第7章虚拟专用网技术技巧.ppt

第7章 虚拟专用网技术 ? VPN概述 ? VPN的分类及工作原理 ? VPN的关键技术及安全性分析 ? 基于PP2P/L2TP的VPN技术 ? 基于IPSec的VPN技术 ? 基于SSL的VPN技术 ? 基于MPLS的VPN技术 ? VPN技术发展趋势 7.1 VPN概述 VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。IETF草案理解基于IP的VPN为：使用IP机制仿真出一个私有的广域网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 7.1.1 VPN的特点 1安全保障 2服务质量保证（QoS） 3可扩充性和灵活性 4可管理性 5节省费用和资源 7.1.2 VPN的基本技术 1隧道技术 2加解密技术 3密钥管理技术 4身份认证技术  7.1.3 VPN的应用范围 遇到以下几种情况，可考虑选择VPN。 　　（1） 已经通过专线连接实现广域网的企业，由于增加业务，带宽已不能满足业务需要，需要经济可靠的升级方案。　　（2） 企业的用户和分支机构分布范围广，距离远，需要扩展企业网，实现远程访问和局域网互联，最典型的是跨国企业、跨地区企业。　　（3）分支机构、远程用户、合作伙伴多的企业，需要扩展企业网，实现远程访问和局域网互联。　　（4）关键业务多且对通信线路保密和可用性要求高的用户，如银行、证券公司、保险公司等。 目前，像金融证券、保险业和政府机关等一类的行业用户，还有一些跨国企业、跨地区企业和分支机构分散的企业或机构，采用VPN技术的比较多。 7.1.4 企业VPN常见解决方案 1. 企业各部门与远程分支机构之间的VPN应用 2．企业网与远程（移动）员工之间的VPN访问 3．企业与合作伙伴、客户、供应商之间的VPN应用 7.2 VPN的分类  7.2.1按接入方式划分 建立在IP网上的VPN也就对应的有两种接入方式：专线接入方式和拨号接入方式。 7.2.2按协议实现类型划分 （1）第二层隧道协议：这包括点到点隧道协议（PPTP）、第二层转发协议（L2F），第二层隧道协议（L2TP）、多协议标记交换（MPLS）等。 （2）第三层隧道协议：这包括通用路由封装协议（GRE）、IP安全（IPSec），这是目前最流行的两种三层协议。 （3）SSL安全协议VPN：SSL协议是为保障基于Web通信的安全而提供的加密认证协议，提供的是应用程序的安全服务。 (4) MPLS VPN MPLS是一种在开放的通信网上利用标签进行数据高速，高效传输的技术，它将第三层的包交换转换成第二层的包交换，以标记替代传统的IP路由，兼有第二层的分组转发和第三层的路由技术的优点，是一种“边缘路由，核心交换”的技术。 7.2.4按VPN的服务类型划分 根据服务类型，VPN业务大致分为三类：接入VPN（Access VPN）、内联网VPN（Intranet VPN）和外联网VPN（Extranet VPN）。通常情况下内联网VPN是专线VPN。 7.2.5按承载主体划分 营运VPN业务的企业；既可以自行建设他们的VPN网络，也可以把此业务外包给VPN商。 7.3 VPN的设计与优化 VPN的设计包含安全性、网络优化和VPN管理。 7.3.1 VPN的安全性 VPN的安全性包含以下特征： (1)隧道与加密 (2)数据验证 (3)用户验证 (4)防火墙与攻击检测 7.3.2 VPN的网络优化 二层和三层的QoS具有以下功能： (1)流分类 流分类是实现带宽管理以及其他QoS功能的基础。 (2)流量整形与监管：流量整形是指根据数据流的优先级，在流量高峰时先尽量保证优先级高的数据流的接收/发送 (3)拥塞管理与带宽分配：根据一定的比例给不同的优先级的数据流分配不同的带宽资源，并对网络上的流量进行预测 7.3.3 VPN管理 VPN管理的目标为： (1)减小网络风险 (2)扩展性 (3)经济性 (4)可靠性 VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。 7.4 VPN的安全性分析 7.4.1VPN的安全隐患 用于Microsoft VPN中的PPTP(Point-to-Point Tunneling Protocol，点到点隧道协议)被发现在安全方面有许多脆弱性，PPTP中的MS-CHAP和MPPE（Microsoft Point-to-Point Encryption），它们的缺陷使得攻击者有很多可以利用的地方。 7.4.2安全VPN 安全的VPN，其英文名称