虛擬專用網(wǎng)絡(luò)（VPN）課件

5虛擬專用網(wǎng)絡(luò)（VPN）5虛擬專用網(wǎng)絡(luò)（VPN）1目前的網(wǎng)絡(luò)狀況竊聽者公鑰基礎(chǔ)設(shè)施PKI！目前的網(wǎng)絡(luò)狀況竊聽者公鑰基礎(chǔ)設(shè)施PKI！2如何保證公司網(wǎng)絡(luò)資源的安全?如何面對(duì)Internet通信的增加、新的應(yīng)用服務(wù)和減少成本？如何共享和保護(hù)通過Internet,Extranets和

Intranets的信息?如何在合作伙伴之間布置一個(gè)靈活和模塊化的解決方案？如何有效的管理這一切？誰能提供這一切滿足未來的需要？用戶面臨的挑戰(zhàn)如何保證公司網(wǎng)絡(luò)資源的安全?如何面對(duì)Internet通信的增3傳統(tǒng)遠(yuǎn)程通信連接方式企業(yè)總部外地分公司客戶及供應(yīng)商外地出差員工租用專用線路

T1，幀中繼ISDN,ATM當(dāng)?shù)仉娦啪謧鹘y(tǒng)遠(yuǎn)程通信連接方式企業(yè)總部外地分公司客戶及供應(yīng)商外地出差員4專用網(wǎng)絡(luò)的優(yōu)點(diǎn)信息被保留“在文件夾里”遠(yuǎn)程站點(diǎn)可以立即交換信息遠(yuǎn)程用戶沒有隔離感專用網(wǎng)絡(luò)的優(yōu)點(diǎn)信息被保留“在文件夾里”5專用網(wǎng)絡(luò)的缺點(diǎn)成本太高，不經(jīng)濟(jì)超出預(yù)算，不現(xiàn)實(shí)

$$VPN專用網(wǎng)絡(luò)的缺點(diǎn)成本太高，不經(jīng)濟(jì)$$VPN6應(yīng)用VPN進(jìn)行遠(yuǎn)程通信客戶及供應(yīng)商外地出差員工外地分公司企業(yè)總部InternetVPN隧道應(yīng)用VPN進(jìn)行遠(yuǎn)程通信客戶及供應(yīng)商外地出差員工外地分公司企業(yè)7使用VPN解決方案的優(yōu)勢(shì)防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽防止數(shù)據(jù)在公網(wǎng)傳輸中被篡改可以驗(yàn)證數(shù)據(jù)的真實(shí)來源成本低廉（相對(duì)于專線、長途撥號(hào)）應(yīng)用靈活、可擴(kuò)展性好使用VPN解決方案的優(yōu)勢(shì)防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽8本章提要VPN概述VPN關(guān)鍵技術(shù)實(shí)施VPN的價(jià)值本章提要9§5.1VPN概述VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)：針對(duì)傳統(tǒng)的“企業(yè)專用網(wǎng)絡(luò)”而言的，它是指在公共網(wǎng)絡(luò)上通過隧道和/或加密技術(shù)，為企業(yè)所建立的邏輯上的專用網(wǎng)絡(luò)。VPN以公用開放的網(wǎng)絡(luò)(如Internet)作為基本傳輸媒體，通過加密和驗(yàn)證網(wǎng)絡(luò)流量來保護(hù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫?huì)被竊取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(PrivateNetwork)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。VPN定義§5.1VPN概述VPN(VirtualPriva10§5.1VPN概述VPN依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在Internet公共網(wǎng)絡(luò)中建立局域網(wǎng)絡(luò)之間或單點(diǎn)之間、臨時(shí)的、專用的、安全的、穩(wěn)定的數(shù)據(jù)通信網(wǎng)絡(luò)（隧道）的技術(shù)VPN定義網(wǎng)絡(luò)資源的專用性：即VPN網(wǎng)絡(luò)資源（如信道和帶寬）在企業(yè)需要時(shí)可被企業(yè)專門使用；不需要時(shí)又可被其它VPN用戶使用，企業(yè)用戶可以獲得像傳統(tǒng)專用網(wǎng)一樣的服務(wù)質(zhì)量；網(wǎng)絡(luò)的安全性：VPN用戶的信息不會(huì)流出VPN的范圍之外，用戶信息受到VPN網(wǎng)絡(luò)的保護(hù)，可以實(shí)現(xiàn)用戶信息在公共網(wǎng)絡(luò)傳輸中隱蔽性§5.1VPN概述VPN依靠ISP（Internet服11§5.1VPN概述VPN可以省去專線租用費(fèi)用或者長距離電話費(fèi)用，大大降低成本VPN可以充分利用Internet公網(wǎng)資源，快速地建立起公司的廣域連接VPN定義§5.1VPN概述VPN可以省去專線租用費(fèi)用或者長距離12虛擬專用網(wǎng)基礎(chǔ)結(jié)構(gòu)虛擬專用網(wǎng)基礎(chǔ)結(jié)構(gòu)13§5.1VPN概述VPN通過一個(gè)私有的通道來創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來，形成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。主要目的是保護(hù)傳輸數(shù)據(jù)，是保護(hù)從信道的一個(gè)端點(diǎn)到另一端點(diǎn)傳輸?shù)男畔⒘?。信道的端點(diǎn)之前和之后，VPN不提供任何的數(shù)據(jù)包保護(hù)。VPN目的§5.1VPN概述VPN通過一個(gè)私有的通道來創(chuàng)建一個(gè)安14§5.1VPN概述加密數(shù)據(jù)。以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。信息驗(yàn)證和身份識(shí)別。保證信息的完整性、合理性，并能鑒別用戶的身份。提供訪問控制。不同的用戶有不同的訪問權(quán)限。地址管理。VPN方案必須能夠?yàn)橛脩舴峙鋵Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。密鑰管理。VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。多協(xié)議支持。VPN方案必須支持公共因特網(wǎng)絡(luò)上普遍使用的基本協(xié)議，包括IP、IPX等。VPN基本功能§5.1VPN概述加密數(shù)據(jù)。以保證通過公網(wǎng)傳輸?shù)男畔⒓?5§5.1VPN概述安全性：隧道、加密、密鑰管理、數(shù)據(jù)包認(rèn)證、用戶認(rèn)證、訪問控制可靠性：硬件、軟件、基礎(chǔ)網(wǎng)絡(luò)的可靠性可管理性：記帳、審核、日志的管理；是否支持集中的安全控制策略可擴(kuò)展性：是否考慮采用硬件加速加解密速度；支持多種類型的數(shù)據(jù)流、方便增加新的節(jié)點(diǎn)、支持多種類型的傳輸媒介VPN特性§5.1VPN概述安全性：隧道、加密、密鑰管理、數(shù)據(jù)包16§5.1VPN概述可用性：系統(tǒng)對(duì)應(yīng)用盡量透明；對(duì)終端用戶來說使用方便互操作性：盡量采用標(biāo)準(zhǔn)協(xié)議，與其他供應(yīng)商的設(shè)備能互通服務(wù)質(zhì)量QoS：通過Internet連接的VPN服務(wù)質(zhì)量很大程度取決于Internet的狀況;為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證；充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬多協(xié)議支持VPN特性§5.1VPN概述可用性：系統(tǒng)對(duì)應(yīng)用盡量透明；對(duì)終端用17§5.1VPN概述VPN服務(wù)器端：

