第11章虛擬專用網(wǎng)技術(shù)ppt課件

1、計(jì)算機(jī)信息平安技術(shù)第十一章 虛擬公用網(wǎng)技術(shù) .目錄11.1 VPN的根本概念 11.2 VPN實(shí)現(xiàn)技術(shù) 11.3 VPN的運(yùn)用方案 .11.1 VPN的根本概念VPN VPN的英文全稱是“Virtual Private Network(虛擬公用網(wǎng)絡(luò))。顧名思義，可以把它了解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。 傳統(tǒng)意義上的VPN：在DDN網(wǎng)或公用分組交換網(wǎng)或幀中繼網(wǎng)上組建VPN?；贗P的VPN：依托ISP和其它NSP網(wǎng)絡(luò)效力提供商在公用網(wǎng)絡(luò)中建立公用的數(shù)據(jù)通訊網(wǎng)絡(luò)的技術(shù)。 .11.1 VPN的根本概念VPN的任務(wù)原理 VPN的定義：是指依托ISP或其他NSP在公用網(wǎng)絡(luò)根底設(shè)備之上構(gòu)建的公用的數(shù)據(jù)通訊

2、網(wǎng)絡(luò)，這里所指的公用網(wǎng)絡(luò)有多種，包括IP網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)。IETF對(duì)基于IP的VPN定義：運(yùn)用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)。原理上來(lái)說(shuō)，VPN就是利用公用網(wǎng)絡(luò)通常是互聯(lián)網(wǎng)把遠(yuǎn)程站點(diǎn)或用戶銜接到一同的公用網(wǎng)絡(luò)。與運(yùn)用實(shí)踐的公用銜接例如租用線路不同，VPN運(yùn)用的是經(jīng)過(guò)互聯(lián)網(wǎng)路由的“虛擬銜接，把公司的公用網(wǎng)絡(luò)同遠(yuǎn)程站點(diǎn)或員工銜接到一同。 .11.1 VPN的根本概念VPN采用“隧道技術(shù)，可以模擬點(diǎn)對(duì)點(diǎn)銜接技術(shù)，依托Internet效力提供商(ISP)和其他的網(wǎng)絡(luò)效力提供商(NSP)在公用網(wǎng)中建立本人公用的“隧道，讓數(shù)據(jù)包經(jīng)過(guò)這條隧道傳輸。對(duì)于不同的信息來(lái)源，可分別給它們開出不同的隧道。

3、 圖11.1 VPN任務(wù)原理表示圖.11.1 VPN的根本概念VPN的分類按VPN的運(yùn)用方式進(jìn)展分類 撥號(hào)式VPN公用式VPN 按VPN的運(yùn)用平臺(tái)分類 軟件平臺(tái)VPN 公用硬件平臺(tái)VPN 輔助硬件平臺(tái)VPN .11.1 VPN的根本概念按VPN的協(xié)議分類 第二層協(xié)議：PPTP、L2F、L2TP 第三層協(xié)議：GRE、IPSec 第二層協(xié)議-第三層協(xié)議之間2.5層：MPLS第四層隧道協(xié)議：SSL VPN 按VPN的效力類型分類 Intranet VPN內(nèi)部網(wǎng)VPNAccessVPN遠(yuǎn)程訪問(wèn)VPNExtranetVPN外聯(lián)網(wǎng)VPN.11.1 VPN的根本概念按VPN的部署方式分類 端到端(End-t

4、o-End)方式供應(yīng)商企業(yè)(Provider-Enterprise)方式內(nèi)部供應(yīng)商(Intra-Provider)方式 VPN的特點(diǎn)具備完善的平安保證機(jī)制具備用戶可接受的效力質(zhì)量保證QoS 具備良好的可擴(kuò)展性與靈敏性 具備完善的可管理性 VPN的功能數(shù)據(jù)加密信息完好性和身份真實(shí)性認(rèn)證訪問(wèn)控制地址管理密鑰管理多協(xié)議支持.11.1 VPN的根本概念VPN平安技術(shù)加解密技術(shù) 對(duì)稱加密算法非對(duì)稱加密算法 認(rèn)證技術(shù)驗(yàn)證數(shù)據(jù)的完好性 用戶認(rèn)證 密鑰管理技術(shù).11.2 VPN實(shí)現(xiàn)技術(shù)隧道 VPN一切現(xiàn)有的實(shí)現(xiàn)都依賴于隧道，隧道技術(shù)(tunneling)主要是利用協(xié)議的封裝來(lái)實(shí)現(xiàn).用一種網(wǎng)絡(luò)協(xié)議來(lái)傳輸另外一種

