VPN规划设计.pdf

V P NV P N 规规 划划 设设 计计 李高丰 前进中的华迪公司前进中的华迪公司 四川华迪信息技术有限公司四川华迪信息技术有限公司 学习目标学习目标 学习完本课程，您应该能够掌握： 掌握VPN 网络设计的基本规划原则 掌握L2TP二层VPN 网络的设计原则和方法 掌握IPSEC安全VPN 网络设计的原则和方法 掌握GRE三层VPN 网络的基本设计原则 引入引入 随着计算机网络的发展，企业纷纷利用Internet技术建立自 己的内部网(intranet) ，同时根据商务发展的要求需要与供 货商销售商等等整合资源，建设Extranet 。Intranet 和 Extranet网络在物理上的分布化，这其中最为突出的就是安 全问题。连接远程网络最直接的方法就是使用专线，但问 题很多，最主要的如费用昂贵、维护困难、接入点选择不 灵活以及多节点连接困难等。Intranet既然可以采用Internet 的技术，那为什么不能利用Internet上已有的设施来传输私 有网络的信息呢？基于这种思想，VPN技术出现了。 课程内容课程内容 VPN 网络设计原则 L2TP VPN 网络设计 IPSEC VPN 网络设计 GRE VPN网络设计 VPNVPN设计原则－安全性原则设计原则－安全性原则 隧道与加密 数据验证 用户识别与设备验证 入侵检测入侵检测，网络接入控制网络接入控制 隧道与加密隧道与加密 L2TP 隧道协议最适合移动用户的 VPN接入 GRE隧道协议最适合站点到站点的 总部网络中心 应用和业务服务器 VPN接入，支持动态路由协议 AAA服务器 IPSEC提供数据加密和数据完整性 secpoint 出差员工出差员工 分支机构 合作伙伴 数据验证数据验证 IPSEC IPSSECC协议提供特定的通信双方之间在协议提供特定的通信双方之间在IP层通过加层通过加 密与数据源验证，以保证数据包在Internet网上传输 时的私有性时的私有性、完整性和真实性完整性和真实性。用在用在VPNVPN上上IPSECIPSEC 协议族与其他隧道协议相配合完成VPN数据报文的 加密和验证。 用户识别与设备验证用户识别与设备验证 SecurID 认证服务器 数字证书 用户识别 设备验证 SSecKKey VPN可使合法用户访问他们所需的企业资源，同时还要禁止未 授权用户的非法访问授权用户的非法访问。这这一点对于点对于AccessAccess VPNVPN和和ExtranetExtranet VPN具有尤为重要的意义。建立VPN连接的设备之间进行验证 可以确保可以确保VPNVPN隧道的安全可靠隧道的安全可靠。 入侵检测，网络接入控制入侵检测，网络接入控制 网络网络入侵检测系统需要同侵检测系统需要同VPN 设备进行设备进行配合合，通过通过 分析源自或送至VPN 设备的信息流，避免通过VPN 连接使内部网络受到攻击。 一般来讲一般来讲VPNVPN接入的用户可以访问内部网络中大部接入的用户可以访问内部网络中大部 分资源，可以考虑对VPN接入用户进行分级和控制， 确保内部网络的运行安全。