能夠接收和驗(yàn)證VPN連接請(qǐng)求并處理數(shù)據(jù)打包和解包工作的一臺(tái)計(jì)算機(jī)或設(shè)備。VPN服務(wù)器端操作系統(tǒng)可以是WindowsNT4.0／Windows2000／WindowsXP／Windows2003；相關(guān)組件為系統(tǒng)自帶；要求VPN服務(wù)器已經(jīng)接入Internet，并且擁有一個(gè)獨(dú)立的公網(wǎng)IP。VPN組成§5.1VPN概述VPN服務(wù)器端：VPN組成18§5.1VPN概述VPN客戶端：能夠發(fā)起VPN連接請(qǐng)求并且也可以進(jìn)行數(shù)據(jù)打包和解包工作的一臺(tái)計(jì)算機(jī)或設(shè)備。VPN客戶機(jī)端操作系統(tǒng)可以選擇Windows98／WindowsNT4.0／Windows2000／WindowsXP／Windows2003；相關(guān)組件為系統(tǒng)自帶；、要求VPN客戶機(jī)已經(jīng)接入Internet。VPN組成§5.1VPN概述VPN客戶端：VPN組成19§5.1VPN概述VPN數(shù)據(jù)通道：一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。其實(shí)，所謂的服務(wù)器端和客戶端在VPN連接建立之后，在通信過程中扮演的角色是一樣的，區(qū)別僅在于連接是由誰發(fā)起的而已。VPN組成§5.1VPN概述VPN數(shù)據(jù)通道：VPN組成20實(shí)例：基于windowsXP配置VPN服務(wù)器與客戶端實(shí)例：基于windowsXP配置VPN服務(wù)器與客戶端21§5.1VPN概述VPN分類按應(yīng)用范圍分：內(nèi)部網(wǎng)遠(yuǎn)程訪問Internet合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)ExtranetVPNIntranetVPNAccessVPN§5.1VPN概述VPN分類按應(yīng)用范圍分：內(nèi)部網(wǎng)遠(yuǎn)程訪22§5.1VPN概述AccessVPN又稱為撥號(hào)VPN(即VPDN)，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。用于實(shí)現(xiàn)移動(dòng)用戶或遠(yuǎn)程辦公室安全訪問企業(yè)網(wǎng)絡(luò).是個(gè)人計(jì)算機(jī)與企業(yè)站點(diǎn)之間的虛擬專用網(wǎng)絡(luò)典型的遠(yuǎn)程訪問VPN是用戶通過本地的信息服務(wù)提供商(ISP)登錄到因特網(wǎng)上，并在現(xiàn)在的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道。VPN分類：按應(yīng)用§5.1VPN概述AccessVPNVPN分類：按應(yīng)23VPN隧道對(duì)于外出旅行的員工而言，無論他們位于何處，都可訪問電子郵件、文件和內(nèi)部系統(tǒng)，無需使用昂貴的長途電話連接撥號(hào)服務(wù)器在家工作的員工可以像在企業(yè)的辦公室中工作的員工一樣訪問網(wǎng)絡(luò)服務(wù)，而無需使用昂貴的租用線路。企業(yè)內(nèi)部網(wǎng)VPN隧道對(duì)于外出旅行的員工而言，無論他們位于何處，都可訪問24VPN服務(wù)器可以是機(jī)構(gòu)的防火墻或單獨(dú)的VPN服務(wù)器用戶通過本地ISP撥號(hào)、DSL線路或調(diào)制解調(diào)器連接到Internet，并通過Internet與公司企業(yè)站點(diǎn)建立一個(gè)VPN。TCP/IP協(xié)議棧

用戶計(jì)算機(jī)

VPN服務(wù)器

內(nèi)部網(wǎng)絡(luò)

VPN軟件

其他Internet通信數(shù)據(jù)

內(nèi)部網(wǎng)絡(luò)

InternetVPN通道VPN服務(wù)器可以是機(jī)構(gòu)的防火墻或單獨(dú)的VPN服務(wù)器TCP/I25§5.1VPN概述AccessVPN公司企業(yè)的站點(diǎn)需要用戶認(rèn)證AccessVPN可以讓機(jī)構(gòu)限制遠(yuǎn)程用戶能夠訪問的系統(tǒng)或文件VPN分類：按應(yīng)用§5.1VPN概述AccessVPNVPN分類：按應(yīng)26§5.1VPN概述IntranetVPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)這種類型的連接帶來的風(fēng)險(xiǎn)最小，因?yàn)楣就ǔＵJ(rèn)為他們的分支機(jī)構(gòu)是可信的，并將它作為公司網(wǎng)絡(luò)的擴(kuò)展。內(nèi)部網(wǎng)VPN的安全性取決于兩個(gè)VPN服務(wù)器之間加密和驗(yàn)證手段上。VPN分類：按應(yīng)用§5.1VPN概述IntranetVPNVPN分類：27§5.1VPN概述IntranetVPNVPN分類：按應(yīng)用企業(yè)內(nèi)部網(wǎng)絡(luò)VPN通道遠(yuǎn)程局域網(wǎng)§5.1VPN概述IntranetVPNVPN分類：28§5.1VPN概述ExtranetVPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。它能保證包括TCP和UDP服務(wù)在內(nèi)的各種應(yīng)用服務(wù)的安全，如Email、HTTP、FTP、RealAudio、數(shù)據(jù)庫的安全以及一些應(yīng)用程序如Java、ActiveX的安全。VPN分類：按應(yīng)用§5.1VPN概述ExtranetVPNVPN分類：29§5.1VPN概述ExtranetVPNVPN分類：按應(yīng)用外部網(wǎng)服務(wù)器VPN通道§5.1VPN概述ExtranetVPNVPN分類：30§5.1VPN概述ExtranetVPN與IntranetVPNVPN分類：按應(yīng)用跨Internet的站點(diǎn)到站點(diǎn)的VPN

VPN機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)遠(yuǎn)程站點(diǎn)內(nèi)部網(wǎng)絡(luò)Internet主要站點(diǎn)防火墻遠(yuǎn)程站點(diǎn)防火墻§5.1VPN概述ExtranetVPN與Intra31§5.1VPN概述ExtranetVPN與IntranetVPN啟動(dòng)連接時(shí)，一個(gè)站點(diǎn)會(huì)試圖向另一個(gè)站點(diǎn)發(fā)送通信數(shù)據(jù)，在兩個(gè)VPN端啟動(dòng)VPN兩個(gè)端點(diǎn)協(xié)商連接參數(shù)VPN兩端進(jìn)行認(rèn)證可以作為租用線路的備份VPN分類：按應(yīng)用優(yōu)點(diǎn)：節(jié)約成本；性價(jià)比較高；可以嚴(yán)格限制對(duì)內(nèi)部網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的訪問§5.1VPN概述ExtranetVPN與Intra32§5.2安全VPN的關(guān)鍵技術(shù)VPN主要采用以下四項(xiàng)技術(shù)來保證安全：

隧道技術(shù)加解密技術(shù)密鑰管理技術(shù)使用者與設(shè)備身份認(rèn)證技術(shù)VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)VPN主要采用以下四項(xiàng)技術(shù)33§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：

隧道是在公用IP網(wǎng)中建立邏輯點(diǎn)到點(diǎn)連接的一種方法，是一個(gè)疊加在IP網(wǎng)上的傳送通道VPN中的隧道是由隧道協(xié)議形成的實(shí)質(zhì)上是一種封裝，將一種協(xié)議（協(xié)議X）封裝在另一種協(xié)議（協(xié)議Y）中傳輸，從而實(shí)現(xiàn)協(xié)議X對(duì)公用傳輸網(wǎng)絡(luò)(采用協(xié)議Y)的透明性VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：VPN安34§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：

VPN使用的隧道協(xié)議主要有:第二層隧道協(xié)議:PPTP、L2F、L2TP第三層隧道協(xié)議：GRE、IPSECVPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：VPN安35§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：

無論何種隧道協(xié)議，其數(shù)據(jù)包格式都是由乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議3部分組成的。下面我們以L2TP為例，如下圖所示，看一下隧道協(xié)議的組成。VPN安全技術(shù)用戶要傳輸?shù)臄?shù)據(jù)，也就是被封裝的數(shù)據(jù)，包括IP、PPP、SLIP等；用于建立、保持和拆卸隧道。包括L2F、PPTP、L2TP、GRE等。乘客協(xié)議被封裝之后應(yīng)用傳輸協(xié)議§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：VPN安36§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：

