資源描述:
《虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)》由會(huì)員上傳分享�����,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1���、虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)本章學(xué)習(xí)目標(biāo):了解VPN概念及基本功能掌握VPN的工作協(xié)議了解VPN的分類了解SSLVPN的概念與作用10.1VPN技術(shù)概述虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的���、安全的連接����,是一條穿過混亂的公用網(wǎng)絡(luò)的安全���、穩(wěn)定的隧道�����。10.1.1VPN的概念VPN依靠ISP(Internet服務(wù)提供商)和其他NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)�����。在虛擬專用網(wǎng)中���,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路�����,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的
2、���。VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展�。一般以IP為主要通訊協(xié)議�。10.1VPN技術(shù)概述VPN是在公網(wǎng)中形成的企業(yè)專用鏈路����。采用“隧道”技術(shù)����,可以模仿點(diǎn)對點(diǎn)連接技術(shù)���,依靠Internet服務(wù)提供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商(NSP)在公用網(wǎng)中建立自己專用的“隧道”��,讓數(shù)據(jù)包通過這條隧道傳輸���。對于不同的信息來源�,可分別給它們開出不同的隧道。10.1.1VPN的概念(續(xù))10.1VPN技術(shù)概述隧道是一種利用公網(wǎng)設(shè)施����,在一個(gè)網(wǎng)絡(luò)之中的“網(wǎng)絡(luò)”上傳輸數(shù)據(jù)的方法。隧道協(xié)議利用附加的報(bào)頭封裝幀����,附加的報(bào)頭提供了路由信息,因此封裝后的包能夠通過中間的公網(wǎng)��。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為
3����、隧道�。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地,幀就會(huì)被解除封裝并被繼續(xù)送到最終目的地����。10.1.1VPN的概念(續(xù))①隧道開通器(TI)����;②有路由能力的公用網(wǎng)絡(luò);③一個(gè)或多個(gè)隧道終止器(TT)��;④必要時(shí)增加一個(gè)隧道交換機(jī)以增加靈活性����。隧道基本要素10.1VPN技術(shù)概述10.1.2VPN的基本功能VPN的主要目的是保護(hù)傳輸數(shù)據(jù)����,是保護(hù)從信道的一個(gè)端點(diǎn)到另一端點(diǎn)傳輸?shù)男畔⒘鳌P诺赖亩它c(diǎn)之前和之后����,VPN不提供任何的數(shù)據(jù)包保護(hù)�。VPN的基本功能至少應(yīng)包括:1)加密數(shù)據(jù)���。以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。2)信息驗(yàn)證和身份識(shí)別��。保證信息的完整性���、合理性���,并能鑒別用戶的身份
4、�。3)提供訪問控制����。不同的用戶有不同的訪問權(quán)限。4)地址管理�����。VPN方案必須能夠?yàn)橛脩舴峙鋵S镁W(wǎng)絡(luò)上的地址并確保地址的安全性。5)密鑰管理����。VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰���。6)多協(xié)議支持��。VPN方案必須支持公共因特網(wǎng)絡(luò)上普遍使用的基本協(xié)議,包括IP���、IPX等����。10.1VPN技術(shù)概述10.1.3VPN的特性安全性隧道����、加密��、密鑰管理��、數(shù)據(jù)包認(rèn)證���、用戶認(rèn)證��、訪問控制可靠性硬件�����、軟件����、基礎(chǔ)網(wǎng)絡(luò)的可靠性可管理性記帳�����、審核����、日志的管理是否支持集中的安全控制策略可擴(kuò)展性成本的可擴(kuò)展性����,如使用令牌卡成本高性能,是否考慮采用硬件加速加解密速度10.1VPN技術(shù)概述10
5��、.1.3VPN的特性(續(xù))可用性系統(tǒng)對應(yīng)用盡量透明對終端用戶來說使用方便互操作性盡量采用標(biāo)準(zhǔn)協(xié)議�,與其他供應(yīng)商的設(shè)備能互通服務(wù)質(zhì)量QoS通過Internet連接的VPN服務(wù)質(zhì)量很大程度取決于Internet的狀況多協(xié)議支持10.2VPN協(xié)議VPN主要采用以下四項(xiàng)技術(shù)來保證安全:◆隧道技術(shù)◆加解密技術(shù)◆密鑰管理技術(shù)◆使用者與設(shè)備身份認(rèn)證技術(shù)10.2.1VPN安全技術(shù)加解密技術(shù)���、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)在第五章已作介紹���,VPN只是對這幾種技術(shù)的應(yīng)用。下面重點(diǎn)介紹隧道技術(shù)10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議VPN中的隧道是由隧道協(xié)議形成的���,VPN使用的隧道
6����、協(xié)議主要有三種:點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)����、第二層隧道協(xié)議(L2TP)以及IPSec�����。PPTP和L2TP集成在windows中��,所以最常用���。PPTP協(xié)議允許對IP�����、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密�,然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共因特網(wǎng)絡(luò)發(fā)送��。L2TP協(xié)議允許對IP�,IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密���,然后通過支持點(diǎn)對點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送��,如IP���,X.25�����,幀中繼或ATM��。IPSec隧道模式允許對IP負(fù)載數(shù)據(jù)進(jìn)行加密�,然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP因特網(wǎng)絡(luò)如Internet發(fā)送。10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議NSRC��、N
7��、DST是隧道端點(diǎn)設(shè)備的IP地址公網(wǎng)上路由時(shí)僅僅考慮NSRC�����、NDST原始數(shù)據(jù)包的DST�����、SRC對公網(wǎng)透明DSTSRCDATANDSTNSRCDSTSRCDATA10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議Point-to-PointTunnelProtocol,2層協(xié)議����,需要把網(wǎng)絡(luò)協(xié)議包封裝到PPP包,PPP數(shù)據(jù)依靠PPTP協(xié)議傳輸PPTP通信時(shí)�,客戶機(jī)和服務(wù)器間有2個(gè)通道��,一個(gè)通道是tcp1723端口的控制連接��,另一個(gè)通道是傳輸GREPPP數(shù)據(jù)包的IP隧道PPTP沒有加密��、認(rèn)證等安全措施���,安全的加強(qiáng)通過PPP協(xié)
