VPN概念及發(fā)展歷程課件

網(wǎng)絡(luò)安全協(xié)議VPN(VirtualPrivateNetwork)薛開平（XueKaiping）信息網(wǎng)絡(luò)實(shí)驗(yàn)室Lab.ofInformationandNetworkskpxue@Oct.14,2007信息安全專業(yè)網(wǎng)絡(luò)安全協(xié)議VPN(VirtualPrivateNetwork)§VPN的概念及發(fā)展歷程§VPN主要組網(wǎng)技術(shù)信息安全專業(yè)2網(wǎng)絡(luò)安全協(xié)議VPN定義§虛擬專用網(wǎng)絡(luò)可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。虛擬專用網(wǎng)絡(luò)能夠利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障?！煸谔摂M專網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的?！焓峭ㄟ^(guò)隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上虛擬出一條點(diǎn)到點(diǎn)的專線技術(shù)。信息安全專業(yè)3網(wǎng)絡(luò)安全協(xié)議VPN定義§虛擬“virtual”指沒(méi)有物理的連接存在于2個(gè)網(wǎng)絡(luò)間；事實(shí)上，連接是通過(guò)Internet的路由完成的；§專用“private”指?jìng)鬏數(shù)臄?shù)據(jù)是保密的

(通過(guò)加密和安全隧道)；§網(wǎng)絡(luò)“network”指利用各種網(wǎng)絡(luò)（私有、公用、有線無(wú)線等等）構(gòu)成的通信手段；信息安全專業(yè)4網(wǎng)絡(luò)安全協(xié)議TunnelingthroughtheInternet信息安全專業(yè)5網(wǎng)絡(luò)安全協(xié)議為什么要VPN§資源訪問(wèn)限制于某些IP地址§通過(guò)防火墻不能訪問(wèn)資源§內(nèi)部人員需要在外面訪問(wèn)內(nèi)部網(wǎng)絡(luò)§雇員可能在外地，需要訪問(wèn)內(nèi)部網(wǎng)絡(luò)§專有網(wǎng)太貴§外地的雇員也可能不是定點(diǎn)的信息安全專業(yè)6網(wǎng)絡(luò)安全協(xié)議VPN的發(fā)展§業(yè)務(wù)需求的變化導(dǎo)致了此業(yè)務(wù)的產(chǎn)生和發(fā)展§1970年P(guān)NL1->1990年FR（幀中繼）的出現(xiàn)是VPN的首次出現(xiàn)(L2)->IPVPN的提出§外包模式促進(jìn)了CPE-basedVPN->NetworkbasedVPN的轉(zhuǎn)化信息安全專業(yè)7網(wǎng)絡(luò)安全協(xié)議對(duì)VPN的需求§安全保障4VPN應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性，這是目前公共Internet所無(wú)法提供的功能§服務(wù)質(zhì)量（QoS）保證4對(duì)不同的用戶提供不同的服務(wù)質(zhì)量，如帶寬、延時(shí)等保證，這取決于廣域網(wǎng)上是否提供QoS保證§可擴(kuò)充性和靈活性4便于增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒體§可管理性4易于維護(hù)和管理信息安全專業(yè)8網(wǎng)絡(luò)安全協(xié)議建立VPN所需的安全技術(shù)§VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全，這四項(xiàng)技術(shù)分別為4隧道技術(shù)（Tunneling）4加解密技術(shù)（Encryption&Decryption）4密鑰管理技術(shù)（KeyManagement）4認(rèn)證技術(shù)（Authentication）信息安全專業(yè)9網(wǎng)絡(luò)安全協(xié)議VPN類型§按技術(shù)分類層2發(fā)送協(xié)議(L2F)4基于第二層隧道技術(shù)的VPN

層2隧道協(xié)議(L2TP)點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)4IPSecVPN4MPLSVPN4SSLVPN§按應(yīng)用分類4遠(yuǎn)程訪問(wèn)型4LAN間互連信息安全專業(yè)10網(wǎng)絡(luò)安全協(xié)議VPN的本質(zhì)：隧道

Tunneling信息安全專業(yè)11網(wǎng)絡(luò)安全協(xié)議VPN§TwomainkindsApplications4Lan-to-LanVPN（LAN間VPN）4Firewall-To-LaptopVPN（遠(yuǎn)程訪問(wèn)型VPN）信息安全專業(yè)12網(wǎng)絡(luò)安全協(xié)議LAN間VPN信息安全專業(yè)13網(wǎng)絡(luò)安全協(xié)議遠(yuǎn)程訪問(wèn)型VPN信息安全專業(yè)14網(wǎng)絡(luò)安全協(xié)議遠(yuǎn)程訪問(wèn)型VPN的優(yōu)點(diǎn)§降低費(fèi)用§外購(gòu)撥號(hào)網(wǎng)絡(luò)§增強(qiáng)的安全性§網(wǎng)絡(luò)協(xié)議支持§IP地址安全信息安全專業(yè)15網(wǎng)絡(luò)安全協(xié)議隧道技術(shù)§

