虛私網的分類（基于osi七層模型）

1 引言

    随着網絡技術和網絡應用的迅猛發展，使用者對專用網絡的需求越來越大，遠端辦公室、公司各分支機構、公司與合作夥伴、供應商、公司與客戶之間都可能要建立連接配接通道以進行資訊傳送。為了在在Internet上為企業開通一條專用通道，以代替原來昂貴的專線租賃或幀中繼方式，将遠端的分支辦公室、商業夥伴、移動辦公人員等連接配接起來。并且提供安全的端到端的資料通信，虛拟私有網絡(虛私網，VirtualPrivate Network)就是這樣的背景下誕生了。虛私網通過隧道(Tunneling)技術，将公衆網可靠的性能、豐富的功能與專用網的靈活、高效結合在一起，是介于公衆網與專用網之間的一種網絡。

    2 虛私網的層次劃分

    虛私網的分類方法可以有多種，根據分層模型，虛私網可以在第二層建立，也可以在第三層建立，甚至可以在更高層。按層次劃分的主流虛私網技術有以下幾種：

    (1)第二層隧道協定(資料鍊路層)：這包括點到點隧道協定(PPTP)、第二層轉發協定(L2F)，第二層隧道協定(L2TP)、多協定标記交換(MPLS)等。

    (2)第三層隧道協定(網絡層)：這包括通用路由封裝協定(GRE)、IP安全(IPSec)，這是目前最流行的兩種三層協定。

    (3)會話層隧道協定：Socks處于OSI模型的會話層。Secks4協定，它為TELNET、FTP、HTTP，WAIS和GOPHER等基于TCP協定(不包括UDP)的客戶朋睦務器程式提供了一個無需認證的防火牆．建立了一個沒有加密認證的虛私網隧道。Socks5協定擴充了Socks4，以使其支援UDP、TCP架構規定的安全認證方案、位址解析方案中所規定的IPv4、域名解析和IPv6。

    (4)應用層隧道協定：安全套接字層(Secure SocketLayer，SSL)屬于應用層隧道協定．它廣泛應用于Web浏覽程式和Web伺服器程式．提供對等的身份認證和應用資料的加密。

    3 第二層隧道協定

    L2TP是L2F(Layer 2 Forwarding)和PPTP的結合。但是由于PC機的桌面作業系統包含着PPTP，是以PPTP仍比較流行。隧道的建立有兩種方式即：“使用者初始化”隧道和“NAS初始化”(Network Access Server)隧道。前者一般指“主動”隧道，後者指“強制”隧道。“主動”隧道是使用者為某種特定目的的請求建立的，而“強制”隧道則是在沒有任何來自使用者的動作以及選擇的情況下建立的。

    L2TP作為“強制”隧道模型是讓撥号使用者與網絡中的另一點建立連接配接的重要機制。建立過程如下：①使用者通過Modem與NAS建立連接配接；②使用者通過NAS的L2TP接入伺服器身份認證；③在政策配置檔案或NAS與政策伺服器進行協商的基礎上。NAS和L2TP接人伺服器動态地建立一條L2TP隧道；④使用者與L2TP接入伺服器之間建立一條點到點協定(Point to Point Protocol，PPP)通路服務隧道；⑤使用者通過該隧道獲得虛私網服務。

    與之相反的是，PPTP作為“主動”隧道模型允許終端系統進行配置，與任意位置的PPTP伺服器建立一條不連續的、點到點的隧道。并且，PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用隻是提供網絡服務。PPTP建立過程如下：①使用者通過序列槽以撥号IP通路的方式與NAS建立連接配接取得網絡服務；②使用者通過路由資訊定位PPIP接人伺服器；③使用者形成一個PPTP虛拟接口；④使用者通過該接口與PPTP接入伺服器協商、認證建立一條PPP通路服務隧道；⑤使用者通過該隧道獲得虛私網服務。

    在L2TP中，使用者感覺不到NAS的存在，仿佛與PPTP接入伺服器直接建立連接配接。而在PPTP中，PPTP隧道對NAS是透明的；NAS不需要知道PPTP接入伺服器的存在，隻是簡單地把PPTP流量作為普通IP流量處理。

