吳謙 封旭

摘要：VPN是利用安全性較低的網(wǎng)絡進行安全加密來實現(xiàn)網(wǎng)絡連接，通過身份驗證以后可以讓遠程用戶更為安全地對服務器進行訪問。本文對基于Internet的VPN組建方案、利用第二層隧道技術、IPSec解決方案的優(yōu)缺點進行分析，并對利用DES算法、VPN路由選擇和整合方案等方面進行研究，提出了適合短期開發(fā)的VPN實現(xiàn)方案，可供相關人員參考。

關鍵詞：VPN;PPTP協(xié)議;DES加密技術

1、引言

傳統(tǒng)的互聯(lián)網(wǎng)接入方式，只能為用戶提供網(wǎng)頁瀏覽和電子郵件等方面的網(wǎng)絡服務，沒有建立起有效的機制來保證用戶信息安全，也無法滿足用戶對網(wǎng)絡功能多樣化的要求。同時，隨著企業(yè)規(guī)模的不斷變大，需要建立起內(nèi)部網(wǎng)絡來為企業(yè)生產(chǎn)經(jīng)營提供服務，但建立起LAN或利用專線構建VAN方式已經(jīng)無法滿足當前用戶的使用要求，VPN技術可以更好地解決該問題。

2、VPN的若干組建方案

2.1 基于Internet的VPN組建方案

以互聯(lián)網(wǎng)作為基礎條件來組建起企業(yè)VPN，可以將每個網(wǎng)段和每位遠程用戶接入到互聯(lián)網(wǎng)中，用戶可利用Modem裝置，再經(jīng)過公共網(wǎng)或拔號連接到本地NAS，從而實現(xiàn)與互聯(lián)網(wǎng)的連接。企業(yè)分部機構網(wǎng)段可以利用路由器和專線結合方式來實現(xiàn)與互聯(lián)網(wǎng)的連接，企業(yè)總部網(wǎng)絡區(qū)段為VPN中心系統(tǒng)，可通過路由器來實現(xiàn)與互聯(lián)網(wǎng)的連接。

2.2 利用第二層隧道技術

VPN多采用第二層隧道技術來進行構建，是一種先進的封裝技術，應用網(wǎng)絡信息傳輸協(xié)議把數(shù)據(jù)信息封裝到報文內(nèi)容中，可以在網(wǎng)絡層面中實現(xiàn)進行數(shù)據(jù)傳輸，該技術將數(shù)據(jù)鏈路層數(shù)據(jù)信息完全封裝在報文內(nèi)容中，從而創(chuàng)建出IP報文，可為互聯(lián)網(wǎng)中進行數(shù)據(jù)交互提供便利，其中以PPTP協(xié)議及L2F協(xié)議應用的比較成熟。PPTP協(xié)議可應用到隧道技術中，可以為組建VPN隧道提供良好的技術支持，該協(xié)議以PPP協(xié)議作為開發(fā)的前提條件，將用戶數(shù)據(jù)幀以GRT作為基礎來封裝生成IP報文，應用隧道技術來進行數(shù)據(jù)傳輸。L2F協(xié)議也是一種隧道傳協(xié)議，可以為用戶提供虛擬拔號服務，還可以更好地兼容LAN-LAN。L2TP協(xié)議融合了PPTP和L2F協(xié)議的優(yōu)點，可以支持多種類型的VPN連接。雖然隧道協(xié)議有著較高的適用性，但不具備很好的擴展性能，也沒建立起有效的安全機制，無法達到會話保密的要求，企業(yè)利用該技術實現(xiàn)組網(wǎng)存在著較大的安全風險。

2.3 IPSec解決方案

應用TCP/IP協(xié)議建立起的網(wǎng)絡體系中，IP層可以為客戶數(shù)據(jù)安全提供有效的保障措施，因為該層是協(xié)議體系的中間節(jié)點，可以獲取到高層級發(fā)送過來的報文，也可以得到低層級的報文信息。從該層級的定義來看，該層安全保障與低層級傳輸協(xié)議沒有直接聯(lián)系，但對高層級傳輸協(xié)議和進程是完全透明。很多網(wǎng)絡應用都可以獲取到從IP層創(chuàng)建的安全服務，隨著安全協(xié)議標準IPSec的推廣應用，可為用戶提供更優(yōu)質的IP層安全服務，很多硬件已經(jīng)完全支持IPSec協(xié)議，可以為構建VPN提供解決辦法。

3、適合短期開發(fā)的VPN實現(xiàn)方案

3.1 DES算法

該算法最早由IBM公司研發(fā)出來，利用56位密鑰來對64位數(shù)據(jù)進行加密處理，可以實現(xiàn)16輪的編碼，在每輪編碼過程中，利用56位密鑰將每輪48位密鑰值進行求解，采用軟件進行解碼操作要求耗費較長的時間，但利用硬件解碼則會獲得更高的解碼效率。當前，很多黑客沒有制造硬件的能力，是一種公認的安全加密處理辦法。

