清华版网络安全教案第9章.ppt

第9章VPN 9 1VPN概述9 2VPN技术9 3第二层隧道协议 L2F PPTP和L2TP1769 4第三层隧道协议 GRE1849 5本章小结习题 VPN是VirtualPrivateNetwork的缩写 是将物理分布在不同地点的网络通过公用骨干网 尤其是Internet连接而成的逻辑上的虚拟子网 为了保障信息的安全 VPN技术采用了鉴别 访问控制 保密性 完整性等措施 以防止信息被泄露 篡改和复制 9 1VPN概述9 1 1VPN的概念 V即Virtual 是针对传统的企业 专用网络 而言的 传统的专用网络往往需要建立自己的物理专用线路 使用昂贵的长途拨号以及长途专线服务 而VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道 尽管没有自己的专用线路 但是这个逻辑上的专用通道却可以提供和专用网络同样的功能 换言之 VPN虽然不是物理上真正的专用网络 但却能够实现物理专用网络的功能 P即Private 表示VPN是被特定企业或用户私有的 并不是任何公共网络上的用户都能够使用已经建立的VPN通道 而是只有经过授权的用户才可以使用 在该通道内传输的数据经过了加密和认证 使得通信内容既不能被第三者修改 又无法被第三者破解 从而保证了传输内容的完整性和机密性 因此 只有特定的企业和用户群体才能够利用该通道进行安全的通信 N即Network 表示这是一种专门的组网技术和服务 企业为了建立和使用VPN必须购买和配备相应的网络设备 VPN有3种类型 AccessVPN 远程访问VPN IntranetVPN 企业内部VPN 和ExtranetVPN 企业扩展VPN 这3种类型的VPN分别对应于传统的远程访问网络 企业内部的Intranet以及企业和合作伙伴的网络所构成的Extranet 1 AccessVPNAccessVPN即所谓的移动VPN 适用于企业内部人员流动频繁或远程办公的情况 出差员工或者在家办公的员工利用当地ISP InternetServiceProvider Internet服务提供商 就可以和企业的VPN网关建立私有的隧道连接 如图9 1所示 9 1 2VPN的类型 图9 1AccessVPN AccessVPN对应于传统的远程访问内部网络 在传统方式中 在企业网络内部需要架设一个拨号服务器作为RAS RemoteAccessServer 用户通过拨号到该RAS来访问企业内部网 这种方式需要购买专门的RAS设备 价格昂贵 用户只能进行拨号 也不能保证通信安全 而且对于远程用户可能要支付昂贵的长途拨号费用 AccessVPN通过拨入当地的ISP进入Internet再连接企业的VPN网关 在用户和VPN网关之间建立一个安全的 隧道 通过该隧道安全地访问远程的内部网 这样既节省了通信费用 能保证安全性 AccessVPN的拨入方式包括拨号 ISDN 数字用户线路 xDSL 等 惟一的要求就是能够使用合法IP地址访问Internet 具体何种方式没有关系 通过这些灵活的拨入方式能够让移动用户 远程用户或分支机构安全地接入到内部网络 2 IntranetVPN如果要进行企业内部异地分支机构的互联 可以使用IntranetVPN方式 这是所谓的网关对网关VPN 它对应于传统的Intranet解决方案 如图9 2所示 IntranetVPN在异地两个网络的网关之间建立了一个加密的VPN隧道 两端的内部网络可以通过该VPN隧道安全地进行通信 就好像和本地网络通信一样 IntranetVPN利用公共网络 如Internet 的基础设施 连接企业总部 远程办事处和分支机构 企业拥有与专用网络相同的策略 包括安全 服务质量 QoS 可管理性和可靠性 图9 2IntranetVPN 3 ExtranetVPN如果一个企业希望将客户 供应商 合作伙伴或兴趣群体连接到企业内部网 可以使用ExtranetVPN 它对应于传统的Extranet解决方案 如图9 3所示 ExtranetVPN其实也是一种网关对网关的VPN 与IntranetVPN不同的是 它需要在不同企业的内部网络之间组建 需要有不同协议和设备之间的配合和不同的安全配置 图9 3ExtranetVPN