网络安全理论与实践-教案设计-第5讲VPN教案设计.docVIP

第1章 概述 金陵科技学院教案【教学单元首页】 第 1 次课 授课学时 4 教案完成时间： 2018.2 章、节 第5讲 VPN技术 主要内容 VPN的基本概念和分类 PPTP、IPSec、TLS等隧道协议 IPSec VPN的原理及应用 TLS VPN的原理及应用 PPTP VPN的原理及应用 MPLS VPN的原理及应用 目的与要求 重点与难点 教学方法与手段 课堂教学，多媒体课件与板书相结合  授 课 内 容 内 容 备 注 1 VPN的基本概念和分类 1.1 VPN的概念 虚拟专网：VPN (Virtual Private Network) VPN定义：指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网。 实现了内部网信息在公用信息网中的传输。 公用 网起到“虚拟”的效果。 对每个使用者来说是“专用 ”的。 1.2 VPN的特点 费用低：比专线便宜 安全保障：隧道、加密 服务质量保证（QoS）：不同等级的QOS覆盖性、稳定性、时延、误码率，etc. 可扩充性和灵活性 ：增加新节点、多种类型传输媒介、多媒体文件、带宽 可管理性 ：安全管理、设备管理、配置管理、访问控制列表管理、QOS管理,etc. 1.3 VPN的分类 网关-网关VPN 远程访问VPN 1.4 VPN的关键技术 隧道技术： 第2层的隧道协议：网络协议先封闭到PPP，再封闭到隧道协议。包括L2F、PPTP、L2TP等； 第3层的隧道协议：直接封闭到隧道协议。包括 IPSec、GRE、VTP等。 加/解密技术 密钥管理技术 SKIP：利用diffie-hellman ISAKMP/OAKLEY：利用公钥体制 身份认证技术 访问控制： 谁能够访问系统 能访问系统的何种资源 如何使用这些资源 2 PPTP、IPSec、TLS等隧道协议 2.1 隧道协议与VPN： 定义：指通过一个公用网络（通常是Internet）建立的一条穿过公用网络的安全的、逻辑上的隧道。在隧道中，数据包被重新封装发送。 VPN的主要封装协议： 第2层的隧道协议： --包括PPTP、L2TP、L2F等； --主要用于构建远程访问VPN 第3层的隧道协议： --包括IPSec、GRE、VTP等 --主要用于LAN-to-LAN VPN 数据包在隧道中的封装及发送过程 封装: IP封装化：在原IP分组上添加新的报头。 发端VPN在对IP数据包前加新报头封装后，将封装后的数据包通过Internet发送给收端VPN。 收端VPN在接收到封装数据包后，将隧道标头删除，再发给目标主机。 发送: 2.2第二层隧道协议:远程访问VPN PPTP： 让远程用户拨号连接到本地ISP、通过Internet安全远程访问公司网络资源。 Client-to-Lan型隧道协议 本身对PPP没有修改，安全性比PPP还弱 PPTP具有两种不同的工作模式： 被动模式：ISP的前端处理器发起，client不需要安装与PPTP有关的软件。降低了对client的要求。 主动模式：不需要ISP参与，client拥有对PPTP的绝对控制。对client要求高。 L2F： 可以在多种介质（如AMT、帧中继、IP网）上建立多协议的安全虚拟专用网。 它将链路层的协议（如HDLC，PPP，ASYNC等）封装起来传送 按常规方式拨号到ISP的接入服务器NAS，建立PPP连接；然后NAS根据用户名等信息发起第二重连接，呼叫用户网络的服务器。 缺陷：没有加密，安全性定，被淘汰。 L2TP： PPTP+L2F，在上述两种协议的基础上产生。 IETF的2层隧道标准 适合组建远程接入方式的VPN。 远程拨号用户通过本地PSTN、ISDN、PLMN拨号，接入ISP在当地的接入服务器NAS，NAS对用户身份进行谁，并获得用户对应的企业安全网关的隧道属性。NAS采用隧道协议封装上层协议，建立一个NAS和本地网络服务器LNS之间的VPN。 二层VPN协议的优缺点： 优点：简单易行 缺点：（1）可扩展性都不好，（2）不提供内在的安全机制，不能保证企业和企业的外部客户及供应商之间会话的保密性。 2.3 第三层隧道协议：网关--网关VPN IPSEC: 专为IP设计提供安全服务的一种协议。 有效保护 IP数据报的安全 AH\ESP\IKE GRE（Generic Routing Encapsulation）: 规定了如何用一种网络协议去封装另一种网络协议的方法。 只提供数据包的封装，并没有采用加密功能来防止窃听和攻击，实际环境中结合 IPSec一起使用。 MPLS （Multiprotocol Label Switching）： 引入了基于标记的机制。 它把选路和转发分开，用标签来