VPN概念及发展历程课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,网络安全协议,信息安全专业,*,VPN(Virtual Private Network),VPN的概念及发展历程,VPN主要组网技术,VPN定义,虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。,在虚拟专网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。,是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。,VPN定义,虚拟“virtual”指没有物理的连接存在于2个网络间；事实上，连接是通过Internet的路由完成的；,专用“private”指传输的数据是保密的(通过加密和安全隧道)；,网络“network”指利用各种网络（私有、公用、有线无线等等）构成的通信手段；,Tunneling through the Internet,为什么要VPN,资源访问限制于某些,IP,地址,通过防火墙不能访问资源,内部人员需要在外面访问内部网络,雇员可能在外地，需要访问内部网络,专有网太贵,外地的雇员也可能不是定点的,VPN的发展,业务需求的变化导致了此业务的产生和发展,1970年PN L1-1990年FR（帧中继）的出现是VPN的首次出现(L2)-IP VPN的提出,外包模式促进了CPE-based VPN-Network based VPN的转化,对VPN的需求,安全保障,VPN应保证通过公用网络平台传输数据的专用性和安全性，这是目前公共Internet所无法提供的功能,服务质量（QoS）保证,对不同的用户提供不同的服务质量，如带宽、延时等保证，这取决于广域网上是否提供QoS保证,可扩充性和灵活性,便于增加新的节点，支持多种类型的传输媒体,可管理性,易于维护和管理,建立VPN所需的安全技术,VPN主要采用四项技术来保证安全，这四项技术分别为,隧道技术（Tunneling）,加解密技术（Encryption&Decryption）,密钥管理技术（Key Management）,认证技术（Authentication）,VPN类型,按技术分类,基于第二层隧道技术的VPN,IPSec VPN,MPLS VPN,SSL VPN,按应用分类,远程访问型,LAN间互连,层2发送协议(L2F),层2隧道协议(L2TP),点到点隧道协议(PPTP),VPN的本质：隧道 Tunneling,VPN,Two main kinds Applications,Lan-to-Lan VPN（LAN间VPN）,Firewall-To-Laptop VPN（远程访问型VPN）,LAN间VPN,远程访问型VPN,远程访问型,VPN的优点,降低费用,外购拨号网络,增强的安全性,网络协议支持,IP地址安全,隧道技术,隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术，隧道协议通常分别是第2层或第3层隧道协议,第2层隧道协议,第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。,第二层隧道协议有L2F、PPTP、L2TP等。L2F（Layer 2 Forwarding）/PPTP（Point-to-Point Tunneling Protocol）/L2TP（Layer 2 Tunneling Protocol）都是远程访问VPN的协议，L2TP协议是目前IETF的标准，是在L2F和PPTP基础上进行综合，其格式是基于L2F，信令是基于PPTP。,第3层隧道协议,IPSEC：本身不是隧道协议，但由于其提供的认证、加密功能适用于建立VPN环境，它既能提供LAN间VPN，也能提供远程访问型VPN,数据传输过程,不同隧道实现技术比较,协议,名称,RFC,编号,封装化,协议号码,L2/L3,加密与否,LAN间连接型,VPN,远程访问型,VPN,L2F,2341,L2F,UDP(17),第2层,否,PPTP,草案,GRE,GRE(47),第2层,否,L2TP,草案,L2TP,UDP(17),第2层,否,ATMP,2107,GRE,GRE(47),第3层,否,BayDVS,无,GRE,GRE(47),第3层,否,GRE,1701,GRE,GRE(47),第3层,否,IPsec ESP,2406,ESP,ESP(50),第3层,是,IPsec AH,2402,AH,AH(51),第3层,否,第2层隧道协议,L2F（Layer 2 Forwarding）：1998年标准化的远程访问VPN的协议。它是基于ISP的由若干远程接入服务器（remote access server）提供VPN功能的协议。,PPTP（Point to Point Tunneling Protocol）也是为实现基于ISP的远程访问VPN而制订的协议。在分组和封装化头标中采用了扩展GRE（Generic Routing Encapsulation：通用寻路封装）。在Windows微机中将GRE作为标准功能提供，是当前最易于使用的VPN协议。,L2TP（Layer 2 Tunneling Protocol）是远程访问型VPN今后的标准协议。它将PPTP和L2F综合，以便扩展功能。其格式基于L2F，信令（signaling）基于PPTP。,L2F,Cisco在1998年5月发表标题为“Cisco的2层发送(协议)L2F”的RFC2341。,L2F主要强调的是将物理层协议移到链路层，并允许通过Internet光缆的链路层和较高层协议的传输。物理层协议仍然保持在对该ISP的拨号连接中。,L2F还解决IP写地址和记帐的问题；,初始连接：使用标准PPP。,验证：使用标准CHAP或者做某些修改。