隧道協議有
① vpdn隧道協議有些什麼
vpdn 採用專用的網路加密通信協議,在公共網路上為企業建立安全的虛擬專內網。企業駐外機構和出差容人員可從遠程經由公共網路,通過虛擬加密隧道實現和企業總部之間的網路連接,而公共網路上其它用戶則無法穿過虛擬隧道訪問企業網內部的資源。 vpdn 有下列兩種實現方式: (1) nas 通過隧道協議,與vpdn 網關建立通道的方式。這種方式將客戶的ppp連接直接連到企業的網關上,目前可使用的協議有l2f 與l2tp。其好處在於:對用戶是透明的,用戶只需要登錄一次就可以接入企業網路,由企業網進行用戶認證和地址分配,而不佔用公共地址,用戶可使用各種平台上網。這種方式需要nas 支持vpdn 協議,需要認證系統支持vpdn 屬性,網關一般使用路由器或vpn 專用伺服器。 (2) 客戶機與vpdn 網關建立隧道的方式。這種方式由客戶機先建立與internet的連接,再通過專用的客戶軟體(如win2000 支持的l2tp 客戶端)與網關建立通道連接。其好處在於:用戶上網的方式和地點沒有限制,不需isp 介入。缺點是:用戶需要安裝專用的軟體。
② 實現VPN的隧道協議有哪些
PPTP、L2TP
╮(╯_╰)╭像我用的網一VPN就是PPTP協議的。
③ 隧道技術和隧道協議有什麼區別
隧道技來術是指各項程序的自具體操作方法,而隧道協議是GTP是7層的tunneling協議 tunneling是指把本原的數據包重新打包生成一個新的包
而用戶面是指把純用戶數據進行tunneling
對應的也有信令面(傳輸)隧道
④ 常見的vpn隧道協議有哪些
GRE IPSEC SSL等,簡單的還有PPTP,L2TP
⑤ vpn目前使用的隧道協議有哪些各有什麼特點
l2tp ,ipsec ,pptp ,不太記得了。經常使用的。還有vlan vpn。
⑥ VPN使用的隧道協議可以有那幾類,分別有哪些協議
vpn中的隧道是由隧道協議形成的,vpn使用的隧道協議主要有三種:點到點隧道協議(pptp)、第二層隧道協議(l2tp)以及ipsec。
pptp封裝了ppp數據包中包含的
用戶信息,支持隧道交換。隧道交換可以根據用戶許可權,開啟並分配新的隧道,將ppp數據包在網路中傳輸。另外,隧道交換還可以將用戶導向指定的企業內部服
務器。pptp便於企業在防火牆和內部伺服器上實施訪問控制。位於企業防火牆的隧道終端器接受包含用戶信息的ppp數據包,然後對不同來源的數據包實施訪
問控制。
l2tp協議綜合了pptp協議和l2f(layer 2 forwarding)協議的優點,並且支持多路隧道,這樣可以使用戶同時訪問internet和企業網。
ipsec是用來增強vpn安全性的
標准協議。ipsec包含了用戶身份認證、查驗和數據完整性等內容。該協議標准由ietf組織制訂,其中規定了用以在兩個ip工作站之間進行加密、數字簽
名等而使用的一系列ip級協議。ipsec實現來自不同廠商的設備在進行隧道開通和終止時的互操作。另外,由於ipsec的安全性功能與密鑰管理系統鬆散
耦合,所以當密鑰管理系統發生變化時,ipsec的安全機制不需要進行修改。
基於mpls的vpn是一種基於網路的新型vpn解決方案,它要求廣域網路支持
mpls,利用mpls的標記交換在廣域網路上為vpn用戶提供虛擬連接。mpls vpn的優點是全網統一管理的能力很強,由於mpls
vpn是基於網路的,全部的vpn網路配置和vpn策略配置都在網路端完成,可以大大降低管理維護的開銷。
itu-t形成的基於網路ip vpn草案中提出了關於基於mpls的ip vpn技術要求,在業務提供商的網路中採用ip技術,且骨幹網用mpls,對於ip vpn業務只能在邊緣設備上提供,而對於骨幹設備,ip vpn業務是透明的,這樣才有利於可擴展性
⑦ 什麼是第二層隧道協議和第三層隧道協議兩者有什麼不同
隧道技術VPN基本技術類似於點點連接技術公用網建立條數據通道(隧道)讓數據包內通條隧道容傳輸隧道由隧道協議形第二、三層隧道協議第二層隧道協議先各種網路協議封裝PPP再整數據包裝入隧道協議種雙層封裝形數據包靠第二層協議進行傳輸第二層隧道協議L2F、PPTP、L2TP等L2TP協議目前IETF標准由IETF融合PPTP與L2F形
第三層隧道協議各種網路協議直接裝入隧道協議形數據包依靠第三層協議進行傳輸第三層隧道協議VTP、IPSec等IPSec(IP Security)由組RFC文檔組定義系統提供安全協議選擇、安全算確定服務所使用密鑰等服務IP層提供安全保障