VPN具有以下优点 1 降低成本VPN是利用了现有的Internet或其他公共网络的基础设施为用户创建安全隧道 不需要使用专门的线路 如DDN和PSTN 这样就节省了专门线路的租金 如果是采用远程拨号进入内部网络 访问内部资源 还需要支付长途话费 而采用VPN技术 只需拨入当地的ISP就可以安全地接入内部网络 这样也节省了线路话费 9 1 3VPN的优点 2 易于扩展如果采用专线连接 实施起来比较困难 在分部增多 内部网络结点越来越多时 网络结构趋于复杂 费用昂贵 如果采用VPN 只是在结点处架设VPN设备 就可以利用Internet建立安全连接 如果有新的内部网络想加入安全连接 只需添加一台VPN设备 改变相关配置即可 3 保证安全VPN技术利用可靠的加密认证技术 在内部网络之间建立隧道 能够保证通信数据的机密性和完整性 保证信息不被泄漏或暴露给未授权的实体 保证信息不被未授权的实体改变 删除或替代 在现在的网络应用中 除了让外部合法用户通过VPN访问内部资源外 还需要内部用户方便地访问Internet 这样可将VPN设备和防火墙配合 在保证网络畅通的情况下 尽可能的保证访问安全 VPN利用Internet的基础设施传输企业私有的信息 因此传递的数据必须经过加密 从而确保网络上未授权的用户无法读取该信息 因此可以说密码技术是实现VPN的关键核心技术之一 大体上 密码技术可以分为两类 对称密钥加密和非对称密钥加密 9 2VPN技术9 2 1密码技术 1 对称密钥加密对称密钥加密 也叫做共享密钥加密 是指加密和解密用的密钥是相同的 数据的发送者和接收者拥有共同的单个密钥 当一段数据要传输时 发送者利用密钥将其加密为密文 并在公共信道上传输 接收者收到密文后也要用相同的密钥将其解密成明文 比较著名的对称密钥加密算法有DES及其各种变形 比如3DES GDES NewDES和DES的前身Lucifer IDEA Skipjack RC4 RC5等 众多算法中最常用的是DES DataEncryptionStandard AES AdvancedEncryptionStandard 和IDEA InternationalDataEncryptionAlgorithm 由于加密和解密的密钥相同 因此这种加密算法的安全性取决于是否有未经授权的人获得了密钥 一旦密钥泄露 无论该算法在运行时多么复杂 设计多么精良 密文可以轻易地被破解 为了保证密钥的机密性 希望使用对称密钥加密通信的双方 在交换加密数据之前必须先安全地交换密钥 衡量对称算法优劣的一个重要尺度是其密钥的长度 密钥位数越长 密钥的可能性越多 在找到正确密钥之前必须测试的密钥数量就越多 从而破解这种算法就越困难 另一个指标是看算法是否经得住算法分析的考验 如差分密码分析 线性密码分析等 有的算法的密钥长度虽然很长 但算法有缺陷 可绕过密钥进行破解 对称密钥加密的优点是运算量小 速度快 适合于加密大量数据的情况 缺点是密钥的管理比较复杂 2 非对称密钥加密非对称密钥加密使用两个密钥 一个公钥和一个私钥 这两个密钥在数学上是相关的 这种算法也叫做公钥加密 公钥可以不受保护 可在通信双方之间公开传递 或在公共网络上发布 但相关的私钥是保密的 利用公钥加密的数据只有使用私钥才能解密 利用私钥加密的数据只有使用公钥才能解密 比较著名的非对称算法有RSA 背包密码 McEliece密码 DiffieHellman Rabin 椭圆曲线 ElGamal算法等 其中最有影响的是RSA算法 它能抵抗到目前为止已知的所有密码攻击 非对称算法采用复杂的数学处理 密钥大小比对称算法的大 它们要求更多的处理器资源 因此其速度较慢 非对称算法不适合加密大量数据的情况 而是经常用于关键数据的加密 比如对称密钥在密钥分发时采用非对称算法 另外非对称加密算法和散列算法结合使用 可以生成数字签名 非对称密钥加密的优点是解决了对称加密中的密钥交换的困难 密钥管理简单 安全性高 缺点是计算速度相对较慢 因此非对称密钥加密更多用于密钥交换 数字签名 身份认证等 一般不用于对具体信息加密 一般来说 在VPN实现中 双方大量的通信流量的加密使用对称加密算法 而在管理 分发对称加密的密钥上采用更加安全的非对称加密技术 