隧道技術(shù)就是利用隧道協(xié)議對(duì)隧道兩端的數(shù)據(jù)進(jìn)行封裝的技術(shù)，隧道協(xié)議通常分別是第2層或第3層隧道協(xié)議§

第2層隧道協(xié)議4第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。4第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2F（Layer2Forwarding）/PPTP（Point-to-PointTunnelingProtocol

）/L2TP（Layer2TunnelingProtocol）

都是遠(yuǎn)程訪問(wèn)VPN的協(xié)議，L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，

是在L2F和PPTP基礎(chǔ)上進(jìn)行綜合，其格式是基于L2F，信令是基于PPTP?！?/p>

第3層隧道協(xié)議4IPSEC：本身不是隧道協(xié)議，但由于其提供的認(rèn)證、加密功能適用于建立VPN環(huán)境，它既能提供LAN間VPN，也能提供遠(yuǎn)程訪問(wèn)型VPN信息安全專業(yè)16網(wǎng)絡(luò)安全協(xié)議數(shù)據(jù)傳輸過(guò)程信息安全專業(yè)17網(wǎng)絡(luò)安全協(xié)議不同隧道實(shí)現(xiàn)技術(shù)比較協(xié)議RFCLAN間連接型遠(yuǎn)程訪問(wèn)型封裝化協(xié)議號(hào)碼L2/L3加密與否名稱編號(hào)VPNVPNL2FPPTPL2TPATMP2341L2FGREL2TPGREUDP(17)GRE(47)UDP(17)GRE(47)第2層第2層第2層第3層否否否否－○○○○○草案草案2107○―BayDVSGRE無(wú)GREGREGRE(47)GRE(47)第3層第3層否否－○1701○－IPsecESPIPsecAH24062402ESPAHESP(50)AH(51)第3層第3層是否○○○○信息安全專業(yè)18網(wǎng)絡(luò)安全協(xié)議第2層隧道協(xié)議§

L2F（Layer2Forwarding）：1998年標(biāo)準(zhǔn)化的遠(yuǎn)程訪問(wèn)VPN的協(xié)議。它是基于ISP的由若干遠(yuǎn)程接入服務(wù)器（remoteaccessserver）提供VPN功能的協(xié)議。§

PPTP（PointtoPointTunnelingProtocol）也是為實(shí)現(xiàn)基于ISP的遠(yuǎn)程訪問(wèn)VPN而制訂的協(xié)議。在分組和封裝化頭標(biāo)中采用了擴(kuò)展GRE（GenericRoutingEncapsulation：通用尋路封裝）。在Windows微機(jī)中將GRE作為標(biāo)準(zhǔn)功能提供，是當(dāng)前最易于使用的VPN協(xié)議?！?/p>

L2TP（Layer2TunnelingProtocol）是遠(yuǎn)程訪問(wèn)型VPN今后的標(biāo)準(zhǔn)協(xié)議。它將PPTP和L2F綜合，以便擴(kuò)展功能。其格式基于L2F，信令（signaling）基于PPTP。信息安全專業(yè)19網(wǎng)絡(luò)安全協(xié)議L2F§Cisco在1998年5月發(fā)表標(biāo)題為“Cisco的2層發(fā)送(協(xié)議)L2F”的RFC2341?！霯2F主要強(qiáng)調(diào)的是將物理層協(xié)議移到鏈路層，并允許通過(guò)Internet光纜的鏈路層和較高層協(xié)議的傳輸。物理層協(xié)議仍然保持在對(duì)該ISP的撥號(hào)連接中?！霯2F還解決IP寫地址和記帳的問(wèn)題；§初始連接：使用標(biāo)準(zhǔn)PPP?！祢?yàn)證：使用標(biāo)準(zhǔn)CHAP或者做某些修改?！旆庋b：在L2F數(shù)據(jù)報(bào)中封裝整個(gè)PPP或SLIP包所需要的協(xié)議。信息安全專業(yè)20網(wǎng)絡(luò)安全協(xié)議點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)§PPTP協(xié)議基礎(chǔ)：4點(diǎn)到點(diǎn)協(xié)議(PPP,Point-to-PointProtocol),RFC1171；4口令驗(yàn)證協(xié)議(PAP,PasswordAuthenticationProtocol)，RFC1172；4通用路由選擇封裝協(xié)議(GRE,GenericRoutingEncapsulation)，RFC1701；4PPP挑戰(zhàn)握手驗(yàn)證協(xié)議(CHAP,ChallengeHandshakeAuthenticationProtocol)，RFC1994；§PPTP體系結(jié)構(gòu)使用三個(gè)過(guò)程：4PPP連接和通信。4PPTP控制連接，它建立到Internet的PPTP服務(wù)器上的連接，并建立一個(gè)虛擬隧道。4PPTP數(shù)據(jù)隧道，在隧道中PPTP協(xié)議建立包含加密的PPP包的IP數(shù)據(jù)報(bào)，這些數(shù)據(jù)報(bào)通過(guò)PPTP隧道進(jìn)行發(fā)送。信息安全專業(yè)21網(wǎng)絡(luò)安全協(xié)議L2TP§盡管技術(shù)上是相同的，但廠商和用戶都會(huì)察覺(jué)PPTP和L2F有明顯的不同。PPTP受到Microsoft的關(guān)愛(ài)，它擁有世界上絕大多數(shù)的桌面電腦，而L2F受到Cisco的關(guān)注，它主要用于Internet?！毂M管PPTP和L2F都使用封裝和加密，但它們互相不兼容?！霫ETF建議將PPTP和L2F的最優(yōu)秀的部分組成一個(gè)工業(yè)標(biāo)準(zhǔn)，并稱為第2層隧道協(xié)議(L2TP)。信息安全專業(yè)22網(wǎng)絡(luò)安全協(xié)議L2TP§

