Linux下VPN安全网关实现技术研究

【摘要】：VPN(Virtual Private Network，虚拟专用网)的目的是在不安全的Internet网络环境中利用安全隧道以及数据加密等技术，构建逻辑上的专用网络，并实现信息数据的安全传输。实际应用中的VPN主要包括了两种模式，分别为个人移动用户接入(Road Warrior)模式以及网对网(Net-to-Net)模式。前一种模式主要应用于不具有固定IP的个人移动用户从公网接入VPN，而后一种模式则在分布的私有子网间建立安全的数据通道。 本文就如何实现支持这两种模式的VPN安全网关进行了研究。首先介绍了基于IP的VPN和基于MPLS的VPN两种主要的VPN技术，并进行了简单的比较。随后，针对基于IP的VPN安全网关所使用的主要技术PPTP、L2TP以及IPSec，分别进行了分析，并给出了其在Linux下的实现的关键技术，及如何实现Windows操作系统间的互操作性。其中PPTP和L2TP主要应用于个人用户接入，而IPSec则应用于网对网模式。接下来，针对目前基于IPSec的虚拟专用网应用在网络规模较大时配置复杂、难以管理的问题，提出一种动态星型网对网VPN系统，该系统定义VPN集中器与子网网关间的消息交换机制以支持子网网关动态加入／退出VPN，引入组的概念提供各子网间的访问控制管理。并进一步介绍了在Linux下实现该系统的方法。最后对VPN技术的发展方向进行了展望。