VPN需要解决的首要问题就是网络上用户与设备的身份认证 如果没有一个万无一失的身份认证方案 不管其他安全设施有多严密 整个VPN的功能都将失效 从技术上说 身份认证基本上可以分为两类 非PKI体系和PKI体系的身份认证 非PKI体系的身份认证基本上采用的是UID PASSWORD模式 举例如下 9 2 2身份认证技术 PAP PasswordAuthenticationProtocol 口令认证协议 CHAP Challenge HandshakeAuthenticationProtocol 询问握手认证协议 EAP ExtensibleAuthenticationProtocol 扩展身份认证协议 MS CHAP MicrosoftChallengeHandshakeAuthenticationProtocol 微软询问握手认证协议 SPAP ShivaPasswordAuthenticationProtocol Shiva口令字认证协议 RADIUS RemoteAuthenticationDialInUserService 远程认定拨号用户服务 PKI体系的身份认证的例子有电子商务中用到的SSL安全通信协议的身份认证 Kerberos等 目前常用的方法是依赖于CA CertificateAuthority 数字证书签发中心 所签发的符合X 509规范的标准数字证书 通信双方交换数据前 需先确认彼此的身份 交换彼此的数字证书 双方将此证书进行比较 只有比较结果正确 双方才开始交换数据 否则 不能进行后续通信 隧道技术通过对数据进行封装 在公共网络上建立一条数据通道 隧道 让数据包通过这条隧道传输 生成隧道的协议有两种 第二层隧道协议和第三层隧道协议 9 2 3隧道技术 1 第二层隧道协议是在数据链路层进行的 先把各种网络协议封装到PPP包中 再把整个数据包装入隧道协议中 这种经过两层封装的数据包由第二层协议进行传输 第二层隧道协议有以下几种 L2F RFC2341 Layer2Forwarding PPTP RFC2637 PointtoPointTunnelingProtocol L2TP RFC2661 LayerTwoTunnelingProtocol 2 第三层隧道协议是在网络层进行的 把各种网络协议直接装入隧道协议中 形成的数据包依靠第三层协议进行传输 第三层隧道协议有以下几种 IPSec IPSecurity 是目前最常用的VPN解决方案 GRE RFC2784 GeneralRoutingEncapsulation 在VPN应用中密钥的分发与管理非常重要 密钥的分发有两种方法 一种是通过手工配置的方式 另一种是采用密钥交换协议动态分发 手工配置的方法要求密钥更新不要太频繁 否则管理工作量太大 因此只适合于简单网络的情况 密钥交换协议采用软件方式动态生成密钥 保证密钥在公共网络上安全地传输而不被窃取 适合于复杂网络的情况 而且密钥可快速更新 可以显著提高VPN应用的安全性 9 2 4密钥管理技术 目前主要的密钥交换与管理标准有SKIP SimpleKeyManagementforIP 和ISAKMP InternetSecurityAssociationandKeyManagementProtocol Internet安全联盟和密钥管理协议 RFC2408 Oakley RFC2412 SKIP是由SUN所发展的技术 主要利用Diffie Hellman算法在网络上传输密钥 在ISAKMP Oakley中 Oakley定义如何辨认及确认密钥 ISAKMP定义分配密钥的方法 第二层隧道协议用于传输第二层网络协议 它主要应用于构建AccessVPN 9 3第二层隧道协议 L2F PPTP和L2TP 第二层隧道协议主要有3种 一种是由Cisco Nortel等公司支持的L2F协议 Cisco路由器中支持此协议 另一种是Microsoft Ascend 3COM等公司支持的PPTP协议 WindowsNT4 0以上版本中支持此协议 而成为二层隧道协议工业标准的是由IETF起草并由Microsoft Ascend Cisco 3COM等公司参与制定的L2TP协议 它结合了上述两个协议的优点 这一节分别讨论这3个协议 在具体讨论协议之前 