    采用L2TP還是PPTP實作虛私網取決于要把控制權放在NAS還是使用者手中。L2TP比PPTP更安全，因為L2TP接入伺服器能夠确定使用者從哪裡來的。L2TP主要用于比較集中的、固定的虛私網使用者，而PPTP比較适合移動的使用者。

3．1優點

    PPTP/L2TP對用微軟作業系統的使用者來說很友善，因為微軟已把它作為路由軟體的一部分。PP2TP支援其他網絡協定，如Novell的IPX。NetBEUI和Apple Talk協定，還支援流量控制。它通過減少丢棄包來改善網絡性能，這樣可減少重傳。

    3．2不足

    PPTP和L2TP将不安全的IP包封裝在安全的IP包内，它們用IP幀在兩台計算機之間建立和打開資料通道，一旦通道打開，源和目的使用者身份就不再需要。這樣可能帶來問題。它不對兩個節點間的資訊傳輸進行監視或控制。PPTP和L2TP限制同時最多隻能連接配接255個使用者。端點使用者需要在連接配接前手工建立加密信道。認證和加密受到限制。沒有強加密和認證支援。

    4 IPSec

    IPSec是網絡層的虛私網技術。表示它獨立于應用程式。IPSec提供站點間(例如：分支辦公室到總部)及遠端通路的安全聯機。這是一種成熟的标準。全球各地許多廠家提供這種解決方案。IPSec／IKE事實上指的是IETF标準(從RFCs2401到241X)的集合，包括密鑰管理協定(IKE)和加密封包格式協定(IPSec)。IPSec／IKE可支援各種加密算法(DES、3DES、AES與RC4)及資訊完整性檢驗機制(MD5、SHA-1)。IPSec以自己的封包封裝原始口資訊。是以可隐藏所有應用協定的資訊。一旦‰建立加密隧道後。就可以實作各種類型的一對多的連接配接，如Web、電子郵件、檔案傳輸、VoIP等連接配接，并且，每個傳輸必然對應到虛私網網關之後的相關伺服器上。

    (1)優點：

    1)IPSec是與應用無關的技術，是以IPSoc 虛私網的用戶端支援所有IP層協定：

    2)IPSec技術中，用戶端至站點(cllent-W-site)、站點對站點(site-to-site)、用戶端至用戶端(cllent-to--client)連接配接所使用的技術是完全相同的：

    3)IPSec 虛私網網關一般整合了網絡防火牆的功能；

    4)IPSec 用戶端程式可與個人防火牆等其他安全功能一起銷售，是以，可保證配置、預防病毒，并能進行入侵檢測。

    (2)不足：

    IPSee 虛私網需要安裝用戶端軟體，但并非所有用戶端作業系統均支援IPSee 虛私網的用戶端程式；IPSee 虛私網的連接配接性會受到網絡位址轉換(NAT)的影響，或受網關代理裝置(proxy)的影響；IPSec 虛私網需要先完成用戶端配置才能建立通信信道，并且配置複雜。

    5 Socks 虛私網

    SOCKS不是一種傳統的虛私網協定．SOCKS經常充當一個防火牆的角色，用于内部網絡通路外部網絡。然而。SOCKS也提供了一般虛私網協定所具有的認證和加密特性．同樣可以被用于外部網絡通路内部網絡的情形。SOCKS協定包括SOCK v4和SOCK v5。

    SOCKS v5工作在OSI參考模型中的會話層。可作為建立高度安全的虛私網的基礎。SOCKS v5協定的優勢在于通路控制。是以适用于安全性較高的虛私網。SOCKS v5現在被IETF(Internet Engineering Task Force，網際網路工程任務組)建議作為建立虛私網的标準。

    SOCKS 虛私網将SOCKS v5，虛私網隧道、AES加密技術、多種身份認證(使用者名，密碼認證、硬體key認證、機器硬體綁定認證)相結合。通過SOCKS用戶端為企業使用者提供端到端的安全的異地接人服務。适用于基于TCP、UDP的B／S。

    5．1優點

    能夠非常詳細地進行通路控制。在網絡層隻能根據源和目的位址允許或拒絕資料報通過．在會話層控制手段更多一些；由于工作在會話層，能同低層協定如IP v4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理伺服器可隐藏網絡位址結構：能為認證、加密和密鑰管理提供“插件”子產品，讓使用者自由地采用所需要的技術；SOKS v5可根據規則過濾資料流，包括JavaApplet和Actives控制。