第二層隧道協(xié)議用于傳輸?shù)诙泳W(wǎng)絡(luò)協(xié)議，主要應(yīng)用于構(gòu)建AccessVPN。第二層隧道協(xié)議主要有三種：由CiscoNortel等公司支持的L2F協(xié)議，Cisco路由器中支持此協(xié)議；Microsoft、Ascend、3COM等公司支持的PPTP協(xié)議，WindowsNT4.0以上版本中支持此協(xié)議；成為二層隧道協(xié)議工業(yè)標(biāo)準(zhǔn)的是由IETF起草并由Microsoft、Ascend、Cisco、3COM等公司參與制定的L2TP協(xié)議，它結(jié)合了上述兩個(gè)協(xié)議的優(yōu)點(diǎn)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：VPN37§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：LTF(LayerTwoForwardingProtocol)

L2F(二層轉(zhuǎn)發(fā)協(xié)議)是由Cisco公司提出的隧道技術(shù),可以支持多種傳輸協(xié)議，如IP、ATM、幀中繼1)遠(yuǎn)端用戶通過任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)，例如，按常規(guī)方式撥號(hào)到ISP的NAS，建立PPP連接；2)NAS根據(jù)用戶名等信息，發(fā)起第二重連接，通向企業(yè)的本地L2F網(wǎng)關(guān)服務(wù)器，3)這個(gè)L2F服務(wù)器把數(shù)據(jù)包解包之后發(fā)送到企業(yè)內(nèi)部網(wǎng)上在L2F中，隧道的配置和建立對(duì)用戶是完全透明的，L2F沒有確定的客戶方。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：LTF(L38§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP(PointtoPointTunnelingProtocol)

點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）是由PPTP論壇開發(fā)的點(diǎn)到點(diǎn)的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全VPN業(yè)務(wù)。該協(xié)議將PPP數(shù)據(jù)包封裝在IP數(shù)據(jù)包內(nèi)通過IP網(wǎng)絡(luò)（如Internet或Intranet）進(jìn)行傳送。PPTP是PPP協(xié)議的一種擴(kuò)展，提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式，遠(yuǎn)端用戶能夠通過任何支持PPTP的ISP訪問企業(yè)的專用網(wǎng)絡(luò)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP(39§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP

PPTP協(xié)議提供了PPTP客戶端和PPTP服務(wù)器之間的加密通信。PPTP客戶端和服務(wù)器進(jìn)行VPN通信的前提是二者之間有連通且可用的IP網(wǎng)絡(luò)，也就是說PPTP客戶端必須能夠通過IP網(wǎng)絡(luò)訪問PPTP服務(wù)器。windows中集成了PPTPServer和Client，適合中小企業(yè)支持少量移動(dòng)工作者如果有防火墻的存在或使用了地址轉(zhuǎn)換，PPTP可能無法工作VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTPV40§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP

PPTP通信時(shí)，客戶機(jī)和服務(wù)器間有2個(gè)通道，一個(gè)通道是PPTP服務(wù)器的tcp1723端口的控制連接：通過控制報(bào)文負(fù)責(zé)PPTP隧道的建立、維護(hù)和斷開；在創(chuàng)建基于PPTP的VPN連接過程中，使用的認(rèn)證機(jī)制主要有EAP、MS-CHAP、CHAP、SPAP和PAP。通過PPP協(xié)議的MPPE（MicrosoftPointtoPointEncryption，微軟點(diǎn)對(duì)點(diǎn)加密技術(shù)）進(jìn)行加密，另一個(gè)通道是傳輸GREPPP數(shù)據(jù)包的IP隧道通過數(shù)據(jù)報(bào)文負(fù)責(zé)傳輸用戶的真正數(shù)據(jù)。VPN安全技術(shù)數(shù)據(jù)鏈路層報(bào)頭IP報(bào)頭GRE報(bào)頭PPP報(bào)頭數(shù)據(jù)鏈路層報(bào)尾加密PPP有效載荷用戶的數(shù)據(jù)可以是多種協(xié)議，比如IP數(shù)據(jù)包、IPX數(shù)據(jù)包或者NetBEUI數(shù)據(jù)包?！?.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP41§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP

與L2F相比，PPTP把建立隧道的主動(dòng)權(quán)交給了用戶，但用戶需要在其PC機(jī)上配置PPTP，這樣不僅增加了用戶的工作量，而且造成網(wǎng)絡(luò)的安全隱患PPTP只支持IP作為其傳輸協(xié)議。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTPV42§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP（LayerTwoTunnelingProtocol

L2TP(二層隧道協(xié)議）結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或訪問服務(wù)器端發(fā)起VPN連接二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)，并得到眾廠商的支持支持IP、X.25、幀中繼或ATM等作為傳輸協(xié)議，但目前僅定義了基于IP網(wǎng)絡(luò)的L2TP?？捎糜贗nternet和其他企業(yè)專用Intranet中。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP（43§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP連接過程

VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP連44§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP

L2TP通信時(shí)，客戶機(jī)和服務(wù)器間也有2個(gè)通道，一個(gè)通道是L2TP服務(wù)器的udp端口的控制連接：通過控制報(bào)文負(fù)責(zé)隧道的建立、維護(hù)和斷開；在創(chuàng)建基于L2TP的VPN連接過程中，使用的認(rèn)證機(jī)制主要有EAP、MS-CHAP、CHAP、SPAP和PAP。通過IPSecESP進(jìn)行加密，另一個(gè)通道是傳輸多層封裝數(shù)據(jù)包的IP隧道通過數(shù)據(jù)報(bào)文負(fù)責(zé)傳輸用戶的真正數(shù)據(jù)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP45§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：

第三層隧道協(xié)議用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議，主要包括：由Cisco和NetSmiths公司支持的的GRE由IETF制定的新一代Internet安全標(biāo)準(zhǔn)IPSec協(xié)議VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：VPN46§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（GenericRoutingEncapsulation）

GRE是通用的路由封裝協(xié)議，支持全部的路由協(xié)議用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包，包括IP、IPX、NetBEUI、AppleTalk、BanyanVINES、DECnet等。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。GRE是一種通用的封裝形式。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（G47§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（GenericRoutingEncapsulation）

通過GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接非IP網(wǎng)絡(luò)，使所有協(xié)議的私有網(wǎng)絡(luò)連接起來。通過GRE，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互聯(lián)，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GRE只提供封裝，不提供加密，對(duì)路由器的性能影響較小，設(shè)備檔次要求相對(duì)較低。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（G48§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（GenericRoutingEncapsulation）

GREVPN適合一些小型點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)互聯(lián)、實(shí)時(shí)性要求不高、要求提供地址空間重疊支持的網(wǎng)絡(luò)環(huán)境。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（G49§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

IPSec由IETF設(shè)計(jì)的作為基于IP通信環(huán)境（IPV4和IPV6環(huán)境）下一種端到端的保證數(shù)據(jù)安全的機(jī)制IPSec協(xié)議已經(jīng)成為工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議。IPSec協(xié)議提供的安全服務(wù)包括：訪問控制、無連接完整性、數(shù)據(jù)源鑒別、重傳攻擊保護(hù)、機(jī)密性、有限的流量保密等。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec50§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

提供了大量的安全特性：提供認(rèn)證，加密，數(shù)據(jù)完整性和抗重放保護(hù)；加密密鑰的安全產(chǎn)生和自動(dòng)更新；使用強(qiáng)加密算法來保證安全性；支持基于證書的認(rèn)證；支持下一代加密算法和密鑰交換協(xié)議；為L2TP和PPTP遠(yuǎn)程接入隧道協(xié)議提供安全性VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec51§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

直接傳輸網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包IPSec不是一個(gè)單獨(dú)的協(xié)議，而是一組協(xié)議，包含兩個(gè)安全協(xié)議和一個(gè)密鑰管理協(xié)議VPN安全技術(shù)IPSec數(shù)據(jù)包的格式