先看一下隧道技术中的几个基本概念 无论何种隧道协议 其数据包格式都是由乘客协议 封装协议和传输协议3部分组成的 下面以L2TP为例 如图9 4所示 看一下隧道协议的组成 9 3 1隧道协议的基本概念 图9 4隧道协议的封装 1 乘客协议 乘客协议是指用户要传输的数据 也就是被封装的数据 它们可以是IP PPP SLIP等 这是用户真正要传输的数据 如果是IP协议 其中包含的地址有可能是保留IP地址 2 封装协议 封装协议用于建立 保持和拆卸隧道 即将讨论的L2F PPTP L2TP GRE就属于封装协议 3 传输协议 乘客协议被封装之后应用传输协议 图9 4中使用UDP协议对L2TP协议数据包进行了封装 为了理解隧道 不妨用邮政系统打个比方 乘客协议就是我们写的信 信的语言可以是汉语 英语 法语等 具体如何解释由写信人 读信人自己负责 这就对应于多种乘客协议 对乘客协议数据的解释由隧道双方负责 封装协议就是信封 可能是平信 挂号或者是EMS 这对应于多种封装协议 每种封装协议的功能和安全级别有所不同 传输协议就是信的运输方式 可以是陆运 海运或者空运 这对应于不同的传输协议 根据隧道的端点是用户计算机还是拨号接入服务器 隧道可以分为两种 自愿隧道 VoluntaryTunnel 和强制隧道 CompulsoryTunnel 1 自愿隧道客户端计算机可以通过发送VPN请求来配置和创建一条自愿隧道 此时用户端计算机作为隧道的客户方成为隧道的一个端点 为了创建自愿隧道 工作站或路由器上必须安装隧道客户软件 并创建到目标隧道服务器的虚拟连接 目前 自愿隧道是最普遍使用的隧道类型 创建自愿隧道的前提是客户端和服务器之间要有一条IP连接 通过局域网或拨号线路 使用拨号方式时 客户端必须在建立隧道之前创建与Internet的拨号连接 一个最典型的例子是Internet拨号用户必须在创建Internet隧道之前拨通本地ISP 以取得与Internet的连接 一种误解认为VPN只能使用拨号连接 其实 建立VPN只要求IP网络的支持即可 一些客户机 如家用PC 可以通过使用拨号方式连接Internet建立IP传输 这只是为创建隧道所做的初步准备 本身并不属于隧道协议 2 强制隧道强制隧道由支持VPN的拨号接入服务器来配置和创建 此时 用户端的计算机不作为隧道端点 而是由位于客户计算机和隧道服务器之间的拨号接入服务器作为隧道客户端 成为隧道的一个端点 能够代替客户端计算机来创建隧道的网络设备包括支持PPTP协议的FEP Front EndProcessor 前端处理器 支持L2TP协议的LAC L2TPAccessConcentrator L2TP接入集中器 或支持IPSec的安全IP网关 为正常地发挥功能 FEP必须安装适当的隧道协议 同时必须能够在客户计算机建立起连接时创建隧道 以Internet为例 客户机向位于本地ISP的能够提供隧道技术的NAS NetworkAccessServer 发出拨号呼叫 例如 企业可以与某个ISP签订协议 由ISP为企业在全国范围内设置一套FEP 这些FEP可以通过Internet创建一条到隧道服务器的隧道 隧道服务器与企业的专用网络相连 这样 就可以将不同地方合并成企业网络端的一条单一的Internet连接 因为客户只能使用由FEP创建的隧道 所以称为强制隧道 一旦最初的连接成功 所有客户端的数据流将自动通过隧道发送 使用强制隧道 客户端计算机建立单一的PPP连接 当客户拨入NAS时 一条隧道将被创建 所有的数据流自动通过该隧道路由 可以配置FEP为所有的拨号客户创建到指定隧道服务器的隧道 也可以配置FEP基于不同的用户名或目的地创建不同的隧道 自愿隧道技术为每个客户创建独立的隧道 而强制隧道中FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享 而不必为每个客户建立一条新的隧道 因此 一条隧道中可能会传递多个客户的数据信息 只有在最后一个隧道用户断开连接之后才终止整条隧道 L2F LayerTwoForwardingProtocol 二层转发协议 是由Cisco公司提出的隧道技术 可以支持多种传输协议 如IP ATM 帧中继 首先 远端用户通过任何拨号方式接入公共IP网络 