第7章：虚拟专用网.pptVIP

7.1 虚拟专用网介绍 利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，Virtual Private Network），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等 7.1 虚拟专用网介绍 VPN的主要功能 加密：通过网络传输分组之前，发送方可对其进行加密。这样，即使有人窃听，也无法读懂其中的信息 数据完整性：接收方可检查数据通过internet传输的过程中是否被修改 来源验证：接收方可验证发送方的身份，确保信息来自正确的地方 VPN连接的主要优点 费用更低 业务更灵活 简单化了管理工作 隧道化网络拓扑降低了管理负担 7.1 虚拟专用网介绍 1．虚拟专用网的分类 二层隧道协议主要有三种： PPTP（Point to Point Tunneling Protocol，点对点隧道协议） L2F（Layer 2 Forwarding，二层转发协议） L2TP（Layer 2 Tunneling Protocol，二层隧道协议）。 三层隧道协议主要有三种 Generic Routing Encapsulation（GRE）协议 IPSec协议 7.1 虚拟专用网介绍 1．虚拟专用网的分类 按VPN的应用分类 远程访问虚拟网（Access VPN） 企业内部虚拟网（Intranet VPN） 企业扩展虚拟网（ExtranetVPN） 7.1 虚拟专用网介绍 1．虚拟专用网的分类 按VPN的应用分类 企业扩展虚拟网（ExtranetVPN） Extranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。 7.1 虚拟专用网介绍 1．虚拟专用网的分类 按所用的设备类型进行分类 路由器式VPN 路由器式VPN部署较容易，只要在路由器上添加VPN服务即可。 交换机式VPN 主要应用于连接用户较少的VPN网。 防火墙式VPN 防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型。 7.1 虚拟专用网介绍 虚拟专用网的特点 成本低 通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。 传输数据安全可靠 虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。 连接方便灵活 用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。 完全控制 虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。 7.1 虚拟专用网介绍 VPN主要采用四项技术 隧道技术(Tunneling)； 加解密技术(EncryptionDecryption)； 密钥管理技术(KeyManagement)； 使用者与设备身份认证技术(Authentication)。 7.2 远程VPN 远程访问VPN是一台独立的VPN客户计算机向VPN服务器发起的VPN连接，Windows的远程访问VPN服务是作为路由和远程访问服务（RRAS）的一个组件来提供，它支持PPTP或者L2TP/IPSec协议的VPN连接。在这篇文章中，我给大家介绍如何在Windows Server 2003中部署远程访问VPN服务，从而支持VPN客户端使用PPTP和L2TP/IPSec协议进行远程访问VPN连接。 7.2 远程VPN VPN部署需要考虑四个方面 身份验证方式（Windows或RADIUS） 身份验证方法（MS-CHAP、MS-CHAP v2、EAP-TLS） 用户拨入授权方式（显式允许访问或远程访问策略授权） VPN客户地址分配方式（使用内部网络中的DHCP服务或者使用静态IP地址范围） 对于L2TP/IPSec，你还需要部署证书服务。 7.3 站点到站点的VPN 站点到站点VPN连接是一种请求拨号连接，它使用VPN隧道协议(PPTP或L2TP/IPSec)来连接不同的专用网络，连接两端的每个VPN服务器都提供一个到达自己所属本地专用网络的路由连接。 7.3 站点到站点的VPN 和远程访问VPN的区别 它是将一台单独的计算机连接到网络中不同，站点到站点VPN连接整个网络。当两台VPN服务器创建站点到站点VPN连接后，连接两端的VPN所属的专用网络均可以访问另一端的远程网络，就像访问本地网络一样。 7.3 站点到站点的VPN 站