身份認(rèn)證報(bào)頭——AH協(xié)議：提供數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、重放攻擊保護(hù)功能負(fù)載安全封裝——ESP協(xié)議：提供數(shù)據(jù)保密、數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性、重放攻擊保護(hù)功能因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議——IKE：提供自動(dòng)建立安全關(guān)聯(lián)和管理密鑰的功能；從而提供雙方交流時(shí)的共享安全信息§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec52§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

AH（認(rèn)證報(bào)頭協(xié)議）為IP數(shù)據(jù)包提供如下3種服務(wù)：無連接的數(shù)據(jù)完整性驗(yàn)證：通過哈希函數(shù)（如MD5）產(chǎn)生的校驗(yàn)來保證數(shù)據(jù)源身份認(rèn)證：數(shù)據(jù)源身份認(rèn)證通過在計(jì)算驗(yàn)證碼時(shí)加入一個(gè)共享密鑰來實(shí)現(xiàn)；防重放攻擊：AH報(bào)頭中的序列號(hào)VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec53§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

ESP（封裝安全有效載荷協(xié)議）除了AH已有的3種服務(wù)外，還提供：數(shù)據(jù)包加密：對(duì)一個(gè)IP包進(jìn)行加密，可以是對(duì)整個(gè)IP包，也可以只加密IP包的載荷部分，一般用于客戶端計(jì)算機(jī)；數(shù)據(jù)流加密:一般用于支持IPSec的路由器，源端路由器并不關(guān)心IP包的內(nèi)容，對(duì)整個(gè)IP包進(jìn)行加密后傳輸，目的端路由器將該包解密后將原始包繼續(xù)轉(zhuǎn)發(fā)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec54§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

AH和ESP可以單獨(dú)使用，也可以嵌套使用。通過這些組合方式，可以在兩臺(tái)主機(jī)、兩臺(tái)安全網(wǎng)關(guān)（防火墻和路由器），或者主機(jī)與安全網(wǎng)關(guān)之間使用。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec55§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

IKE(因特網(wǎng)密鑰交換協(xié)議)：協(xié)商AH和ESP協(xié)議所使用的加密算法。IKE協(xié)議負(fù)責(zé)密鑰管理，定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時(shí)使用。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec56§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

SA(安全聯(lián)盟)：兩臺(tái)IPSec計(jì)算機(jī)在交換數(shù)據(jù)之前，必須首先建立某種約定，這種約定，稱為“安全聯(lián)盟”或“安全關(guān)聯(lián)”。指雙方需要就如何保護(hù)信息、交換信息等公用的安全設(shè)置達(dá)成一致，更重要的是，必須有一種方法，使那兩臺(tái)計(jì)算機(jī)安全地交換一套密鑰，以便在它們的連接中使用。一個(gè)安全聯(lián)盟描述了兩個(gè)或者多個(gè)實(shí)體如何使用安全服務(wù)來實(shí)現(xiàn)安全通信。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec57§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

SA(安全聯(lián)盟)：AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和維護(hù)。只要實(shí)現(xiàn)AH和ESP都必須提供對(duì)SA的支持。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec58§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

VPN安全技術(shù)解釋域（DOI）為使用IKE進(jìn)行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。共享一個(gè)DOI的協(xié)議從一個(gè)共同的命名空間中選擇安全協(xié)議和變換、共享密碼以及交換協(xié)議的標(biāo)識(shí)符等§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec59§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec工作模式

傳輸模式只對(duì)IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。即為上層協(xié)議提供安全保護(hù)，保護(hù)的是IP包的有效載荷(如TCP,UDP和ICMP)。通常情況下傳輸模式只用于兩臺(tái)主機(jī)之間的安全通信。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec60§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec工作模式

隧道模式對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。隧道模式首先為原始IP包增加AH或ESP字段，然后再在外部增加一個(gè)新的IP頭。所有原始的或內(nèi)部包通過這個(gè)隧道從IP網(wǎng)的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報(bào)頭，不檢查內(nèi)部原來的IP報(bào)頭。隧道模式通常用在有至少一端是安全網(wǎng)關(guān)的時(shí)候，如防火墻和路由器。使用隧道模式后，防火墻后面的主機(jī)可以使用內(nèi)部地址進(jìn)行通信，而且不需要實(shí)現(xiàn)IPSec。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec61§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec體系結(jié)構(gòu)模型圖

VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec62§5.2安全VPN的關(guān)鍵技術(shù)第四層隧道協(xié)議：IPSec工作模式

隧道模式對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。隧道模式首先為原始IP包增加AH或ESP字段，然后再在外部增加一個(gè)新的IP頭。所有原始的或內(nèi)部包通過這個(gè)隧道從IP網(wǎng)的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報(bào)頭，不檢查內(nèi)部原來的IP報(bào)頭。隧道模式通常用在有至少一端是安全網(wǎng)關(guān)的時(shí)候，如防火墻和路由器。使用隧道模式后，防火墻后面的主機(jī)可以使用內(nèi)部地址進(jìn)行通信，而且不需要實(shí)現(xiàn)IPSec。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第四層隧道協(xié)議：IPSec63§5.2安全VPN的關(guān)鍵技術(shù)第四層隧道協(xié)議：IPSec工作模式

隧道模式對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。隧道模式首先為原始IP包增加AH或ESP字段，然后再在外部增加一個(gè)新的IP頭。所有原始的或內(nèi)部包通過這個(gè)隧道從IP網(wǎng)的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報(bào)頭，不檢查內(nèi)部原來的IP報(bào)頭。隧道模式通常用在有至少一端是安全網(wǎng)關(guān)的時(shí)候，如防火墻和路由器。使用隧道模式后，防火墻后面的主機(jī)可以使用內(nèi)部地址進(jìn)行通信，而且不需要實(shí)現(xiàn)IPSec。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第四層隧道協(xié)議：IPSec64IPSECVPN功能1-數(shù)據(jù)機(jī)密性保護(hù)撥號(hào)服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線SSN區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸IPSECVPN功能1-數(shù)據(jù)機(jī)密性保護(hù)撥號(hào)服務(wù)器PST65IPSECVPN功能2-數(shù)據(jù)完整性保護(hù)內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)Internet原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對(duì)原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性IPSECVPN功能2-數(shù)據(jù)完整性保護(hù)管理子網(wǎng)一般子網(wǎng)66IPSECVPN功能3-數(shù)據(jù)源身份認(rèn)證內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)Internet原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對(duì)方驗(yàn)證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗(yàn)證通過IPSECVPN功能3-數(shù)據(jù)源身份認(rèn)證管理子網(wǎng)一般子網(wǎng)內(nèi)67IPSECVPN功能4-重放攻擊保護(hù)保留負(fù)載長度認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值ICV）變長序列號(hào)安全參數(shù)索引（SPI）下一頭部填充（0~255字節(jié)）下一頭部填充長度認(rèn)證數(shù)據(jù)（變長的）負(fù)載數(shù)據(jù)（變長的）序列號(hào)安全參數(shù)索引（SPI）AH協(xié)議頭ESP協(xié)議頭SA建立之初，序列號(hào)初始化為0，使用該SA傳遞的第一個(gè)數(shù)據(jù)包序列號(hào)為1，序列號(hào)不允許重復(fù)，因此每個(gè)SA所能傳遞的最大IP報(bào)文數(shù)為232—1，當(dāng)序列號(hào)達(dá)到最大時(shí)，就需要建立一個(gè)新的SA，使用新的密鑰。IPSECVPN功能4-重放攻擊保護(hù)保留負(fù)載長度認(rèn)證數(shù)據(jù)68IPSECVPN建立方式1-Host-Host模式Internet業(yè)務(wù)伙伴VPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司A主機(jī)必須支持IPSec主機(jī)必須支持IPSec通道建立在兩邊的主機(jī)之間，因?yàn)闃I(yè)務(wù)伙伴內(nèi)的主機(jī)不是都可以信任的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的ISPISP連接合作伙伴IPSECVPN建立方式1-Host-Host模式Inte69IPSECVPN建立方式2-VPNtoVPN模式Internet分支機(jī)構(gòu)VPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B總部通道只需定義在兩邊的網(wǎng)關(guān)上Gateway必須支持IPSecGateway必須支持IPSec數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的ISPISP連接分支機(jī)構(gòu)IPSECVPN建立方式2-VPNtoVPN模式Int70IPSECVPN建立方式3-RemoteUsertoVPN模式連接遠(yuǎn)程用戶Internet公司BISP接入服務(wù)器VPN網(wǎng)關(guān)B主機(jī)必須支持IPSecGateway必須支持IPSec數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的通道建立在移動(dòng)用戶與公司內(nèi)部網(wǎng)的網(wǎng)關(guān)處IPSECVPN建立方式3-RemoteUserto71IPSECVPN建立方式4-Host-VPN模式Internet業(yè)務(wù)伙伴VPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司A主機(jī)必須支持IPSec通道建立在主機(jī)與網(wǎng)關(guān)之間數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的ISPISP遠(yuǎn)程連接合作伙伴Gateway必須支持IPSecIPSECVPN建立方式4-Host-VPN模式Inter72§5.3

