《網(wǎng)絡(luò)測(cè)試與故障診斷》一體化教案——安全技術(shù)[教學(xué)試題]

1、廣東新里程旅游技工學(xué)校教案首頁(yè)課程名稱網(wǎng)絡(luò)測(cè)試與故障診斷項(xiàng) 目課題VPN安全技術(shù)課型講座授課班級(jí)12計(jì)算機(jī)授課時(shí)間2015.3.21課時(shí)2小時(shí)30分授課教師學(xué)習(xí)目標(biāo)知識(shí)目標(biāo)理解VPN的安全性；熟悉路由器端連接VPN,防火墻端連接VPN,專業(yè)設(shè)備連接VPN；掌握構(gòu)建虛擬專用網(wǎng)VPN技能目標(biāo)通過(guò)學(xué)習(xí)，學(xué)生學(xué)會(huì)構(gòu)建虛擬專用網(wǎng)VPN。情感目標(biāo)通過(guò)學(xué)習(xí)培養(yǎng)學(xué)生計(jì)算機(jī)網(wǎng)絡(luò)的興趣。教學(xué)重點(diǎn)構(gòu)建虛擬專用網(wǎng)VPN教學(xué)難點(diǎn)路由器端連接VPN,防火墻端連接VPN,專業(yè)設(shè)備連接VPN教學(xué)場(chǎng)景多媒體教學(xué)系統(tǒng)教學(xué)方法教授法，課文引導(dǎo)、結(jié)合實(shí)例分析、習(xí)題練習(xí)，講解教學(xué)教學(xué)回顧教案內(nèi)頁(yè) 教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和

2、教學(xué)方法）教學(xué)設(shè)計(jì)：讓同學(xué)討論回答，并抽取同學(xué)回答教師點(diǎn)評(píng)并歸納出答案，最后簡(jiǎn)單分析。通過(guò)設(shè)疑，吸引學(xué)生的注意力，激發(fā)學(xué)習(xí)興趣。學(xué)生回答操作方法【組織教學(xué)】(約3分鐘)：整頓紀(jì)律，考勤，填寫(xiě)教學(xué)日志，檢查課本與練習(xí)本的準(zhǔn)備情況【復(fù)習(xí)舊課】（約5分鐘）1 復(fù)習(xí)提問(wèn)：在一臺(tái)交換機(jī)上劃分兩個(gè)Vlan（Vlan2，Vlan3）2參考答案給兩臺(tái)交換機(jī)劃分vlan，步驟如下：【新課導(dǎo)入】（約2分鐘）導(dǎo)入企業(yè)構(gòu)建安全局域網(wǎng)后，如何才能實(shí)現(xiàn)在互聯(lián)網(wǎng)中也能安全聯(lián)網(wǎng)？ “VPN安全技術(shù)”教案內(nèi)頁(yè) 教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）課件演示，講解VPN技術(shù)的概念【講授新課】一、VPN技術(shù)（約15分鐘）

3、（一）VPN技術(shù)的介紹：在網(wǎng)絡(luò)互聯(lián)世界中，企業(yè)為了各站點(diǎn)之間能夠安全地傳輸數(shù)據(jù)，往往選擇從通信廠商處租用昂貴的專有鏈路來(lái)進(jìn)行傳送。為了降低成本，我們可以在現(xiàn)有的Internet結(jié)構(gòu)基礎(chǔ)和其他用戶共享通信鏈路上進(jìn)行數(shù)據(jù)傳輸，但同時(shí)如何保證數(shù)據(jù)傳輸?shù)陌踩统闪俗钪匾膯?wèn)題。其中一種有效的解決方案就是構(gòu)建虛擬專用網(wǎng)VPN。（二）VPN概述VPN是將不同物理位置的組織和個(gè)人通過(guò)已有的公共網(wǎng)絡(luò)建立一條點(diǎn)到點(diǎn)的虛擬鏈路，模擬專用網(wǎng)進(jìn)行安全數(shù)據(jù)通信的網(wǎng)絡(luò)技術(shù)，其基本原理是通過(guò)一定的技術(shù)將互聯(lián)網(wǎng)上每個(gè)VPN用戶的數(shù)據(jù)與其他數(shù)據(jù)加以區(qū)別，避免未經(jīng)授權(quán)的訪問(wèn)，從而確保數(shù)據(jù)的安全。通過(guò)利用共享的公共網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)VP

