第11章虚拟专用网技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第十一章 虚拟专用网技术,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机信息安全技术,第十一章 虚拟专用网技术,目录,11.1VPN,的基,本,本概,念,念,11.2VPN,实现,技,技术,11.3VPN,的应,用,用方,案,案,11.1VPN,的基,本,本概,念,念,VPN,VPN,的英,文,文全,称,称是,“,“,VirtualPrivateNetwork”(,虚拟,专,专用,网,网络,),。顾,名,名思,义,义，,可,可以,把,把它,理,理解,成,成是,虚,虚拟,出,出来,的,的企,业,业内,部,部专,线,线。,传统,意,意义,上,上的,VPN,：在,DDN,网或,公,公用,分,分组,交,交换,网,网或,帧,帧中,继,继网,上,上组,建,建,VPN,。,基于,IP,的,VPN,：依,靠,靠,ISP,和其,它,它,NSP,（网,络,络服,务,务提,供,供商,）,）在,公,公用,网,网络,中,中建,立,立专,用,用的,数,数据,通,通信,网,网络,的,的技,术,术。,11.1VPN,的基,本,本概,念,念,VPN,的工,作,作原,理,理,VPN,的定,义,义：,是指,依,依靠,ISP,或其,他,他,NSP,在公,用,用网,络,络基,础,础设,施,施之,上,上构,建,建的,专,专用,的,的数,据,据通,信,信网,络,络，,这,这里,所,所指,的,的公,用,用网,络,络有,多,多种,，,，包,括,括,IP,网络、帧中继网,络,络和,ATM,网络。,IETF,对基于,IP,的,VPN,定义：,使用,IP,机制仿真出一个,私,私有的广域网,。,原理上来说，,VPN,就是利用公用网,络,络（通常是互联,网,网）把远程站点,或,或用户连接到一,起,起的专用网络。,与,与使用实际的专,用,用连接（例如租,用,用线路）不同，,VPN,使用的是通过互,联,联网路由的“虚,拟,拟”连接，把公,司,司的专用网络同,远,远程站点或员工,连,连接到一起。,11.1 VPN,的基本概念,VPN,采用“,隧道,”技术，可以模,仿,仿点对点连接技,术,术，依靠,Internet,服务提供商,(ISP),和其他的网络服,务,务提供商,(NSP),在公用网中建立,自,自己专用的“隧,道,道”，让数据包,通,通过这条隧道传,输,输。对于不同的,信,信息来源，可分,别,别给它们开出不,同,同的隧道。,图,11.1 VPN,工作原理示意图,11.1 VPN,的基本概念,VPN,的分类,按,VPN,的应用方式进行,分,分类,拨号式,VPN,专用式,VPN,按,VPN,的应用平台分类,软件平台,VPN,专用硬件平台,VPN,辅助硬件平台,VPN,11.1 VPN,的基本概念,按,VPN,的协议分类,第二层协议：,PPTP,、,L2F,、,L2TP,第三层协议：,GRE,、,IPSec,第二层协议,-,第三层协议之间,（,（,2.5,层）：,MPLS,第四层隧道协议,：,：,SSL VPN,按,VPN,的服务类型分类,Intranet VPN,（内部网,VPN,）,AccessVPN,（远程访问,VPN,）,ExtranetVPN,（外联网,VPN,）,11.1 VPN,的基本概念,按,VPN,的部署模式分类,端到端,(End-to-End),模式,供应商,企业,(Provider-Enterprise),模式,内部供应商,(Intra-Provider),模式,VPN,的特点,具备完善的安全,保,保障机制,具备用户可接受,的,的服务质量保证,（,（,QoS,）,具备良好的可扩,充,充性与灵活性,具备完善的可管,理,理性,VPN,的功能,数据加密,信息完整性和身,份,份真实性认证,访问控制,地址管理,密钥管理,多协议支持,11.1 VPN,的基本概念,VPN,安全技术,加解密技术,对称加密算法,非对称加密算法,认证技术,验证数据的完整,性,性,用户认证,密钥管理技术,11.2 VPN,实现技术,隧道,VPN,所有现有的实现,都,都依赖于隧道，,隧,隧道技术,(tunneling),主要是利用协议,的,的封装来实现,.,用一种网络协议,来,来传输另外一种,网,网络协议。