L2TP是連接型的隧道封裝協(xié)議，適用于通過(guò)Internet接納遠(yuǎn)程用戶的遠(yuǎn)程訪問(wèn)型VPN?！?/p>

特點(diǎn)：4接納移動(dòng)用戶（指拔號(hào)上網(wǎng)），每次連接都進(jìn)行用戶認(rèn)證4支持多協(xié)議（因?yàn)長(zhǎng)2TP協(xié)議封裝在PPP之外，PPP具有支持多種網(wǎng)絡(luò)協(xié)議的功能）§

組成：4LAC：L2TP接入集中器（L2TPAccessConcentrator），是接在公網(wǎng)上的用戶拔號(hào)設(shè)備，通常配置在ISP接入點(diǎn)的接入服務(wù)器具有LAC功能4LNS：L2TP網(wǎng)絡(luò)服務(wù)器（L2TPNetworkServer），管理隧道，通常安裝在企業(yè)網(wǎng)內(nèi)信息安全專業(yè)23網(wǎng)絡(luò)安全協(xié)議L2TP信息安全專業(yè)24網(wǎng)絡(luò)安全協(xié)議基于服務(wù)器的認(rèn)證方式-RADIUS§

RADIUS（RemoteAuthenticationDialInUserService）由朗訊開發(fā)，1997年1月公布在RFC2058，用于AAA（Authentication、AuthorizationandAccounting）認(rèn)證，基于客戶/服務(wù)器方式信息安全專業(yè)25網(wǎng)絡(luò)安全協(xié)議IPSecVPN§IPSec不是一個(gè)單獨(dú)的協(xié)議，而是一套協(xié)議包，包括三個(gè)基本協(xié)議4AH協(xié)議提供信息源驗(yàn)證和完整性保證；4ESP協(xié)議提供信息源驗(yàn)證、機(jī)密性和完整性保證；4密鑰管理協(xié)議（

ISAKMP）提供雙方交流時(shí)的共享安全信息。信息安全專業(yè)26網(wǎng)絡(luò)安全協(xié)議IPSecVPN§提供安全的網(wǎng)絡(luò)傳輸服務(wù)§主要適用于LAN間VPN（隧道模式）§IKE支持動(dòng)態(tài)密鑰交換，采用預(yù)共享密鑰或公鑰機(jī)制認(rèn)證身份，協(xié)商加密、認(rèn)證密鑰§具有數(shù)據(jù)傳輸?shù)耐暾哉J(rèn)證、加密功能§實(shí)現(xiàn)方式4VPN專用設(shè)備4將IPSec嵌入到防火墻軟件4將IPSec嵌入到路由器軟件4動(dòng)態(tài)IP地址的IPSecVPN（利用動(dòng)態(tài)域名服務(wù)器）信息安全專業(yè)27網(wǎng)絡(luò)安全協(xié)議IPSecVPN信息安全專業(yè)28網(wǎng)絡(luò)安全協(xié)議MPLSVPN§什么是MPLS？§MPLS基本原理§MPLSVPN信息安全專業(yè)29網(wǎng)絡(luò)安全協(xié)議什么是MPLS？§

