第四章VPN技术.ppt

第四章：虚拟专用网VPN §4.1 VPN概念 网络分类： 专用网（私网） 专网只为拥有者提供服务，不向拥有者以外的人提供服务。 典型例子：银行网络、军队网络等； 采用专网（传输介质+网络设备）组网，安全性好、成本高； 公用网（公网） 公网对所有的人提供服务，只要符合网络拥有者的要求就能使用这个网。 典型例子：Internet 利用公网组网，成本低、安全性差； §4.1 VPN概念 虚拟专用网VPN（Virtual Private Network） 在公用网络（Internet）上构建虚拟的、专用的网络的组网技术。 虚拟：其本身却不是一个独立的物理网络，是在公用网络的基础上实现的逻辑网络。 专用：利用隧道技术、加密技术、认证技术和密钥管理技术，实现专用网络的功能与安全效果（内网一部分，比如访问学校数字图书馆）。 §4.1 VPN概念 VPN主要应用 基于VPN的网络互联：网络连接到网络，又称站点（网关）到站点（网关） 。用于企业总部网络和分支机构网络的内部主机之间的安全通信时，还可用于企业的内部网与企业合作伙伴网络之间的信息交流。提供一定程度的安全保护，防止对内部信息的非法访问。 基于VPN的远程访问：单机连接到网络，又称点到站点。用于提供远程移动用户对公司内部网的安全访问。 基于VPN的点对点通信：单机到单机，又称端对端，用于企业内部网的两台主机之间的安全通信。 §4.1 VPN概念 VPN主要功能： 安全保障：VPN是利用密码技术在非面向连接的公用IP网络（Internet）上建立一个逻辑的、点到点的连接（专用网络），从而确保传输数据的安全，免受未授权的泄露、篡改和破坏。 QoS保证：VPN针对不同类型用户、不同类型应用提供不同等级的服务质量，以满足各类应用的需求；VPN有效地利用有限的广域网资源（流量不确定性），以确保为重要数据提供可靠的带宽。 可扩充性和灵活性：VPN支持通过Internet和Extranet的任何类型数据流，方便增加新的节点；支持多种类型的传输介质，满足多媒体数据传输的需求。 降低成本：VPN利用现有的Internet或其它公用网络基础设施为用户构建虚拟专用网络，不需租用专线（如DDN）或远程拨号（长途话费）。 可管理性：VPN将网络管理功能从内部局域网无缝延伸到公用网，甚至客户与合作伙伴，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理和QoS管理等内容。 §4.1 VPN概念 VPN的两个主要问题： 安全问题：如何确保访问安全？ 公网（Internet）不安全； 传输问题：如何访问内网资源？ 内网地址无法被路由到目的地； 内网与公网协议不同无法识别； §4.1 VPN概念 VPN主要技术： 安全技术 加解密技术：发送者在发送数据之前对数据加密，当数据到达接收者时由接收者对数据进行解密处理，解密/加密技术确保公用网络信息传送的秘密性；算法主要种类包括：对称加密算法、非对称加密算法等。 认证技术：用户身份认证与信息认证，识别用户的合法性，并防止非法用户窃取、篡改信息，确保信息的完整性、真实性； 密钥管理技术：密码管理技术确必威体育官网网址钥在公用网络上安全地传递密钥；现行密钥管理技术又分为SKIP与ISAKMP。 传输技术 隧道技术：隧道指的是利用一种网络协议来传输另一种网络协议，基本过程是在源网络与公网的接口处（网关）将内网协议数据作为负载封装在一种可以在公网上传输的数据格式中，并发送到目的网络与公网的接口处（网关），在目的网络与公网的接口处将内网协议数据解封装，并转送到目的主机。隧道技术在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。 （学校→楠溪江：数据——人，源——学校，宿——楠溪江，协议封装——车、渡轮） §4.1 VPN概念 隧道技术 乘客协议Payload/Passager Protocol： 被封装的协议（如PPP、SLIP等）； 封装协议Encapsulation/Carrier Protocol： 隧道的建立、维持和断开（如L2TP、GRE等）； 承载协议Transport/Delivery Protocol： 承载经过封装后的数据包的协议（如IP、ATM等）； §4.1 VPN概念 VPN解决方案 VPN硬件方案（专用设备+专用操作系统） 防火墙集成VPN：NetScreen-50 路由器集成VPN：Cisco 1700 专用VPN产品： VPN软件方案（通用设备+通用操作系统） Windows：PPTP、IPSec、SSL 比较： 软件VPN基于Windows操作系统，安全性、可靠性差；硬件VPN采用专用操作系统，安全性、可靠性高； 软件VPN消耗系统资源，性能较低；硬件VPN基于高速硬件，高性能； §4.2 VPN技术 VPN技术 数据链路层