3.2.4.2 實現方式
由于虛擬專用網的“虛擬”重點在于邏輯網絡與物理網絡的分離，所以VPN的種類很多，實現VPN的方法也可以有很多種。從VPN實現的層次來說，可以有網絡層VPN、數據鏈路層VPN等。網絡層VPN多采用IP協議，而數據鏈路層VPN則由ATM或幀中繼虛電路實現。這里主要討論網絡層VPN的實現方法，控制路由選擇、隧道和網絡層封裝等。
（1）控制路由選擇
控制路由選擇(路由過濾）即控制路由的傳遞，只有一定的網絡才能接受屬于同一利益實體內其他網絡的路由信息。與這組網絡有關的路由信息被過濾，使之不被相連的其他網絡得到，而其他非VPN的路由信息被隔絕在VPN網絡之外。服務供應商路由器僅將來自屬于VPNA的網絡的路由信息傳遞到同樣屬于VPNA的網絡。由于缺乏到達VPN外其他網絡的路由信息，VPN主機無法響應源地址為VPN外結點的數據報，由此實現專有服務。
這種實現VPN的方法存在很多缺點。首先是實現從VPN內到VPN外的路由很困難。其次是這種環境假設使用一個公共的路由核心，這就會使得每個VPN使用的地址不能和這個公共網絡結構上的其他VPN的地址發生沖突，即VPN不能使用任意的私有地址。另外，采用這種方法，兩個VPN之間不能通過單點連接。VPN也不可能通過一個單一結點訪問Internet,必須設置一個所謂“網關”，所有外部的數據流都經過這個控制點，可以加強訪問控制，記錄外部數據流。
實現VPN之間的互連,需要將初始數據報傳輸到VPN的互連點，如果允許這些數據報通過，同樣的數據報再傳送到最終的VPN目的地址。如果在VPN的人口點沒有使用網絡地址翻譯(NAT)技術，將不支持這種通信結構。
總的來說，僅靠路由過濾來實現VPN只是一種初級的方法，它容易導致錯誤，降低網絡的安全性和靈活性。
（2）隨道（Tunneling)
通過隧道傳送數據是實現VPN的另一種更有效的方法。普遍采用的隧道機制有：源路由器和目的路由器之間的GRE(Generic Routing Encapsulation)隨道，路由器到路由器或主機到主機的隧道L2TP(Layer2Tunneling Protocol)和PPTP(Point-to-Point Tunneling Protocol)以及DVMRP(Distance VectorMulticast Routing Protocol)隨道。
　　①傳統的隧道模式
GRE隧道通常是建立在源（人口）路由器和目的（出口）路由器之間。在隧道的開始處，通過隧道傳輸的報文（已經按正常的IP協議定義加了報頭）再被加上一個新的報頭（GRE報頭），目的地址為隧道終點路由器的地址。被封裝后的報文在隧道中傳輸，當報文到達隧道終點時,GRE報頭被去掉,報文再按照原來的IP報頭中攜帶的目的地址，繼續傳送。
采用隧道實現VPN時,有許多優點：首先,每一個與公共網絡相連接的連接點，被配置成使用公共網絡和相關隧道尋址和路由的物理連接。隧道技術使用的隧道出口點地址，屬于公共網絡，而隧道內傳輸的報文，使用的是VPN的地址空間，這樣就將VPN的路由與公共網絡的路由隔離開來，多個VPN能夠重復使用相同的私有地址空間，使VPN在一定程度上獨立于公共網絡。
其次，隧道能夠封裝許多不同的協議簇，這使得基于隧道的VPN可以模擬專有網絡的許多功能。
隧道VPN的另一個優點是將公共路由環境與VPN路由環境分割開來。VPN可以通過虛擬網絡使用符合VPN管理需要的路由協議同樣,公共網絡也可以根據網絡的管理需要，選擇路由協議，而不受VPN網絡使用的路由協議的限制。
GRE隧道也并非VPN設計的萬全之策,GRE隧道必須手工配置，每次隧道終點改變，都需要重新配置。當然,GRE隧道也可以自動配置,但會導致路由和性能方面的很多問題。最差的結果是導致形成路由配置環，即數據會在隧道中循環通過。
