第09章-虚拟专用网.ppt

第9章 虚拟专用网 引入举例： 出差在外的员工远程连入单位内部网进行移动办公；某些组织处于不同城市的分支机构进行远距离互连；企业与商业伙伴的网络之间安全连接。 早期方法： 员工拨号接入内部网，通信费用高，不安全 分支机构和商业伙伴直接铺设网络线路或租用运营商的专线，成本高，实现困难。 虚拟专用网： 物理的公共网络Internet上 建立逻辑的专用通道，建立可信的安全连接。 虚拟专用网解决方案 大幅度减少在网络基础设施上的投入；还可以使企业将精力集中到自己的业务上，而不是网络上。 第9章 虚拟专用网 9.1 VPN概述 9.2 隧道技术 9.3 实现VPN的二层隧道协议 9.4 实现VPN的三层隧道协议 9.5 MPLS VPN 9.6 SSL VPN 9.1 VPN概述 VPN不是一种独立的组网技术，而是一组通信协议，利用Internet基础设施为用户创建隧道，仿真专用的广域网，提供与专用网络一样的安全和功能保障，供隧道的两个端点之间安全地传输信息。 -9.1 VPN概述 9.1.1 VPN的概念 9.1.2 VPN的基本类型 9.1.3 VPN的实现技术 9.1.4 VPN的应用特点 9.1.1 VPN的概念 VPN（Virtual Private Networks 虚拟专用网）：利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能的安全数据通道，实现不同网络及用户与网络之间的相互连接。 IETF草案对于IP网络的VPN定义为： 使用IP机制仿真出一个私有的广域网。 VPN的特点（3） 虚拟 不需要建立专用的物理线路 专用 VPN不是任何连接在公共网络用户都可使用，必须授权用户才可使用 网络 对VPN授权用户，使用VPN与使用传统网络一样 VPN为了确保传输数据的安全，提供的特性 1）隧道机制 2）加密保护 3）完整性保护 4）用户身份认证 5）防止恶意攻击 VPN vs 传统数据专网 的优势（5） 远端用户、驻外机构、分支机构、合作伙伴与公司总部之间建立可靠、安全的连接。对于电子商务、金融网络和通信网络的融合特别重要 企业更低的成本连接远地办事机构、出差的和商业伙伴 通过软件配置就可增加、删除VPN用户，无需改动硬件设施 支持驻外VPN用户任何时间、任何地点的移动介入，满足不断增长的移动业务需求。 为VPN用户提供不同等级的服务质量保证。 VPN的发展经历 4代 1）传统VPN，以FR/ATM技术为主，让位于IP网络 2）早期VPN，基于PPTP/L2TP隧道协议，适合拨号方式远程访问，加密及认证方式较弱。 3）主流VPN，以IPSec/MPLS技术为主，兼顾IP网络安全和分组交换性能。 4）迅速发展的VPN，以SSL/TLS技术为主，通过应用层加密和认证实现高效、简单灵活的VPN安全传输功能，但 VS ( IPSec VPN )？ 9.1.2 VPN的基本类型 内联网VPN（Intranet VPN ）分支机构 外联网VPN（Extranet VPN ）外部伙伴 远程接入VPN（Access VPN）移动到外网 内联网VPN 具有多个分支机构的组织在进行区域网互连时，采用内联网VPN 内联网VPN结构 图9-1 p203 外联网VPN-1 企业与合作伙伴之间联系，企业根据不同的用户身份（如供应商、销售商等）进行授权访问，建立身份认证和访问控制机制。 外联网VPN的典型结构 外联网VPN-2 在外联网VPN，位于不同内部网络LAN1，LAN2的主机在功能上是不平等的 外联网在内联网的基础上增加了身份认证、访问控制等安全机制。 远程接入VPN 又称移动VPN，主要应用场景是单位内部人员在外部网络访问单位内部网络资源。 远程接入VPN结构 以前 用户通过Internet连接到单位内部网络，远程拨号需要RAS支持，而且通信以明文进行，缺乏安全型，支付长途电话费用。 现在 通过当地的ISP进入到Internet可以和公司的VPN网关建立私有的隧道连接，访问内部资源。 远程接入VPN，应用非常广泛。 例许多高校建立内部的数字资源数据库，如知网、电子图书馆、学位论文数据库，安全和版权问题，建立VPN。 9.1.3 VPN的实现技术 VPN综合利用了隧道技术、加密技术、密钥管理技术、身份认证技术。 隧道技术 加密技术 密钥管理技术 身份认证技术 9.1.3 -1 隧道技术 VPN的核心技术-隧道技术 隧道技术主要利用协议的封装来实现，用一种网络协议封装另外一种网络协议的报文。隧道的一端… 数据封装协议在OSI模型中位置不同分： 第二层封装协议：数据链路层封装，数据链路层协议传输 第三层封装协议：网络层进行数据封装，再通过网络