虚拟专用网络技术

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,虚拟专用网络技术,第 10 章,基本内容,互联网的普及使得远程网络互联的应用大为增加，特别是跨地区企业的内部网络应用、政府部门的纵向分级网络管理等。网络安全风险又使得这种应用存在严重的隐患。虚拟专用网络技术为这种应用保驾护航。,10.1 VPN技术概述,虚拟专用网（Virtual Private Network，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。,10.1.1 VPN的概念,VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。,VPN是,对,企业内部网的扩展。,一般,以IP为主要通讯协议,。,10.1 VPN技术概述,VPN是在公网中形成的企业专用链路。采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。,10.1.1 VPN的概念,(续),10.1 VPN技术概述,隧道是一种利用公网设施，在一个网络之中的“网络”上传输数据的方法,。,隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。,10.1.1 VPN的概念,(续),隧道开通器(TI)；,有路由能力的公用网络；,一个或多个隧道终止器(TT)；,必要时增加一个隧道交换机以增加灵活性。,隧道基本要素,10.1 VPN技术概述,10.1.2 VPN的基本功能,VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。,VPN的基本功能至少应包括：,1）加密数据,2）信息验证和身份识别,3）提供访问控制,4）地址管理,5）密钥管理,6）多协议支持,10.1 VPN技术概述,10.1.,3 VPN的特性,安全性,隧道、加密、密钥管理、数据包认证、用户认证、访问控制,可靠性,硬件、软件、基础网络的可靠性,可管理性,记帐、审核、日志的管理,是否支持集中的安全控制策略,可扩展性,成本的可扩展性，如使用令牌卡成本高,性能，是否考虑采用硬件加速加解密速度,10.1 VPN技术概述,10.1.,3 VPN的特性(续),可用性,系统对应用尽量透明,对终端用户来说使用方便,互操作性,尽量采用标准协议，与其他供应商的设备能互通,服务质量 QoS,通过Internet连接的VPN服务质量很大程度取决于Internet的状况,多协议支持,10.2 VPN协议,VPN主要采用,以下,四项技术来保证安全,：,隧道技术,加解密技术,密钥管理技术,使用者与设备身份认证技术,10.2.1 VPN安全技术,加解密技术,、,密钥管理技术,、,使用者与设备身份认证技术,在第五章已作介绍，VPN只是对这几种技术的应用。下面重点介绍,隧道技术,10.2 VPN协议,10.2.2 VPN的隧道协议,VPN中的隧道是由隧道协议形成的，VPN使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。,PPTP和L2TP,集成在windows中，所以最常用。,PPTP协议,允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共因特网络发送。,L2TP协议,允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM。,IPSec隧道模式,允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。,10.2VPN协议,10.2.2VPN的,隧,隧道协议,NSRC,、,、NDST是隧道,端,端点设备,的,的IP地,址,址,公网上路,由,由时仅仅,考,考虑NSRC、NDST,原始数据,包,包的DST、SRC对公网,透,透明,DST,SRC,DATA,NDST,NSRC,DST,SRC,DATA,10.2VPN协议,10.2.2VPN的,隧,隧道协议,Point-to-Point Tunnel Protocol,2层协议,，,，需要把,网,网络协议,包,包封装到PPP包,，,，PPP,数,数据依靠PPTP,协,协议传输,PPTP,通,通信时，,客,客户机和,服,服务器间,有,有2个通,道,道，一个,通,通道是tcp 1723端,口,口的控制,连,连接，另,一,一个通道,是,是传输GRE PPP数据,包,包的IP,隧,隧道,PPTP,没,没有加密,、,、认证等,安,安全措施,，,，安全的,加,加强通过PPP协,议,议的MPPE(MicrosoftPoint-to-PointEncryption)实,现,现,windows中,集,集成了PPTPServer和Client，适合,中,中小企业,支,支持少量,移,移动工作,者,者,如果有防,火,火墙的存,在,在或使用,了,了地址转,换,换，PPTP可能,无,无法工作,1点到,点,点隧道协,议,议（PPTP）,10.2VPN协议,10.2.2VPN的,隧,隧道协议,把网络数,据,据包封装,在,在PPP,协,协议中，PPP协,议,议的数据,包,包放到隧,道,道中传输,L2TPRFC2661定义,在Cisco公司,的,的L2F,和,和PPTP的基础,上,上开发,windows中,集,集成,2,第二层,隧,隧道协议,（,（L2TP）,10.2VPN协议,10.2.2VPN的,隧,隧道协议,3,IPSec协议,3层协议,，,，直接传,输,输网络协,议,议数据包,基于TCP/IP,的,的标准协,议,议，集成,到,到IPv6中，仅,仅,仅传输IP协议数,据,据包,提供了强,大,大的安全,、,、加密、,认,认证和密,钥,钥管理功,能,能,适合大规,模,模VPN,使,使用，,需要认证,中,中心（CA）来进,行,行身份认,证,证和分发,用,用户的公,共,共密钥,IPSec数据包,的,的格式,10.2VPN协议,10.2.2VPN的,隧,隧道协议,3,IPSec协议,(续),IPSec的工作,模,模式,传输模式：只对IP数据包,的,的有效负,载,载进行加,密,密或认证,。