②虛擬專用撥號網絡(VPDN)
VPDN可以使用戶通過本地連接接人到公共Internet,就可以建立一條從客戶系統到想要連接的遠程服務點的隧道。在實現虛擬專用撥號網絡的技術中?最常用的有兩種L2TP和微軟的PPTP隧道。L2TP融合了早期的L2F協議和PPTP協議。而PPTP包含在桌面計算機操作系統中，因而得到廣泛的應用。
　　a.L2TP
使用L2TP隧道時，撥號用戶撥人NAS,根據本地配置文件或NAS與配置服務器協商以及身份確認后，自動建立一條到達預定終點的L2TP隧道，而這個終點也是用戶PPP會話的結束點。
b.PPTP
PPTP是允許端系統配置和建立到任意地點的PPTP服務器的點到點隧道，而不需要NAS參與PPTP協商和隧道的建立。撥號用戶撥人到NAS，隨后，在客戶端系統和客戶想要連接的任意PPTP服務器之間建立PPTP會話，這可以通過傳統的路由信息實現，而用戶也需在PPTP服務器上具備一定的權限。
與PPTP協議一起使用的有Microsoft Point-tc Point(MPPE)協議，以增加PPTP的安全性。它在標準的Microsoft撥號網絡中增加了集成數據保密(封裝)。
MPPE在PPP數據報進人PPTP隧道之前，在客戶計算機上將PPP數據報進行封裝。當客戶計算機與隧道終點協商PPP時，封裝會話初始化。隧道中的交換機無法解密PPP數據報。
　　c.L2TP與PPTP的區別
為了理解I.2TP和PPTP的區別，首先，比較一下客戶發起的隧道和NSA(網絡訪問服務器)或撥號網絡服務器發起的隧道。前者是指主動的隧道，即隧道的建立是根據用戶特定的需要.而后者是指被動的隧道，即隧道的建立與用戶的行為無關，不允許用戶有任何選擇。
PPTP是主動隧道模式，撥號用戶有權在初始PPP協商之后選擇PPTP隧道目的端,,PPTP隧道對于服務提供商來說是透明的，服務供應商不需保留PPTP服務器，只需像傳送其他IP數據一樣傳送PPTP數據。
L2TP是被動隧道模式。服務供應商控制PPP會話的終結點。這在用戶需要通過服務供應商撥人到內容供應商時,很有作用。
選擇L2TP或PPTP實現VPDN的關鍵在于是由服務供應商還是用戶掌握VPN的控制權。L2TP模型有大貴已配置的用戶，使得VPN很像普通的撥號訪問系統。L2TP的隧道開始于NAS。PPTP模型的客戶是一個單獨的端用戶，所建立的VPN結構是端到端隧道。
（3）網絡層封裝
封裝技術在提供為VPN連接所需的分段和虛擬時非常有效，它能夠在協議找的任意層實現。正在制定的Internet網絡層封裝標準是IPSec(IPSecurity)。
網絡層封裝有兩種主要方法。最安全的方法是主機之間端到端的數據報封裝。另一種方法通常是指“隧道模式”，只是封裝在中間設備(路由器）之間傳輸的數據，而端系統到第一跳路由器之間傳輸的是明文。如果在端系統和第一跳路由器之間傳輸的數據被截取.將會危及到VPN的安全。當VPN采用隧道方法實現時，對隧道的封裝并不能改變隧道進出口的脆弱性，因為這些點邏輯上是公共網絡的-部分，不是VPN網絡的一部分。任何對這些的點破壞都會損壞專用網絡的保密性。
在端到端封裝策略中，VPN的安全粒度達到端系統層，而隧道策略中，VPN的安全粒度達到子網層，在路由器之間被封裝傳輸的數據被認為是安全的。
可以說.包括IPSec，都不是實現VPN的獨立的技術，它是VPN技術的一個子集。

返回目錄：通信工程師終端與業務組網技術匯總

編輯推薦：

中級通信專業實務互聯網技術教程匯總

中級通信專業實務傳輸與接入教程匯總

通信專業實務考試設備與環境教程匯總

通信專業實務考試交換技術教程匯總