5、網(wǎng)絡(luò)協(xié)議。即本地網(wǎng)關(guān)把第二種協(xié)議報(bào)文包含在第一種協(xié)議報(bào)文中，然后按照第一種協(xié)議來(lái)傳輸，等報(bào)文到達(dá)對(duì)端網(wǎng)關(guān)時(shí)，由該網(wǎng)關(guān)從第一種協(xié)議報(bào)文中解析出第二種協(xié)議報(bào)文，這樣是一個(gè)根本的隧道技術(shù)的實(shí)現(xiàn)過(guò)程。 第二層隧道協(xié)議 PPTPPoint to Point Tunneling Protocol，點(diǎn)到點(diǎn)隧道協(xié)議、L2TPLayer 2 Tunneling Protocol，鏈路層隧道協(xié)議、L2FLayer 2 Forwarding，鏈路層轉(zhuǎn)發(fā)協(xié)議。.11.2 VPN實(shí)現(xiàn)技術(shù)PPTP協(xié)議圖11.5 PPTP任務(wù)表示圖.11.2 VPN實(shí)現(xiàn)技術(shù)PPTP由PPTP Forum開發(fā)，PPTP Forum 是一個(gè)聯(lián)

6、盟，其成員包括US Robotics、Microsoft、3COM、Ascend和ECI Telematics。 PPTP是點(diǎn)到點(diǎn)協(xié)議PPP的擴(kuò)展，即PPTP協(xié)議是基于PPP之上并且運(yùn)用了tunneling技術(shù)的協(xié)議。它用“PPP質(zhì)詢握手驗(yàn)證協(xié)議CHAP來(lái)實(shí)現(xiàn)對(duì)用戶的認(rèn)證。 簡(jiǎn)單的說(shuō)，PPTP是用于將PPP分組經(jīng)過(guò)IP網(wǎng)絡(luò)封裝傳輸。 在PPTP的體系構(gòu)造中，主要有三部分組成： 1PPP 銜接和通訊，按照PPP協(xié)議和對(duì)方建立鏈路層的銜接。 2PPTP 控制銜接，建立到Internet的PPTP效力器上的銜接，并建立一個(gè)虛擬隧道。 3PPTP 數(shù)據(jù)隧道，在隧道中PPTP協(xié)議建立包含加密的PPP包的

7、IP數(shù)據(jù)報(bào)，這些數(shù)據(jù)報(bào)經(jīng)過(guò)PPTP 隧道進(jìn)展發(fā)送。 .11.2 VPN實(shí)現(xiàn)技術(shù)L2F協(xié)議 由CISCO提出并倡導(dǎo)運(yùn)用的鏈路層平安協(xié)議，它采用tunneling技術(shù)，主要面向遠(yuǎn)程或撥號(hào)用戶的運(yùn)用。 L2F主要強(qiáng)調(diào)的是將物理層協(xié)議移到鏈路層，并允許經(jīng)過(guò)Internet光纜的鏈路層和較高層協(xié)議的傳輸。物理層協(xié)議依然堅(jiān)持在對(duì)該ISP的撥號(hào)銜接中。 L2F還處理IP寫地址和記帳的問(wèn)題。對(duì)于ISP的初始銜接，L2F將運(yùn)用規(guī)范PPP。對(duì)于驗(yàn)證，L2F將運(yùn)用規(guī)范CHAP或者做某些修正。對(duì)于封裝，L2F指定在L2F數(shù)據(jù)報(bào)中封裝整個(gè)PPP或SLIP包所需求的協(xié)議。同時(shí)這些操作盡能夠地對(duì)用戶透明，以方便運(yùn)用L2F來(lái)

8、構(gòu)建靈敏的VPN網(wǎng)絡(luò)。 .11.2 VPN實(shí)現(xiàn)技術(shù)L2TP協(xié)議由PPTP Forum各成員、思科公司和IETF互聯(lián)網(wǎng)工程任務(wù)組聯(lián)手打造了一個(gè)新的協(xié)議L2TP協(xié)議。 不僅提供了以CHAP為根底的用戶身份認(rèn)證，支持了對(duì)內(nèi)部地址的分配，而且還提供了靈敏有效的記帳功能，和較為完善的管理功能。PPTP與L2TP的區(qū)別：1PPTP要求互聯(lián)網(wǎng)為IP網(wǎng)絡(luò)；而L2TP可以在IP、X.25、ATM等網(wǎng)絡(luò)上運(yùn)用。2PPTP只能在兩端點(diǎn)間建立單一隧道；L2TP可以在兩個(gè)端點(diǎn)之間建立多個(gè)隧道。用戶可根據(jù)不同的效力質(zhì)量創(chuàng)建不同的隧道。3PPTP不支持隧道驗(yàn)證；L2TP提供了此項(xiàng)功能?？山?jīng)過(guò)與Ipsec共同運(yùn)用，由Ipse