實(shí)施VPN的價(jià)值VPN安全技術(shù)§5.3實(shí)施VPN的價(jià)值VPN安全技術(shù)73§5.3

實(shí)施VPN的價(jià)值為信商帶來價(jià)值電信運(yùn)營商可以利用自己的信道資源，為不能承擔(dān)租用固定專線的用戶，提供虛擬的專用網(wǎng)絡(luò)服務(wù)，使電信運(yùn)營商現(xiàn)有的網(wǎng)絡(luò)資源得以充分運(yùn)用來獲取新的利潤電信運(yùn)營商通過使用具有服務(wù)質(zhì)量保證功能的VPN技術(shù)，可以為VPN用戶提供不同等級(jí)的服務(wù)質(zhì)量（QoS）保證，進(jìn)而收取不同的業(yè)務(wù)使用費(fèi)用獲得超額利潤VPN安全技術(shù)§5.3實(shí)施VPN的價(jià)值為信商帶來價(jià)值VPN安全技術(shù)74§5.3

實(shí)施VPN的價(jià)值為企業(yè)帶來的價(jià)值企業(yè)通過使用VPN，可以使用成本較低的IP網(wǎng)絡(luò)來傳送企業(yè)數(shù)據(jù)，從而大大降低企業(yè)建立Intranet/Extranet網(wǎng)絡(luò)的基礎(chǔ)通信設(shè)施的巨大投資和維護(hù)費(fèi)用通過使用VPN，企業(yè)可以在遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴與公司總部網(wǎng)絡(luò)之間建立可靠的連接，來保證數(shù)據(jù)傳輸?shù)陌踩訴PN安全技術(shù)§5.3實(shí)施VPN的價(jià)值為企業(yè)帶來的價(jià)值VPN安全技術(shù)75§5.3

實(shí)施VPN的價(jià)值為企業(yè)帶來的價(jià)值通過使用VPN，可以實(shí)現(xiàn)VPN用戶在任何時(shí)間、任何地方進(jìn)行移動(dòng)接入，這將滿足不斷增長的移動(dòng)辦公業(yè)務(wù)需求企業(yè)可以方便的擴(kuò)展自己的企業(yè)網(wǎng)絡(luò)開展新的業(yè)務(wù)和合作伙伴，適應(yīng)經(jīng)濟(jì)全球化的趨勢(shì)VPN安全技術(shù)§5.3實(shí)施VPN的價(jià)值為企業(yè)帶來的價(jià)值VPN安全技術(shù)765虛擬專用網(wǎng)絡(luò)（VPN）5虛擬專用網(wǎng)絡(luò)（VPN）77目前的網(wǎng)絡(luò)狀況竊聽者公鑰基礎(chǔ)設(shè)施PKI！目前的網(wǎng)絡(luò)狀況竊聽者公鑰基礎(chǔ)設(shè)施PKI！78如何保證公司網(wǎng)絡(luò)資源的安全?如何面對(duì)Internet通信的增加、新的應(yīng)用服務(wù)和減少成本？如何共享和保護(hù)通過Internet,Extranets和

Intranets的信息?如何在合作伙伴之間布置一個(gè)靈活和模塊化的解決方案？如何有效的管理這一切？誰能提供這一切滿足未來的需要？用戶面臨的挑戰(zhàn)如何保證公司網(wǎng)絡(luò)資源的安全?如何面對(duì)Internet通信的增79傳統(tǒng)遠(yuǎn)程通信連接方式企業(yè)總部外地分公司客戶及供應(yīng)商外地出差員工租用專用線路

T1，幀中繼ISDN,ATM當(dāng)?shù)仉娦啪謧鹘y(tǒng)遠(yuǎn)程通信連接方式企業(yè)總部外地分公司客戶及供應(yīng)商外地出差員80專用網(wǎng)絡(luò)的優(yōu)點(diǎn)信息被保留“在文件夾里”遠(yuǎn)程站點(diǎn)可以立即交換信息遠(yuǎn)程用戶沒有隔離感專用網(wǎng)絡(luò)的優(yōu)點(diǎn)信息被保留“在文件夾里”81專用網(wǎng)絡(luò)的缺點(diǎn)成本太高，不經(jīng)濟(jì)超出預(yù)算，不現(xiàn)實(shí)

