[工学]虚拟专网.pdf

虚拟专用网络 大纲 VPN概述  IPSec与VPN实现 VPN 的安全性 VPN 的发展前景 VPN概述 VPN定义 VPN关键技术 VPN 的分类 传统的企业网络 什么是VPN 什么是VPN  企业、组织、商家等对专用网的需求。  高性能、高速度和高安全性是专用网明显的优势。但传统 的通过租用专线或拨号网络的方式越来越不适用。（廉价、 安全）  IP协议本身的局限性，不能保证信息直接传输的保密性。  VPN （虚拟专用网络，Virtual Private Network ）是指将物 理上分布在不同地点的网络通过公用网络连接成逻辑上的 虚拟子网，并采用认证、访问控制、保密性、数据完整性 等在公用网络上构建专用网络的技术，使得数据通过安全 的“加密管道”在公用网络中传输。（公用网通常指Internet） 什么是VPN  虚拟：用户不再需要拥有实际的长途数据 线路，而是使用公共网络资源。但它建立 的只是一种临时的逻辑连接，一旦通信会 话结束，这种连接就断开了。  专用：用户可以定制最符合自身需求的网 络。  VPN使得企业通过互联网既安全又经济地 传输私有的机密信息成为可能。 VPN 的特点  安全保障：在非面向连接的公用IP网络上建立一 个逻辑的、点对点的连接，称为建立一个隧道。 可以利用加密技术对经过隧道传输的数据进行加 密，以保证数据只被指定的发送者和接受者了 解，从而保证数据的私有性和安全性。  费用低  服务质量保证（QoS ）： VPN应当为企业数据提供不同等级的服务质量保证。 （连接、覆盖性、稳定性、网络时延、误码率等） VPN 的特点 网络优化：充分有效地利用有限的广域网资 源，为重要数据提供可靠的带宽。通过流量预 测与流量控制策略实现带宽管理。  可扩充性和灵活性  可管理性：安全管理、设备管理、配置管 理、访问控制列表管理和QoS管理等。 VPN系统组成 VPN系统组成  VPN服务器：接受来自VPN客户机的连接请求；  VPN客户机：可以是终端计算机，也可以是路由器；  隧道：数据传输通道，在其中传输的数据必须经过封装；  VPN连接：在VPN连接中，数据必须经过加密；  隧道协议：封装数据、管理隧道的通信标准  传输数据：经过封装、加密后在隧道上传输的数据；  公共网络：如Internet，也可以是其他共享型网络。 VPN关键技术  RFC （Request For Comments）：“请求注解”， 包含了关于Internet的几乎所有重要的文字资料。  RFC 2194：第一个VPN RFC ，1997年9月14 日 发布。  自1999年4月17 日之后，有10个RFC直接涉及 VPN 。  有80多个RFC涉及隧道。 VPN关键技术  隧道技术：VPN 的基本技术，它在公用网建立一条数据通 道（隧道），让数据包通过这条隧道传输。  隧道由隧道协议形成，常用的有第2、3层隧道协议。  密码技术：  加解密技术：在VPN应用中将认证信息、通信数据等由明文转换 为密文的相关技术，其可靠性主要取决于加解密的算法及强度。  身份认证技术：在正式的隧道连接开始之前需要确认用户的身 份，以便系统进一步实施资源访问控制或用户授权。  密钥管理技术：如何在公用数据网上安全地传递密钥而不被窃取。  QoS技术：保证VPN 的性能稳定，在管理上满足企业的要 求。(连接，稳定性，网络时延，误码率） VPN 的隧道技术 对通过隧道的数据进行处理的两个基本过程：加密和封装。  加密：  保证VPN 的“私有性”；  通信双方数据的加密涉及到：加密方法的选择、密钥的交换、密 钥的管理等。  封装：  构建隧道的基本手段；  使得隧道能够实现信息的隐蔽和信息的抽象。  将一种协议封装在另一种协议中传输，从而实现被封装协议对封 装协议的透明性，保持被封装协议的安全特性。 用户数据经过协议栈的封装过程 VPN 的隧道技术  安全协议：就是构建隧道的“隧道协议” 。  IP隧道协议：使用IP协议