今天，笔者将讨论一些比较专业的VPN安全解决方案，如如何通过隧道技术来保障VPN通信的安全。文章中的观点，基于个人技术的限制，可能有不全面的地方，请大家多多包涵。

　　隧道技术，是对VPN通信安全的一个影响比喻。其就好象在公路上，专门设置一个隧道，这个隧道的话，不允许其他车辆录内，全程也没有摄像头，拒绝一切外来因素的侵入等等，从而保障车辆运行的安全。VPN的隧道安全技术，也采用类似的原理。隧道技术是VPN(虚拟专用网)的基本技术，类似于点对点的连接技术。他的作用就是在公共网络上，人为的建立一条数据通信的隧道，让数据包通过这条隧道来进行数据的传递。从而保障数据在VPN虚拟专用网中传输的时候，不被窃听、不被非法的访问与修改、不丢失数据包等等。

　　隧道技术主要是通过隧道协议实现的。隧道协议根据其实现方法不同，主要有第二层隧道协议与第三层隧道协议。今天笔者将重点讨论第二层隧道协议。再谈论隧道协议之前，笔者将强调一个观点。隧道技术解决的是数据包在虚拟专用网中传输过程之中的安全问题，而对于用户登陆的安全方面没有防范。

　　一、 第二层隧道协议

　　现在最流行的第二层隧道协议是L2TP协议。这个隧道协议是在点对点隧道协议与二层转发协议的基础之上发展起来的。现在已经普遍得到了各个通信厂商与硬件厂商的支持，L2TP协议现在是IETF的标准，由IETF融合PPTP(点对点隧道协议)与L2F(二层转发协议)而形成。

　　在一个利用二层隧道协议的VPN通信过程，可以说，整个通信过程就是两个连接。一个是隧道连接，他定义了一个隧道，其基本作用，就是在通信双方之间，建立起一个安全的、全封闭的隧道，他主要解决数据在VPN通信中被非法的访问、非法的修改的问题;第二个是会话连接，他是在隧道连接的基础之上起作用的，他主要用来承载隧道建立之后具体的会话过程。若利用一个形象的比喻的话，隧道连接就是在公路上开辟一条专用的、全封闭的道路;而会话连接就是建立一套交通法则，使得隧道内的车流可以按规定行使。

　　再具体的来说，二层隧道协议主要是通过两个消息来完成的。一个是控制消息，另一个是数据消息。控制消息用于隧道连接与会话连接的建立与维护。在利用隧道技术，在VPN通信双方建立安全通道的时候，通信双方会彼此进行协商，如何建立一个通信隧道，这就是通过控制消息来管理的。在控制消息的传输过程中，还应用了消息丢失重传协议与定时检测通道连通性等机制来保证L2TP传输的可靠性。从而保障了当隧道被意外中断时，能够迅速的恢复通道的畅通;同时检测是否在中断的过程中，有非法入侵者的侵入。

　　数据消息则用来管理隧道建立之后，数据包的传送规则。如如何对数据包进行传输，数据包传输的大小，数据包遗失之后如何处理，等等。数据信息的话，没有重传机制。为什么呢?这主要有两个方面的原因。一是控制消息已经保障了通信隧道的连通性，在传输过程之中保障隧道的通常;另外一个原因是也可以借助上层的TCP协议实现数据的重传等等。

　　二、 L2TP对于VPN安全的具体应用

　　上面笔者从一些基础理论上，评论了二层隧道协议在VPN安全上的应用。但是，光凭这些空泛的理论，我们还很难看出二层隧道协议的价值所在。下面，笔者结合几个应用场景，谈谈二层隧道协议在VPN虚拟专用网通信安全方面的具体应用场景，让大家对这个技术有一个直观的印象。

　　1、 利用内部地址进行访问

　　在通信的过程之中，能否让通过VPN访问企业内部网络的用户采用自己公司的内部地址呢?如此的话，对于VPN服务器管理人员来说，更加的方便，可以向管理内部用户一样，管理通过VPN技术连接到企业内部网络的人员。同时，还可以通过这个IP地址追踪到到底是什么人在进行访问，是否有授权等等。

　　L2TP(二层隧道协议)中的LNS技术，他可以对于远端的VPN用户的地址进行动态的分派与管理。具体的来说，可以支持DHCP方案、私有地址应用等多种解决方案。也就是说，VPN另外一端的用户，在连接上企业的VPN服务器的话，所用的不是公网的地址，而是VPN服务器分配给他的企业内部的私有地址。如此处理的话，就方便了VPN管理员，对于地址进行同一的管理，通过对地址的统一分配与监测，提高了通讯的安全性。

　　在实际应用中，要给VPN访问设置一个专门的IP地址段，一方面可以防止跟其他地址之间的冲突，另外一个方面，也可以根据地址来限制对用户的访问。在地址的分配上，可以按一个地址范围自动分配IP地址。也就是说，当VPN远端用户连上VPN服务器后，DHCP服务器从可用的IP地址范围内，挑选一个可用的IP地址分配给远端用户，让其利用这个地址进行访问。也可以采用跟静态的分配。当用户连上VPN服务器后，VPN管理人员核对身份之后，再把手工的把地址分配给用户。这个静态的分配方法，维护起来比较麻烦，但是，安全性会高许多。