4、N，能夠以極低的費(fèi)用為遠(yuǎn)程用戶提供性能和專用網(wǎng)絡(luò)相媲美的保密通信服務(wù)。隧道技術(shù) 隧道技術(shù)是目前構(gòu)建VPN的基本方式。隧道技術(shù)是指把一種類(lèi)型的報(bào)文封裝在另一種報(bào)文中在網(wǎng)絡(luò)上進(jìn)行傳輸，如圖所示。兩個(gè)網(wǎng)絡(luò)通過(guò)VPN接入設(shè)備的一個(gè)端口，即一個(gè)VPN端點(diǎn)，建立的虛擬鏈路就叫隧道。發(fā)送給遠(yuǎn)程網(wǎng)絡(luò)的數(shù)據(jù)要進(jìn)行一定的封裝處理，從發(fā)送方網(wǎng)絡(luò)的一個(gè)VPN端點(diǎn)進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN(物理上穿越不安全的互聯(lián)網(wǎng))，到達(dá)接收方.教案內(nèi)頁(yè) 教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）詳細(xì)分析VPN隧道模式，來(lái)突出VPN技術(shù)的重要作用網(wǎng)絡(luò)的另一個(gè)VPN端點(diǎn)，再經(jīng)過(guò)解封裝處理，便得到原始數(shù)據(jù)，并且把加密后的原始數(shù)

5、據(jù)發(fā)給目的主機(jī)。封裝的數(shù)據(jù)在傳送中，不僅遵循指定的路徑，避免經(jīng)過(guò)不信任的節(jié)點(diǎn)而到達(dá)未授權(quán)接收方，而且封裝處理使得傳送的中間節(jié)點(diǎn)不必也不會(huì)解析原始數(shù)據(jù)，這在一定程度上防止了數(shù)據(jù)泄密。對(duì)主機(jī)來(lái)說(shuō)，不管是發(fā)送主機(jī)還是接收主機(jī)，都不知道數(shù)據(jù)曾經(jīng)被封裝過(guò)，也不知道數(shù)據(jù)是在Internet網(wǎng)絡(luò)上進(jìn)行傳輸?shù)模?它只需要提供要傳輸?shù)臄?shù)據(jù)，而不需要特殊的軟件或配置，所有傳送過(guò)程都由VPN設(shè)備來(lái)處理。 僅僅通過(guò)隧道技術(shù)還不能建立適合所有安全要求的VPN，因?yàn)橐话愕乃淼兰夹g(shù)只能夠滿足在單個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)安全傳輸?shù)男枨?。用戶?shù)據(jù)要跨越多個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)時(shí)，在兩個(gè)獨(dú)立網(wǎng)絡(luò)節(jié)點(diǎn)的封裝數(shù)據(jù)要先解封處理后再封裝，可能在此過(guò)

6、程中造成信息泄漏，因此，必須結(jié)合加密技術(shù)和密鑰管理等教案內(nèi)頁(yè) 教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）具體分析VPN的優(yōu)點(diǎn)技術(shù)保證數(shù)據(jù)傳輸?shù)臋C(jī)密性。同時(shí)，身份認(rèn)證及訪問(wèn)控制等技術(shù)可以支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道的VPN，通過(guò)對(duì)訪問(wèn)者身份的確認(rèn)及對(duì)其訪問(wèn)資源的控制來(lái)保證信息安全。所以VPN通信具有與專用網(wǎng)同等的通信安全性。VPN的簡(jiǎn)單通信過(guò)程如下：(1)客戶機(jī)向VPN服務(wù)器發(fā)出請(qǐng)求。(2)VPN服務(wù)器響應(yīng)請(qǐng)求，并要求客戶進(jìn)行身份認(rèn)證。(3)客戶機(jī)將機(jī)密的用戶身份認(rèn)證響應(yīng)信息發(fā)給服務(wù)器。(4)VPN服務(wù)器收到客戶的認(rèn)證響應(yīng)信息，確認(rèn)該帳戶是否有效，是否具有遠(yuǎn)程訪問(wèn)權(quán)限。如果有訪問(wèn)權(quán)限，則接收