即本,地,地网关把第二种,协,协议报文包含在,第,第一种协议报文,中,中，然后按照第,一,一种协议来传输,，,，等报文到达对,端,端网关时，由该,网,网关从第一种协,议,议报文中解析出,第,第二种协议报文,，,，这样是一个基,本,本的隧道技术的,实,实现过程。,第二层隧道协议,PPTP,（,Point to PointTunneling Protocol,，点到点隧道协,议,议）、,L2TP,（,Layer 2Tunneling Protocol,，链路层隧道协,议,议）、,L2F,（,Layer 2Forwarding,，链路层转发协,议,议）。,11.2 VPN,实现技术,PPTP,协议,图,11.5 PPTP,工作示意图,11.2 VPN,实现技术,PPTP,由,PPTP Forum,开发，,PPTP Forum,是一个联盟，其,成,成员包括,US Robotics,、,Microsoft,、,3COM,、,Ascend,和,ECI Telematics,。,PPTP,是点到点协议（,PPP,）的扩充，即,PPTP,协议是基于,PPP,之上并且应用了,tunneling,技术的协议。它,用,用“,PPP,质询握手验证协,议,议（,CHAP,）”来实现对用,户,户的认证。,简单的说，,PPTP,是用于将,PPP,分组通过,IP,网络封装传输。,在,PPTP,的体系结构中，,主,主要有三部分组,成,成：,1,）,PPP,连接和通信，按,照,照,PPP,协议和对方建立,链,链路层的连接。,2,）,PPTP,控制连接，建立,到,到,Internet,的,PPTP,服务器上的连接,，,，并建立一个虚,拟,拟隧道。,3,）,PPTP,数据隧道，在隧,道,道中,PPTP,协议建立包含加,密,密的,PPP,包的,IP,数据报，这些数,据,据报通过,PPTP,隧道进行发送。,11.2 VPN,实现技术,L2F,协议,由,CISCO,提出并倡导使用,的,的链路层安全协,议,议，它采用,tunneling,技术，主要面向,远,远程或拨号用户,的,的使用。,L2F,主要强调的是将,物,物理层协议移到,链,链路层，并允许,通,通过,Internet,光缆的链路层和,较,较高层协议的传,输,输。物理层协议,仍,仍然保持在对该,ISP,的拨号连接中。,L2F,还解决,IP,写地址和记帐的,问,问题。,对于,ISP,的初始连接，,L2F,将使用标准,PPP,。对于验证，,L2F,将使用标准,CHAP,或者做某些修改,。,。对于封装，,L2F,指定在,L2F,数据报中封装整,个,个,PPP,或,SLIP,包所需要的协议,。,。同时这些操作,尽,尽可能地对用户,透,透明，以方便应,用,用,L2F,来构建灵活的,VPN,网络。,11.2 VPN,实现技术,L2TP,协议,由,PPTP Forum,各成员、思科公,司,司和,IETF,（互联网工程工,作,作组）联手打造,了,了一个新的协议,L2TP,协议。,不仅提供了以,CHAP,为基础的用户身,份,份认证，支持了,对,对内部地址的分,配,配，而且还提供,了,了灵活有效的记,帐,帐功能，和较为,完,完善的管理功能,。,。,PPTP,与,L2TP,的区别,：,1,）,PPTP,要求互联网为,IP,网络；而,L2TP,能够在,IP,、,X.25,、,ATM,等网络上使用。,2,）,PPTP,只能在两端点间,建,建立单一隧道；,L2TP,可以在两个端点,之,之间建立多个隧,道,道。用户可根据,不,不同的服务质量,创,创建不同的隧道,。,。,3,）,PPTP,不支持隧道验证,；,；,L2TP,提供了此项功能,。