$$VPN專用網(wǎng)絡(luò)的缺點(diǎn)成本太高，不經(jīng)濟(jì)$$VPN82應(yīng)用VPN進(jìn)行遠(yuǎn)程通信客戶及供應(yīng)商外地出差員工外地分公司企業(yè)總部InternetVPN隧道應(yīng)用VPN進(jìn)行遠(yuǎn)程通信客戶及供應(yīng)商外地出差員工外地分公司企業(yè)83使用VPN解決方案的優(yōu)勢(shì)防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽防止數(shù)據(jù)在公網(wǎng)傳輸中被篡改可以驗(yàn)證數(shù)據(jù)的真實(shí)來源成本低廉（相對(duì)于專線、長途撥號(hào)）應(yīng)用靈活、可擴(kuò)展性好使用VPN解決方案的優(yōu)勢(shì)防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽84本章提要VPN概述VPN關(guān)鍵技術(shù)實(shí)施VPN的價(jià)值本章提要85§5.1VPN概述VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)：針對(duì)傳統(tǒng)的“企業(yè)專用網(wǎng)絡(luò)”而言的，它是指在公共網(wǎng)絡(luò)上通過隧道和/或加密技術(shù)，為企業(yè)所建立的邏輯上的專用網(wǎng)絡(luò)。VPN以公用開放的網(wǎng)絡(luò)(如Internet)作為基本傳輸媒體，通過加密和驗(yàn)證網(wǎng)絡(luò)流量來保護(hù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫?huì)被竊取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(PrivateNetwork)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。VPN定義§5.1VPN概述VPN(VirtualPriva86§5.1VPN概述VPN依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在Internet公共網(wǎng)絡(luò)中建立局域網(wǎng)絡(luò)之間或單點(diǎn)之間、臨時(shí)的、專用的、安全的、穩(wěn)定的數(shù)據(jù)通信網(wǎng)絡(luò)（隧道）的技術(shù)VPN定義網(wǎng)絡(luò)資源的專用性：即VPN網(wǎng)絡(luò)資源（如信道和帶寬）在企業(yè)需要時(shí)可被企業(yè)專門使用；不需要時(shí)又可被其它VPN用戶使用，企業(yè)用戶可以獲得像傳統(tǒng)專用網(wǎng)一樣的服務(wù)質(zhì)量；網(wǎng)絡(luò)的安全性：VPN用戶的信息不會(huì)流出VPN的范圍之外，用戶信息受到VPN網(wǎng)絡(luò)的保護(hù)，可以實(shí)現(xiàn)用戶信息在公共網(wǎng)絡(luò)傳輸中隱蔽性§5.1VPN概述VPN依靠ISP（Internet服87§5.1VPN概述VPN可以省去專線租用費(fèi)用或者長距離電話費(fèi)用，大大降低成本VPN可以充分利用Internet公網(wǎng)資源，快速地建立起公司的廣域連接VPN定義§5.1VPN概述VPN可以省去專線租用費(fèi)用或者長距離88虛擬專用網(wǎng)基礎(chǔ)結(jié)構(gòu)虛擬專用網(wǎng)基礎(chǔ)結(jié)構(gòu)89§5.1VPN概述VPN通過一個(gè)私有的通道來創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來，形成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。主要目的是保護(hù)傳輸數(shù)據(jù)，是保護(hù)從信道的一個(gè)端點(diǎn)到另一端點(diǎn)傳輸?shù)男畔⒘鳌Ｐ诺赖亩它c(diǎn)之前和之后，VPN不提供任何的數(shù)據(jù)包保護(hù)。VPN目的§5.1VPN概述VPN通過一個(gè)私有的通道來創(chuàng)建一個(gè)安90§5.1VPN概述加密數(shù)據(jù)。以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。信息驗(yàn)證和身份識(shí)別。保證信息的完整性、合理性，并能鑒別用戶的身份。提供訪問控制。不同的用戶有不同的訪問權(quán)限。地址管理。VPN方案必須能夠?yàn)橛脩舴峙鋵Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。密鑰管理。VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。多協(xié)議支持。VPN方案必須支持公共因特網(wǎng)絡(luò)上普遍使用的基本協(xié)議，包括IP、IPX等。VPN基本功能§5.1VPN概述加密數(shù)據(jù)。以保證通過公網(wǎng)傳輸?shù)男畔⒓?1§5.1VPN概述安全性：隧道、加密、密鑰管理、數(shù)據(jù)包認(rèn)證、用戶認(rèn)證、訪問控制可靠性：硬件、軟件、基礎(chǔ)網(wǎng)絡(luò)的可靠性可管理性：記帳、審核、日志的管理；是否支持集中的安全控制策略可擴(kuò)展性：是否考慮采用硬件加速加解密速度；支持多種類型的數(shù)據(jù)流、方便增加新的節(jié)點(diǎn)、支持多種類型的傳輸媒介VPN特性§5.1VPN概述安全性：隧道、加密、密鑰管理、數(shù)據(jù)包92§5.1VPN概述可用性：系統(tǒng)對(duì)應(yīng)用盡量透明；對(duì)終端用戶來說使用方便互操作性：盡量采用標(biāo)準(zhǔn)協(xié)議，與其他供應(yīng)商的設(shè)備能互通服務(wù)質(zhì)量QoS：通過Internet連接的VPN服務(wù)質(zhì)量很大程度取決于Internet的狀況;為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證；充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬多協(xié)議支持VPN特性§5.1VPN概述可用性：系統(tǒng)對(duì)應(yīng)用盡量透明；對(duì)終端用93§5.1VPN概述VPN服務(wù)器端：

能夠接收和驗(yàn)證VPN連接請(qǐng)求并處理數(shù)據(jù)打包和解包工作的一臺(tái)計(jì)算機(jī)或設(shè)備。VPN服務(wù)器端操作系統(tǒng)可以是WindowsNT4.0／Windows2000／WindowsXP／Windows2003；相關(guān)組件為系統(tǒng)自帶；要求VPN服務(wù)器已經(jīng)接入Internet，并且擁有一個(gè)獨(dú)立的公網(wǎng)IP。VPN組成§5.1VPN概述VPN服務(wù)器端：VPN組成94§5.1VPN概述VPN客戶端：能夠發(fā)起VPN連接請(qǐng)求并且也可以進(jìn)行數(shù)據(jù)打包和解包工作的一臺(tái)計(jì)算機(jī)或設(shè)備。VPN客戶機(jī)端操作系統(tǒng)可以選擇Windows98／WindowsNT4.0／Windows2000／WindowsXP／Windows2003；相關(guān)組件為系統(tǒng)自帶；、要求VPN客戶機(jī)已經(jīng)接入Internet。VPN組成§5.1VPN概述VPN客戶端：VPN組成95§5.1VPN概述VPN數(shù)據(jù)通道：一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。其實(shí)，所謂的服務(wù)器端和客戶端在VPN連接建立之后，在通信過程中扮演的角色是一樣的，區(qū)別僅在于連接是由誰發(fā)起的而已。VPN組成§5.1VPN概述VPN數(shù)據(jù)通道：VPN組成96實(shí)例：基于windowsXP配置VPN服務(wù)器與客戶端實(shí)例：基于windowsXP配置VPN服務(wù)器與客戶端97§5.1VPN概述VPN分類按應(yīng)用范圍分：內(nèi)部網(wǎng)遠(yuǎn)程訪問Internet合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)ExtranetVPNIntranetVPNAccessVPN§5.1VPN概述VPN分類按應(yīng)用范圍分：內(nèi)部網(wǎng)遠(yuǎn)程訪98§5.1VPN概述AccessVPN又稱為撥號(hào)VPN(即VPDN)，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。用于實(shí)現(xiàn)移動(dòng)用戶或遠(yuǎn)程辦公室安全訪問企業(yè)網(wǎng)絡(luò).是個(gè)人計(jì)算機(jī)與企業(yè)站點(diǎn)之間的虛擬專用網(wǎng)絡(luò)典型的遠(yuǎn)程訪問VPN是用戶通過本地的信息服務(wù)提供商(ISP)登錄到因特網(wǎng)上，并在現(xiàn)在的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道。VPN分類：按應(yīng)用§5.1VPN概述AccessVPNVPN分類：按應(yīng)99VPN隧道對(duì)于外出旅行的員工而言，無論他們位于何處，都可訪問電子郵件、文件和內(nèi)部系統(tǒng)，無需使用昂貴的長途電話連接撥號(hào)服務(wù)器在家工作的員工可以像在企業(yè)的辦公室中工作的員工一樣訪問網(wǎng)絡(luò)服務(wù)，而無需使用昂貴的租用線路。企業(yè)內(nèi)部網(wǎng)VPN隧道對(duì)于外出旅行的員工而言，無論他們位于何處，都可訪問100VPN服務(wù)器可以是機(jī)構(gòu)的防火墻或單獨(dú)的VPN服務(wù)器用戶通過本地ISP撥號(hào)、DSL線路或調(diào)制解調(diào)器連接到Internet，并通過Internet與公司企業(yè)站點(diǎn)建立一個(gè)VPN。TCP/IP協(xié)議棧

用戶計(jì)算機(jī)

VPN服務(wù)器

內(nèi)部網(wǎng)絡(luò)

VPN軟件

其他Internet通信數(shù)據(jù)

內(nèi)部網(wǎng)絡(luò)

InternetVPN通道VPN服務(wù)器可以是機(jī)構(gòu)的防火墻或單獨(dú)的VPN服務(wù)器TCP/I101§5.1VPN概述AccessVPN公司企業(yè)的站點(diǎn)需要用戶認(rèn)證AccessVPN可以讓機(jī)構(gòu)限制遠(yuǎn)程用戶能夠訪問的系統(tǒng)或文件VPN分類：按應(yīng)用§5.1VPN概述AccessVPNVPN分類：按應(yīng)102§5.1VPN概述IntranetVPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)這種類型的連接帶來的風(fēng)險(xiǎn)最小，因?yàn)楣就ǔＵJ(rèn)為他們的分支機(jī)構(gòu)是可信的，并將它作為公司網(wǎng)絡(luò)的擴(kuò)展。內(nèi)部網(wǎng)VPN的安全性取決于兩個(gè)VPN服務(wù)器之間加密和驗(yàn)證手段上。VPN分類：按應(yīng)用§5.1VPN概述IntranetVPNVPN分類：103§5.1VPN概述IntranetVPNVPN分類：按應(yīng)用企業(yè)內(nèi)部網(wǎng)絡(luò)VPN通道遠(yuǎn)程局域網(wǎng)§5.1VPN概述IntranetVPNVPN分類：104§5.1VPN概述ExtranetVPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。它能保證包括TCP和UDP服務(wù)在內(nèi)的各種應(yīng)用服務(wù)的安全，如Email、HTTP、FTP、RealAudio、數(shù)據(jù)庫的安全以及一些應(yīng)用程序如Java、ActiveX的安全。VPN分類：按應(yīng)用§5.1VPN概述ExtranetVPNVPN分類：105§5.1VPN概述ExtranetVPNVPN分類：按應(yīng)用外部網(wǎng)服務(wù)器VPN通道§5.1VPN概述ExtranetVPNVPN分類：106§5.1VPN概述ExtranetVPN與IntranetVPNVPN分類：按應(yīng)用跨Internet的站點(diǎn)到站點(diǎn)的VPN