,。此时，,继,继续使用,以,以前的IP头部，,只,只对IP,头,头部的部,分,分域进行,修,修改，而IPSec协议头,部,部插入到IP头部,和,和传输层,头,头部之间,。,。,隧道模式：对整个IP数据,包,包进行加,密,密或认证,。,。此时，,需,需要新产,生,生一个IP头部，IPSec头部被,放,放在新产,生,生的IP,头,头部和以,前,前的IP,数,数据包之,间,间，从而,组,组成一个,新,新的IP,头,头部。,10.2VPN协议,10.2.2VPN的,隧,隧道协议,3,IPSec协议,(续),IPSec的三个,主,主要协议,SA(SecurltyAssociation安,全,全关联)。所谓安,全,全关联是,指,指安全服,务,务与它服,务,务的载体,之,之间的一,个,个“连接,”,”。AH,和,和ESP,都,都需要使,用,用SA，,而,而IKE,的,的主要功,能,能就是SA的建立,和,和维护。,只,只要实现AH和ESP都必,须,须提供对SA的支,持,持。,1）ESP（EncapsulatingSecurityPayload,）,）。ESP协议主,要,要用来处,理,理对IP,数,数据包的,加,加密。ESP是与,具,具体的加,密,密算法相,独,独立的，,几,几乎支持,各,各种对称,密,密钥加密,算,算法，默,认,认为3DES和DES。,2）AH(AuthenticationHeader)。AH只涉,及,及到认证,，,，不涉及,到,到加密。,3）IKE(Internet Key Exchange),。,。IKE,协,协议主要,是,是对密钥,交,交换进行,管,管理，它,主,主要包括,三,三个功能,：,：对使,用,用的协议,、,、加密算,法,法和密钥,进,进行协商,；,；方便,的,的密钥交,换,换机制(,这,这可能需,要,要周期性,的,的进行),；,；跟踪,对,对以上这,些,些约定的,实,实施。,10.2VPN协议,系,系统的组,成,成,IPSecVPN,的,的实现包,含,含管理模,块,块、密钥,分,分配和生,成,成模块、,身,身份认证,模,模块、数,据,据加密/,解,解密模块,、,、数据分,组,组封装/,分,分解模块,和,和加密函,数,数库几部,分,分组成。,10.3VPN的类型,VPN的,分,分类方法,比,比较多，,实,实际使用,中,中，需要,通,通过客户,端,端与服务,器,器端的交,互,互实现认,证,证与隧道,建,建立。基,于,于二层、,三,三层的VPN，都,需,需要安装,专,专门的客,户,户端系统,（,（硬件或,软,软件），,完,完成VPN相关的,工,工作。,一个VPN解决方,案,案不仅仅,是,是一个经,过,过加密的,隧,隧道，它,包,包含,访问控制,、,、认证、,加,加密、隧,道,道传输、,路,路由选择,、,、过滤、,高,高可用性,、,、服务质,量,量以及管,理,理,VPN系,统,统大体分,为,为4类,专用的VPN硬件,支持VPN的硬件,或,或软件防,火,火墙,VPN软,件,件,VPN服,务,务提供商,10.3VPN的类型,按,按VPN,的,的应用方,式,式分类,VPN从,应,应用的方,式,式上分，,有,有两种基,本,本类型：,拨,拨号式VPN与专,用,用式VPN。,拨号VPN分为两,种,种：在用,户,户PC机,上,上或在服,务,务提供商,的,的网络访,问,问服务器(NAS)上。,专用VPN有多种,形,形式,。,IP VPN的发,展,展促使骨,干,干网建立VPN解,决,决方案，,形,形成了基,于,于MPLS的IPVPN,技,技术。MPLSVPN的,优,优点是全,网,网统一管,理,理的能力,很,很强，由,于,于MPLS VPN是基于,网,网络的，,全,全部的VPN网络,配,配置和VPN策略,配,配置都在,网,网络端完,成,成，可以,大,大大降低,管,管理维护,的,的开销。,10.3VPN的类型,按,按VPN,的,的应用平,台,台分类,VPN的,应,应用平台,分,分为三类,：,：软件平,台,台、专用,硬,硬件平台,及,及辅助硬,件,件平台。,(1)软,件,件平台VPN,当对数据,连,连接速率,要,要求不高,，,，对性能,和,和安全性,需,需求不强,时,时，可以,利,利用一些,软,软件公司,所,所提供的,完,完全基于,软,软件的VPN产品,来,来实现简,单,单的VPN功能。,(2)专,用,用硬件平,台,台VPN,使用专用,硬,硬件平台,的,的VPN,设,设备可以,满,满足企业,和,和个人用,户,户对提高,数,数据安全,及,及通信性,能,能的需求,，,，尤其是,从,从通信性,能,能的角度,来,来看，指,定,定的硬件,平,平台可以,完,完成数据,加,加密及数,据,据乱码等,对,对CPU,处,处理能力,需,需求很高,的,的功能。,提,提供这些,平,平台的硬,件,件厂商比,较,较多，如,川,川大能士,、,、Nortel、Cisco、3Com等。,(3)辅,助,助硬件平,台,台VPN,这类VPN介于软,件,件平台和,指,指定硬件,平,平台之间,，,，辅助硬,件,件平台的VPN主,要,要是指以,现,现有网络,设,设备为基,础,础，再增,添,添适当的VPN软,件,件以实现VPN的,功,功能。,10.3VPN的类型,按,按V