网络VPN技术简介.pptVIP

* 第8章 虚拟专用网络（VPN）技术 本章学习目标： 了解VPN概念及基本功能 掌握VPN的工作协议 了解VPN的分类 了解SSL VPN的概念与作用 8.1 VPN技术概述 虚拟专用网（Virtual Private Network，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 1.VPN的概念 VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 VPN是对企业内部网的扩展。一般以IP为主要通讯协议。 8.1 VPN技术概述 VPN是在公网中形成的企业专用链路。采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。 1.VPN的概念 8.1 VPN技术概述 隧道是一种利用公网设施，在一个网络之中的“网络”上传输数据的方法。隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。 1.VPN的概念 ①隧道开通器(TI)； ②有路由能力的公用网络； ③一个或多个隧道终止器(TT)； ④必要时增加一个隧道交换机以增加灵活性。 隧道基本要素 8.1 VPN技术概述 2.VPN的基本功能 VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。 VPN的基本功能至少应包括： 1）加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。 2）信息验证和身份识别。保证信息的完整性、合理性，并能鉴别用户的身份。 3）提供访问控制。不同的用户有不同的访问权限。 4）地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 5）密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。 6）多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协议，包括IP、IPX等。 8.2 VPN协议 VPN的隧道协议 VPN中的隧道是由隧道协议形成的，VPN使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。 PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共因特网络发送。 L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM。 IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。 8.2 VPN协议 8.2.2 VPN的隧道协议 NSRC、NDST是隧道端点设备的IP地址 公网上路由时仅仅考虑NSRC、NDST 原始数据包的DST、SRC对公网透明 DATA SRC DST NDST NSRC DATA SRC DST 8.2 VPN协议 VPN的隧道协议 Point-to-Point Tunnel Protocol, 2层协议，需要把网络协议包封装到PPP包，PPP数据依靠PPTP协议传输 PPTP通信时，客户机和服务器间有2个通道，一个通道是tcp 1723端口的控制连接，另一个通道是传输GRE PPP数据包的IP隧道 PPTP没有加密、认证等安全措施，安全的加强通过PPP协议的MPPE(Microsoft Point-to-Point Encryption)实现 windows中集成了PPTP Server和Client，适合中小企业支持少量移动工作者 如果有防火墙的存在或使用了地址转换，PPTP可能无法工作 1．点到点隧道协议（PPTP） 8.2 VPN协议 VPN的隧道协议 把网络数据包封装在PPP协议中，PPP协议的数据包放到隧道中传输 L2TP RFC2661定义 在Cisco公司的L2F和PPTP的基础上开发 windows中集成 2．第二层隧道协议（L2TP） 8.2 VPN协议 VPN的隧道协议 3．IPSec协议 3层协议，