例如 按常规方式拨号到ISP的NAS 建立PPP连接 然后 NAS根据用户名等信息 发起第二重连接 通向企业的本地L2F网关服务器 这个L2F服务器把数据包解包之后发送到企业内部网上 在L2F中 隧道的配置和建立对用户是完全透明的 L2F没有确定的客户方 9 3 2L2F PPTP PointtoPointTunnelingProtocol 点到点隧道协议 在RFC 2637中定义 该协议将PPP数据包封装在IP数据包内通过IP网络 如Internet或Intranet 进行传送 PPTP协议可看作是PPP协议的一种扩展 它提供了一种在Internet上建立多协议的VPN的通信方式 远端用户能够通过任何支持PPTP的ISP访问公司的专用网络 9 3 3PPTP PPTP协议提供了PPTP客户端和PPTP服务器之间的加密通信 PPTP客户端是指运行了PPTP协议的PC机 如支持该协议的Windows客户机 PPTP服务器是指运行该协议的服务器 如支持该协议的WindowsNT服务器 PPTP客户端和服务器进行VPN通信的前提是二者之间有连通且可用的IP网络 也就是说PPTP客户端必须能够通过IP网络访问PPTP服务器 如果PPTP客户端是通过拨号上网 则要先拨号到本地的ISP建立PPP连接 从而可以访问Internet 如果PPTP客户端直接连接到IP网络 即可直接通过该IP网络与PPTP服务器取得连接 PPTP客户端和服务器之间的报文有两种 控制报文负责PPTP隧道的建立 维护和断开 数据报文负责传输用户的真正数据 1 控制报文PPTP客户端 拨号 到PPTP服务器创建PPTP隧道 这里的 拨号 并不是拨服务器的电话号码 而是连接PPTP服务器的TCP1723端口建立控制连接 控制连接负责隧道的建立 维护和断开 PPTP控制连接携带PPTP呼叫控制和管理信息 用于维护PPTP隧道 其中包括周期性地发送回送请求和回送应答报文 以期检测出客户机与服务器之间可能出现的连接中断 PPTP控制连接数据包包括一个IP报头 一个TCP报头和PPTP控制信息 如图9 5所示 图9 5PPTP控制报文 在创建基于PPTP的VPN连接过程中 使用的认证机制与创建PPP连接时相同 此类认证机制主要有EAP MS CHAP CHAP SPAP和PAP PPTP继承PPP有效载荷的加密和压缩 在Windows2000中 由于PPP帧使用MPPE MicrosoftPointtoPointEncryption 微软点对点加密技术 进行加密 因此认证机制必须采用EAP或MS CHAP 2 数据报文在隧道建好之后 真正的用户数据经过加密和 或压缩之后 再依次经过PPP GRE IP的封装最终得到一个IP包 如图9 6所示 通过IP网络发送到PPTP服务器 PPTP服务器收到该IP后层层解包 得到真正的用户数据 并将用户数据转发到内部网络上 用户的数据可以是多种协议 比如IP数据包 IPX数据包或者NetBEUI数据包 PPTP采用RSA公司的RC4作为数据加密算法 保证了隧道通信的安全性 图9 6PPTP数据报文 与L2F相比 PPTP把建立隧道的主动权交给了用户 但用户需要在其PC机上配置PPTP 这样不仅增加了用户的工作量 而且造成网络的安全隐患 另外 PPTP只支持IP作为其传输协议 L2TP LayerTwoTunnelingProtocol 第二层隧道协议 由RFC2661定义 它结合了L2F和PPTP的优点 可以让用户从客户端或访问服务器端发起VPN连接 L2TP是由Cisco Ascend Microsoft等公司在1999年联合制定的 已经成为二层隧道协议的工业标准 并得到了众多网络厂商的支持 L2TP协议支持IP X 25 帧中继或ATM等作为传输协议 但目前仅定义了基于IP网络的L2TP L2TP隧道协议可用于Internet 也可用于其他企业专用Intranet中 9 3 4L2TP L2TP客户端是使用L2TP隧道协议和IPSec安全协议的VPN客户端 而L2TP服务器是使用L2TP隧道协议和IPSec安全协议的VPN服务器 客户端和服务器进行VPN通信的前提是二者之间有连通且可用的IP网络 也就是说 L2TP客户端必须可以通过IP网络访问L2TP服务器 