    5．2不足

    性能比低層次協定差，必須制定更複雜的安全管理政策。這樣，它最适合用于客戶機到伺服器的連接配接模式。

    6 SSL 虛私網

    SSL 虛私網指的是以HTTPS為基礎的虛私網。但也包括可支援SSL的應用程式，例如，電子郵件用戶端程式，如Microsoft Outlook或Eudora。SSL 虛私網經常被稱之。無用戶端”，因為目前大多數計算機在出貨時。都已經安裝了支援HTTP和HTTPS(以SSL為基礎的HTTP)的Web浏覽器。

    目前,SSL已由TLS傳輸層安全協定(RFC 2246)整合取代，它工作在TCP之上。如同IPSec／IKE一樣，它必須首先進行配置，包括使用公鑰與對稱密鑰加密以交換資訊。此種交換通過數字簽名讓用戶端使用已驗證的伺服器。還可選擇性地通過簽名或其他方法讓伺服器驗證用戶端的合法性，接着可安全地産生會話密鑰進行資訊加密并提供完整性檢查。ssL可利用各種公鑰(RSA、DSA)算法、對稱密鑰算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。

   6．1優點

    (1)它的HTTPS用戶端程式，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經預裝在了終端裝置中，是以不需要再次安裝：

    (2)像Microsoft Outlook與Eudora這類流行的郵件用戶端／伺服器程式所支援的SSL HTTPS功能，同樣也與市場上主要的Web伺服器捆綁銷售，或者通過專門的軟硬體供貨商(例如Web存取裝置)獲得；

    (3)SSL 虛私網可在NAT代理裝置上以透明模式工作；

    (4)SSL 虛私網不會受到安裝在用戶端與伺服器之間的防火牆的影響。

    6．2不足

    (1)SSL 虛私網不适用做點對點的虛私網，後者通常是使用IPSec/IKE技術：

    (2)SSL 虛私網需要開放網絡防火牆中的HTTPS連接配接端口，以使SSL 虛私網網關流量通過；

    (3)SSL 虛私網通常需要其他安全配置，例如用第三方技術驗證“非信任”裝置的安全性(“非信任”裝置是指其他資訊站或家用計算機)。

    7 結論

    近年來。虛私網技術得到了快速的發展，尤其是SSL虛私網與IPSec得到了廣泛的應用，為使用者提供了高速、可靠、安全、廉價的遠端網絡互聯方案。虛私網技術的應用降低了網絡的營運成本，提高了資源利用效率，具有明顯的應用價值。随着各行各業資訊化程序的加快，特别是電子商務、電子政務以及遠端教育、遠端辦公、管理等應用的推動，虛私網技術将會發揮更大的優勢，必将成為未來網絡安全的一項重要技術和遠端網絡互聯理想的解決方案。具有廣闊的發展和應用前景。在不同的需求情況之下，我們應該根據各個虛私網技術的特點，合理選擇恰當的虛私網技術。  

從透傳的資料單元來看：L3 虛私網透傳的是三層IP資料，故也隻支援IP資料透傳了；L2 虛私網透傳的是二層資料單元，故能支援很多種業務類型的透傳，比如以太網幀，幀中繼，ATM，TDM等；

從組網應用上來看：基于上面的原因，可以看到，二層虛私網應用上更貼近于傳送網的功能，PTN就是基于L2 虛私網實作業務透傳方式的一種傳送網技術，L2 虛私網中，公網裝置相對于私網裝置來說相當于是私網的下層，整個提供虛私網的公網有點像是一台大以太網交換機。但是，如果需要三層IP的靈活組網，就必須要用L3 虛私網了，比如IP RAN解決方案，因為LTE網絡中，eNodeB之間，或于PS域裝置之間在網絡地位上是屬于不同子網的關系，是需要基于三層的關系進行互相間的業務承載，就必須采用L3 虛私網方案，L3 虛私網中，公網裝置和私網裝置在網絡層次上相當于處于同一平面，整個提供虛私網公網有點像是一台路由器。