VPN技术及应用讲义.ppt

* THE END 计算机网络安全基础 * 计算机网络安全基础 * * Access VPN 这种类型的VPN与传统的远程访问网络相对应。 如果企业的内部人员移动或有远程办公需要，可以考虑使用AccessVPN。 AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。 * Access VPN * Access VPN Access VPN工作时，远程客户通过拨号线路连接到ISP的NAS服务器上，经过身份认证后，通过公网跟公司内部的VPN网关之间建立一个隧道，利用这个隧道对数据进行加密传输。 Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。 一般使用PPTP或L2TP技术 * Access VPN Access VPN对用户的吸引力在于： 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络； 实现本地拨号接入的功能来取代远距离接入，显著降低远距离通信的费用； 极大的可扩展性，简便地对加入网络的新用户进行调度； 远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务； 宽带网环境下提供高速的远程接入。 * Access VPN的实现方式 客户驱动方式 客户端首先建立与本地ISP的PPP连接，这时客户端可访问Internet，也可访问企业网设置的VPN网关。 下一步就是建立到VPN网关的PPTP连接，连接建立后，远程用户就好像在企业网内部一样。 隧道起始于远程用户的计算机，终结于企业网内的VPN网关。 远程用户经由Internet访问企业的网络和应用，而不再需要直接拨号至企业的网络。 利用这种体系结构，用户并不需要?ISP提供与VPN相关的附加服务。ISP也感知不到用户在使用VPN服务。 这种方式一般使用PPTP协议。 * Access VPN的实现方式 网络接入服务器（NAS）驱动的连接 远端用户首先拨号到ISP的拨号服务器NAS。NAS在对用户进行身份验证时得知用户是一个VPN用户，然后NAS建立一条安全的、加密的隧道连接到企业网络的VPN网关。这条隧道起始于NAS，终结于企业网内的VPN网关。 利用由NAS驱动的体系结构，服务供应商对用户的身份进行验证；企业仍保留有控制他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。 使用这种体系结构需要服务供应商支持，而且存在一个问题——远端用户接入服务供应商的营业点之前的数据是未经加密的。 这种方式一般使用L2TP协议。 * Access VPN的实现方式 网络接入服务器（NAS）驱动的连接 L2TP协议通过“虚拟拨号”业务将初始拨号服务器的地点和拨号协议所连接的终点分离开来。 当“虚拟拨号”客户开始接入时，远程用户和它们的ISP的NAS之间就建立了一个PPP链路。 ISP接着对端系统或用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务，一旦确定需要，那么此用户名就会和VPN网络中心服务器联系起来。并在NAS和VPN中心服务器之间就建立了一条L2TP隧道。 目前中国电信推出的VPDN服务就是采用这种方式。 需要NAS、认证系统、计费系统、企业网VPN接入设备的支持就可以工作了。 * Access VPN * Access VPN在无线网下的应用 由于无线网提供的加密/解密手段不多，很容易被窃听 无线网用户通过在无线网上使用PPTP VPN来增强安全性 无线网用户通过普通的网络连接到VPN Server，然后在无线网节点和VPN server间建立VPN VPN可以保证从无线网节点到VPN Server之间的通信都是安全的 * 案例 需求： 中国科学技术大学为外部移动用户提供VPN接入服务，接入VPN后的用户拥有校内用户完全相同的访问权限，以便访问各种校内外电子资源 设计： 建设一个Access VPN系统 校内设置一台VPN服务器，运行Windows 2000 Server作为PPTP 接入服务器 使用PPTP 接入服务器使用radius协议对用户的接入请求进行身份验证 * 科大的VPN解决方案 PPTP Server Radius Server Remote User 其中还要考虑策略路由 Internet出口 Internet * LAN-LAN型VPN 企业内部各分支机构的互