9、c提供隧道認(rèn)證。.11.2 VPN實(shí)現(xiàn)技術(shù)在鏈路層上實(shí)現(xiàn)VPN，有一定的優(yōu)點(diǎn)。假定兩個(gè)主機(jī)或路由器之間存在一條公用通訊鏈路，而且為防止有人“窺視，一切通訊都需加密，便可用硬件設(shè)備來(lái)進(jìn)展數(shù)據(jù)加密。這樣做最大的益處在于速度。 但該方案不易擴(kuò)展，而且僅在公用鏈路上才干很好地任務(wù)。另外，進(jìn)展通訊的兩個(gè)實(shí)體必需在物理上銜接到一同。這也給在鏈路層上實(shí)現(xiàn)VPN帶來(lái)了一定的難度。 PPTP、L2F和L2TP這三種協(xié)議都是運(yùn)轉(zhuǎn)在鏈路層中的，通常是基于PPP協(xié)議的，并且主要面向的是撥號(hào)用戶，由此導(dǎo)致了這三種協(xié)議運(yùn)用的局限性。 當(dāng)前在Internet及其他網(wǎng)絡(luò)中，絕大部分的數(shù)據(jù)都是經(jīng)過(guò)IP協(xié)議來(lái)傳輸?shù)?，逐漸構(gòu)成了一

10、種“everything on ip的觀念 。 .11.2 VPN實(shí)現(xiàn)技術(shù)第三層隧道協(xié)議 在網(wǎng)絡(luò)層的實(shí)現(xiàn)中，有兩種常用的實(shí)現(xiàn)方式：GRE和IPSec GRE Generic Routing Encapsulation通用路由封裝協(xié)議GRE是VPN的第三層隧道協(xié)議，即在協(xié)議層之間采用了一種被稱之為Tunnel隧道的技術(shù)。GRE在RFC1701/RFC1702中定義，它規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法，GRE的隧道由其源IP地址和目的IP地址來(lái)定義。它允許用戶運(yùn)用IP去封裝IP、IPX、AppleTalk并支持全部的路由協(xié)議，如RIP、OSPF、IGRP和EIGRP。.11.

11、2 VPN實(shí)現(xiàn)技術(shù)圖11.7 GRE協(xié)議.11.2 VPN實(shí)現(xiàn)技術(shù)當(dāng)路由器接納了一個(gè)需求封裝的上層協(xié)議數(shù)據(jù)報(bào)文，首先這個(gè)報(bào)文按照GRE協(xié)議的規(guī)那么被封裝在GRE協(xié)議報(bào)文中，而后再交給IP層，由IP層再封裝成IP協(xié)議報(bào)文便于網(wǎng)絡(luò)的傳輸，等到達(dá)對(duì)端的GRE協(xié)議處置網(wǎng)關(guān)時(shí)，按照相反的過(guò)程處置，就可以得到所需的上層協(xié)議的數(shù)據(jù)報(bào)文了。 規(guī)范的GRE在虛擬通道中的數(shù)據(jù)是沒(méi)有進(jìn)展加密傳輸?shù)?，一旦?shù)據(jù)被截獲，重要數(shù)據(jù)將有失密的危險(xiǎn)。而與GRE相比，IPSec只能進(jìn)展通道內(nèi)的數(shù)據(jù)加密，無(wú)法在Internet上建立虛擬的通道互連，使異地的兩個(gè)局域網(wǎng)像訪問(wèn)本地網(wǎng)一樣方便；也無(wú)法在加密的數(shù)據(jù)銜接上跑路由協(xié)議，網(wǎng)絡(luò)管理

