通信网络安全 第8章.ppt

第二层隧道协议 4.L2TP:Layer Two Tunneling Protocol L2TP隧道建立过程 L2TP的连接过程 第二层隧道协议 4.L2TP:Layer Two Tunneling Protocol L2TP隧道建立过程 1）用户通过PSTN/ISDN拨号至本地接入服务器LAC；LAC接收呼叫并进行基本的辨别 2）当用户被确认合法企业用户时，就建立一个同向LNS的拨号VPN隧道 3）企业内部的安全服务器如TACAS+、RADIUS鉴定拨号用户 4）LNS与远程用户交换信息，分配IP地址 5）端到端的数据从拨号用户传到LNS 第二层隧道协议 4.L2TP:Layer Two Tunneling Protocol L2TP的报文类型 1）控制报文 第二层隧道协议 4.L2TP:Layer Two Tunneling Protocol L2TP的报文类型 1）控制报文 通过UDP封装，经过IPSec ESP加密。UDP是无连接的传输协议，L2TP采用将报文序列化方式来保证报文的按序提交，Next-received和next-sent字段用于维持报文的序列化，无序数据包将被丢弃。这两个字段同样用于用户数据传输的按序递交和流控制 L2TP支持一条隧道多路呼叫。在控制报文及数据帧的包头内，Tunnel ID标识了一条隧道，而Call ID标识了改隧道内的一路呼叫 第二层隧道协议 4.L2TP:Layer Two Tunneling Protocol L2TP的报文类型 2）数据报文 第二层隧道协议 5.PPTP与L2TP的比较 1）PPTP要求IP网络，L2TP只要隧道媒介提供面向数据包的点对点连接 2）PPTP只能在两个端点建立单一隧道，L2TP支持在两个端点之间使用多隧道，用户可以针对不同服务质量创建不同隧道 3）L2TP可以提供包头压缩 4）L2TP可以提供隧道验证，而PPTP不支持 第三层隧道协议 第三层隧道协议用于传输第三层网络协议，包括IPSec和GRE协议 GRE（generic routing encapsulation）是通用的路由封装协议，支持全部路由协议（RIP2、OSPF），用于在IP包中封装任何协议的数据包（IP、IPX、NetBEUI、AppleTalk、Banyan、VINES\DECnet） GRE中，乘客协议就是上面这些被封装的协议，封装协议是GRE，传输协议是IP 第三层隧道协议 利用GRE实现VPN GRE报文 第三层隧道协议 把原始私网IP包通过封装之后在Internet上路由，接收端解封后还原原始IP包发送到私有网络 GRE优点： 1）通过GRE，用户可以利用公共IP网络连接非IP网络。多协议的本地网可以通过单一协议的骨干网实现传输 2）通过GRE，可以使用私网地址进行网络互联，对公网隐藏企业的私网地址 3）扩大了网络的工作范围，包括哪些路由网关协议，如IPX包最多可以经过16个路由器，而在一个隧道连接看上去只经过了一个路由器 4）GRE只提供封装，不提供给加密，对路由器性能影响小，设备档次要求较低 第三层隧道协议 GRE缺点： 1）GRE只提供封装，没有加密功能来防止网络监听和攻击，所以实际上经常与IPSec一起使用 2）由于采用了与IPSec同样的基于隧道的VPN实现方式，IPSec在管理和组网上的缺陷，GRE同样具有 3）对原有IP进行了封装，所以同样无法实施IP QoS策略 Internet 公司B VPN网关A VPN网关B 公司B Host to Host 模式： 该模式要求两边主机都支持IPSec VPN网关可支持也可不支持IPSec 安全通道 安全通道 安全通道 主机必须支持IPSec 主机必须支持IPSec Gateway 可支持也可不支持IPSec Gateway 可支持也可不支持IPSec VPN隧道建立方式 Host to Host Internet 公司B VPN网关A VPN网关B 公司B Host to VPN 网关模式： 该模式要求一边的主机都支持IPSec 另一边的VPN网关必须支持IPSec 安全通道 安全通道 主机必须支持IPSec 主机可以不支持IPSec Gateway 可支持也可不支持IPSec Gateway 必须支持IPSec 非安全通道 Host to VPN VPN隧道建立方式 Internet 公司B VPN网关A VPN网关B 公司B VPN 网关to VPN网关 模式： 该模式不要求主机支持IPSec 两边的VPN网关必须都支持IPSec 非安全通道 安全通道 主机可以不支持IPSec 主机可以不支持IPSec Gateway 必须支持IPSec Gateway 必须支持IPSe