第十三章VPN技术介绍.ppt

* Host 对 Host Host 对 VPN 网关 VPN 对 VPN 网关 Remote User 对 VPN 网关 VPN概述 VPN功能 VPN工作原理 VPN具体应用 13.11 VPN通道的建立方式 * Internet 公司B VPN网关A VPN网关B 公司B Host to Host 模式： 该模式要求两边主机都支持IPSec VPN网关可支持也可不支持IPSec 安全通道 安全通道 安全通道 主机必须支持IPSec 主机必须支持IPSec Gateway 可支持也可不支持IPSec Gateway 可支持也可不支持IPSec Host to Host 13.11 VPN通道的建立方式 * Internet 公司B VPN网关A VPN网关B 公司B Host to VPN 模式： 该模式要求一边的主机都支持IPSec 另一边的VPN网关必须支持IPSec 安全通道 安全通道 主机必须支持IPSec 主机可以不支持IPSec Gateway 可支持也可不支持IPSec Gateway 必须支持IPSec 非安全通道 Host to VPN 13.11 VPN通道的建立方式 * Internet 公司B VPN网关A VPN网关B 公司B VPN to VPN 模式： 该模式不要求主机支持IPSec 两边的VPN网关必须都支持IPSec 非安全通道 安全通道 主机可以不支持IPSec 主机可以不支持IPSec Gateway 必须支持IPSec Gateway 必须支持IPSec 非安全通道 VPN to VPN 13.11 VPN通道的建立方式 * Internet 公司B ISP接入服务器 VPN网关B 安全通道 安全通道 主机必须支持IPSec Gateway 必须支持IPSec 非安全通道 PSTN Remote User to VPN Gateway 13.11 VPN通道的建立方式 * Internet VPN网关B 公司A AH 4 258 ESP 4 259 ESP 5 257 AH 5 256 Security Protocol Destination Address SPI 5 公司B SPD中的数据项类似于防火墙的配置规则 4 5 Source Address …… …… Others 绕过、丢弃 安全 Secure Service 5 4 Destination Address 双方使用ISAKMP/Oakley密钥交换协议建立安全关联，产生或者刷新密钥 内IP头 ESP尾 负 载 ESP头 AH头 外IP头 负 载 IP 头 4 SAD中包含每一个SA的参数信息，如算法、密钥等 ESP AH ESP AH Security Protocol …… …… …… …… Others 110 001 101 010 Key 加密SHA-1 258 3DES CBC 259 DES CBC 4 257 加密MD5 256 Algorithm SPI 负 载 IP 头 VPN网关A 查找SPD数据库决定为流入的IP数据提供那些安全服务 查找对应SA的参数 要求建立安全相应的关联 对原有数据包进行相应的安全处理 建立SAD 建立相应的SA 13.11一个完整的VPN工作原理图 * 13.12 VPN的具体应用 用VPN连接分支机构 用VPN连接业务伙伴 用VPN连接远程用户 VPN概述 VPN功能 VPN工作原理 VPN具体应用 * 用VPN连接分支机构 Internet 分支机构 VPN网关A VPN网关B 总部 通道只需定义在两边的网关上 Gateway 必须支持IPSec Gateway 必须支持IPSec 数据在这一段是认证的 数据在这一段是加密的 ISP ISP 13.12 VPN的具体应用 * 用VPN连接合作伙伴 Internet 业务伙伴 VPN网关A VPN网关B 公司A 主机必须支持IPSec 主机必须支持IPSec 通道建立在两边的主机之间，因为业务伙伴内的主机不是都可以信任的 数据在这一段是加密的 数据在这一段是认证的 数据在这一段是认证的 数据在这一段是加密的 数据在这一段是认证的 数据在这一段是加密的 ISP ISP 13.12 VPN的具体应用 * 用VPN连接远程用户 Internet 公司B ISP接入服务器 VPN网关B 主机必须支持IPSec Gateway 必须支持IPSec PSTN 数据在这一段是加密的 数据在这一段是认证的 数据在这一段是加密的 数据在这一段是认证的 通道建立在移动用户与公司内部网的网关处 13.12 VPN的具体应用 * 13.12