计算机网络安全 作者 沈鑫剡 第６章.pptVIP

计算机网络安全 第六章 第六章 虚拟专用网络 虚拟专用网络概述； 点对点IP隧道； 虚拟接入网络； 虚拟专用局域网服务。 专用网络指由专用点对点链路互连物理上分散的多个子网的内部网络，它的特点是使用本地地址、独占网络资源，信息在封闭的内部网络内传输。虚拟专用网络指由公共分组交换网络互连物理上分散的多个子网的内部网络，但和采用专用点对点链路互连的专用网络具有相同安全和使用本地地址的特性。 6.1 虚拟专用网络概述 VPN发展过程； VPN安全机制。 一个大型企业的企业内部网络往往由物理上分散的多个子网组成，实现各个子网互连的基本原则是安全、方便和节省，虚拟专用网络（VPN）技术就是一种安全、方便和节省地实现物理上分散的多个子网互连的技术。 VPN发展过程 使用本地地址； 专用点对点链路互连； 数据在内部网络内传输； 分组交换结点完全属于内部网络； 网络资源由单一单位管理。 VPN发展过程 由于虚电路经过分组交换结点，数据传输的安全性无法保证； 建立虚电路时，可以为虚电路预留资源，如物理链路带宽，因此，子网间传输带宽有基本保证； 由于虚电路采用分组交换方式，每一条虚电路的通信费用比点对点专用链路便宜； 对于IP网络，虚电路属于链路层，因此，不影响使用本地地址； 提供虚电路服务的城市受到限制，因此，子网所在地域也受到限制，方便性受到影响。 VPN发展过程 IP隧道是基于IP网络的虚拟点对点链路，用于传输用本地地址封装的IP分组； 由于IP隧道和其他端到端传输路径共享分组交换结点和物理链路，因此，传输安全性不能保证； IP网络是尽力而为网络，不能保证子网间传输质量（带宽、传输时延、时延抖动等不能确定）； IP网络的广泛性使得子网间互连不仅便宜，而且方便。 VPN发展过程 正常的拨号接入需要建立远程接入用户和路由器之间的点对点语音信道，如果两者相距甚远，通信费用很贵； 终端接入Internet，路由器也接入Internet，终端和路由器之间建立基于IP网络的第2层隧道，该隧道等同于语音信道这样的点对点链路； 由于远程接入用户接入内部网络时，需要由路由器通过PPP完成远程接入用户身份认证、内部网络本地地址分配等接入控制功能，第2层隧道提供PPP要求的点对点传输服务。 VPN发展过程 自愿隧道是终端先接入Internet，然后建立基于IP网络的终端和内部网络路由器之间的第2层隧道，最后，通过第2层隧道提供的等同于语音信道的传输服务，路由器通过PPP完成终端接入内部网络所要求的接入控制过程； 当终端建立和LAC之间的语音信道，并确定远程接入用户要求接入内部网络，由LAC建立和路由器之间的第2层隧道，并在远程接入用户和路由器之间完成PPP帧的中继过程，对于LAC和路由器之间的第2层隧道，远程接入用户是透明的。 VPN发展过程 多个以太网通过边缘路由器（CE）接入Internet，但这几个以太网不是由路由器互连的独立的网络，而是能够提供单个以太网服务的虚拟专用局域网； 这里的关键点是CE和CE之间的第2层隧道，对于IP网络，CE是路由器，用于转发第2层隧道格式的IP分组，对于物理上分散的多个以太网，CE是网桥，一端连接本地以太网，另一端通过等同于虚拟线路的第2层隧道连接其他以太网； 终端A、B和C是连接在同一个以太网上三个终端，分配网络地址相同的IP地址。 VPN安全机制 用IP网络实现互连的VPN一般采用隧道机制； 建立隧道时，对隧道两端进行认证，并约定类似加密算法、完整性检测算法、密钥等安全参数； 经过隧道传输的数据进行加密运算，接收端进行完整性检测和发送端认证。 6.2 点对点IP隧道 网络结构； IP分组传输机制； 安全机制。 多个子网通过点对点IP隧道实现互连，由于这些子网使用本地地址，因此，必须先封装成以隧道两端全球IP地址为源和目的地址的隧道格式，为了安全传输，隧道两端建立双向的安全关联，经过隧道传输的数据，采用IPSec隧道模式，通过加密和完整性检测实现数据经过隧道的安全传输。 网络结构 三个子网LAN1、LAN2和LAN3使用本地地址； 路由器R1、R2和R3是边缘路由器，一端连接本地子网，一端连接Internet； 建立边缘路由器之间的IP隧道，隧道两端是边缘路由器连接Internet端口； 边缘路由器其中一个子网是直接连接，另两个子网通过隧道连接下一跳，由于隧道等同于点对点链路，无需给出下一跳IP地址。对于隧道格式，目的地址对应的下一跳是Internet中连接边缘路由器的路由器。 IP分组传输机制 当终端A向服务器B发送IP分组时，终端A构建以终端A和服务器B本地地址为源和目的IP地址的IP分组，根据终端A配置默认网关，将IP分组发送给R1； R1根据服务器BIP地址确定通过隧道1将IP分组传输给下一跳； IP分组被封装为以