7、此連接。(5)VPN服務(wù)器利用在認(rèn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器的公有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，然后通過(guò)VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)?？傊?，VPN可以通過(guò)隧道技術(shù)、密碼技術(shù)、身份認(rèn)證及訪問(wèn)控制技術(shù)等在共享的互聯(lián)網(wǎng)上實(shí)現(xiàn)低成本的安全數(shù)據(jù)傳輸。二、VPN的優(yōu)點(diǎn)（約10分鐘）VPN的優(yōu)點(diǎn)如下：1)費(fèi)用低廉 這是使用VPN的最主要的好處。通過(guò)使用VPN，我們可以在公共網(wǎng)絡(luò)上盡可能安全地傳輸數(shù)據(jù)，而不需要再租用專線來(lái)組網(wǎng)。并且，多數(shù)VPN都可以提供可靠的遠(yuǎn)程撥號(hào)服務(wù)，如此便減少了管理、維護(hù)和操作撥號(hào)網(wǎng)絡(luò)的人力成本，節(jié)約了相關(guān)費(fèi)用。2)安全可靠 VPN為數(shù)據(jù)安全傳輸提供了許多安全保證，可以保證

8、傳輸數(shù)據(jù)的機(jī)密性、完整性和對(duì)發(fā)送/接收者的認(rèn)證。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）具體分析VPN的缺點(diǎn)3) 部署簡(jiǎn)單 VPN使用的是已有的基礎(chǔ)設(shè)施，因此可以利用現(xiàn)有的基礎(chǔ)設(shè)施快速建立VPN，從而降低工作量，節(jié)省時(shí)間，減少施工費(fèi)用三、 VPN的缺點(diǎn)（約10分鐘）VPN有如上所述的許多優(yōu)點(diǎn)，但同時(shí)也有一些缺點(diǎn)：1)增加了處理開(kāi)銷(xiāo) 為了保證數(shù)據(jù)傳輸安全，通常對(duì)傳輸?shù)拿恳粋€(gè)報(bào)文都進(jìn)行加密，如此便增加了VPN處理壓力。雖然可以采取硬件技術(shù)來(lái)解決，但同時(shí)也增加了構(gòu)建VPN的成本。同時(shí)，由于VPN對(duì)發(fā)送的報(bào)文進(jìn)行了封裝，或者在原始報(bào)文上增加額外報(bào)文信息，這些都增加了處理開(kāi)銷(xiāo)，對(duì)網(wǎng)絡(luò)性能

9、構(gòu)成一定的影響。2)實(shí)現(xiàn)問(wèn)題 由于現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)情況一般比較復(fù)雜，因此VPN在設(shè)計(jì)的時(shí)候必須考慮到實(shí)現(xiàn)的問(wèn)題，包括VPN通過(guò)、網(wǎng)絡(luò)地址轉(zhuǎn)換最大傳輸單元大小等問(wèn)題。3)故障診斷和控制問(wèn)題由于VPN上傳輸?shù)臄?shù)據(jù)都進(jìn)行了封裝處理，真實(shí)數(shù)據(jù)只能等解封后才能看見(jiàn)，因此一旦發(fā)生故障，很難進(jìn)行診斷。同時(shí)，如果遠(yuǎn)程用戶通過(guò)VPN接入的話，必須要考慮對(duì)其實(shí)施控制。因?yàn)榇藭r(shí)的遠(yuǎn)程接入客戶作為進(jìn)入網(wǎng)絡(luò)的入口，由于其自身主機(jī)的安全問(wèn)題，可能會(huì)帶來(lái)安全隱患。并且，VPN畢竟是構(gòu)建在公共基礎(chǔ)設(shè)施上，而一旦這些基礎(chǔ)設(shè)施出現(xiàn)問(wèn)題則會(huì)導(dǎo)致Internet服務(wù)故障，從而使VPN的通信出現(xiàn)問(wèn)題。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（

10、教學(xué)內(nèi)容和教學(xué)方法）詳細(xì)分析VPN隧道協(xié)議四、VPN隧道協(xié)議（約50分鐘）（一）按照用戶數(shù)據(jù)是在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，即隧道協(xié)議是工作在第二層數(shù)據(jù)鏈路層、第三層網(wǎng)絡(luò)層，還是第四層應(yīng) 用層，可以將VPN協(xié)議劃分成第二層隧道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。1） 第二層隧道協(xié)議：主要包括點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)、第二層轉(zhuǎn)發(fā)協(xié)議(L2F)，第二層隧道協(xié)議(L2TP)、多協(xié)議標(biāo)記交換(MPLS)等，主要應(yīng)用于構(gòu)建接入VPN。2） 第三層隧道協(xié)議：主要包括通用路由封裝協(xié)議(GRE)和IPSec，它主要應(yīng)用于構(gòu)建內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。3） 第四層隧道協(xié)議：如SSL VPN。SSL VPN與

