清华版网络安全教案第9章.pptVIP

图9.9 L2TP数据报文 第六十二页，共八十一页。 数据发送端的发送处理过程如下： （1） L2TP封装。初始PPP有效载荷如IP数据报、IPX数据报或NetBEUI帧等首先经过PPP报头和L2TP报头的封装。 （2） UDP封装。L2TP帧进一步添加UDP报头进行UDP封装，在UDP报头中，源端和目的端端口号均设置为1701。 （3） IPSec封装。基于IPSec安全策略，UDP报文通过添加IPSec封装安全负载ESP报头、报尾和IPSec认证报尾，进行IPSec加密封装。 第六十三页，共八十一页。 （4） IP封装。在IPSec数据报外再添加IP报头进行IP封装，IP报头中包含VPN客户机和服务器的源端和目的端IP地址。 （5） 数据链路层封装。数据链路层封装是L2TP帧多层封装的最后一层，依据不同的物理网络再添加相应的数据链路层报头和报尾。例如，如果L2TP帧将在以太网上传输，则用以太网报头和报尾对L2TP帧进行数据链路层封装；如果L2TP帧将在点对点WAN上传输，如模拟电话网或ISDN等，则用PPP报头和报尾对L2TP帧进行数据链路层封装。 第六十四页，共八十一页。 数据接收端的处理过程如下： （1） 处理并去除数据链路层报头和报尾。 （2） 处理并去除IP报头。 （3） 用IPSec ESP认证报尾对IP有效载荷和IPSec ESP报头进行认证。 （4） 用IPSec ESP报头对数据报的加密部分进行解密。 （5） 处理UDP报头并将数据报提交给L2TP协议。 （6） L2TP协议依据L2TP报头中Tunnel ID和Call ID分解出某条特定的L2TP隧道。 （7） 依据PPP报头分解出PPP有效载荷，并将它转发至相关的协议驱动程序做进一步处理。 第六十五页，共八十一页。 PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同： （1） PPTP要求互联网络为IP网络，L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP）、帧中继永久虚拟电路（PVCs）、X.25虚拟电路（VCs）或ATM VCs网络上使用。 9.3.5 PPTP与L2TP的比较 第六十六页，共八十一页。 （2） PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。 （3） L2TP可以提供包头压缩。当压缩包头时，系统开销占用4个字节，而PPTP协议下要占用6个字节。 （4） L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSec共同使用时，可以由IPSec提供隧道验证，而不需要在第二层协议上验证隧道。 第六十七页，共八十一页。 第三层隧道协议用于传输第三层网络协议。其实第三层隧道协议并不是一项很新的技术，早在1994年就出现的GRE（RFC 1701）协议就是一个第三层隧道协议。由IETF制定的新一代Internet安全标准IPSec协议也是第三层隧道协议。在本节中，我们讨论GRE协议，IPSec协议将在下一章中专门讨论。 9.4 第三层隧道协议——GRE 第六十八页，共八十一页。 GRE（Generic Routing Encapsulation，通用路由封装协议）由Cisco和NetSmiths公司于1994年提交给IETF，标号为RFC 1701和RFC 1702。在2000年，Cisco等公司又对GRE协议进行了修订，称为GRE V2，标号为RFC 2784。 GRE是通用的路由封装协议，支持全部的路由协议（如RIP2、OSPF等），用于在IP包中封装任何协议的数据包，包括IP、IPX、NetBEUI、AppleTalk、Banyan VINES、DECnet等。在GRE中，乘客协议就是上面这些被封装的协议，封装协议就是GRE，传输协议就是IP。GRE与IP in IP、IPX over IP等封装形式很相似，但比它们更通用。在GRE的处理中，很多协议的细微差异都被忽略，这使得GRE不限于某个特定的“X over Y”应用，而是一种通用的封装形式。 第六十九页，共八十一页。 具体地说，路由器接收到一个需要封装和路由的原始数据包（比如IP包），先在这个数据包的外面增加一个GRE头部构成GRE报文，再为GRE报文增加一个IP头，从而构成最终的IP包。这个新生成的IP包完全由IP层负责转发，中间的路由器只负责转发，而根本不关心是何种乘客协议。以乘客协议IP为例，GRE封装过程如图9.10所示。IP头部GRE头部原始IP数据包利用GRE来进行VPN通信的原理如图9.11所示。 第七十页，共八十一页