12、很不方便。所以 GRE+IPSec結(jié)合運(yùn)用方式，成為實(shí)踐中VPN建網(wǎng)的首選。 .11.2 VPN實(shí)現(xiàn)技術(shù)IPSec IP SecurityIP平安協(xié)議IPSec實(shí)踐上是一套協(xié)議包而不是一個(gè)獨(dú)立的協(xié)議。IPSec位于網(wǎng)絡(luò)層，對(duì)通訊雙方的IP數(shù)據(jù)分組進(jìn)展維護(hù)和認(rèn)證，對(duì)高層運(yùn)用透明。IPSec可以保證IP網(wǎng)絡(luò)上數(shù)據(jù)的嚴(yán)密性、完好性，并提供身份認(rèn)證。IPSec擁有密鑰自動(dòng)管理功能，優(yōu)于PPTP/L2TP。IPSec提供了以下網(wǎng)絡(luò)平安性效力：數(shù)據(jù)性 數(shù)據(jù)完好性 數(shù)據(jù)來(lái)源認(rèn)證 反重播 .11.2 VPN實(shí)現(xiàn)技術(shù)IPSec運(yùn)用的加密算法包括DES、3-Des和RSA等;驗(yàn)證算法采用的也是流行的MD5、SHA

13、算法。 圖11.8 IPSec平安體系構(gòu)造.11.2 VPN實(shí)現(xiàn)技術(shù)IPSec平安體系包括3個(gè)根本協(xié)議：AH協(xié)議為IP包提供信息源驗(yàn)證和完好性保證；ESP協(xié)議提供加密機(jī)制；密鑰管理協(xié)議ISAKMP提供雙方交流時(shí)的共享平安信息。ESP和AH協(xié)議都有相關(guān)的一系列支持文件，規(guī)定了加密和認(rèn)證的算法。最后，解釋域DOI經(jīng)過(guò)一系列命令、算法、屬性和參數(shù)銜接一切的IPSec組文件。戰(zhàn)略決議兩個(gè)實(shí)體之間能否進(jìn)展通訊以及如何通訊。戰(zhàn)略的中心部分由平安關(guān)聯(lián)SA、平安關(guān)聯(lián)數(shù)據(jù)庫(kù)SAD、平安戰(zhàn)略SP、平安戰(zhàn)略數(shù)據(jù)庫(kù)SPD組成。 .11.2 VPN實(shí)現(xiàn)技術(shù)AH協(xié)議：該協(xié)議用于保證IP數(shù)據(jù)包的完好性和真實(shí)性，防止黑客截獲

14、數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包。思索到計(jì)算效率，AH沒(méi)有采用數(shù)字簽名而是采用了平安哈希算法來(lái)對(duì)數(shù)據(jù)包進(jìn)展維護(hù)。AH沒(méi)有對(duì)用戶數(shù)據(jù)進(jìn)展加密。當(dāng)需求身份驗(yàn)證而不需求性的時(shí)候，運(yùn)用AH協(xié)議時(shí)最好的選擇。 AH有兩種任務(wù)方式：傳輸方式不改動(dòng)數(shù)據(jù)包IP地址，在IP頭和IP數(shù)據(jù)負(fù)載間插入一個(gè)AH頭。 隧道方式生成一個(gè)新的IP頭，把AH和原來(lái)的整個(gè)IP包放到新IP包的負(fù)載數(shù)據(jù)中。 .11.2 VPN實(shí)現(xiàn)技術(shù)圖11.9 AH協(xié)議的傳輸方式圖11.10 AH協(xié)議的隧道方式.11.2 VPN實(shí)現(xiàn)技術(shù)ESP協(xié)議：用于確保IP數(shù)據(jù)包的性對(duì)第三方不可見、數(shù)據(jù)的完好性以及對(duì)數(shù)據(jù)源地址的驗(yàn)證，同時(shí)還具有抗重播的特性。 E

15、SP主要用于提供加密和認(rèn)證功能。它經(jīng)過(guò)在IP分組層次進(jìn)展加密從而提供嚴(yán)密性，并為IP分組載荷和ESP報(bào)頭提招認(rèn)證。ESP與詳細(xì)的加密算法相獨(dú)立，幾乎支持各種對(duì)稱密鑰加密算法，默以為3-DES和DES。ESP也有傳輸和隧道兩種任務(wù)方式，與AH傳輸方式相比較，ESP的傳輸方式還多了ESP尾和ESP驗(yàn)證數(shù)據(jù)。隧道方式可以對(duì)整個(gè)原始數(shù)據(jù)分組進(jìn)展加密和認(rèn)證。而傳輸方式時(shí)，僅對(duì)IP包有效載荷加密，不對(duì)IP頭加密。.11.2 VPN實(shí)現(xiàn)技術(shù)圖11.11 ESP協(xié)議的傳輸方式圖11.12 ESP協(xié)議的隧道方式.11.2 VPN實(shí)現(xiàn)技術(shù)密鑰管理IKE IKE主要是用來(lái)協(xié)商和建立IPSec通訊雙方的SA，實(shí)踐上就

