虚拟专用网技术.ppt

11.2 VPN实现技术 密钥管理——IKE IKE主要是用来协商和建立IPSec通信双方的所采用的加密算法、验证算法、封装协议和有效期进行协商，同时安全地生成以上算法所需的密钥。 11.2 VPN实现技术 第四层隧道协议 SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。 SSL（Secure Sockets Layer）是由Netscape公司开发的一套Internet数据安全协议，已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。 SSL协议可分为两层： SSL记录协议（SSL Record Protocol） SSL握手协议（SSL Handshake Protocol） 11.2 VPN实现技术 SSL VPN的工作原理： 首先，由SSL VPN生成自己的根证书和服务器证书。 接着，客户端浏览器下载并导入SSL VPN的证书。并通过HTTPS协议向SSL VPN发送认证请求，SSL VPN接受请求，客户端实现对SSL VPN服务器的认证。 然后，服务器通过口令方式（或数字证书等多重认证方式）认证客户端。这样，就在浏览器和SSL VPN服务器之间建立了一条SSL安全通道。 11.2 VPN实现技术 SSL VPN工作在传输层之上，使用标准的HTTPS协议传输数据，可以穿越防火墙，避免了抵制转换NAT的问题。 而在IPSec VPN中，由于工作在网络层之上，并不能很好地解决包括NAT转换、防火墙穿越的问题。 但是当使用基于SSL协议通过Web浏览器进行VPN通信时，对用户来说外部环境并不是完全安全的。因为SSL VPN只对通信双方的某个应用通道进行加密，而不是对在通信双方的主机之间的整个通道进行加密。 11.3 VPN的应用方案 L2TP应用方案 L2TP构建的VPN 11.3 VPN的应用方案 IPSec应用方案 IPSec是VPN在网络层的实现，IPSec的灵活性可以给VPN的实现带来极大的便利。 不同强度级别IPSec保护的数据流 11.3 VPN的应用方案 针对VPN网关类型为（路由器 ―― 路由器）的解决方案 图11.15 VPN网关类型为：路由器-路由器 11.3 VPN的应用方案 针对VPN网关类型为（路由器 —— 防火墙）的解决方案 图11.16 VPN网关类型为：路由器-防火墙 11.3 VPN的应用方案 针对VPN网关类型为（路由器 —— 移动用户）的解决方案 图11.17 VPN网关类型为：路由器-移动用户 11.3 VPN的应用方案 SSL VPN应用方案 Web浏览器模式的解决方案 图11.18 SSL VPN—Web浏览器模式的解决方案 11.3 VPN的应用方案 客户端模式的解决方案 图11.19 SSL VPN—客户端模式的解决方案 11.3 VPN的应用方案 LAN到LAN模式的解决方案 SSL VPN—LAN到LAN模式的解决方案 目录 11.1 VPN的基本概念 11.2 VPN实现技术 11.3 VPN的应用方案 11.1 VPN的基本概念 VPN Virtual Private Network，虚拟专用网络，虚拟出来的企业内部专线。 传统意义上的VPN 在DDN网或公用分组交换网或帧中继网上组建VPN。 基于IP的VPN 依靠ISP和其它NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术。 11.1 VPN的基本概念 VPN的工作原理 VPN的定义：是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括IP网络、帧中继网络和ATM网络。 原理上来说，VPN就是利用公用网络（通常是互联网）把远程站点或用户连接到一起的专用网络。与使用实际的专用连接（例如租用线路）不同，VPN使用的是通过互联网路由的“虚拟”连接，把公司的专用网络同远程站点或员工连接到一起。 11.1 VPN的基本概念 VPN采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。 11.1 VPN的基本概念 VPN的分类 按VPN的应用方式进行分类 拨号式VPN 专用式VPN 按VPN的应用平台分类 软件平台VPN 专用硬件平台VPN 辅助硬件平台VPN 11.1 VPN的基本概念 11.1 VPN的基本概念 按VPN的协议分类 第二层协议：PPTP、L2F、L2TP 第三层协议：GRE、IPSec 第二层协议-第三层协议之间（2.5层）：MPLS 第四层隧道协议：SSL VPN