⑧ 隧道協議的隧道協議
隧道技術的實質是如何利用一種網路層的協議來傳輸另一種網路層的協議,其基本功能是封裝和加密,主要利用隧道協議來實現。封裝是構建隧道的基本手段。從隧道的兩端來看,封裝就是用來創建、維持和撤銷一個隧道,來實現信息的隱蔽和抽象。而如果流經隧道的數據不加密,那麼整個隧道就暴露在公共網路中,VPN的安全性和私有性就得不到體現。
網路隧道技術涉及了3種網路協議:網路隧道協議、隧道協議下面的承載協議和隧道協議所承載的被承載協議。如圖所示
隧道協議作為VPN IP層的底層,將VPN IP分組進行安裝封裝;隧道協議同時作為公用IP網的一種特殊形式,將封裝的VPN分組利用公網內的IP協議棧進行傳輸,以實現隧道內的功能。隧道協議在這個協議體系中起著承上啟下的作用。
隧道協議存在多種可能的實現方式,按照工作的層次,可分為兩類:一類是二層隧道協議,用於傳輸二層網路協議,它主要應用於構建撥號VPN(Access VPN);另一類是三層隧道協議,用於傳輸三層網路協議,它主要應用於構建內部網VPN(Intranet VPN)和外聯網(VPN Extranet VPN)。 二層隧道協議指用公用網路來封裝和傳輸二層(數據鏈路層)協議,此時在隧道內傳輸的是數據鏈路層的幀。工作原理如圖所示
在點到點的二層鏈路上,最常用的二層協議是PPP協議,隧道協議實現中,首先將IP分組封裝在二層的PPP協議幀中,也就是會所,先把各種網路協議封裝在PPP中,再把整個數據包裝入二層隧道協議中。這種雙層封裝方法形成的數據包在公用網路中傳輸。
第二層隧道協議具有簡單易行的優點,但是他沒的可擴展性不太好,而且提供內在的安全機制安全強度低,因此它們不支持企業和企業的外部客戶以及供應商之間通信的保密性需求,不適合用來構建連接企業內部網和企業的外部客戶和供應商的企業外部網VPN。 三層隧道協議是用公用網來封裝和傳輸三層(網路層)協議(如IP、IPX、AppleTalk等),此時在隧道內傳輸的是網路層的分組。三層隧道協議並非是一種很新的技術,早已出現的RFC 1701 通路路由封裝協議就是一個三層隧道協議。IETF制定的IP層加密標准協議IPSec 也是一個三層速到協議,利用IPSec(ESP/AN)的隧道模式構成的VPN隧道。三層隧道協議的協議棧如圖所示,
⑨ VPN目前使用的隧道協議有哪些各有什麼特點
虛擬專用網(VPN)被定義為通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連接,是一條穿過混亂的公用網路的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。
虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。通過將數據流轉移到低成本的壓網路上,一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網路連接上的費用。同時,這將簡化網路的設計和管理,加速連接新的用戶和網站。另外,虛擬專用網還可以保護現有的網路投資。隨著用戶的商業服務不斷發展,企業的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上,而不是網路上。虛擬專用網可用於不斷增長的移動用戶的全球網際網路接入,以實現安全連接;可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。
目前很多單位都面臨著這樣的挑戰:分公司、經銷商、合作夥伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包括:公司的內部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連接。
對於很多IPSec VPN用戶來說,IPSec VPN的解決方案的高成本和復雜的結構是很頭疼的。存在如下事實:在部署和使用軟硬體客戶端的時候,需要大量的評價、部署、培訓、升級和支持,對於用戶來說,這些無論是在經濟上和技術上都是個很大的負擔,將遠程解決方案和昂貴的內部應用相集成,對任何IT專業人員來說都是嚴峻的挑戰。由於受到以上IPSec VPN的限制,大量的企業都認為IPSec VPN是一個成本高、復雜程度高,甚至是一個無法實施的方案。為了保持競爭力,消除企業內部信息孤島,很多公司需要在與企業相關的不同的組織和個人之間傳遞信息,所以很多公司需要找一種實施簡便,不需改變現有網路結構,運營成本低的解決方案。