11、IPSec VPN都是實(shí)現(xiàn)VPN的兩大實(shí)現(xiàn)技術(shù)。其中，IPSec VPN工作在網(wǎng)絡(luò)層，因此與上層的應(yīng)用程序無(wú)關(guān)。采用隧道運(yùn)行模式的IPSec對(duì)原始的IP數(shù)據(jù)包進(jìn)行封裝，從而隱藏了所有的應(yīng)用協(xié)議信息因此可以實(shí)現(xiàn)各種應(yīng)用類(lèi)型的一對(duì)多的連接，如Web、電子郵 件、文件傳輸、VoIP等連接。與SSL相比，IPSec只在一個(gè)客戶程序和遠(yuǎn)程VPN網(wǎng)關(guān)或主機(jī)之間建立一條連接，所有應(yīng)用程序的流量都通過(guò)該連接建立的隧道進(jìn)行傳輸。而SSL VPN工作在應(yīng)用層，對(duì)每一個(gè)附加的應(yīng)用程序都不得不建立額外的連接和隧道。不過(guò)，SSL除了具備與IPSec VPN相當(dāng)?shù)陌踩酝猓€增加了訪問(wèn)控制機(jī)制。而且客戶端只需要擁有支持S

12、SL的瀏覽器即可，配置方便，使用簡(jiǎn)單，非常適合遠(yuǎn)程用戶訪問(wèn)企業(yè)內(nèi)部網(wǎng)。因此，現(xiàn)在第四層隧道協(xié)議最著名的便是SSL。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）（二）PPTP在了解點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)協(xié)議之前，必須先要了解PPP和GRE兩個(gè)協(xié)議。1) 點(diǎn)到點(diǎn)協(xié)議(PPP)PPP協(xié)議主要是為通過(guò)撥號(hào)或?qū)＞€方式建立點(diǎn)對(duì)點(diǎn)連接的同等單元之間傳輸數(shù)據(jù)包而設(shè)計(jì)的鏈路層協(xié)議。PPP協(xié)議將IP、IPX和NETBEUI包封裝在PPP幀內(nèi)通過(guò)點(diǎn)對(duì)點(diǎn)的鏈路發(fā)送，主要應(yīng)用于撥號(hào)連接用戶和NAS。2)GRE協(xié)議 GRE協(xié)議由Cisco和NetSmiths等公司提交給IETF的數(shù)據(jù)封裝協(xié)議，它規(guī)定了如何

13、用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法，由RFC1701和RFC1702詳細(xì)定義。目前多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持GRE隧道協(xié)議。GRE協(xié)議允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議(如RIP2、OSPF等)。不過(guò)，GRE協(xié)議只提供了數(shù)據(jù)包封裝功能而沒(méi)有加密功能，所以在實(shí)際環(huán)境中為了保證用戶數(shù)據(jù)安全，GRE協(xié)議經(jīng)常與IPSec結(jié)合使用，由IPSec提供用戶數(shù)據(jù)的加密。 PPTP是由微軟、Ascend、3COM等公司支持的基于IP的點(diǎn)對(duì)點(diǎn)隧道協(xié)議，它采用隧道技術(shù)，使用IP數(shù)據(jù)包通過(guò)Internet傳送PPP數(shù)據(jù)幀，在RFC2367中有詳細(xì)定義。該協(xié)議使用兩種不同

