18组VPN隧道技术分析.pptxVIP

定义： 指用来在因特网上建立专用通道（隧道）的一系列网络协议。 作用原理是通过在隧道的一端给数据加上隧道协议头，称为封装。被封装的数据在建立的隧道中传输，然后在隧道的另一端去掉数据携带的隧道协议头，即进行解封装，然后传到目的地。 定义： 封装是 构建隧道 的基本手段。 隧道协议都由传输的载体、不同的封装格式以及用户数据包组成的。 模型： IP UDP L2TP PPP 传输协议（运输方式） 封装协议（信封） 乘客协议（信） 隧道协议按照工作的层次，可分为两类： 1. 二层隧道协议，用于传输二层（数据链路层）协议，它主要应用于构建拨号VPN（Access VPN）,例如：PPTP、L2F、L2TP；特点：简单易行，但可扩展性不太好，安全强度低，故不适合构建企业内部网和外部网。 2. 三层隧道协议，用于传输三层（网路层）协议，它主要应用于构建内部网VPN（Intranet VPN）和外联网VPN（Extranet VPN），例如GRE、IPsec、MPLS。 它们的本质区别在于，用户的数据包是被封装在哪种数据包中在隧道中传输。 二层隧道协议的协议栈 公用IP网 隧道协议 VPN 三层隧道协议的协议栈 公用IP网 隧道协议 VPN PPTP是一种网络协议， 支持通过公共网络（例如 Internet）建立按需的、多协议的、虚拟专用网络。其允许加密 IP 通讯，然后在要跨越公司 IP 网络或公共 IP 网络（如 Internet）发送的 IP 头中对其进行封装，实现了从远程客户端到专用企业服务器之间数据的安全传输。 通过PPTP，客户可采用拨号方式接入公用IP网： 第一次拨号远程用户按常规方式拨到本地ISP的接入服务器（NAS），建立PPP连接；然后进行第二次拨号建立到PPTP服务器的连接（该连接称为PPTP隧道，实质上是基于IP协议的另一个PPP连接，其中的IP包可以封装多种协议数据，包括TCP/IP、IPX和NetBEUI。） PPTP把建立隧道的主动权交给了用户，但用户需要在其PC机上配置PPTP，这样做既增加了用户的工作量，又会给网络带来隐患。另外，PPTP只支持IP作为传输协议。 IPSec （IP Security）协议族是IETF 制定的一系列协议，它为 IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。  说明： 私有性（Confidentiality ）指对用户数据进行加密保护，用密文的形式传送。 完整性（Data integrity ）指对接收的数据进行验证，以判定报文是否被篡改。 真实性（Data authentication ）指验证数据源，以保证数据来自真实的发送者。 防重放（Anti-replay ）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。 认证头部 AH协议（Authentication Header）为IP包提供身份验证和数据完整性保证； 封装安全载荷 ESP协议（Encapsulating Security Payload）除了提供信息源认证、数据完整性外，还提供保密性，所以成为最常用的IPSec头部； （ESP和AH协议都有相关的一系列支持文件，二者的认证算法均由SA规定，ESP还被规定了加密算法。） 安全关联 SA（Security Association）为保证通信进程定义了一套必须在两个通信实体之间共享的一组项目和策略。 解释域 DOI 将所有的IPSec协议捆绑在一起，是IPSec安全参数的主要数据库。 因特网密钥交换 IKE 安全协议部分 密钥管理部分 IPSec的安全服务要求支持共享密钥完成认证和/或保密，并且可以手工输入，由此引入了一个密钥管理协议IKE，该协议可以动态认证IPSec对等体，协商安全服务，并自动生成共享密钥。 IPSec的封装模式分两种： 一：传输（Transport）模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ES