,封装：在L2F数据报中封装整个PPP或SLIP包所需要的协议。,点到点隧道协议(PPTP),PPTP协议基础：,点到点协议(,PPP,Point-to-Point Protocol),RFC1171；,口令验证协议,(PAP,Password Authentication Protocol)，RFC1172；,通用路由选择封装协议,(GRE,Generic Routing Encapsulation)，RFC1701；,PPP挑战握手验证协议(,CHAP,Challenge Handshake Authentication Protocol)，RFC1994；,PPTP体系结构使用三个过程：,PPP连接和通信。,PPTP控制连接，它建立到Internet的PPTP服务器上的连接，并建立一个虚拟隧道。,PPTP数据隧道，在隧道中PPTP协议建立包含加密的PPP包的IP数据报，这些数据报通过PPTP隧道进行发送。,L2TP,尽管技术上是相同的，但厂商和用户都会察觉PPTP和L2F有明显的不同。PPTP受到Microsoft的关爱，它拥有世界上绝大多数的桌面电脑，而L2F受到Cisco的关注，它主要用于Internet。,尽管PPTP和L2F都使用封装和加密，但它们互相不兼容。,IETF建议将PPTP和L2F的最优秀的部分组成一个工业标准，并称为第2层隧道协议(L2TP)。,L2TP,L2TP是连接型的隧道封装协议，适用于通过Internet接纳远程用户的远程访问型VPN。,特点：,接纳移动用户（指拔号上网），每次连接都进行用户认证,支持多协议（因为L2TP协议封装在PPP之外，PPP具有支持多种网络协议的功能）,组成：,LAC：L2TP接入集中器（L2TP Access Concentrator），是接在公网上的用户拔号设备，通常配置在ISP接入点的接入服务器具有LAC功能,LNS：L2TP网络服务器（L2TP Network Server），管理隧道，通常安装在企业网内,L2TP,基于服务器的认证方式-RADIUS,RADIUS（Remote Authentication Dial In User Service）由朗讯开发，1997年1月公布在RFC2058，用于AAA（Authentication、Authorization and Accounting）认证，基于客户/服务器方式,IPSec VPN,IPSec 不是一个单独的协议，而是一套协议包，包括三个基本协议,AH 协议提供信息源验证和完整性保证；,ESP 协议提供信息源验证、机密性和完整性保证；,密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。,IPSec VPN,提供安全的网络传输服务,主要适用于LAN间VPN（隧道模式）,IKE支持动态密钥交换，采用预共享密钥或公钥机制认证身份，协商加密、认证密钥,具有数据传输的完整性认证、加密功能,实现方式,VPN专用设备,将IPSec嵌入到防火墙软件,将IPSec嵌入到路由器软件,动态IP地址的IPSec VPN（利用动态域名服务器）,IPSec VPN,MPLS VPN,什么是MPLS？,MPLS基本原理,MPLS VPN,什么是MPLS？,MPLS（Multi Protocol Label Switching）：多协议标记（标签）交换,起源于Cisco的Tag Switching（1996），后由IETF标准化，并改为多协议标记交换。是一种支持多种网络层协议的快速转发技术，它就象一个垫片（shim)，处于OSI的第2、3层之间。,MPLS吸收了ATM网络的VPI/VCI交换思想，集成了IP路由技术的灵活性和2层交换的简捷性，为IP网络提供了面向连接的交换。,WHY MPLS?,Leverage existing ATM hardware,Ultra fast forwarding,IP Traffic Engineering,Constraint-based Routing,Virtual Private Networks,Controllable tunneling mechanism,Voice/Video on IP,Delay variation+QoS constraints,MPLS基本原理,ROUTE AT EDGE,SWITCH IN CORE,IP Forwarding,LABEL SWITCHING,IP Forwarding,IP,IP,#L1,IP,#L2,IP,#L3,IP,MPLS Terminology,LDP:,Label Distribution Protocol,标记分发协议,LSP:,Label Switched Path标记交换路径,FEC:,Forwarding Equivalence Class转发等价类,LSR:,Label Switching Router标记交换路由器,LER:,Label Edge Router 标记边缘路由器,与传统路由的区别,MPLS头标格式及位置,工作原理,工作原理,转发等价类 Forwarding Equivalence Classes,转发等价类（FEC）：所有在MPLS网络中需要做相同转发处理、相同路由处理的分组。,标记边缘路由器,标记交换路由器,标记分发协议,标记边缘路由器,转发等价类（续）Forwarding Equivalence Classes,FEC=“A subset of packets that are all treated the same way by a router”,The concept of,FECs,provides for a great deal of flexibility and scalability,In conventional routing,a packet is assigned to