14、類(lèi)型的數(shù)據(jù)包來(lái)管理隧道和發(fā)送數(shù)據(jù)包。PPTP通過(guò)TCP端口1723建立TCP連接并發(fā)送和接收所有控制命令。對(duì)于數(shù)據(jù)傳輸，PPTP先使用PPP封裝，再將PPP封裝到一個(gè)IP類(lèi)型為47的GRE數(shù)據(jù)包中，最后GRE數(shù)據(jù)包再被封裝到一個(gè)IP數(shù)據(jù)包中通過(guò)隧道傳輸。如圖所示。 PPTP協(xié)議的實(shí)現(xiàn)由PPTP接入集中器(PAC)和PPTP網(wǎng)絡(luò)服務(wù)器(PNS)來(lái)分別執(zhí)行，從而實(shí)現(xiàn)因特網(wǎng)上的VPN。其中，ISP的NAS將執(zhí)行PPTP協(xié)議中指定的PAC的功能，企業(yè)VPN中心服務(wù)器將執(zhí)行PNS的功能。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）如圖所示，遠(yuǎn)程撥號(hào)用戶(如遠(yuǎn)程用戶1)首先采用撥號(hào)方式接入到I

15、SPNAS(PAC)建立PPP連接，然后接入Internet通過(guò)企業(yè)VPN服務(wù)器(PNS)訪問(wèn)企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再直接撥號(hào)至企業(yè)的網(wǎng)絡(luò)。這樣，由GRE將PPP報(bào)文封裝成的IP報(bào)文就可以在PAC-PNS之間經(jīng)由因特網(wǎng)傳遞，即在PAC和PNS之間為用戶的PPP會(huì)話建立了一條PPTP隧道(如PPTP隧道1)。由于所有的通信都將在IP包內(nèi)通過(guò)隧道，因此PAC只起著通過(guò)PPP連接進(jìn)因特網(wǎng)的入口點(diǎn)的作用。對(duì)于直接連接到Internet上的客戶(如遠(yuǎn)程用戶2)，可以直接與企業(yè)VPN服務(wù)器建立虛擬通道(如PPTP隧道2)而不需要與ISP建立PPP連接。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法

16、）3）PPTP具有兩種不同的工作模式，即被動(dòng)模式和主動(dòng)模式。 被動(dòng)模式的PPTP：ISP為用戶提供其撥號(hào)連接到ISP過(guò)程中所有的服務(wù)和幫助，而客戶端則不需要安裝任何與PPTP相關(guān)的軟件。此模式的好處是降低了對(duì)客戶的要求，缺點(diǎn)是限制了客戶對(duì)因特網(wǎng)其他部分的訪問(wèn)。主動(dòng)模式的PPTP：由客戶建立一個(gè)與企業(yè)網(wǎng)絡(luò)服務(wù)器直接連接的PPTP隧道，ISP只提供透明的傳輸通道而并不參與隧道的建立。此模式的優(yōu)點(diǎn)是客戶擁有對(duì)PPTP的絕對(duì)控制，缺點(diǎn)是對(duì)用戶的要求較高，并需要在客戶端安裝支持PPTP的相應(yīng)軟件。如圖從安全性上來(lái)說(shuō)，對(duì)于加密，PPTP使用Microsoft點(diǎn)對(duì)點(diǎn)加密算法(MPPE)，采用RC4加密程序。

17、對(duì)于認(rèn)證，PPTP使用Microsoft挑戰(zhàn)握手認(rèn)證協(xié)議(MS-CHAP)、口令認(rèn)證協(xié)議(PAP)、挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP)或擴(kuò)展認(rèn)證協(xié)議(EAP)來(lái)實(shí)現(xiàn)用戶認(rèn)證功能。但是，由于MS-CHAP是不安全的，因此大都認(rèn)為PPTP不安全。后來(lái)，Microsoft在PPTP實(shí)現(xiàn)中采用了MS-CHAP V2，解決了其存在的安全問(wèn)題。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）詳細(xì)介紹第二層隧道協(xié)議（L2TP）四、 L2TP（約20分鐘）第二層隧道協(xié)議(L2TP)是IETF起草，微軟、Cisco、3COM等公司參與的協(xié)議，在RFC 2661中對(duì)其進(jìn)行了詳細(xì)定義。該協(xié)議由PPTP與二層轉(zhuǎn)發(fā)協(xié)

