网络安全实用技术标准教程(下)ppt147.ppt

网络安全实用技术标准教程 第1章 网络安全概论 第2章 认证和访问控制技术第3章 防火墙技术 第4章 网络层防范 第5章 入侵侦测技术 第6章 虚拟专用网(VPN) 第7章 其他常用防御手段 第8章 漏洞扫描技术 第9章 其他常用攻击手段 第10章 风险评估 第11章 安全体系 第6章 虚拟专用网(VPN) 教学重点 虚拟专用网采用的技术 虚拟专用网带来的安全性 虚拟专用网自身的安全性 VPN技术概述 虚拟专用网技术 在公共网络中为特定需求的用户建立专用的通道或者网络，用户的数据可以安全的传输 VPN组的形式 专线VPN 基于客户端设备的加密VPN VPN技术分类 VPN网络按结构分类 叠加形VPN 对等形VPN VPN技术分类(续) 叠加形VPN VPN技术分类(续) 对等形VPN VPN技术分类(续) VPN按层次和应用类型分类 虚拟专用线（VLL） 虚拟专用LAN网段（VPLS） 虚拟专用路由网络（VPRN） 虚拟专用拨号网络（VPDN） 必备遂道（compulsory） 自助遂道（Voluntary Tunnels） 三层VPN技术 通用路由协议封装 GRE 通过单一协议的骨干网透明传输不同协议的远程网络 扩大网络的工作范围 IPSec IPSec是IETF制定的一组基于密码学的安全的开发网络安全协议 IPSec（IP Security）是一组开放协议的总称 IPSec VPN是一种叠加形的VPN网络 IPSec的扩展性存在问题 MPLS VPN及其相关技术 多协议标签交换 MPLS 采用二层半的标签技术 MPLS VPN及其相关技术 标签（Label） 转发等价类 FEC 标签交换通道LSP LSR LER MPLS VPN及其相关技术(续) 标签（Label）(续) MPLS信令：LDP 发现消息 会话消息 通告消息 通知消息 MPLS VPN及其相关技术(续) 标签（Label）(续) MPLS信令：RSVP Path消息 Resv消息 PathTear消息 ResvTear消息 PathErr消息 ResvErr消息 ResvConf消息 MPLS VPN及其相关技术(续) MP-BGP和BGP/MPLS VPN VPN地址重叠 MPLS VPN及其相关技术(续) MP-BGP和BGP/MPLS VPN (续) BGP解决方法 在同一台路由器上创建不同的路由表来解决 本地路由冲突 为每条不同的路由添加一个惟一的标识 同时在IP包头之外附加信息 MPLS VPN及其相关技术(续) MP-BGP和BGP/MPLS VPN (续) VRF是在PE上虚拟出来的一个路由器，包括一些特定的接口、一张路由表、一个路由协议、一个RD和一组RT规则 MPLS VPN及其相关技术(续) MP-BGP和BGP/MPLS VPN (续) VRF表的RD和RT属性 RD定义 RT定义 MPLS VPN及其相关技术(续) BGP/MPLS VPN的体系结构 路由信息分发过程 CE-PE间路由协议 MPLS VPN及其相关技术(续) 路由信息分发过程(续) PE-PE间路由协议 MPLS VPN及其相关技术(续) 路由信息分发过程(续) CE接收路由 MPLS VPN及其相关技术(续) 数据转发过程 标签交换 MPLS VPN及其相关技术(续) 数据转发过程(续) CE到PE的转发过程 MPLS VPN及其相关技术(续) 数据转发过程(续) 数据从P到PE的转发过程 MPLS VPN及其相关技术(续) MPLS VPN的优势 跨AS的MPLS VPN MPLS VPN部署 VPN的命名规则 RD的分配 RF的分配 PE-CE之间的路由协议 MPLS VPN的一般配置 VRF的配置 创建VRF 为每个VRF分配RD 确定输入和输出的RT策略 将VRF分配到接口 CE-PE之间的配置 为每个VRF配置BGP参数 配置路由 配置VRF地址信息 MPLS VPN的一般配置(续) PE之间的配置 配置BGP地址 配置MP-BGP的邻居 配置跨域的MP-BGP邻居 配置标准和扩展的BGP属性 VPN的安全性 路由隔离 隐藏MPLS核心结构 攻击防范 拒绝标记哄骗 IPSec的安全性 数据机密性 数据完整性 数据真实性 防止回放 二层MPLS VPN技术 概述 二层MPLS VPN技术的方式 基于Draft-Martini 虚电路的概念 (VC) VC的定义 基于Draft-Kompella