MPLS（MultiProtocolLabelSwitching）：多協(xié)議標(biāo)記（標(biāo)簽）交換§

起源于Cisco的TagSwitching（1996），后由IETF標(biāo)準(zhǔn)化，并改為多協(xié)議標(biāo)記交換。是一種支持多種網(wǎng)絡(luò)層協(xié)議的快速轉(zhuǎn)發(fā)技術(shù)，它就象一個(gè)墊片（shim)，處于OSI的第2、3層之間?！?/p>

MPLS吸收了ATM網(wǎng)絡(luò)的VPI/VCI交換思想，集成了IP路由技術(shù)的靈活性和2層交換的簡(jiǎn)捷性，為IP網(wǎng)絡(luò)提供了面向連接的交換。信息安全專業(yè)30網(wǎng)絡(luò)安全協(xié)議WHYMPLS?§LeverageexistingATMhardware§Ultrafastforwarding§IPTrafficEngineering4Constraint-basedRouting§VirtualPrivateNetworks4Controllabletunnelingmechanism§Voice/VideoonIP4Delayvariation+QoSconstraints信息安全專業(yè)31網(wǎng)絡(luò)安全協(xié)議MPLS基本原理§

ROUTEATEDGE,SWITCHINCOREIPIP

#L1IP

#L2IP

#L3IPIPForwardingIPForwardingLABELSWITCHING信息安全專業(yè)32網(wǎng)絡(luò)安全協(xié)議MPLSTerminology§LDP:LabelDistributionProtocol

標(biāo)記分發(fā)協(xié)議§LSP:LabelSwitchedPath標(biāo)記交換路徑§FEC:ForwardingEquivalenceClass轉(zhuǎn)發(fā)等價(jià)類§LSR:LabelSwitchingRouter標(biāo)記交換路由器§LER:

LabelEdgeRouter

標(biāo)記邊緣路由器信息安全專業(yè)33網(wǎng)絡(luò)安全協(xié)議與傳統(tǒng)路由的區(qū)別信息安全專業(yè)34網(wǎng)絡(luò)安全協(xié)議MPLS頭標(biāo)格式及位置信息安全專業(yè)35網(wǎng)絡(luò)安全協(xié)議工作原理信息安全專業(yè)36網(wǎng)絡(luò)安全協(xié)議工作原理信息安全專業(yè)37網(wǎng)絡(luò)安全協(xié)議轉(zhuǎn)發(fā)等價(jià)類ForwardingEquivalenceClasses§轉(zhuǎn)發(fā)等價(jià)類（FEC）：所有在MPLS網(wǎng)絡(luò)中需要做相同轉(zhuǎn)發(fā)處理、相同路由處理的分組。標(biāo)記分發(fā)協(xié)議標(biāo)記交換路由器標(biāo)記邊緣路由器標(biāo)記邊緣路由器信息安全專業(yè)38網(wǎng)絡(luò)安全協(xié)議轉(zhuǎn)發(fā)等價(jià)類（續(xù)）ForwardingEquivalenceClassesLERLERLSRLSRLSPIP1IP2IP1IP2IP1

#L1IP2

#L1IP1

#L2IP2

#L2IP1

#L3IP2

#L3Packets

are

destined

for

different

address

prefixes,

but

can

bemapped

to

common

path?FEC=“Asubsetofpacketsthatarealltreatedthesamewaybyarouter”?TheconceptofFECsprovidesforagreatdealofflexibilityandscalability?Inconventionalrouting,apacketisassignedtoaFECateachhop(i.e.L3look-up),inMPLSitisonlydoneonceatthenetworkingress信息安全專業(yè)39網(wǎng)絡(luò)安全協(xié)議LabelDistribution-MethodsLabel

Distribution

can

take

place

using

one

of

two

possible

methodsDownstream

Label

Distribution

Downstream-on-Demand

Label

DistributionLSR1LSR2LSR1LSR2Label-FEC

BindingRequest

for

Binding?

LSR2andLSR1aresaidtohavean“LDPadjacency”(LSR2beingthedownstreamLSR)Label-FEC

Binding?

LSR1recognizesLSR2asitsnext-hopforanFEC?

LSR2discoversa‘nexthop’foraparticularFEC?

ArequestismadetoLSR2forabindingbetweentheFECandalabel?

LSR2generatesalabelfortheFECandcommunicatesthebindingtoLSR1?

IfLSR2recognizestheFECandhasanexthopforit,itcreatesabindingandrepliestoLSR1?

LSR1insertsthebindingintoitsforwardingtables?

IfLSR2isthenexthopfortheFEC,LSR1canusethatlabelknowingthatitsmeaningisunde