《VPN分类h3c.docVIP

VPN 虚拟私有网络 传统专线网基于现有的物理网络，例如数字电路、ATM/FR、DDN等，这种方式安全性和可靠性非常高，但对于客户来说，相应的建设成本和使用费用昂贵，并且只能实现有限的专网访问，缺乏联网的灵活性。因此伴随互联网的发展，通过互联网搭建企业VPN得模式越来越引起客户的兴趣。 VPN是指通过公众IP网络建立私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来，减轻企业的远程访问费用负担，节省电话费用开支，并且提供安全的端到端数据通讯。 VPN的分类 按实现的层次分为： 二层隧道VPN L2TP: Layer 2 Tunnel Protocol (RFC 2661) PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 不常用 三层隧道VPN GRE : Generic Routing Encapsulation IPSEC : IP Security Protocol MPLS-VPN 多协议标签交换VPN L2TP: Layer 2 Tunnel Protocol L2TP: Layer 2 Tunnel Protocol 第二层隧道协议，是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。 特性：灵活的身份验证机制以及高度的安全性；支持RADIUS服务器的验证；支持内部地址分配。 L2TP的会话建立由PPP触发，隧道建立由会话触发。由于多个会话可以复用在一条隧 道上，如果会话建立前隧道已经建立，则隧道不用重新建立。 PPP 触发 → L2TP的会话 → 隧道 GRE (Generic Routing Encapsulation) 是对某些网络层协议（如：IP， IPX， AppleTalk等）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。 GRE 提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel。 说明：tunnel的接口默认类型为GRE. IPSec VPN IPSec（IP Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架 协议。 IPSec 的安全特点: 数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证（Data Origin Authentication） 反重放（Anti-Replay） IPSec包括报文验证头协议AH（协议号51）、封装安全载荷协议ESP（协议号50）和IKE协议。 IKE（Internet Key Exchange，因特网密钥交换协议）， 为IPSec提供了自动协商交换密钥、建立安全联盟的服务。 AH (Authentication Header) 报文验证头协议 可以提供身份验证和完整性的功能, 但本身不能实现数据的加密, 而且不能穿越 NAT. 不常用. ESP (Encapsulation Security Payload) 封装安全载荷协议 可以实现身份验证/加密/完整性等一系列安全特性. 并可以穿越NAT. IPSEC模式 传输模式 仅仅简单地将IPSEC头部插在IP包中，位于IP头部之后。 原始IP头部没有得到保护，保护是的传输层以上的数据。适用于局域网主机之间的直接通信.(原始IP可以直接被路由, 只需要解决安全问题) IP头部 / TCP头部 / 数据 IP头部 / ESP头部 / TCP头部 / 数据 隧道模式 在原始IP报文前加入新的外部IP头部，包括原始IP头部之内的整个数据包都将得到保护。适用于站点与站点间的数据通信. 隧道IP 头部 / ESP / IP头部 / TCP头部 / 数据