装起来传送,因此网络的链路层完全独立于用户的链路层协议 。1998年提交给IETF,成为RFC
2341 。
L2F远端用户能够通过任何拨号方式接入公共IP网络 。首先,按常规方式拨号到ISP的接
人服务器(NAS),建立PPP连接;NAS根据用户名等信息发起第二次连接,呼叫用户网络的服
务器 。这种方式下,隧道的配置和建立对用户是完全透明的 。
L2F答应拨号服务器发送PPP帧,并通过WAN连接到L2F服务器 。L2F服务器将包去封装后,
把它们接入到企业自己的网络中 。与PPTP和PPP所不同的是,L2F没有定义客户 。
2.3 L2TP
L2TP协议由Cisco、Ascend、Microsoft、3Com和Bay等厂商共同制订,1999年8月公布了
L2TP的标准RFC 2661 。上述厂商现有的VPN设备已具有L2TP的互操作性 。
L2TP结合了L2F和PPTP的优点,可以让用户从客户端或接人服务器端发起VPN连接 。L2TP
定义了利用公共网络设施封装传输链路层PPP帧的方法 。目前用户拨号访问因特网时,必须使
用IP协议,并且其动态得到的IP地址也是合法的 。L2TP的好处就在于支持多种协议,用户可
以保留原来的IPX、AppleTalk等协议或企业原有的IP地址,企业在原来非IP网上的投资不致
于浪费 。另外,L2TP还解决了多个PPP链路的捆绑问题 。
L2TP主要由LAC(接入集中器)和LNS(L2TP网络服务器)构成 。LAC支持客户端的L2TP,
用于发起呼叫,接收呼叫和建立隧道 。LNS是所有隧道的终点 。在传统的PPP连接中,用户拨
号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS 。
在安全性考虑上,L2TP仅仅定义了控制包的加密传输方式,对传输中的数据并不加密 。
因此,L2TP并不能满足用户对安全性的需求 。假如需要安全的VPN,则依然需要IPSec 。
3第三层隧道协议
3.1 IPSec
利用隧道方式来实现VPN时,除了要充分考虑隧道的建立及其工作过程之外,另外一个重
要的问题是隧道的安全 。第二层隧道协议只能保证在隧道发生端及终止端进行认证及加密,
而隧道在公网的传输过程中并不能完全保证安全 。IPSec加密技术则是在隧道外面再封装,保
证了隧道在传输过程中的安全性 。
IPSec是一个第三层VPN协议标准,它支持信息通过IP公网的安全传输 。IPSec系列标准从
1995年问世以来得到了广泛的支持,IETF工作组中已制定的与IPSec相关的RFC文档有:RFC
214、RFC2401-RFC 2409、RFC 2451等 。其中 RFC 2409介绍了互连网密钥交换(IKE)协议;
RFC 2401介绍了IPSec协议;RFC 2402介绍了验证包头(AH);RFC2406介绍了加密数据的报
文安全封装(ESP)协议 。
IPSec兼容设备在OSI模型的第三层提供加密、验证、授权、治理,对于用户来说是透明
的,用户使用时与平常无任何区别 。密钥交换、核对数字签名、加密等都在后台自动进行 。
另外,为了组建大型VPN,需要认证中心来进行身份认证和分发用户公共密钥 。
IPSec可用两种方式对数据流进行加密:隧道方式和传输方式 。隧道方式对整个IP包进行
加密,使用一个新的IPSec包打包 。这种隧道协议是在IP上进行的,因此不支持多协议 。传输
方式时IP包的地址部分不处理,仅对数据净荷进行加密 。
IPSec支持的组网方式包括:主机之间、主机与网关、网关之间的组网 。IPSec还支持对
远程访问用户的支持 。IPSec可以和L2TP、GRE等隧道协议一起使用,给用户提供更大的灵活
性和可靠性 。
IPSec的ESP协议和报文完整性协议认证的协议框架已趋成熟,IKE协议也已经增加了椭圆
推荐阅读
- SIP 会话初始协议第三方呼叫控制的研究
- 高可靠性的包交换传输协议完美分析
- 农村房子不过户协议有效吗
- 续1 利用协议分析工具学习TCP/IP(1)
- 网络捕包分析系统及其协议分析研究
- 续1 利用协议分析工具学习TCP/IP(2)
- 动态路由协议OSPF原理和特性
- 典型国际视频标准专利许可协议的分析
- 详细介绍MPLS路由协议的相关概念知识
- RIP 详细解析选路信息协议