虚拟专用络VPN.ppt

A和B信道上交换密钥算法： Diffie-Hellman密钥交换算法(DH) Diffie-Hellman算法常用做密钥的分配并满足： b＝ ax mod p （1）A和B协商一个大素数p及p的本原根a，a和p可以公开； （2）A秘密产生一个随机数x，计算X=ax mod p，然后把X发送给B； （3）B秘密产生一个随机数y，计算Y＝ay mod p，然后把Y发送给A； （4）A计算k=Yx mod p； （5）B计算k’=Xy mod p。 k和k’是恒等的，因为： k＝Yx mod p=(ay)x mod p=(ax)y mod p＝Xy mod p＝k’ （1）二者协商后决定采用素数p=353及其本原根a=3； （2）A选择随机数x=97， 计算X=397 mod 353=40，并发送给B； （3）B选择随机数y=233， 计算Y=3233 mod 353=248，并发送给A； （4）A计算k=Yx mod p=24897 mod 353=160； （5）B计算k’=Xy mod p=40233 mod 353=160。 k和k’即为秘密密钥。 4、用户到用户VPN 一个用户到用户VPN本质上是一个在两台设备之间的传输模式的VPN连接。这两台设备可以是PIX设备和一台系统日志服务器、一台路由器和一台TFTP服务器、一个使用Telnet访问Cisco路由器的用户，或者许多其他的连接对等体。 Cisco官方不认为用户到用户是一种VPN。 1.2.3 VPN分类 分类方式比较混乱。不同的生产厂家在销售它们的VPN产品时使用了不同的分类方式，它们主要是按产品的角度来划分的。 一、按接入方式划分 （1）专线VPN：它是为已经通过专线接入ISP边缘路由器的用户提供的。这是一种“永远在线”的VPN，可以节省传统的长途专线费用。 （2）拨号VPN（又称VPDN）：它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务。这是一种“按需连接”的VPN，可以节省用户的长途电话费用。需要指出的是，因为用户一般是漫游用户，是“按需连接”的，因此VPDN通常需要做身份认证（比如利用CHAP和RADIUS）。 二、按实现类型划分 这是VPN厂商和ISP最为关心的划分方式。根据分层模型，VPN可以在第二层建立，也可在第三层建立（有人把更高层的一些安全协议也归入VPN协议。） （1）第二层隧道协议：包括点到点隧道协议（PPTP）、第二层转发协议（L2F），第二层隧道协议（L2TP）、多协议标记交换（MPLS）等。 （2）第三层隧道协议：包括通用路由封装协议(GRE)、IP安全（IPSEC），这是目前最流行的两种三层协议。 第二层和第三层隧道协议的区别主要在于用户数据在栈的第几层被封装，其中GRE、IPSec和MPLS主要用于实现专线VPN业务，L2TP主要用于实现拨号VPN业务（也可以用于实现专线VPN业务），当然这些协议之间本身不是冲突的，而是可以结合使用的。 三、按VPN的发起方式划分 这是客户和IPS最为关心的VPN分类。VPN业务可以是客户独立自主实现的，也可以是由ISP提供的。 1）发起（基于客户的）：VPN服务提供的其始点和终止点是面向客户的，其内部技术构成、实施和管理对VPN客户可见。需要客户和隧道（或网关）方安装隧道软件。客户方的软件发起隧道，在公司隧道服务器处终止隧道。此时ISP不需要做支持建立隧道的任何工作。经过对用户身份符（ID）和口令的验证，客户方和隧道服务器极易建立隧道。双方也可以用加密的方式。隧道一经建立，用户就会感觉到ISP不在参与通信。 2）服务器发起（也称客户透明方式或基于网络的）：在公司中心部门或ISP处（POP、Pointofpresence）安装VPN软件，客户无须安装任何特殊软件。主要为ISP提供全面管理的VPN服务，服务提供的起始点和终止点是ISP的POP，其内部构成、实施和管理对VPN客户完全透明。 目前MPLS只能用于服务器发起的VPN方式。 四、按VPN的服务类型划分 Intranet(企业内部虚拟网) 这是企业的总部与分支机构之间通过公网构筑的虚拟网，这是一种网络到网络以对等的方式连接起来所组成的VPN。 Extranet VPN(企业扩展虚拟网)： 这是企业在发生收购、兼并或企业间建立战略联盟后，使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN（主要在安全策略上有所不同）。 这是企业员工或企业的小分支机构通过公网远程访问络的VPN方式。远程用户一般是一台计算机，而不是网络，因此组成的VPN是一种主机到网络的拓扑模型。需要强调的是Access VPN不同于