如果L2TP客户端是通过拨号上网 则要先拨号到本地的ISP建立PPP连接 从而访问Internet 如果L2TP客户端直接连接到IP网络 即可直接通过该IP网络与L2TP服务器取得连接 在介绍L2TP客户端和服务器之间通信的整个流程之前 需要首先了解下列术语 1 LAC L2TPAccessConcentrator L2TP访问集中器 是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备 LAC一般就是一个NAS NetworkAccessServer 网络接入服务器 它为用户通过PSTN ISDN提供网络接入服务 2 LNS L2TPNetworkServer L2TP网络服务器 是PPP端系统上用于处理L2TP协议服务器端部分的软件 L2TP主要由LAC和LNS构成 LAC支持客户端的L2TP 它用于发起呼叫 接收呼叫和建立隧道 LNS是所有隧道的终点 在传统的PPP连接中 用户拨号连接的终点是LAC L2TP使得PPP协议的终点延伸到LNS L2TP隧道的建立过程如图9 7所示 图9 7L2TP的连接过程 L2TP客户端和服务器之间的报文也有两种 控制报文和数据报文 不过这两种报文均采用UDP协议封装和传送PPP帧 PPP帧的有效载荷即用户传输数据 可以经过加密和 或压缩 但需要指出的是 与PPTP不同 在Windows2000中 L2TP客户机不采用MPPE对L2TP连接进行加密 L2TP连接加密由IPSecESP提供 1 控制报文控制报文用于隧道的建立与维护 与PPTP不同 L2TP不是通过TCP协议来进行隧道维护 而是采用UDP协议 在Windows2000中 L2TP客户端和服务器都使用UDP1701端口 不过Windows2000L2TP服务器也支持客户端使用非1701UDP端口 UDP封装报文结构如图9 8所示 图9 8L2TP控制报文 在Windows2000实现中 L2TP控制报文即UDP数据报经过IPSecESP的加密 由于UDP提供的是无连接的数据包服务 因此L2TP采用将报文序列化的方式来保证L2TP报文的按序递交 在L2TP控制报文中 NextReceived字段 类似于TCP中的确认字段 和NextSent字段 类似于TCP中的序列号字段 用于维持控制报文的序列化 无序数据包将被丢弃 NextReceived字段和NextSent字段同样用于用户传输数据的按序递交和流控制 L2TP控制报文的确切格式 请参阅L2TPInternet草案 L2TP支持一条隧道内的多路呼叫 在L2TP的控制报文以及L2TP数据帧的报头内 TunnelID标识了一条隧道而CallID标识了该隧道内的一路呼叫 在Windows2000中 创建一条未经IPSec加密的L2TP连接是有可能的 但在这种情形下 由于用户私有数据没有经过加密处理 因此该L2TP连接不属于VPN连接 非加密L2TP连接一般临时性地对基于IPSec的L2TP连接进行故障诊断和排除 在这种情况下 可以省略IPSec认证和协商过程 创建L2TP隧道时必须使用与PPP连接相同的认证机制 诸如EAP MS CHAP CHAP SPAP和PAP 基于Internet的L2TP服务器即使用L2TP协议的拨号服务器 它的一个接口在外部网络Internet上 另一个接口在目标专用网络Intranet上 2 数据报文L2TP隧道维护控制报文和隧道化用户传输数据具有相同的包格式 L2TP用户传输数据的隧道化过程采用多层封装的方法 图9 9显示了封装后在隧道中传输的基于IPSec的L2TP数据包格式 图9 9L2TP数据报文 数据发送端的发送处理过程如下 1 L2TP封装 初始PPP有效载荷如IP数据报 IPX数据报或NetBEUI帧等首先经过PPP报头和L2TP报头的封装 2 UDP封装 L2TP帧进一步添加UDP报头进行UDP封装 在UDP报头中 源端和目的端端口号均设置为1701 3 IPSec封装 基于IPSec安全策略 UDP报文通过添加IPSec封装安全负载ESP报头 报尾和IPSec认证报尾 进行IPSec加密封装 4 IP封装 在IPSec数据报外再添加IP报头进行IP封装 