10VPN概述.pptVIP

VPN概述 VPN概述 VPN简介及其优点 VPN的关键技术 VPN的实现 VPN的分类 VPN应用模式 VPN应用范围 二、VPN关键技术 VPN是在Internet等公共网络基础上，综合利用隧道技术、加密技术和身份认证技术来实现的。 隧道技术 隧道（Tunneling）是建立在Internet等公共网络上的一条加密的数据通道。隧道技术是VPN的核心技术，它是利用Internet等公共网络已有的数据通信方式，在隧道的一端将数据进行封装，然后通过已建立的虚拟通道（隧道）进行传输。在隧道的另一端，进行解封装操作，将得到的原始数据交给对端设备。在进行数据封装时，根据在OSI参考模型中位置的不同，可以分为第二层隧道技术和第三层隧道技术两种类型。 第二层隧道协议 PPTP(Point-to-Point Tunneling Protocol) L2F(Layer 2 Forwarding) L2TP(Layer2 Tunneling Protocol) 第三层隧道协议 GRE（Generic Routing Encapsulation） IPSec （IP Security） 第二层隧道协议 第二层隧道技术是在数据链路层使用隧道协议对数据进行封装，然后再把封装后的数据作为数据链路层的原始数据，并通过数据链路层的协议进行传输 L2F L2F是由Cisco公司提出的可以在多种网络类型（如ATM、帧中继、IP网络等）上建立多协议的安全VPN的通信方式。它将数据链路层的协议（如HDLC、PPP等）封装起来传送，所以网络的数据链路层完全独立于用户的数据链路层协议。 PPTP 微软的Windows操作系统支持PPTP协议。PPTP提供了PPTP客户机与PPTP服务器之间的安全通信。其中，PPTP客户机是指运行PPTP协议的计算机，而PPTP服务器是指运行PPTP协议的服务器。通过PPTP，客户机可以采用PSTN、ISDN、xDSL、以太网、无线等连接，以拨号方式接入公共IP网络。拨号客户机首先按正常的网络接入方式拨号到ISP的网络接入服务器（NAS），建立PPP连接；在此基础上，客户机进行第二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道。 L2TP L2F是由Cisco、Ascend、Microsoft、3Com 和Bay等厂商共同制定，它结合了L2F和PPTP的优点，可以让用户从客户机或接入服务器端发起VPN连接。但在安全性考虑上，L2TP对传输中的数据（控制报文和数据报文）并不加密，所以L2TP并不能满足用户对安全性的需求。为了消除L2TP协议的安全隐患，在实际应用中可以使用IPSec安全协议对L2TP控制报文和L2TP数据报文提供安全保护。所以，在部署基于L2TP的VPN系统时，一般都通过IPSec加强系统的安全性。 第三层隧道技术 第三层隧道技术是在网络层进行数据封装，即利用网络层的隧道协议将数据进行封装，封装后的数据再通过网络层的协议（如IP）进行传输。 IPSec IPSec是IETF的IPSec工作组于1998 年制订的一组基于密码学的开放网络安全协议。IPSec工作在网络层，为网络层及以上层提供访问控制、无连接的完整性、数据来源认证、防重放保护、保密性、自动密钥管理等安全服务。IPSec是一套由多个子协议组成的安全体系。 GRE GRE是由Cisco和Net-Smiths公司共同提出的三层隧道协议。GRE除封装IP报文外，还支持对IPX/SPX、Appletalk等多种网络通信协议的封装，同时还广泛支持对RIP、OSPF、BGP、EBGP等路由协议的封装。 VPN的密码技术 加密技术 通过Internet等公共网络传输的重要数据必须经过加密处理，以确保网络上其他未授权的实体无法读取该信息。目前在网络通信领域中常用的信息加密体制主要包括对称加密体制和非对称加密体制两类。 实际应用时一般是将对称加密体制和非对称加密体制混合使用，利用非对称加密技术进行密钥的协商和交换，而采用对称加密技术进行用户数据的加密。 在VPN解决方案中最普遍使用的对称加密算法主要有DES、3DES、AES、RC4、RC5、IDEA等，算法。使用的非对称加密算法主要有RSA、Diffie-Hellman、椭圆曲线等。 认证技术 VPN系统中的身份认证技术包括用户身份认证和信息认证两个方面。其中，用户身份认证用于鉴别用户身份的真伪，而信息认证用于保证通信双方的不可抵赖性和信息的完整性。目前，在VPN中使用的身份认证多采用“用户ID+密码”的模式， 三、VPN的实现 远程接入VPN（Access VPN）的组网方式如图所示。远程接入VPN也称为移动VPN，即为移动用户提供一种访问单位内部网络资源的方式，主要应用于单位内部人员在外（非