第7章节vpn技术跟安全协议.pptVIP

第7章 VPN技术与安全协议 内容提要 通过本章的学习，学生应该掌握以下内容： 了解虚拟私用网络的概念和作用； 理解IPSec工作原理； 理解虚拟私用网络的解决方案； 通过实验掌握在windows 2000中配置VPN连接。 问题的提出 随着Internet的增长，许多公司都开始考虑：“如何充分利用Internet为公司的业务服务?” 最初，只是通过WWW方式向用户提供公司的图片、产品及服务。 现在的焦点已转移到电子商务，对于那些基于传统信息系统的关键性商务应用及数据，希望能通过无处不及的Internet来实现方便快捷的访问，且企业的信息是安全的。 通过安全的虚拟专用网络的实现，可以把公司的业务安全地、有效地拓展到世界各地。 1. VPN的概念 虚拟专用网（Virtual Private Network， VPN）提供了一种在公共网络上实现网络安全保密通信的方法。 特征 虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络 专用(P)：只有企业自己的用户才可以联入企业自己的网络 网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降低网络的使用成本 VPN与逻辑等同网络 VPN是企业网在Internet等公共网络上的延伸，通过一个专用的通道来创建一个安全的连接。 VPN通过安全的数据通道将远程用户、公司分支机构、公司的业务合作伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。Internet服务提供商（ISP）提供高性能、低价位的Internet接人（直接通过线路或本地电话号码），这样公司就可以摆脱以前使用的昂贵的租用线路。 VPN扩展的企业网络 VPN的主要作用之一 VPN的主要作用之二 VPN数据安全性 VPN数据传输的安全需求主要通过三种基本要素来实现 认证 确保所连接的远程设备的正确性。 加密 确保所传输的数据对于第三方来说是没有任何意义的。 完整性 确保任何对数据的修改都可以被检测出来。 2.VPN协议 VPN基于隧道(Tunneling)技术 普通路由选择封装(GRET)隧道 点对点隧道协议(PPTP) 第二层隧道协议(L2TP) IP安全协议(IPSec) 普通路由选择封装 (GRET) 最简单，配置方便 数据在隧道上传输时，封装成GRE数据格式 图中路由器A和路由器D之间建立GRE隧道 路由器B和路由器C无法看到原始分组 配置路由器A和路由器D的GRE隧道 RouterA#configure terminal 4w5d: %SYS-5-CONFIG_I: Configured from console by console Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#interface FastEthernet1/0 RouterA(config-if)#ip address RouterA(config-if)#no shutdown RouterA(config-if)#exit RouterA(config)#interface Tunnel1 RouterA(config-if)#ip address 52 RouterA(config-if)#tunnel destination RouterA(config-if)#tunnel source RouterA(config-if)#end RouterA# 配置路由器A和路由器D的GRE隧道 RouterD#configure terminal 4w5d: %SYS-5-CONFIG_I: Configured from console by console Enter configuration commands, one per line. End with CNTL/Z. RouterD(config)#interface FastEthernet1/0 RouterD(config-if)#ip address RouterD(config-if)#no shutdown RouterD(config-if)#exit RouterD(config)#interface Tunnel1 RouterD(config-if)#ip address 52 RouterD(config-if)#tunnel destination RouterD(config-if)#tunnel source RouterD(config-if)#end RouterD# 缺点 管理费用高、隧道的