IP报头中包含VPN客户机和服务器的源端和目的端IP地址 5 数据链路层封装 数据链路层封装是L2TP帧多层封装的最后一层 依据不同的物理网络再添加相应的数据链路层报头和报尾 例如 如果L2TP帧将在以太网上传输 则用以太网报头和报尾对L2TP帧进行数据链路层封装 如果L2TP帧将在点对点WAN上传输 如模拟电话网或ISDN等 则用PPP报头和报尾对L2TP帧进行数据链路层封装 数据接收端的处理过程如下 1 处理并去除数据链路层报头和报尾 2 处理并去除IP报头 3 用IPSecESP认证报尾对IP有效载荷和IPSecESP报头进行认证 4 用IPSecESP报头对数据报的加密部分进行解密 5 处理UDP报头并将数据报提交给L2TP协议 6 L2TP协议依据L2TP报头中TunnelID和CallID分解出某条特定的L2TP隧道 7 依据PPP报头分解出PPP有效载荷 并将它转发至相关的协议驱动程序做进一步处理 PPTP和L2TP都使用PPP协议对数据进行封装 然后添加附加包头用于数据在互联网络上的传输 尽管两个协议非常相似 但是仍存在以下几方面的不同 1 PPTP要求互联网络为IP网络 L2TP只要求隧道媒介提供面向数据包的点对点的连接 L2TP可以在IP 使用UDP 帧中继永久虚拟电路 PVCs X 25虚拟电路 VCs 或ATMVCs网络上使用 9 3 5PPTP与L2TP的比较 2 PPTP只能在两端点间建立单一隧道 L2TP支持在两端点间使用多隧道 使用L2TP 用户可以针对不同的服务质量创建不同的隧道 3 L2TP可以提供包头压缩 当压缩包头时 系统开销占用4个字节 而PPTP协议下要占用6个字节 4 L2TP可以提供隧道验证 而PPTP则不支持隧道验证 但是当L2TP或PPTP与IPSec共同使用时 可以由IPSec提供隧道验证 而不需要在第二层协议上验证隧道 第三层隧道协议用于传输第三层网络协议 其实第三层隧道协议并不是一项很新的技术 早在1994年就出现的GRE RFC1701 协议就是一个第三层隧道协议 由IETF制定的新一代Internet安全标准IPSec协议也是第三层隧道协议 在本节中 我们讨论GRE协议 IPSec协议将在下一章中专门讨论 9 4第三层隧道协议 GRE GRE GenericRoutingEncapsulation 通用路由封装协议 由Cisco和NetSmiths公司于1994年提交给IETF 标号为RFC1701和RFC1702 在2000年 Cisco等公司又对GRE协议进行了修订 称为GREV2 标号为RFC2784 GRE是通用的路由封装协议 支持全部的路由协议 如RIP2 OSPF等 用于在IP包中封装任何协议的数据包 包括IP IPX NetBEUI AppleTalk BanyanVINES DECnet等 在GRE中 乘客协议就是上面这些被封装的协议 封装协议就是GRE 传输协议就是IP GRE与IPinIP IPXoverIP等封装形式很相似 但比它们更通用 在GRE的处理中 很多协议的细微差异都被忽略 这使得GRE不限于某个特定的 XoverY 应用 而是一种通用的封装形式 具体地说 路由器接收到一个需要封装和路由的原始数据包 比如IP包 先在这个数据包的外面增加一个GRE头部构成GRE报文 再为GRE报文增加一个IP头 从而构成最终的IP包 这个新生成的IP包完全由IP层负责转发 中间的路由器只负责转发 而根本不关心是何种乘客协议 以乘客协议IP为例 GRE封装过程如图9 10所示 IP头部GRE头部原始IP数据包利用GRE来进行VPN通信的原理如图9 11所示 图9 10GRE报文 图9 11利用GRE实现VPN 因为企业私有网络的IP地址通常是自行规划的保留IP地址 只是在企业网络出口有一个公网IP地址 原始IP包的IP地址通常是企业私有网络规划的保留IP地址 而外层的IP地址是企业网络出口的IP地址 因此 尽管私有网络的IP地址无法和外部网络进行正确的路由 但这个封装之后的IP包可以在Internet上路由 在接收端 将收到的包的IP头部和GRE头部解开后 将原始的IP数据包发送到自己的私有网络上 此时在私有网络上传输的IP包的地址是保留IP地址 从而可以访问到远程企业的