18、議(L2F)的融合而形成，結(jié)合了兩個(gè)協(xié)議的優(yōu)點(diǎn)，是目前IETF的標(biāo)準(zhǔn)。其中，L2F是由Cisco公司提出的，可以在多種傳輸網(wǎng)絡(luò)(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)的通信方式，主要用于Cisco的路由器和撥號(hào)訪問(wèn)服務(wù)器，能夠?qū)㈡溌穼拥膮f(xié)議(HDLC、PPP等)封裝起來(lái)傳送。 和PPTP一樣，L2TP通過(guò)對(duì)數(shù)據(jù)加密和對(duì)目的地址加密隱藏，在Internet網(wǎng)絡(luò)上建立隧道，從而創(chuàng)建一種安全的連接來(lái)傳送信息。L2TP消息可以分為兩種類(lèi)型，一種是控制信息，另一種是數(shù)據(jù)信息?？刂菩畔⒂糜谒淼篮秃艚械慕?、維護(hù)與清除。數(shù)據(jù)信息用于封裝隧道傳輸?shù)腜PP數(shù)據(jù)幀?？刂菩畔⒗肔2TP內(nèi)部可靠的控

19、制通道來(lái)保證傳輸，而數(shù)據(jù)信息一旦數(shù)據(jù)包丟失則不再重傳。如圖所示。L2TP在IP網(wǎng)絡(luò)上的隧道控制信息以及數(shù)據(jù)使用相類(lèi)似，通過(guò)UDP的1701端口承載于TCP/IP之上進(jìn)行傳輸。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）敘述L2TP的建立過(guò)程分析L2TP協(xié)議的特性與PPTP類(lèi)似，L2TP協(xié)議的實(shí)現(xiàn)也由兩個(gè)設(shè)備來(lái)執(zhí)行：一個(gè)是L2TP訪問(wèn)集中器(LAC)，另一個(gè)是L2TP網(wǎng)絡(luò)服務(wù)器(LNS)。L2TP將隧道連接定義為一個(gè)LNS和LAC對(duì)，其中LAC用于發(fā)起呼叫、接收呼叫和建立隧道，而LNS是遠(yuǎn)程系統(tǒng)通過(guò)L2TP建立的隧道傳送PPP會(huì)

20、話的邏輯終點(diǎn)。如圖所示。1. L2TP的建立過(guò)程(1)遠(yuǎn)程用戶通過(guò)PSTN或ISDN撥號(hào)至本地接入服務(wù)器LAC(LAC是連接的終點(diǎn))；(2)LAC接收呼叫，認(rèn)證用戶是否合法，通過(guò)Internet、幀中繼或ATM網(wǎng)絡(luò)建立一個(gè)通向內(nèi)部網(wǎng)(Home LAN)LNS的VPN隧道；(3)在隧道上傳輸PPP數(shù)據(jù)到達(dá)內(nèi)部網(wǎng)絡(luò)。在以上過(guò)程中，內(nèi)部網(wǎng)提供地址分配、認(rèn)證、計(jì)費(fèi)等管理。 LAC客戶端(運(yùn)行L2TP的主機(jī))可以直接接入內(nèi)部網(wǎng)而不需要另外的LAC。在這種情況下，包含LAC客戶端軟件的主機(jī)必須已經(jīng)連接到公網(wǎng)上，然后建立一個(gè)“虛擬”P(pán)PP連接，使主機(jī)L2TP LAC客戶端與LNS之間建立一個(gè)隧道。其地址分配

21、、認(rèn)證、授權(quán)和計(jì)費(fèi)都由目標(biāo)網(wǎng)絡(luò)的管理域提供。LAC和LNS功能一般由為用戶通過(guò)PSTN/ISDN撥入網(wǎng)絡(luò)提供服務(wù)的網(wǎng)絡(luò)接入服務(wù)器NAS提供。2. L2TP協(xié)議的特性(1)擴(kuò)展性。為了在互通的基礎(chǔ)上具有最大化擴(kuò)展性，L2TP使用了統(tǒng)一的格式來(lái)對(duì)消息類(lèi)型和主體進(jìn)行編碼，用AVP值對(duì)來(lái)表示。(2)可靠性。L2TP在控制信息的傳輸過(guò)程中，應(yīng)用消息丟失重傳和定時(shí)檢測(cè)通道連通性等機(jī)制來(lái)保證傳輸?shù)目煽啃?。而其?shù)據(jù)消息的傳輸由于不采用重傳機(jī)制，所以它無(wú)法保證傳輸?shù)目煽啃?，但這一點(diǎn)可以通過(guò)上層協(xié)議如TCP等得到保證。另外，L2TP在所有的控制信息中都采用序號(hào)來(lái)保證可靠傳輸，而數(shù)據(jù)信息可用序號(hào)來(lái)進(jìn)行數(shù)據(jù)包的重排或

