第11章 VPN网络技术.ppt

第11章VPN网络技术 11.1 VPN概述 11.1.1 VPN是什么 虚拟专用网VPN（Virtual Private Network）是一种在公共网络或共享网络（如公司网、Intranet、Extranet）上通过一系列技术（如隧道）建立的逻辑网络，用户可以通过它获得专用的远程访问链路。VPN示意图如图11-1所示。 图11-1 VPN示意图? 11.1.2 为什么需要VPN （1）成本的原因：如何在廉价的公共网络平台（如Internet）上建立私有的专用连接，通过安全的数据通道将远程用户、分支机构、业务合作伙伴与内部网连接起来，使内部网得到扩展。因此，可以节省租用通信线路的费用，同时提高数据传输效率。这是成本的原因。 （2）安全原因：由于Internet是一个开放的环境，用户数据在Internet中的传输通道是公用的，不受用户控制，用户对数据传输的安全性只能通过加密等传统措施来保证。如果数据能在专用的受控的通道中传输，其安全性势必得到加强。? 11.1.3 VPN的分类 （1）第2层VPN，例如基于L2TP协议的VPN。 （2）第3层VPN，例如基于IP安全体系结构的VPN。 （3）高层VPN，例如基于SOCKS、安全套接字层SSL（Secure Sockets Layer）、安全多用途Internet电子邮件扩展S-MIME（Secure Multipurpose Internet Mail Extension）协议的VPN。 与VPN有关的协议 如图11-2所示。 图11-2 VPN协议栈 基于IP安全体系结构IPSec的VPN。 1.IPSec解决的问题 IP安全体系结构由IETF的IPSec工作组制订。它是一个开放性的标准框架，被认为是网络层安全的长期稳定的基础。 IPSec工作组制定的协议主要解决以下问题： （1）数据源身份认证。 （2）数据完整性。 （3）数据保密。 （4）重放攻击保护。 （5）密钥管理和安全关联管理。 2.IPSec的主要协议 （1）IP认证首部AH (Authentication Header)：提供数据源身份认证、数据完整性和重放攻击保护等功能。 （2）IP负荷安全封装ESP（Encapsulating Security Payload）：提供数据保密、数据源身份认证、数据完整性和重放攻击保护等功能。 （3）Internet安全关联和密钥管理协议ISAKMPC（Internet Security Association and Key Management Protocol）：提供自动建立安全关联和密钥管理的功能。 ? 基于L2TP的VPN L2TP是IETF开发的通道协议，用于在公司内部网网关和远程主机之间建立虚连接。 L2TP协议开发的初衷是要扩展PPP（Point-to-Point Protocol）协议。PPP是用于在远程主机和ISP的拨号服务设备之间建立连接。而L2TP将PPP连接延伸到了内部网的网关。如图11-3所示。 图11-3 L2TP VPN通道 L2TP通道创建过程 （1）用L2TP封装PPP帧； （2）将L2TP帧封装在UDP报文中； （3）再将该UDP报文封装在IP数据包中； （4）将通道的端点作为该IP数据包的源地址和目的地址。 上述过程如图11-4所示 图11-4 L2TP通道的IP封装 L2TP是以下两个早期协议的结合产物： （1）点对点通道协议PPTP（Point-to-Point Tunneling Protocol）：由Microsoft开发，支持远程主机创建通道。 （2）第二层转发协议L2F（Layer2 Forwarding）：由IETF开发（RFC2341），支持ISP创建通道。 高层VPN的相关协议 1.SOCKS SOCKS位于ISO/OSI的会话层。在SOCKS协议中，客户程序通常是先连接到防火墙1080端口，然后由防火墙建立到目的主机的单独会话。这种情况下，客户程序对目的主机是不可见的。 SOCKS的问题在于必须对客户端应用程序做修改，以便加入对SOCKS协议的支持。 与IPSec相比，SOCKS协议层次较高，因而效率相对要低，但通过会话可以实施灵活的控制功能。 2.SSL 安全套接字层SSL（Secure Socket Layer）广泛应用于Web浏览器程序和Web服务器程序，提供对等的身份认证和应用数据的加密。 在SSL中，身份认证是基于证书的。在SSL会话的握手阶段，通信双方交换证书，生成会话密钥，协商通信使用的加密算法。 由于SSL是高层（端到端）协议，因而无需在路由器或防火墙中实现。 3.安全HTTP协议