虚拟专用网络技术演示课件.pptVIP

* 《计算机网络与信息安全技术》教学课件 V08.08 * 虚拟专用网络技术 第 10 章 好好的 基本内容 互联网的普及使得远程网络互联的应用大为增加，特别是跨地区企业的内部网络应用、政府部门的纵向分级网络管理等。网络安全风险又使得这种应用存在严重的隐患。虚拟专用网络技术为这种应用保驾护航。 好好的 10.1 VPN技术概述 虚拟专用网（Virtual Private Network，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 10.1.1 VPN的概念 VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 VPN是对企业内部网的扩展。一般以IP为主要通讯协议。 好好的 10.1 VPN技术概述 VPN是在公网中形成的企业专用链路。采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。 10.1.1 VPN的概念(续) 好好的 10.1 VPN技术概述 隧道是一种利用公网设施，在一个网络之中的“网络”上传输数据的方法。隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。 10.1.1 VPN的概念(续) ①隧道开通器(TI)； ②有路由能力的公用网络； ③一个或多个隧道终止器(TT)； ④必要时增加一个隧道交换机以增加灵活性。 隧道基本要素 好好的 10.1 VPN技术概述 10.1.2 VPN的基本功能 VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。 VPN的基本功能至少应包括： 1）加密数据 2）信息验证和身份识别 3）提供访问控制 4）地址管理 5）密钥管理 6）多协议支持 好好的 10.1 VPN技术概述 10.1.3 VPN的特性 安全性 隧道、加密、密钥管理、数据包认证、用户认证、访问控制 可靠性 硬件、软件、基础网络的可靠性 可管理性 记帐、审核、日志的管理 是否支持集中的安全控制策略 可扩展性 成本的可扩展性，如使用令牌卡成本高 性能，是否考虑采用硬件加速加解密速度 好好的 10.1 VPN技术概述 10.1.3 VPN的特性(续) 可用性 系统对应用尽量透明 对终端用户来说使用方便 互操作性 尽量采用标准协议，与其他供应商的设备能互通 服务质量 QoS 通过Internet连接的VPN服务质量很大程度取决于Internet的状况 多协议支持 好好的 10.2 VPN协议 VPN主要采用以下四项技术来保证安全： ◆隧道技术 ◆加解密技术 ◆密钥管理技术 ◆使用者与设备身份认证技术 10.2.1 VPN安全技术 加解密技术、密钥管理技术、使用者与设备身份认证技术在第五章已作介绍，VPN只是对这几种技术的应用。下面重点介绍隧道技术 好好的 10.2 VPN协议 10.2.2 VPN的隧道协议 VPN中的隧道是由隧道协议形成的，VPN使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。 PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共因特网络发送。 L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM。 IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。 好好的 10.2 VPN协议 10.2.2 VPN的隧道协议 NSRC、NDST是隧道端点设备的IP地址 公网上路由时仅仅考虑NSRC、NDST 原始数据包的DST、SRC对公网透明 DST SRC DATA NDST NSRC DST SRC DATA 好好的 10.2 VPN协议 10.2.