返回
计算机网络安全(下)ppt

计算机网络安全(下)ppt

ID:37925134

大小:2.29 MB

页数:158页

时间:2019-06-02

计算机网络安全(下)ppt_第1页
计算机网络安全(下)ppt_第2页
计算机网络安全(下)ppt_第3页
计算机网络安全(下)ppt_第4页
计算机网络安全(下)ppt_第5页
资源描述:

《计算机网络安全(下)ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机网络安全(下)计算机网络安全第六章第六章虚拟专用网络虚拟专用网络概述;点对点IP隧道;虚拟接入网络;虚拟专用局域网服务。专用网络指由专用点对点链路互连物理上分散的多个子网的内部网络,它的特点是使用本地地址、独占网络资源,信息在封闭的内部网络内传输。虚拟专用网络指由公共分组交换网络互连物理上分散的多个子网的内部网络,但和采用专用点对点链路互连的专用网络具有相同安全和使用本地地址的特性。6.1虚拟专用网络概述VPN发展过程;VPN安全机制。一个大型企业的企业内部网络往往由物理上分散的多个子网组成,实现各个子网互连的基本原则是安全、方便和节省

2、,虚拟专用网络(VPN)技术就是一种安全、方便和节省地实现物理上分散的多个子网互连的技术。VPN发展过程使用本地地址;专用点对点链路互连;数据在内部网络内传输;分组交换结点完全属于内部网络;网络资源由单一单位管理。专用网络结构缺点:互连子网的专用点对点物理链路的低效率、高费用和不方便。由于虚电路经过分组交换结点,数据传输的安全性无法保证;建立虚电路时,可以为虚电路预留资源,如物理链路带宽,因此,子网间传输带宽有基本保证;由于虚电路采用分组交换方式,每一条虚电路的通信费用比点对点专用链路便宜;对于IP网络,虚电路属于链路层,因此,不影响使用本地

3、地址;提供虚电路服务的城市受到限制,因此,子网所在地域也受到限制,方便性受到影响。VPN发展过程基于虚电路的VPN结构IP隧道是基于IP网络的虚拟点对点链路,用于传输用本地地址封装的IP分组;由于IP隧道和其他端到端传输路径共享分组交换结点和物理链路,因此,传输安全性不能保证;IP网络是尽力而为网络,不能保证子网间传输质量(带宽、传输时延、时延抖动等不能确定);IP网络的广泛性使得子网间互连不仅便宜,而且方便。VPN发展过程用IP隧道互连子网的VPN结构正常的拨号接入需要建立远程接入用户和路由器之间的点对点语音信道,如果两者相距甚远,通信费用

4、很贵;终端接入Internet,路由器也接入Internet,终端和路由器之间建立基于IP网络的第2层隧道,该隧道等同于语音信道这样的点对点链路;由于远程接入用户接入内部网络时,需要由路由器通过PPP完成远程接入用户身份认证、内部网络本地地址分配等接入控制功能,第2层隧道提供PPP要求的点对点传输服务。VPN发展过程虚拟接入网络(1)-自愿隧道自愿隧道是终端先接入Internet,然后建立基于IP网络的终端和内部网络路由器之间的第2层隧道,最后,通过第2层隧道提供的等同于语音信道的传输服务,路由器通过PPP完成终端接入内部网络所要求的接入控制

5、过程;当终端建立和LAC之间的语音信道,并确定远程接入用户要求接入内部网络,由LAC建立和路由器之间的第2层隧道,并在远程接入用户和路由器之间完成PPP帧的中继过程,对于LAC和路由器之间的第2层隧道,远程接入用户是透明的。VPN发展过程虚拟接入网络(1)-强制隧道多个以太网通过边缘路由器(CE)接入Internet,但这几个以太网不是由路由器互连的独立的网络,而是能够提供单个以太网服务的虚拟专用局域网;这里的关键点是CE和CE之间的第2层隧道,对于IP网络,CE是路由器,用于转发第2层隧道格式的IP分组,对于物理上分散的多个以太网,CE是网

6、桥,一端连接本地以太网,另一端通过等同于虚拟线路的第2层隧道连接其他以太网;终端A、B和C是连接在同一个以太网上三个终端,分配网络地址相同的IP地址。VPN发展过程VPLS网络结构VPN安全机制用IP网络实现互连的VPN一般采用隧道机制;建立隧道时,对隧道两端进行认证,并约定类似加密算法、完整性检测算法、密钥等安全参数;经过隧道传输的数据进行加密运算,接收端进行完整性检测和发送端认证。6.2点对点IP隧道网络结构;IP分组传输机制;安全机制。多个子网通过点对点IP隧道实现互连,由于这些子网使用本地地址,因此,必须先封装成以隧道两端全球IP地址

7、为源和目的地址的隧道格式,为了安全传输,隧道两端建立双向的安全关联,经过隧道传输的数据,采用IPSec隧道模式,通过加密和完整性检测实现数据经过隧道的安全传输。网络结构三个子网LAN1、LAN2和LAN3使用本地地址;路由器R1、R2和R3是边缘路由器,一端连接本地子网,一端连接Internet;建立边缘路由器之间的IP隧道,隧道两端是边缘路由器连接Internet端口;边缘路由器其中一个子网是直接连接,另两个子网通过隧道连接下一跳,由于隧道等同于点对点链路,无需给出下一跳IP地址。对于隧道格式,目的地址对应的下一跳是Internet中连接边

8、缘路由器的路由器。IP分组传输机制当终端A向服务器B发送IP分组时,终端A构建以终端A和服务器B本地地址为源和目的IP地址的IP分组,根据终端A配置默认网关,将IP

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。