16、是對(duì)雙方所采用的加密算法、驗(yàn)證算法、封裝協(xié)議和有效期進(jìn)展協(xié)商，同時(shí)平安地生成以上算法所需的密鑰。其實(shí)現(xiàn)根底是ISAKMP,在密鑰協(xié)商過(guò)程中用到Diffie-Hellman算法。RSA簽名需求CA論證支持。.11.2 VPN實(shí)現(xiàn)技術(shù)二、三層隧道協(xié)議 MPLS MPLSMulti-Protocol Label Switching即多協(xié)議標(biāo)簽交換屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的IP高速骨干網(wǎng)絡(luò)交換規(guī)范。MPLS介于第二層和第三層之間，把第二層的鏈路形狀信息集成到第三層的協(xié)議數(shù)據(jù)單元中，將第二層的高速交換才干和第三層的靈敏特性結(jié)合起來(lái)，并且引入了基于標(biāo)志的機(jī)制。在 MPLS 中，數(shù)據(jù)傳輸發(fā)生在標(biāo)簽交換途

17、徑LSP上。LSP 是每一個(gè)沿著從源端到終端的途徑上的結(jié)點(diǎn)的標(biāo)簽序列?，F(xiàn)今運(yùn)用著一些標(biāo)簽分發(fā)協(xié)議，如標(biāo)簽分發(fā)協(xié)議LDP、資源保管協(xié)議(RSVP) 或者建于路由協(xié)議之上的一些協(xié)議，如邊境網(wǎng)關(guān)協(xié)議BGP及 開放式最短途徑優(yōu)先協(xié)議(OSPF)。由于固定長(zhǎng)度標(biāo)簽被插入每一個(gè)包或信元的開場(chǎng)處，并且可被硬件用來(lái)在兩個(gè)鏈接間快速交換包，所以使數(shù)據(jù)的快速交換成為能夠。傳統(tǒng)的VPN普通是經(jīng)過(guò)GRE、L2TP、PPTP、IPSec協(xié)議等隧道協(xié)議來(lái)實(shí)現(xiàn)私有網(wǎng)絡(luò)間數(shù)據(jù)流在公網(wǎng)上的傳送。而LSP本身就是公網(wǎng)上的隧道，所以用MPLS來(lái)實(shí)現(xiàn)VPN有天然的優(yōu)勢(shì)。.11.2 VPN實(shí)現(xiàn)技術(shù)第四層隧道協(xié)議SSL VPN是處理遠(yuǎn)程

18、用戶訪問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單最平安的處理技術(shù)。SSLSecure Sockets Layer是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)平安協(xié)議.已被廣泛地用于Web閱讀器與效力器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議任務(wù)在傳輸層之上，運(yùn)用規(guī)范的HTTPS協(xié)議傳輸數(shù)據(jù)，可以穿透防火墻，防止NAT地址轉(zhuǎn)換等問(wèn)題，建立運(yùn)用通道加密SSL可分為兩層： SSL記錄協(xié)議SSL Record Protocol SSL握手協(xié)議SSL Handshake Protocol .11.2 VPN實(shí)現(xiàn)技術(shù)SSL VPN的任務(wù)原理： 首先，由SSL VPN生本錢人的根證書和效力器證書。 接著，客戶端閱讀器下載并導(dǎo)入SSL VPN的證書。并經(jīng)過(guò)HTTPS協(xié)議向SSL VPN發(fā)送認(rèn)證懇求，SSL VPN接受懇求，客戶端實(shí)現(xiàn)對(duì)SSL VPN效力器的認(rèn)證。 效力器經(jīng)過(guò)口令方式或數(shù)字證書等多重認(rèn)證方式認(rèn)證客戶端。這樣，就在閱讀器和SSL VPN效力器之間建立了一條SSL平安通道。SSL VPN任務(wù)在傳輸層之上，運(yùn)用規(guī)范的HTTPS協(xié)議傳輸數(shù)據(jù)，可以穿越防火墻，防止了抵抗轉(zhuǎn)換NAT的問(wèn)題。而在IPSec VPN中，由