网络信息安全理论与技术课程-VPN工作原理.ppt

附 VPN工作原理 黄 杰 信息安全研究中心 主要内容 1 VPN概述 2 隧道技术 3 用户认证 4 L2TP协议 5 应用IPSec构建VPN 1 VPN概述 1.1 VPN概述 VPN（Virtual Private Network，虚拟专用网）。“虚拟” （Virtual）指的是一种逻辑连接，“专用或私有”（Private）指的是排他性的连接，“网络”（Network）指按某种协议进行通信的计算机集合。 虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。 VPN是对在公共通信基础设施上构建的“虚拟专用或私有网”连接技术的总称。VPN与真实网络的差别在于VPN以隔离方式通过公用网，VPN外的节点不能与VPN内的节点通信。 VPN的技术特点 采用加密、认证和隧道技术，利用公共通信网络设施的一部分来发送专用网络信息。 为相互通信的节点建立一个相对封闭的、逻辑上的专用网络。 只允许特定的利益集团内（VPN内部）建立对等连接，保证在网络中传输的数据的保密性。 能灵活利用多种公用远程通信网络来实现VPN内容不通信。 PSTN/N-ISDN, PSPDN, FR/ATM,或公用IP网等 实现不同内部局域网之间、网络与主机之间的远程信息交换。 VPN的技术特点 性价比高 具有服务质量保障措施 能够提供强大的接入控制和入侵保护，保证内部信息交换的保密性。 1.2 VPN分类 根据网络类型的差异，IP VPN可分为两种类型：Client-LAN和LAN-LAN类型。 Client-LAN类型的VPN Client-LAN类型的VPN也称为Access VPN，即远程访问方式的VPN。它提供了一种安全的远程访问手段，例如，出差在外的员工，有远程办公需要的分支机构，都可以利用这种类型的VPN，实现对企业内部网络资源进行安全的远程访问。 LAN-LAN类型的VPN 为了在不同局域网之间建立安全的数据传输通道，例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联，可以采用LAN-LAN类型的VPN。而采用LAN-LAN类型的VPN，可以利用基本的Internet和Intranet网络建立起全球范围内物理的连接，再利用VPN的隧道协议实现安全保密需要，就可以满足公司总部与分支机构以及合作企业间的安全网络连接。 1.3 VPN基本原理 VPN的基本思想很容易理解，假设公司有两个网络，相距很远，要用VPN连接，由两个VPN设备建立专用通道，数据传输过程如下图所示： （1）主机A建立分组，将其IP地址作为源地址，将主机B的IP地址作为目标地址，将分组发送到VPN设备1，通常是网关。 （2）分组到达VPN设备1，VPN设备1在分组中增加一新头。在此分组中，将分组的源IP地址写为自己的IP地址V1，目标地址写为对等VPN设备2的IP地址V2，然后发送。 （3）分组通过Internet到达VPN设备2，VPN设备2能够识别新增的头部，对其进行拆除，从而得到第1步由主机A生成的原分组，然后根据分组的IP地址信息，进行正常的转发。 1.4 实现VPN的关键技术 实现VPN的关键技术有： 隧道化协议（Tunneling Protocol） 隧道技术是将分组封装（Capsule）的技术，它是VPN实现以内部网地址通信与多协议通信的重要功能，PPTP、L2TP、IPSec、GRE和GTP被广泛采用。 认证协议 在远程访问VPN中，使用了用户名及口令，它们被用来判断用户名是否有权访问。PPP采用了PAP（Password Authentication Protocol）及CHAP（Challenge Handshake Authentication Protocol）等规程进行认证。PPTP及L2TP等隧道协议采用这种PPP的认证协议。 加密技术 加密技术由IPSec ESP（Encapsulating Secutity Payload）。 2 隧道技术 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。 被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。