vpn基础与应用简介.ppt

Eth0:/24 实验三、网关模式（域共享IPSEC协议） 54/24 Eth0:/24 54/24 PC A PC B 备注：VPN A和VPN B采用域共享密钥方式建立隧道成功后，PCA和PCB能够互相通讯 Eth1:/30 Eth1:/30 VPN A VPN B Eth0:/24 实验四、网关模式（数字证书IPsec协议） 54/24 Eth0:/24 54/24 PC A PC B 备注：VPN A和VPN B采用证书方式建立隧道成功后，PCA和PCB能够互相通讯 Eth1:/30 Eth1:/30 VPN A VPN B END * * * 我们先看看在的internet上数据传输的安全性如如何？ * * 信息在传输中可能泄密 * 信息在传输中可能失真 * 信息的来源可能被伪造 * 采用长途线路成本很高 * VPN就是虚拟专用网，是在公用网络中建立专用网络的一种数据网络通信技术。在虚拟专用网络中，任意两个节点之间的连接没有象传统专用网络所需要的端到端的物理链路，而是利用某种公众网的资源动态组成的，符合自己需求的网络 * * * 对于物理位置固定的企业，企业所有重要信息对位于企业内部网络，在内部网络中实现资源共享，但同时对于出差的员工或在家办公的员工，也希望能够安全地访问企业内部网络的信息，对于这种应用，最适合采用移动用户到固定网络的应用模式，部署如下图所示 * 对于物理位置固定的企业，企业所有重要信息对位于企业内部网络，在内部网络中实现资源共享，但同时对于出差的员工或在家办公的员工，也希望能够安全地访问企业内部网络的信息，对于这种应用，最适合采用移动用户到固定网络的应用模式，部署如下图所示 * 对于物理位置固定的企业，企业所有重要信息对位于企业内部网络，在内部网络中实现资源共享，但同时对于出差的员工或在家办公的员工，也希望能够安全地访问企业内部网络的信息，对于这种应用，最适合采用移动用户到固定网络的应用模式，部署如下图所示 * * * * * 隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。 * 隧道技术是建立安全VPN的基本技术之一，类似于点对点连接技术，在公用网建立一条数据遂道，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议有L2F、PPTP和L2TP等，是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第三层隧道协议有GRE、IPSEC等。第二层隧道协议和第三层隧道协议的本质区别在于在隧道内用户的数据包是被封装在哪种数据包中进行传输的。 L2TP隧道协议是典型的被动式隧道协议，它结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。 L2TP主要由LAC(L2TP Access Concentrator) 和LNS(L2TP Network Server) 构成，LAC支持客户端的L2TP，用于发起呼叫、接收呼叫和建立隧道；LNS是所有隧道的终点，LNS终止所有的PPP流。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。 L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS(Network Access Server)，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。L2TP还支持信道认证，并提供了差错和流量控制。 L2TP利用IPsec增强了安全性，支持数据包的认证、加密和密钥管理。L2TP/IPSec因此能为远程用户提供设计精巧并有互操作性的安全隧道连接。这对安全的远程访问和安全的网关之间连接来说，它是一个很好的解决方案