VPN機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)遠(yuǎn)程站點(diǎn)內(nèi)部網(wǎng)絡(luò)Internet主要站點(diǎn)防火墻遠(yuǎn)程站點(diǎn)防火墻§5.1VPN概述ExtranetVPN與Intra107§5.1VPN概述ExtranetVPN與IntranetVPN啟動(dòng)連接時(shí)，一個(gè)站點(diǎn)會(huì)試圖向另一個(gè)站點(diǎn)發(fā)送通信數(shù)據(jù)，在兩個(gè)VPN端啟動(dòng)VPN兩個(gè)端點(diǎn)協(xié)商連接參數(shù)VPN兩端進(jìn)行認(rèn)證可以作為租用線路的備份VPN分類：按應(yīng)用優(yōu)點(diǎn)：節(jié)約成本；性價(jià)比較高；可以嚴(yán)格限制對(duì)內(nèi)部網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的訪問§5.1VPN概述ExtranetVPN與Intra108§5.2安全VPN的關(guān)鍵技術(shù)VPN主要采用以下四項(xiàng)技術(shù)來保證安全：

隧道技術(shù)加解密技術(shù)密鑰管理技術(shù)使用者與設(shè)備身份認(rèn)證技術(shù)VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)VPN主要采用以下四項(xiàng)技術(shù)109§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：

隧道是在公用IP網(wǎng)中建立邏輯點(diǎn)到點(diǎn)連接的一種方法，是一個(gè)疊加在IP網(wǎng)上的傳送通道VPN中的隧道是由隧道協(xié)議形成的實(shí)質(zhì)上是一種封裝，將一種協(xié)議（協(xié)議X）封裝在另一種協(xié)議（協(xié)議Y）中傳輸，從而實(shí)現(xiàn)協(xié)議X對(duì)公用傳輸網(wǎng)絡(luò)(采用協(xié)議Y)的透明性VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：VPN安110§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：

VPN使用的隧道協(xié)議主要有:第二層隧道協(xié)議:PPTP、L2F、L2TP第三層隧道協(xié)議：GRE、IPSECVPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：VPN安111§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：

無論何種隧道協(xié)議，其數(shù)據(jù)包格式都是由乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議3部分組成的。下面我們以L2TP為例，如下圖所示，看一下隧道協(xié)議的組成。VPN安全技術(shù)用戶要傳輸?shù)臄?shù)據(jù)，也就是被封裝的數(shù)據(jù)，包括IP、PPP、SLIP等；用于建立、保持和拆卸隧道。包括L2F、PPTP、L2TP、GRE等。乘客協(xié)議被封裝之后應(yīng)用傳輸協(xié)議§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：VPN安112§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：

第二層隧道協(xié)議用于傳輸?shù)诙泳W(wǎng)絡(luò)協(xié)議，主要應(yīng)用于構(gòu)建AccessVPN。第二層隧道協(xié)議主要有三種：由CiscoNortel等公司支持的L2F協(xié)議，Cisco路由器中支持此協(xié)議；Microsoft、Ascend、3COM等公司支持的PPTP協(xié)議，WindowsNT4.0以上版本中支持此協(xié)議；成為二層隧道協(xié)議工業(yè)標(biāo)準(zhǔn)的是由IETF起草并由Microsoft、Ascend、Cisco、3COM等公司參與制定的L2TP協(xié)議，它結(jié)合了上述兩個(gè)協(xié)議的優(yōu)點(diǎn)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：VPN113§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：LTF(LayerTwoForwardingProtocol)

L2F(二層轉(zhuǎn)發(fā)協(xié)議)是由Cisco公司提出的隧道技術(shù),可以支持多種傳輸協(xié)議，如IP、ATM、幀中繼1)遠(yuǎn)端用戶通過任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)，例如，按常規(guī)方式撥號(hào)到ISP的NAS，建立PPP連接；2)NAS根據(jù)用戶名等信息，發(fā)起第二重連接，通向企業(yè)的本地L2F網(wǎng)關(guān)服務(wù)器，3)這個(gè)L2F服務(wù)器把數(shù)據(jù)包解包之后發(fā)送到企業(yè)內(nèi)部網(wǎng)上在L2F中，隧道的配置和建立對(duì)用戶是完全透明的，L2F沒有確定的客戶方。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：LTF(L114§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP(PointtoPointTunnelingProtocol)

點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）是由PPTP論壇開發(fā)的點(diǎn)到點(diǎn)的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全VPN業(yè)務(wù)。該協(xié)議將PPP數(shù)據(jù)包封裝在IP數(shù)據(jù)包內(nèi)通過IP網(wǎng)絡(luò)（如Internet或Intranet）進(jìn)行傳送。PPTP是PPP協(xié)議的一種擴(kuò)展，提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式，遠(yuǎn)端用戶能夠通過任何支持PPTP的ISP訪問企業(yè)的專用網(wǎng)絡(luò)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP(115§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP

PPTP協(xié)議提供了PPTP客戶端和PPTP服務(wù)器之間的加密通信。PPTP客戶端和服務(wù)器進(jìn)行VPN通信的前提是二者之間有連通且可用的IP網(wǎng)絡(luò)，也就是說PPTP客戶端必須能夠通過IP網(wǎng)絡(luò)訪問PPTP服務(wù)器。windows中集成了PPTPServer和Client，適合中小企業(yè)支持少量移動(dòng)工作者如果有防火墻的存在或使用了地址轉(zhuǎn)換，PPTP可能無法工作VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTPV116§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP

PPTP通信時(shí)，客戶機(jī)和服務(wù)器間有2個(gè)通道，一個(gè)通道是PPTP服務(wù)器的tcp1723端口的控制連接：通過控制報(bào)文負(fù)責(zé)PPTP隧道的建立、維護(hù)和斷開；在創(chuàng)建基于PPTP的VPN連接過程中，使用的認(rèn)證機(jī)制主要有EAP、MS-CHAP、CHAP、SPAP和PAP。通過PPP協(xié)議的MPPE（MicrosoftPointtoPointEncryption，微軟點(diǎn)對(duì)點(diǎn)加密技術(shù)）進(jìn)行加密，另一個(gè)通道是傳輸GREPPP數(shù)據(jù)包的IP隧道通過數(shù)據(jù)報(bào)文負(fù)責(zé)傳輸用戶的真正數(shù)據(jù)。VPN安全技術(shù)數(shù)據(jù)鏈路層報(bào)頭IP報(bào)頭GRE報(bào)頭PPP報(bào)頭數(shù)據(jù)鏈路層報(bào)尾加密PPP有效載荷用戶的數(shù)據(jù)可以是多種協(xié)議，比如IP數(shù)據(jù)包、IPX數(shù)據(jù)包或者NetBEUI數(shù)據(jù)包?！?.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP117§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP

與L2F相比，PPTP把建立隧道的主動(dòng)權(quán)交給了用戶，但用戶需要在其PC機(jī)上配置PPTP，這樣不僅增加了用戶的工作量，而且造成網(wǎng)絡(luò)的安全隱患PPTP只支持IP作為其傳輸協(xié)議。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTPV118§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP（LayerTwoTunnelingProtocol