,。可通过与,Ipsec,共同使用，由,Ipsec,提供隧道认证。,11.2 VPN,实现技术,在链路层上实现,VPN,，有一定的优点,。,。假定两个主机,或,或路由器之间存,在,在一条专用通信,链,链路，而且为避,免,免有人“窥视”,，,，所有通信都需,加,加密，便可用硬,件,件设备来进行数,据,据加密。这样做,最,最大的好处在于,速,速度。,但该方案不易扩,展,展，而且仅在专,用,用链路上才能很,好,好地工作。另外,，,，进行通信的两,个,个实体必须在物,理,理上连接到一起,。,。这也给在链路,层,层上实现,VPN,带来了一定的难,度,度。,PPTP,、,L2F,和,L2TP,这三种协议都是,运,运行在链路层中,的,的，通常是基于,PPP,协议的，并且主,要,要面向的是拨号,用,用户，由此导致,了,了这三种协议应,用,用的局限性。,当前,在,在,Internet,及其,他,他网,络,络中,，,，绝,大,大部,分,分的,数,数据,都,都是,通,通过,IP,协议,来,来传,输,输的,，,，逐,渐,渐形,成,成了,一,一种,“,“,everythingonip,”,”,的观,点,点,。,。,11.2VPN,实现,技,技术,第三,层,层隧,道,道协,议,议,在网,络,络层,的,的实,现,现中,，,，有,两,两种,常,常用,的,的实,现,现方,式,式：,GRE,和,IPSec,GREGener,ic,RoutingEncapsulation,（通,用,用路,由,由封,装,装协,议,议）,GRE,是,VPN,的第,三,三层,隧,隧道,协,协议,，,，即,在,在协,议,GRE,在,RFC1701/RFC1702,中定义，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法，,GRE,的隧道由其源,IP,地址和目的,IP,地址来定义。它允许用户使用,IP,去封装,IP,、,IPX,、,AppleTalk,并支持全部的路由协议，如,RIP,、,OSPF,、,IGRP,和,EIGRP,。,11.2VPN,实现,技,技术,图,11.7GRE,协议,11.2VPN,实现,技,技术,当路,由,由器,接,接收,了,了一,个,个需,要,要封,装,装的,上,上层,协,协议,数,数据,报,报文,，,，首,先,先这,个,个报,文,文按,照,照,GRE,协议,的,的规,则,则被,封,封装,在,在,GRE,协议,报,报文,中,中，,而,而后,再,再交,给,给,IP,层，,由,由,IP,层再,封,封装,成,成,IP,协议,报,报文,便,便于,网,网络,的,的传,输,输，,等,等到,达,达对,端,端的,GRE,协议,处,处理,网,网关,时,时，,按,按照,相,相反,的,的过,程,程处,理,理，,就,就可,以,以得,到,到所,需,需的,上,上层,协,协议,的,的数,据,据报,文,文了,。,。,标准,的,的,GRE,在虚,拟,拟通,道,道中,的,的数,据,据是,没,没有,进,进行,加,加密,传,传输,的,的，,一,一旦,数,数据,被,被截,获,获，,重,重要,数,数据,将,将有,失,失密,的,的危,险,险。,而,而与,GRE,相比,，,，,IPSec,只能,进,进行,通,通道,内,内的,数,数据,加,加密,，,，无,法,法在,Internet,上建,立,立虚,拟,拟的,通,通道,互,互连,，,，使,异,异地,的,的两,个,个局,域,域网,像,像访,问,问本,地,地网,一,一样,方,方便,；,；也,无,无法,在,在加,密,密的,数,数据,连,连接,上,上跑,路,路由,协,协议,，,，网,络,络管,理,理很,不,不方,便,便。,所,所以,GRE+IPSec,联合,应,应用,方,方式,，,，成,为,为实,际,际中,VPN,建网,的,的首,选,选。,11.2VPN,实现,技,技术,IPSecIPSecurity,（,IP,安全,协,协议,）,）,IPSec,实际,上,上是,一,一套,协,协议