---- 從概念上講,IP-VPN是運營商(即服務提供者)支持企業用戶應用的方案。一個通用的方法可以適用於由一個運營商來支持的、涉及其他運營商網路的情況(如運營商的運營商)。
---- 圖1給出了實現IP-VPN的一個通用方案。其中,CE路由器是用於將一個用戶站點接入服務提供者網路的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務提供者的邊緣路由器。
---- 站點是指這樣一組網路或子網,它們是用戶網路的一部分,並且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點,一個站點可以同時位於不同的幾個VPN之中。
---- 圖2顯示了一個服務提供者網路支持多個VPN的情況。如圖2所示,一個站點可以同時屬於多個VPN。依據一定的策略,屬於多個VPN的站點既可以在兩個VPN之間提供一定的轉發能力,也可以不提供這種能力。當一個站點同時屬於多個VPN時,它必須具有一個在所有VPN中唯一的地址空間。
---- MPLS為實現IP-VPN提供了一種靈活的、具有可擴展性的技術基礎,服務提供者可以根據其內部網路以及用戶的特定需求來決定自己的網路如何支持IP-VPN。所以,在MPLS/ATM網路中,有多種支持IP-VPN的方法,本文介紹其中兩種方法。
方案一
---- 本節介紹一種在公共網中使用MPLS提供IP
⑩ 網路隧道的三層隧道協議
IPSec 提供以下幾種網路安全服務:
私有性 - IPsec 在傳輸數據包之前將其加密,以保證數據的私有性
完整性 - IPsec 在目的地要驗證數據包,以保證該數據包在傳輸過程中沒有被替換
真實性 - IPsec 端要驗證所有受 IPsec 保護的數據包
反重復 - IPsec 防止了數據包被撲捉並重新投放到網上,即目的地會拒絕老的或重復的數據包;它通過與 AH 或 ESP 一起工作的序列號實現 IPSec 協議本身定義了如何在 IP 數據包中增加欄位來保證 IP 包的完整性、私有性和真實性,這些協議還規定了如何加密數據包。使用 IPsec,數據就可以在公網上傳輸,而不必擔心數據被監視、修改或偽造了。IPsec 提供了兩個主機之間、兩個安全網關之間或主機和安全網關主機的保護。
IPSec 定義了兩個新的數據包頭增加到 IP 包,這些數據包頭用於保證 IP 數據包的安全性。這兩個數據包頭由AH(Authentication Header)和 ESP(Encapsulating Security Payload)規定。在網關上實現 IPSec,AH 將插到標准IP包頭後面,它保證數據包的完整性和真實性,防止黑客截斷數據包或向網路中插入偽造的數據包。AH 採用了安全哈希演算法來對數據包進行保護。AH 沒有對用戶數據進行加密。ESP 將需要保護的用戶數據進行加密後再封裝到IP包中,ESP 可以保證數據的完整性、真實性和私有性。
IPSec 有隧道和傳送兩種工作方式。在隧道方式中,用戶的整個 IP數據包被用來計算 ESP 頭,且被加密,ESP 頭和加密用戶數據被封裝在一個新的 IP 數據包中;在傳送方式中,只是傳輸層(如TCP、UDP、ICMP)數據被用來計算 ESP 頭,ESP 頭和被加密的傳輸層數據被放置在原IP包頭後面。當 IPSec 通信的一端為安全網關時,必須採用隧道方式。
Internet 密鑰交換協議(IKE)用於在兩個通信實體協商和建立安全相關,交換密鑰。安全相關(Security Association)是 IPSec 中的一個重要概念。一個安全相關表示兩個或多個通信實體之間經過了身份認證,且這些通信實體都能支持相同的加密演算法,成功地交換了會話密鑰,可以開始利用 IPSec 進行安全通信。IPSec 協議本身沒有提供在通信實體間建立安全相關的方法,利用 IKE 建立安全相關。IKE 定義了通信實體間進行身份認證、協商加密演算法以及生成共享的會話密鑰的方法。IKE中身份認證採用共享密鑰和數字簽名兩種方式,密鑰交換採用 Diffie Hellman 協議。
安全相關也可以通過手工方式建立,但是當 VPN 中結點增多時,手工配置將非常困難。