L2TP(二層隧道協(xié)議）結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或訪問服務(wù)器端發(fā)起VPN連接二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)，并得到眾廠商的支持支持IP、X.25、幀中繼或ATM等作為傳輸協(xié)議，但目前僅定義了基于IP網(wǎng)絡(luò)的L2TP。可用于Internet和其他企業(yè)專用Intranet中。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP（119§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP連接過程

VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP連120§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP

L2TP通信時(shí)，客戶機(jī)和服務(wù)器間也有2個(gè)通道，一個(gè)通道是L2TP服務(wù)器的udp端口的控制連接：通過控制報(bào)文負(fù)責(zé)隧道的建立、維護(hù)和斷開；在創(chuàng)建基于L2TP的VPN連接過程中，使用的認(rèn)證機(jī)制主要有EAP、MS-CHAP、CHAP、SPAP和PAP。通過IPSecESP進(jìn)行加密，另一個(gè)通道是傳輸多層封裝數(shù)據(jù)包的IP隧道通過數(shù)據(jù)報(bào)文負(fù)責(zé)傳輸用戶的真正數(shù)據(jù)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP121§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：

第三層隧道協(xié)議用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議，主要包括：由Cisco和NetSmiths公司支持的的GRE由IETF制定的新一代Internet安全標(biāo)準(zhǔn)IPSec協(xié)議VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：VPN122§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（GenericRoutingEncapsulation）

GRE是通用的路由封裝協(xié)議，支持全部的路由協(xié)議用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包，包括IP、IPX、NetBEUI、AppleTalk、BanyanVINES、DECnet等。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。GRE是一種通用的封裝形式。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（G123§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（GenericRoutingEncapsulation）

通過GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接非IP網(wǎng)絡(luò)，使所有協(xié)議的私有網(wǎng)絡(luò)連接起來。通過GRE，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互聯(lián)，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GRE只提供封裝，不提供加密，對(duì)路由器的性能影響較小，設(shè)備檔次要求相對(duì)較低。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（G124§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（GenericRoutingEncapsulation）

GREVPN適合一些小型點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)互聯(lián)、實(shí)時(shí)性要求不高、要求提供地址空間重疊支持的網(wǎng)絡(luò)環(huán)境。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（G125§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

IPSec由IETF設(shè)計(jì)的作為基于IP通信環(huán)境（IPV4和IPV6環(huán)境）下一種端到端的保證數(shù)據(jù)安全的機(jī)制IPSec協(xié)議已經(jīng)成為工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議。IPSec協(xié)議提供的安全服務(wù)包括：訪問控制、無連接完整性、數(shù)據(jù)源鑒別、重傳攻擊保護(hù)、機(jī)密性、有限的流量保密等。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec126§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

提供了大量的安全特性：提供認(rèn)證，加密，數(shù)據(jù)完整性和抗重放保護(hù)；加密密鑰的安全產(chǎn)生和自動(dòng)更新；使用強(qiáng)加密算法來保證安全性；支持基于證書的認(rèn)證；支持下一代加密算法和密鑰交換協(xié)議；為L2TP和PPTP遠(yuǎn)程接入隧道協(xié)議提供安全性VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec127§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

直接傳輸網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包IPSec不是一個(gè)單獨(dú)的協(xié)議，而是一組協(xié)議，包含兩個(gè)安全協(xié)議和一個(gè)密鑰管理協(xié)議VPN安全技術(shù)IPSec數(shù)據(jù)包的格式

身份認(rèn)證報(bào)頭——AH協(xié)議：提供數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、重放攻擊保護(hù)功能負(fù)載安全封裝——ESP協(xié)議：提供數(shù)據(jù)保密、數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性、重放攻擊保護(hù)功能因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議——IKE：提供自動(dòng)建立安全關(guān)聯(lián)和管理密鑰的功能；從而提供雙方交流時(shí)的共享安全信息§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec128§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

AH（認(rèn)證報(bào)頭協(xié)議）為IP數(shù)據(jù)包提供如下3種服務(wù)：無連接的數(shù)據(jù)完整性驗(yàn)證：通過哈希函數(shù)（如MD5）產(chǎn)生的校驗(yàn)來保證數(shù)據(jù)源身份認(rèn)證：數(shù)據(jù)源身份認(rèn)證通過在計(jì)算驗(yàn)證碼時(shí)加入一個(gè)共享密鑰來實(shí)現(xiàn)；防重放攻擊：AH報(bào)頭中的序列號(hào)VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec129§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

ESP（封裝安全有效載荷協(xié)議）除了AH已有的3種服務(wù)外，還提供：數(shù)據(jù)包加密：對(duì)一個(gè)IP包進(jìn)行加密，可以是對(duì)整個(gè)IP包，也可以只加密IP包的載荷部分，一般用于客戶端計(jì)算機(jī)；數(shù)據(jù)流加密:一般用于支持IPSec的路由器，源端路由器并不關(guān)心IP包的內(nèi)容，對(duì)整個(gè)IP包進(jìn)行加密后傳輸，目的端路由器將該包解密后將原始包繼續(xù)轉(zhuǎn)發(fā)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec130§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

AH和ESP可以單獨(dú)使用，也可以嵌套使用。通過這些組合方式，可以在兩臺(tái)主機(jī)、兩臺(tái)安全網(wǎng)關(guān)（防火墻和路由器），或者主機(jī)與安全網(wǎng)關(guān)之間使用。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec131§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

IKE(因特網(wǎng)密鑰交換協(xié)議)：協(xié)商AH和ESP協(xié)議所使用的加密算法。IKE協(xié)議負(fù)責(zé)密鑰管理，定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時(shí)使用。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec132§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

SA(安全聯(lián)盟)：兩臺(tái)IPSec計(jì)算機(jī)在交換數(shù)據(jù)之前，必須首先建立某種約定，這種約定，稱為“安全聯(lián)盟”或“安全關(guān)聯(lián)”。指雙方需要就如何保護(hù)信息、交換信息等公用的安全設(shè)置達(dá)成一致，更重要的是，必須有一種方法，使那兩臺(tái)計(jì)算機(jī)安全地交換一套密鑰，以便在它們的連接中使用。一個(gè)安全聯(lián)盟描述了兩個(gè)或者多個(gè)實(shí)體如何使用安全服務(wù)來實(shí)現(xiàn)安全通信。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec133§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

SA(安全聯(lián)盟)：AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和維護(hù)。只要實(shí)現(xiàn)AH和ESP都必須提供對(duì)SA的支持。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec134§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

VPN安全技術(shù)解釋域（DOI）為使用IKE進(jìn)行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。共享一個(gè)DOI的協(xié)議從一個(gè)共同的命名空間中選擇安全協(xié)議和變換、共享密碼以及交換協(xié)議的標(biāo)識(shí)符等§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec135§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec工作模式

傳輸模式只對(duì)IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。即為上層協(xié)議提供安全保護(hù)，保護(hù)的是IP包的有效載荷(如TCP,UDP和ICMP)。通常情況下傳輸模式只用于兩臺(tái)主機(jī)之間的安全通信。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec136§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec工作模式

隧道模式對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。隧道模式首先為原始IP包增加AH或ESP字段，然后再在外部增加一個(gè)新的IP頭。所有原始的或內(nèi)部包通過這個(gè)隧道從IP網(wǎng)的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報(bào)頭，不檢查內(nèi)部原來的IP報(bào)頭。隧道模式通常用在有至少一端是安全網(wǎng)關(guān)的時(shí)候，如防火墻和路由器。使用隧道模式后，防火墻后面的主機(jī)可以使用內(nèi)部地址進(jìn)行通信，而且不需要實(shí)現(xiàn)IPSec。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec137§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec體系結(jié)構(gòu)模型圖

VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec138§5.2安全VPN的關(guān)鍵技術(shù)第四層隧道協(xié)議：IPSec工作模式

隧道模式對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。隧道模式首先為原始IP包增加AH或ESP字段，然后再在外部增加一個(gè)新的IP頭。所有原始的或內(nèi)部包通過這個(gè)隧道從IP網(wǎng)的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報(bào)頭，不檢查