[互联网]虚拟专用网VPN和网络地址转换NAT.ppt

第三部分TCP/IP网络互连 第8章 虚拟专用网（VPN）和网络地址转换（NAT） 内容摘要虚拟专用网的概念虚拟专用网的应用网络地址转换NAT的概念NAT与访问控制的应用NAT与其他技术比较 8.1 虚拟专用网8.2 网络地址转换 8.3 综合应用 8.1 虚拟专用网 虚拟专用网，之所以称之为虚拟因为它不是一个物理的存在的网络。两个不同的物理网络之间的连接由通道来建立。而专用网，是因为为了提供传输的机密性，将虚拟的通信信道进行加密。 1.ＶＰＮ的分类 根据应用的类型，VPN可分为远程访问虚拟网（Access VPN）、内部虚拟网（Intranet VPN）和扩展虚拟网（Extranet VPN）三种类型。这三种VPN分别对应于传统的远程访问网络、机构或企业内部的Intranet和以机构或企业网络为基础构建的Extranet。 2．VPN使用的协议 VPN使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。 3．VPN的身份验证方法 VPN进行身份验证的几种方法。 CHAP， MS-CHAP，MS-CHAP v2和EAP。在Windows系统中，对于采用智能卡进行身份验证，将采用EAP验证方法；对于通过密码进行身份验证，将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。 4．IP安全加密IPSec （1）IPSec的几个基本功能 数据机密性（Data confidentiality） IPSec传送者在将数据发送并穿越网络之前就加密数据包； 数据完整性（Data integrity） IPSec接收者在收到IPSec传送者发送来的数据时，可以验证数据包以确保数据在传送过程中未被改动； 数据源验证（Data origin authentication） IPSec接收者可以验证发送IPSec数据包的源头。此服务依附于数据完整性服务。 反重播（Anti-replay） IPSec接收者可以检测并拒收重播数据包。 （2）IPSec的基本概念 两种传送模式（Transport Mode） 加密算法 密钥交换算法 验证算法 IKE（Internet Key Exchange，Internet密钥交换） SA（Security Association，安全联盟） （3）IPSec会话的五个主要过程 定义要进行安全传输数据； IKE-1：通过协商IKE SA来验证IPSec对端体，并建立起一个可以在IKE-2协商IPSec SA的安全通道； IKE-2：IKE协商IPSec SA的参数并在对端体之间建立起匹配的IPSec SA； 数据传输：IPSec通道被正确地建立起来，数据在IPSec对端体之间进行安全传输； IPSec通道被终止。 8.1.1VPN的应用 8.2 网络地址转换 网络地址转换（NAT）用于将一个地址段映射到另一个地址段的标准方法。NAT允许一个机构的内部网络通过Internet上注册的合法地址接入Internet网络。由于IPv4的地址日趋紧张，尽管可以实用IPv6，但是近期内NAT仍然作为解决Internet地址空间不足问题的方案之一。 使用NAT的几种情况： 连接到internet，但却没有足够的合法地址分配给内部主机。 更改到一个需要重新分配地址的ISP。 有相同的IP地址的两个网络。 支持负载均衡。 8.2.2 访问控制和NAT 无论在那个厂家的路由器或防火墙设备，NAT都和访问控制列表共同作用于网络的控制。NAT的几个地址概念： 1．内部本地地址 2．内部全局地址 3．外部本地地址 4．外部全局地址 8.2.3 NAT和访问控制的应用 NAT技术的应用，大致分为3种地址翻译方式。即静态地址转换、动态地址转换、复用动态地址转换。 静态地址转换 静态地址转换将内部本地地址与内部合法地址进行一对一地转换，且需要指定与哪个合法地址进行转换。如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务，则这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。静态地址转换基本步骤如下： 步骤1、在内部本地地址与内部全局地址之间建立静态地址转换。在全局设置状态下输入： ip nat inside source static 内部本地地址 内部全局地址 例如：ip nat inside source static 01 31 步骤2、指定连接内部网络的内部端口，在连接内网的端口设置状态下输入： ip nat inside 步骤3、指定连接外部网络的外部端口，在连接外网的端口设置状态下输入： ip nat outside 注：可以根据实际需要定义多个内部端口及多个外部端口。 动态地址