在局域網(wǎng)條件下，采用10MB/s的網(wǎng)卡進行測試，在VC環(huán)境下利用SOCKET來進行編程，建立起C/S數(shù)據(jù)傳輸模式，在應用客戶端中對數(shù)據(jù)信息加密，再將處理后的信息傳輸?shù)椒掌鞫诉M行接入處理，對數(shù)據(jù)信息進行解密以后再回復給客戶端。從測試效果來看，在傳送8096Byte數(shù)據(jù)時傳輸速度為404000Bytes/s，最高達到809000Bytes/s。數(shù)據(jù)傳輸速度取決于網(wǎng)絡性能和網(wǎng)關的速度，與加密算法產(chǎn)生的消耗沒有太大的聯(lián)系，利用DES算法對數(shù)據(jù)信息進行加密是完全可行的。

3.2 VPN路由選擇

采用Client Sevver實現(xiàn)方式，網(wǎng)關可以用作VPN的客戶端和服務端，需要在網(wǎng)關中明確路由表項，確定局域網(wǎng)到對方局域網(wǎng)的路由，例如，本地局域網(wǎng)與接收方局域網(wǎng)區(qū)段為不同的區(qū)段，添加路由表項以后，對方局域網(wǎng)段數(shù)據(jù)請求會經(jīng)過PPP0接口，所以，PPTP協(xié)議可以利用該原理來實現(xiàn)。每完成一個會話，VPN客戶端和服務端就分別對各自字符進行綁定，然后在字符設備中應用PPPD Daemon。輸入到PPP0的數(shù)據(jù)信息需要通過PPPD進行處理后轉變成PPP包，在VPN客戶端和服務端來傳遞PPP數(shù)據(jù)，VPN數(shù)據(jù)信息的加密需要在該層次中實現(xiàn)。

VPN的實現(xiàn)，也就是利用PPTP對PPP數(shù)據(jù)包進行包裝和解包，如果有數(shù)據(jù)請求，路由就會把請求數(shù)據(jù)轉變成PPP包，然后將數(shù)據(jù)包發(fā)送到PPP0中。PPTP用于監(jiān)聽、封裝、發(fā)送數(shù)據(jù)包，先對包內(nèi)的PPP數(shù)據(jù)處理再加入GRE及PPTP數(shù)據(jù)頭，然后再發(fā)送出PPP數(shù)據(jù)包。PPTP服務器端源代碼是由pptpd和 pptpctrl執(zhí)行文件構成，主函數(shù)先進行編譯形成相應外部命令，并把參數(shù)進行分類處理。Pptpctrl.c則應用AFUNIX內(nèi)置的socket實現(xiàn)與pptpd數(shù)據(jù)通信。PPTP客戶端源代碼，先利用get ip address指令從配置文件中提取出服務器的地址，可以為提供給進程來使用，進行初始化操作并打開數(shù)據(jù)連接，父進程會打開pppd，子進程會采用創(chuàng)建好的socket實現(xiàn)與服務器的PIDS交換。

3.3 整合方案

數(shù)據(jù)加密可以應用64位的DES加密處理算法，該算法不需要增加數(shù)據(jù)長度，可以很方便將模塊置于系統(tǒng)當中，有利于對數(shù)據(jù)傳輸進行有效控制。采用模塊方法對VPN系統(tǒng)進行整合，把DES算法作為數(shù)據(jù)處理模塊，先對數(shù)據(jù)包處理后再進行傳輸，利用客戶端和服務器端定時傳輸報文來保持聯(lián)系，可以更好地提高系統(tǒng)的穩(wěn)定性。

4、結束語

VPN網(wǎng)絡技術把互聯(lián)網(wǎng)作為商業(yè)工具，可以為互聯(lián)網(wǎng)應用帶來很好的使用前景。從多種方案對比分析中可以看出，IPSec應用到VPN解決方案，可充分發(fā)揮出互聯(lián)網(wǎng)的可用性，從保證系統(tǒng)穩(wěn)定性和使用功能進行考慮，該技術可以在短時間內(nèi)構建立起VPN系統(tǒng)。

參考文獻

[1]曾鐵亮.RouterOS搭建PPTP協(xié)議的VPN服務器[J].電腦編程技巧與維護，2019（08）：165-167.

[2]熊學鋒，王良之，榮功立，王云飛，曹鑫，羅蘭溪，彭小慶.基于VPN的網(wǎng)絡安全技術研究[J].電子世界，2017（19）：192+195.

[3]吳秀陽. 基于MPLS VPN的VPDN網(wǎng)絡技術的應用[D].山東大學，2015.

[4]倪潔，徐志偉，李鴻志. PPTP VPN與L2TP/IPSec VPN的實現(xiàn)與安全測試[J]. 電子技術與軟件工程，2019（12）：192.

作者簡介：吳謙（1981-），男，廣西柳州市人，柳州城市職業(yè)學院教師，研究方向：計算機課程教學，學生思想教育。