22、用來(lái)檢測(cè)丟失的數(shù)據(jù)包。(3)身份認(rèn)證及保密性。L2TP繼承了PPP的所有安全特性，不僅可以選擇多種身份認(rèn)證機(jī)制(CHAP、PAP等)，還可以對(duì)隧道端點(diǎn)進(jìn)行認(rèn)證。L2TP定義了控制包的加密傳輸，對(duì)每個(gè)隧道生成一個(gè)獨(dú)一無(wú)二的隨機(jī)密鑰，以抵御欺騙性的攻擊，但是它對(duì)傳輸中的數(shù)據(jù)不加密。根據(jù)特定的網(wǎng)絡(luò)安全要求可以方便地在L2TP之上采用隧道加密、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來(lái)提高數(shù)據(jù)的安全性。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）通過(guò)比較L2TP與PPTP的區(qū)別，讓同學(xué)更加了解VPN技術(shù)五、L2TP與PPTP的區(qū)別（約30分鐘） 雖然L2TP是由PPTP發(fā)展起來(lái)的，都使用PPP

23、協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附加報(bào)頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸，但兩者間仍有一定的區(qū)別：(1)從網(wǎng)絡(luò)運(yùn)行環(huán)境上來(lái)看，PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，而L2TP可以在IP、幀中繼、ATM等網(wǎng)絡(luò)上使用。(2)從建立隧道的模式來(lái)看，PPTP只能在兩端點(diǎn)間建立單一隧道，而L2TP支持在兩端點(diǎn)間使用多隧道。因此，用戶可以針對(duì)不同的服務(wù)質(zhì)量使用L2TP創(chuàng)建不同的隧道。(3)從認(rèn)證方式來(lái)看，L2TP可以提供隧道認(rèn)證，而PPTP則不支持隧道認(rèn)證。但是當(dāng)L2TP或PPTP與IPSec共同使用時(shí)，可以由IPSec提供隧道驗(yàn)證，而不需要在第二層協(xié)議上驗(yàn)證隧道。(4)從數(shù)據(jù)包傳輸效率來(lái)看，L2TP合并了控制通道和數(shù)據(jù)

24、通道，使用UDP協(xié)議來(lái)傳輸所有信息，因此，相對(duì)采用TCP協(xié)議傳輸數(shù)據(jù)的PPTP來(lái)說(shuō)，效率更高，更容易通過(guò)防火墻。另一方面，PPTP支持通過(guò)NAT防火墻的操作，而L2TP則不能支持1.MPLS 多協(xié)議標(biāo)記交換(MPLS)吸收了ATM的VPI/VCI交換思想，無(wú)縫集成了IP路由技術(shù)的靈活性和兩層交換的簡(jiǎn)捷性，在面向無(wú)連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。通過(guò)采用MPLS建立“虛連接”的方法，為IP網(wǎng)增加了一些管理和運(yùn)營(yíng)的手段。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，MPLS應(yīng)用也逐步轉(zhuǎn)向MPLS流量工程和MPLS VPN等應(yīng)用。MPLS的主要原理是為每個(gè)IP數(shù)據(jù)包提供一個(gè)標(biāo)記，并由此標(biāo)記決定數(shù)據(jù)包的路

25、徑以及優(yōu)先級(jí)，使與MPLS兼容的路由器在將數(shù)據(jù)包轉(zhuǎn)送到其路徑之前，只需讀取數(shù)據(jù)包標(biāo)記，而無(wú)需讀取每個(gè)數(shù)據(jù)包的IP地址和標(biāo)頭，然后將所傳送的數(shù)據(jù)包置于幀中繼或ATM的虛擬電路上，從而將數(shù)據(jù)包快速傳送至終點(diǎn)路由器，減少了數(shù)據(jù)包的延遲，增加了網(wǎng)絡(luò)傳輸?shù)乃俣?。同時(shí)由幀中繼及ATM交換器所提供的服務(wù)質(zhì)量(QoS)對(duì)所傳送的數(shù)據(jù)包加以分級(jí)，因而大幅提升網(wǎng)絡(luò)服務(wù)品質(zhì)及提供更多樣化的服務(wù)。因此，MPLS技術(shù)適合用于遠(yuǎn)程互聯(lián)的大中型企業(yè)專用網(wǎng)絡(luò)等對(duì)QoS、服務(wù)級(jí)別(CoS)、網(wǎng)絡(luò)帶寬、可靠性等要求高的VPN業(yè)務(wù)。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）詳細(xì)分析VPN的集成路由器集成VPN2.VP

