VPN培训资料(防火墙).pptxVIP

SmartHammer 系列防火墙技术资料 ---VPN 部分 2004年11月内容介绍VPN基本概念二层隧道协议 L2TP三层隧道协议 IPSecIPSec + L2TP / IPSec + GRE典型VPN 应用实例配置IPSec VPN 隧道 InternetVPN 概述什么是 VPN?VPN (Virtual Private Network) 是通过 internet 公共网络在局域网络之间或单点之间安全地传递数据的技术分支机构远程局域网络总部VPNGateway总部网络VPNGateway单个用户ISP ModemsVPN 可以省去专线租用费用或者长距离电话费用，大大降低成本VPN 可以充分利用 internet 公网资源，快速地建立起公司的广域连接VPN 类型按照构建方式和功能的不同可将VPN分为以下3类基于加密和不加密的VPN类型 1: 加密VPN 2: 非加密VPN基于OSI模型分层的VPN类型 1: 数据链路层VPN 2: 网络层VPN 3: 应用层VPN基于商业功能性的VPN类型 1: 远程接入VPN (Acess VPN) 2: 企业内联网 （Intranet VPN） 3: 企业外联网 （Extranet VPN） 远程接入VPN （Access VPN）Intranet VPN （内联网）Extranet VPN （外联网）VPN 应用范围VPN的基本目标 ---无缝连接和保证VPN中网络交互的安全性为远程、移动办公的用户提供对公司网络资源的访问使远程办公室与公司内联网安全地进行连接控制商业伙伴、客户和提供商对公司网络资源的访问VPN的优势LAN-to-LAN 之间的广域连接 (专线方式 对比 VPN方式)上海北京深圳沈阳传统的专线 DDN/FR 方式 上海Internet北京深圳沈阳Fully meshed VPN network单个用户接入(直接拨入方式对比 VPN 方式)本地长途本地用户专用Modems公用电话网络VPNClientLANVPNGatewaySecure VPN TunnelISPModemsRouterInternet节省资金 (降低 30-70% 的网络费用)免去长途费用降低建立私有专网的费用用户不必设立自己的 Modem PoolInternet 对于用户来说，可以以任何技术任何地点访问Internet 的容量完全可以随着需求的增加而增长提供安全性强大的用户认证机制数据的私有性以及完整性得以保障不必改变现有的应用程序、网络架构以及用户计算环境网络现有的 Routers 不用作任何修改现有的网络应用完全可以正常运行对于最终用户来说完全感觉不到任何变化Internet VPN的基本概念：隧道，加密以及认证隧道隧道是在公网上传递私有数据的一种方式Tunnels employ a technique called “encapsulation”安全隧道是指在公网上几方之间进行数据传输中，保证数据安全及完整的技术加密保证数据传输过程中的安全认证保证 VPN 通讯方的身份确认及合法SmartHammer 的完整VPN解决方案特性 符合IPSec特性防火墙隧道机密性远程管理第二层隧道协议 L2TP L2TP概述 是一种二层隧道协议，它扩展了PPP的模型，通过二层隧道可以把PPP会话的逻辑终点延伸到目的访问网关。这样，企业的本地局域网就可以为远程拨号用户分配一个企业内部网的IP地址，从逻辑上看，远程出差员工的手提电脑已经通过一块Ethernet网卡直接连接到企业网络，于是用户数据包可以通过防火墙到达企业内部网，该员工可以访问任何其有权使用的企业内部共享资源。此外，企业本地局域网也可以对远程拨号用户进行AAA（认证、授权和计费）管理和会话监控。 约定术语解释：LAC:L2TP访问集中器，进行PPP处理以及L2TP处理，它将已成帧的PPP分组进行适当的处理并封装入L2TP之中，发送给LNS。它是入站呼叫的发起者、出站呼叫的接收者，是L2TP协议的客户/服务器模式的客户端LNS:L2TP的服务器端，在LNS处，能进行L2TP封装或解封，并能进行PPP处理。又称L2TP网络服务器CHAP:挑战握手鉴别协议，是一种通过PPP协议交换鉴别信息的鉴别协议。该鉴别协议密钥不被明文传输PAP:口令鉴别协议。通过传输明文的用户名和口令达到证明身份的目的。会话：当远程拨号用户和LNS之间发起一次端到端的连接时，就形成了一条会话。隧道：一对LAC和LNS定义了一条或多条隧道。L2TP隧道类型 强制隧道模式自愿隧道模式L2TP强制隧道模式L2TP自愿隧道模式L2TP的功能细节L2TP隧道的建立通过两个阶段协商阶段1：在LAC和LNS之间建立一个控制会话阶段2：建立实际传输数据的L2TP隧道（也