网络安全技术和的应用_VPN.pptVIP

Network-Based VPN：例如MPLS VPN VLL：虚拟租用线路（Virtual Leased Line），仅使用点对点连接 VPRN：虚拟专用路由网络（Virtual Private Routed Networks） ，通过公共IP网络进行VPN仿真，主要特点是数据包在网络层转发 VPDN：虚拟专用拨号网络（Virtual Private Dial-up Network）,适用范围：出差员工，异地小型办公机构 IPSec VPN 载荷数据 TCP 原始IP头 载荷数据 原始IP头 TCP AH头 Authentication Data 密钥 AH头 单向散列函数 载荷数据 TCP 原始IP头 原始IP包 AH处理后的包 传输模式AH封装 IPSec VPN 载荷数据 TCP 原始IP头 Authentication Data 密钥 AH头 单向散列函数 新IP头 载荷数据 TCP 原始IP头 AH头 新IP头 载荷数据 TCP 原始IP头 原始IP包 AH处理后的包 隧道模式AH封装 IPSec VPN ESP ESP简介 ESP（Encapsulating Security Payload） RFC 2406 保证数据的机密性 数据的完整性校验和源验证 一定的抗重播能力 IPSec VPN Authentication Data 加密密钥 加密算法 载荷数据 TCP 原始IP头 ESP尾 ESP Auth 密文 ESP尾 ESP头 密文 验证密钥 ESP头 密文 载荷数据 TCP 原始IP头 原始IP包 验证算法 传输模式ESP封装 IPSec VPN Authentication Data 加密密钥 加密算法 载荷数据 TCP 原始IP头 新IP头 ESP尾 ESP Auth 密文 ESP尾 ESP头 密文 验证密钥 ESP头 密文 载荷数据 TCP 原始IP头 原始IP包 验证算法 隧道模式ESP封装 IPSec VPN Diffie-Hellman密钥交换算法： 在一个非安全的通道上安全地建立一个共享密钥 Internet 事先双方协商两个公共数值， 非常大的素数m和整数g 做计算 X=ga mod m 发送X=ga mod m 产生一个很大的数 b 产生一个很大的数 a 做计算 Y=gb mod m 发送Y=gb mod m KA=Ya mod m=gab mod m KB=Xb mod m=gab mod m 两者相等 得出共享密钥Key= gab mod m Host A Host B MPLS VPN MPLS VPN的基本概念 MPLS VPN是一种基于MPLS (Multi-Protocol Label Switching，多协议标记交换 )技术的IP VPN，是在网络路由和交换设备上应用多协议标记交换技术，简化核心路由器的路由选择方式，从而构成企业通信网络的一种产品。 MPLS VPN属于2.5层的隧道协议 三层包头 MPLS 标签 二层包头 MPLS VPN 在入口边缘路由器为每个包加上MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原来的IP包 。 MPLS网 P1 P2 PE1 PE2 CE1 CE2 MPLS标签 MPLS VPN MPLS VPN中的角色 CE (Custom Edge Router)，用户边缘路由器，直接与运营商网络相连 PE (Provider Edge Router)，运营商边缘路由器，与CE相连，主要负责VPN业务的接入。 P (Provider Router)：运营商核心路由器，主要完成路由和快速转发功能。 ASBR PE(AutonomySystemBorderRouter PE)：与其它MPLS域互联路由器，作为域间对接路由器，一般不用于用户接入。 Site：一般以业务接入线为一个Site。 Site IGP BGP Backbone CE router PE router Site IGP Site IGP PE router 其它MPLS域 ASBR PE router P router MPLS VPN IPSec VPN vs MPLS VPN IPSec VPN IPSec隧道在CE与CE之间建立，需要用户自己创建并维护VPN IPSec VPN的创建以及相关用户路由的配置等都需要手工完成 扩展不方便，如果用户VPN网络中新增一个节点，需要完成以下工作： 在这个新增结点上建立与所有已存在的N个结点的隧道及相关的路由； 对于已存在的N个结点，需要在每个结点上都建立一个与新增结点之间的隧道及相关的路由。