第11章 虚拟专用网技术剖析.ppt

11.1 VPN的基本概念 VPN VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。 传统意义上的VPN：在DDN网或公用分组交换网或帧中继网上组建VPN。 基于IP的VPN：依靠ISP和其它NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术。 11.1 VPN的基本概念 VPN的工作原理 VPN的定义：是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括IP网络、帧中继网络和ATM网络。 IETF对基于IP的VPN定义：使用IP机制仿真出一个私有的广域网。 原理上来说，VPN就是利用公用网络（通常是互联网）把远程站点或用户连接到一起的专用网络。与使用实际的专用连接（例如租用线路）不同，VPN使用的是通过互联网路由的“虚拟”连接，把公司的专用网络同远程站点或员工连接到一起。 11.1 VPN的基本概念 VPN采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。 11.1 VPN的基本概念 VPN的分类 按VPN的应用方式进行分类 拨号式VPN 专用式VPN 按VPN的应用平台分类 软件平台VPN 专用硬件平台VPN 辅助硬件平台VPN 11.1 VPN的基本概念 按VPN的协议分类 第二层协议：PPTP、L2F、L2TP 第三层协议：GRE、IPSec 第二层协议-第三层协议之间（2.5层）：MPLS 第四层隧道协议：SSL VPN 按VPN的服务类型分类 Intranet VPN（内部网VPN） AccessVPN（远程访问VPN） ExtranetVPN（外联网VPN） 11.1 VPN的基本概念 按VPN的部署模式分类 端到端(End-to-End)模式 供应商——企业(Provider-Enterprise)模式 内部供应商(Intra-Provider)模式 VPN的特点与功能 具备完善的安全保障机制 具备用户可接受的服务质量保证（QoS） 具备良好的可扩充性与灵活性 具备完善的可管理性 11.1 VPN的基本概念 VPN安全技术 加解密技术 对称加密算法 非对称加密算法 认证技术 验证数据的完整性 用户认证 密钥管理技术 11.2 VPN实现技术 隧道 VPN所有现有的实现都依赖于隧道，隧道技术又称为tunneling，主要是利用协议的封装来实现，用一种网络协议来传输另外一种网络协议。即本地网关把第二种协议报文包含在第一种协议报文中，然后按照第一种协议来传输，等报文到达对端网关时，由该网关从第一种协议报文中解析出第二种协议报文，这样是一个基本的隧道技术的实现过程。 第二层隧道协议 PPTP（Point to Point Tunneling Protocol，点到点隧道协议）、L2TP（Layer 2 Tunneling Protocol，链路层隧道协议）、L2F（Layer 2 Forwarding，链路层转发协议）。 11.2 VPN实现技术 PPTP协议 PPTP由PPTP Forum开发，PPTP Forum 是一个联盟，其成员包括US Robotics、Microsoft、3COM、Ascend和ECI Telematics。 PPTP是点到点协议（PPP）的扩充，即PPTP协议是基于PPP之上并且应用了tunneling技术的协议。它用“PPP质询握手验证协议（CHAP）”来实现对用户的认证。 简单的说，PPTP是用于将PPP分组通过IP网络封装传输。 11.2 VPN实现技术 11.2 VPN实现技术 在PPTP的体系结构中，主要有三部分组成： 1）PPP 连接和通信，按照PPP协议和对方建立链路层的连接。 2）PPTP 控制连接，建立到Internet的PPTP服务器上的连接，并建立一个虚拟隧道。 3）PPTP 数据隧道，在隧道中PPTP协议建立包含加密的PPP包的IP数据报，这些数据报通过PPTP 隧道进行发送。 L2F协议 由CISCO提出并倡导使用的链路层安全协议，当然它也采用了tunneling技术，主要面向远程或拨号用户的使用。 11.2 VPN实现技术 L2F主要强调的是将物理层协议移到链路层，并允许通过Internet光缆的链路层和较高层协议的传输。物理层协议仍然保持在对该ISP的拨号连接中。 L2F还解决IP写地址和记帐的问题。 对于ISP的初始连接，L2F将使