VPN工作原理及關鍵技術

◇隧道技術

隧道技術通過對數據進行封裝，在公共網絡上建立一條數據通道（隧道），讓數據包通過這條隧道傳輸，從協議層次看，主要有三種：第二層隧道協議、第三層隧道協議和第四層隧道協議。

第二層隧道協議是在數據鏈路層進行的，先把各種網絡協議封裝到PPP包中，再把整個數據包裝人隧道協議中，這種經過兩層封裝的數據包由第二層協議進行傳輸。第二層隧道協議主要有點到點隧道協議( Point to Point Tunneling Protocol，PPTP)和第二層隧道協議(Layer Two Tunneling Protocol，L2TP)。其中，PPTP在RFC-2637中定義，該協議將PPP數據包封裝在IP數據包內通過IP網絡（如Internet）進行傳送；而L2TP在RFC 2661中定義，結合了L2F和PPTP的優點，可以讓用戶從客戶端或訪問服務器端發起VPN連接。L2TP協議支持IP、X.25.幀中繼或ATM等作為傳輸協議。

第三層隧道協議是在網絡層進行的，把各種網絡協議直接裝入隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層隧道協議主要有IP Sec(IP Security)和通用路由封裝協議( General Routing Encapsulation，GRE)。IP Sec將在下面一節專門介紹。GRE通用的路由封裝協議，支持全部的路由協議（如RIP2.0SPF等），用于在IP包中封裝任何協議的數據包，包括IP、IPX、NetBEUI、AppleTalk、Banyan VINES、DECnet等。

第四層隧道協議是在傳輸層進行。一般地，通過將TCP數據包封裝后進行傳輸，如HTTP會話中的數據包。安全套接字隧道協議主要有SSL、TSL等協議。

◇加解密技術

VPN利用Internet自勺基礎設施傳輸企業私有的信息，通過加密措施確保網絡上未授權的用戶無法讀取該信息。一般來說，在VPN實現中，雙方大量的通信流量的加密使用對稱加密算法，而在管理和分發對稱加密的密鑰上采用非對稱加密技術。

使用者與設備身份認證技術

VPN需要解決的首要問題就是網絡上用戶與設備的身份認證。傳統的身份認證基本上采用的是用戶賬號加口令的模式，如口令認證協議( Password Authentication Protocol，PAP)、 詢問握手認證協議( Challenge Handshake Authentication Protocol，CHAP)、遠程認證撥號用戶服務( Remote Authentication Dial In User Service，RADIUS)等。使用PKI體系的身份認證的有SSL安全通信協議的身份認證、Kerberos等，這些協議中雙方通過交換、驗證數字證書來確認彼此的身份。