欢迎来到天天文库
浏览记录
ID:39662740
大小:770.00 KB
页数:38页
时间:2019-07-08
《虚拟专用网络(VPN)技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、虚拟专用网络(VPN)技术本章学习目标:了解VPN概念及基本功能掌握VPN的工作协议了解VPN的分类了解SSLVPN的概念与作用10.1VPN技术概述虚拟专用网(VirtualPrivateNetwork,VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。10.1.1VPN的概念VPN依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的
2、。VPN是对企业内部网的扩展。一般以IP为主要通讯协议。10.1VPN技术概述VPN是在公网中形成的企业专用链路。采用“隧道”技术,可以模仿点对点连接技术,依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”,让数据包通过这条隧道传输。对于不同的信息来源,可分别给它们开出不同的隧道。10.1.1VPN的概念(续)10.1VPN技术概述隧道是一种利用公网设施,在一个网络之中的“网络”上传输数据的方法。隧道协议利用附加的报头封装帧,附加的报头提供了路由信息,因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为
3、隧道。一旦封装的帧到达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。10.1.1VPN的概念(续)①隧道开通器(TI);②有路由能力的公用网络;③一个或多个隧道终止器(TT);④必要时增加一个隧道交换机以增加灵活性。隧道基本要素10.1VPN技术概述10.1.2VPN的基本功能VPN的主要目的是保护传输数据,是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后,VPN不提供任何的数据包保护。VPN的基本功能至少应包括:1)加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。2)信息验证和身份识别。保证信息的完整性、合理性,并能鉴别用户的身份
4、。3)提供访问控制。不同的用户有不同的访问权限。4)地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。5)密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。6)多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协议,包括IP、IPX等。10.1VPN技术概述10.1.3VPN的特性安全性隧道、加密、密钥管理、数据包认证、用户认证、访问控制可靠性硬件、软件、基础网络的可靠性可管理性记帐、审核、日志的管理是否支持集中的安全控制策略可扩展性成本的可扩展性,如使用令牌卡成本高性能,是否考虑采用硬件加速加解密速度10.1VPN技术概述10
5、.1.3VPN的特性(续)可用性系统对应用尽量透明对终端用户来说使用方便互操作性尽量采用标准协议,与其他供应商的设备能互通服务质量QoS通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持10.2VPN协议VPN主要采用以下四项技术来保证安全:◆隧道技术◆加解密技术◆密钥管理技术◆使用者与设备身份认证技术10.2.1VPN安全技术加解密技术、密钥管理技术、使用者与设备身份认证技术在第五章已作介绍,VPN只是对这几种技术的应用。下面重点介绍隧道技术10.2VPN协议10.2.2VPN的隧道协议VPN中的隧道是由隧道协议形成的,VPN使用的隧道
6、协议主要有三种:点到点隧道协议(PPTP)、第二层隧道协议(L2TP)以及IPSec。PPTP和L2TP集成在windows中,所以最常用。PPTP协议允许对IP、IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共因特网络发送。L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP,X.25,帧中继或ATM。IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。10.2VPN协议10.2.2VPN的隧道协议NSRC、N
7、DST是隧道端点设备的IP地址公网上路由时仅仅考虑NSRC、NDST原始数据包的DST、SRC对公网透明DSTSRCDATANDSTNSRCDSTSRCDATA10.2VPN协议10.2.2VPN的隧道协议Point-to-PointTunnelProtocol,2层协议,需要把网络协议包封装到PPP包,PPP数据依靠PPTP协议传输PPTP通信时,客户机和服务器间有2个通道,一个通道是tcp1723端口的控制连接,另一个通道是传输GREPPP数据包的IP隧道PPTP没有加密、认证等安全措施,安全的加强通过PPP协
此文档下载收益归作者所有