通常采用IKE(Internet Key Exchange,因特网密钥交换)协议来协商建立IPsec隧道。IKE协商实际上有两个阶段:
第一阶段协商,是在IPsec通信双方之间建立IKE的安全通道,即建立IKE SA,这个过程有两种模式,一种是常用的主模式(Main Mode),能提供身份保护服务,但需要较多的消息交互(多达六条消息),另一种是比较迅速的积极模式(Aggressive Mode),但协商能力较弱,也不能提供身份保护功能;
第二阶段协商是在IKE SA的保护下进行的,其目的是为特定的通信流协商IPsec安全通道,即建立IPsec SA。
由此可以看出IKE的主要作用是负责建立、维护和终止IPsec安全通道,通过其他的一些消息交换过程,可以帮助维持IPsec通道的可用性和安全性,服务于IPsec数据的安全传输。
这与L2TP控制消息帮助建立和维护L2TP数据传输通道的作用有异曲同工之妙。两者都可以提供通信双方之间的身份认证,并且都可以在提供完整性保护和机密性服务的环境下进行安全的有关参数协商和消息交互;同时还能根据各自的特点,提供一种保活(keepalive)机制来负责协调隧道双方的状态的同步,提高隧道的容错性和稳定性,所不同的是,IKE是充分利用IPsec通信流存在即对方活跃状态的证明的特点,以此减少保活报文通信量,这种方式也被称为"DPD(Dead Peer Detection,死亡对端探测)"。此外IKE的协商能力也远大于L2TP控制消息交互。
L2TP与IPsec的一个最大的不同在于它不对隧道传输中的数据进行加密,从而没法保证数据传输过程中的安全。因此这个时候,L2TP常和IPsec结合使用,先使用L2TP封装第二层数据,再使用IPsec封装对数据进行加密和提供完整性保护,由此保证通信数据安全传送到目的地。
L2TP由于封装的是第二层协议数据,因此可以认为是一种L2VPN(第二层VPN)技术。最新的L2TP协议草案(L2TP v3)表明,L2TP不仅可以封装PPP数据单元,还可以封装其他第二层协议数据,如Ethernet(以太网)、Frame Relay(帧中继)等。因此L2TP的作用已经扩展到将异地的局域网通过L2TP隧道跨越公共网络连接在一起,也就是实现异地局域网互联,这样可以将某些局域网技术如VLAN(虚拟局域网)应用到异地局域网之间,从而利用公共网络来模拟局域网。当然其数据传输过程中的安全性仍然依赖于IPsec来提供。同时由于对数据进行了层层封装,这样难免影响效率,导致性能不高。
IPsec封装的是IP层数据,或是IP上层协议载荷,因此可以认为是一种构建L3VPN(第三层VPN)的技术。其最大的特点是为数据传输过程提供了机密性、完整性保护和数据源验证,从而确保承载于公共网络的VPN的安全性和可靠性,同时由于添加的协议头并不多,且还可以利用硬件加密卡加速IPsec报文的处理,因而效率上得到了很大的提高;此外IKE协商过程能提供比较完备的用户身份认证,这就使得可以对IPsec用户访问实施有力控制,从而进一步保证了网络的安全。
因此就一般企业用户构建安全的VPN而言,应该使用IPsec技术,当然如果需要实现安全的VPDN,就应该采用L2TP+IPsec组合技术。 (责任编辑:封小明)
<<上一页
1
2
|