26、N集成 VPN在網(wǎng)絡(luò)中的集成有很多方式，最常見(jiàn)的有路由器集成VPN、防火墻集成VPN和專用VPN設(shè)備在三種方式 。1）路由器集成VPN 現(xiàn)在一些路由器中已經(jīng)配備了VPN模塊，即路由器集成VPN，如下圖所示。邊緣路由器上集成VPN，訪問(wèn)過(guò)程如下：遠(yuǎn)程用戶建立VPN到路由器。路由器將請(qǐng)求轉(zhuǎn)發(fā)給NAS。NAS認(rèn)證遠(yuǎn)程用戶是否合法，若合法，則授權(quán)用戶訪問(wèn)外部網(wǎng)。路由器集成VPN的設(shè)備僅適合小型網(wǎng)絡(luò)而不適合大型網(wǎng)絡(luò)，因?yàn)槁酚善鞅旧淼男阅苡邢?，若再加上加?解密VPN信息帶來(lái)的負(fù)擔(dān)，則會(huì)使路由器超負(fù)荷。因此，一般對(duì)企業(yè)用戶來(lái)說(shuō)，路由器集成VPN并不是一個(gè)很好的選取擇。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教

27、學(xué)內(nèi)容和教學(xué)方法）防火墻集成VPN 2）防火墻集成VPN防火墻集成VPN是應(yīng)用廣泛的模式，許多廠家的防火墻產(chǎn)品都具有VPN功能。由于防火墻本身具備較完善的記錄功能，因此，在此基礎(chǔ)上增加VPN記錄不會(huì)給防火墻帶來(lái)太大的額外負(fù)擔(dān)。另外，防火墻也是網(wǎng)絡(luò)的入口點(diǎn)，在此增加VPN功能將使用戶能夠訪問(wèn)網(wǎng)絡(luò)而不用開(kāi)放防火墻規(guī)則，以免增加安全漏洞。防火墻集成VPN如圖所示。防火墻集成VPN訪問(wèn)過(guò)程與路由器集成VPN類(lèi)似：遠(yuǎn)程用戶建立VPN到防火墻防火墻將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給NAS。NAS認(rèn)證遠(yuǎn)程用戶是否合法，若合法，則防火墻授權(quán)用戶訪問(wèn)內(nèi)部網(wǎng)。防火墻集成VPN的模式可以獲得設(shè)備中由防火墻部件提供的健壯的訪問(wèn)控制功能

28、，給網(wǎng)絡(luò)管理員提供了更多的控制權(quán)，使用戶能夠訪問(wèn)的網(wǎng)絡(luò)資源部分被限定。但與路由器集成VPN一樣，處理VPN加密/解密信息需要占用大量系統(tǒng)資源，如果防火墻本身負(fù)荷已經(jīng)很重，則不適合選擇此種模式。而且，防火墻集成VPN方案還有一個(gè)缺陷，就是在優(yōu)化配置虛擬網(wǎng)和防火墻部件方面，選擇余地非常小，因?yàn)樽钸m合業(yè)務(wù)需要的防火墻產(chǎn)品可能與虛擬專用網(wǎng)不匹配。同時(shí)，集成方案還會(huì)使VPN和防火墻部件限制在一套系統(tǒng)上，使得配置方案不靈活。教案內(nèi)頁(yè)教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過(guò)程（教學(xué)內(nèi)容和教學(xué)方法）專業(yè)VPN設(shè)備 3）專用VPN設(shè)備專用VPN設(shè)備最主要的優(yōu)點(diǎn)就是減輕了路由器和防火墻管理VPN的負(fù)擔(dān)，即使有再多的連接甚至過(guò)載，也不會(huì)影響網(wǎng)絡(luò)的其他部分。專用VPN設(shè)備的另一個(gè)優(yōu)點(diǎn)是增強(qiáng)了VPN訪問(wèn)的安全性，即使VPN被攻破，也可以使攻擊者引起的破壞降