使用VRRP提高网络稳定性 RCNP-VPN.pptVIP

提 纲 什么是VPN 为什么使用VPN VPN的应用类型 VPN的安全技术 已有的VPN解决方案 什么是VPN VPN（Virtual Private Network）技术也就是虚拟专用网技术，顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。 虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。 IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”：是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 用户的需求 用户的需求是虚拟专用网技术诞生的直接原因 随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。 随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。 合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题。因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。 自身的的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。 信息在传输中可能泄密 信息在传输中可能失真 信息的来源可能伪造的 信息传输的成本可能很高 使用VPN的优势 防止数据在公网传输中被窃听 防止数据在公网传输中被篡改 可以验证数据的真实来源 成本低廉（相对于专线、长途拨号） 应用灵活、可扩展性好 VPN的工作原理 数据机密性保护的实现 数据完整性保护的实现 数据源发性保护的实现 重放攻击保护的实现 数据机密性保护的实现 数据完整性保护的实现 数据源发性保护的实现 重放攻击保护的实现 VPN的应用类型 Access VPN（远程访问虚拟网） Access VPN最适用于公司内部经常有流动人员远程办公的情况。 出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。 CA中心或者Radius服务器可对员工进行身份授权和验证，保证连接的安全。 Intranet VPN（企业内部虚拟网） 企业的发展、机构网点的增加，使得网络的结构趋于复杂，链路费用昂贵。 利用VPN特性，在Internet上组建世界范围内的Intranet VPN，保证信息在整个Intranet VPN上安全传输。 企业拥有与专用网络的相同政策，包括安全、服务质量 (QoS)、可管理性和可靠性。 Extranet VPN（企业扩展虚拟网） 各个企业之间的合作关系也越来越多，信息交换日益频繁。 利用VPN技术组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。 VPN的安全技术 四项技术 VPN主要采用四项技术来保证安全 隧道技术（Tunneling） 加解密技术（Encryption Decryption） 密钥管理技术（Key Management） 认证技术（Authentication） 隧道技术 隧道技术的基本过程是在源局域网与公用网的接口处将局域网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中，在目的局域网与公用网的接口处将公用网的数据解封装后，取出负载即源局域网发送的数据向目的局域网传输。 网络隧道技术指的是利用一种网络协议来传输另一种网络协议，利用网络隧道协议来实现这种功能。 由于封装与解封装只在两个接口处由设备按照隧道协议配置进行，局域网中的其他设备将不会觉察到这一过程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。 隧道技术-协议 三层隧道协议主要有 Generic Routing Encapsulation （GRE）协议 IPSec 协议 加解密技术 1 现代密码学中，加密算法被分为对称加密算法和非对称加密算法。 对称加密算法采用同一个密钥进行加密和解密，优点是速度快，但密钥的分发与交换不便于管理。 对称加密算法：