第二章基于隧道的VPN技术综述.ppt

2.1 概述 VPN可以方便且低成本地将企业的内部私有网络通过共有网络资源实现互连，一般采用以下三种技术或综合使用。 加密技术：VPN是利用Internet公共网络传输企业私有的信息，因此，传递的数据必须经过加密，才能确保网络上未授权的用户无法读取该信息。密码技术分为两种：对称密钥和非对称密钥。 2.1 概述 身份认证技术：VPN需要解决的首要问题就是网络上用户与设备的身份认证。身份认证分为PKI体系和非PKI体系。非PKI身份认证主要采用UID+PASASWORD，PKI体系的身份认证有电子商务用到的基于SSL安全通信协议的身份认证、Kerberos等。 2.1 概述 隧道技术：隧道技术通过对数据进行封装，在公共网络上建立一条数据通道，让数据包传输。VPN的具体实现是采用隧道技术，将企业网的数据封装在隧道中进行传输。隧道的功能就是在两个网络节点之间提供一条通路，使数据包能能够在这个通路上透明的传输。 2.1.1第二层隧道协议 隧道协议的数据包格式都是由传输协议、封装协议和乘客协议三部分组成。 2.1.2 第三层隧道协议 第三层隧道一些出现的比较早，于1994年提出的GRE协议就是一个第3层隧道协议。GRE即通用路由封装协议，支持全部的路由协议。 由IETF制定的新一代Internet安全标准IPSec协议也是第三层隧道协议。 第三层隧道与第二层隧道相比，优势在于它的安全性、可扩展性和可靠性。 2.1.3 隧道管理 隧道策略是指由于根据目的IP地址选择隧道。隧道策略有两种：顺序选择方式和VPN隧道绑定方式。 顺序选择方式：顺序选择的隧道策略可以配置选择通道的顺序及负载分担的条数。 VPN隧道绑定方式：是指在VPN骨干网的PE设备将VPN的对端与某条MPLS TE隧道相关联。 2.2 L2IP体系 L2TP属于VPDN隧道协议的一种。为了更好的理解L2TP，先简单介绍VPDN。 VPDN是指利用公共网络的拨号功能及接入网来实现虚拟专用网，为企业、小型ISP、移动办公人员提供接入服务。VPDN采用专门的网络加密通信协议，在公共网络上为企业建立安全的虚拟专用。 VPDN隧道协议有多种：目前使用最广泛的L2TP。 VPDN有以下两种实现方式： 2.2.1 L2TＰ协议概述 VPDN有以下两种实现方式： 1.ＮＡＳ通过隧道协议与VPDN网关建立隧道 2.客户机与VPDN网关建立隧道 2.2.2 L2TP协议背景 PPP协议定义了一种封装技术，可以在二层点到点链路上传输多种协议数据包，这是，用户与NAS之间运行PPP，二层链路端点与PPP会话点在相同的硬件设备上。L2TP协议提供了对PPP链路层数据包的隧道传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并采用包交换技术进行信息交互，从而扩展了PPP模型。 L2TP功能可以简单描述为在非点到点的网络上建立点到点的PPP会话连接。 2.2.3 L2TP的基本概念 L2TP协议简介 Layer 2 Tunneling Protocol （第二层隧道协议） 该协议是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。L2TP协议是由IETF起草，微软、Ascend、Cisco、3COM等公司参予制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关2层通道协议的工业标准，基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)之上的，被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。 2.2.3 L2TP的基本概念 、L2TP实现的两种方式 名词解释： LAC(L2TP Access Concentrator L2TP访问集中器) 是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服务器NAS，主要用于通过PSTN/ISDN网络为用户提供接入服务。 LNS(L2TP Network Server L2TP网络服务器） 是PPP端系统上用于处理L2TP协议服务器端部分的设备。 VPDN（Virtual Private Dial Network，虚拟私有拨号网） 指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网。 注：如下示例中使用的防火墙（Firewall，FW）既可以当做LAC也可以作为LNS使用。 1、PC直接拨号到LNS，组网如图1所示 2、PC通过LAC拨号连接到LNS，组网如图2所示 因为一般都使用用