第09章 虛擬專用網(wǎng)

1、第9章 虛擬(xn)專用網(wǎng) 引入舉例：出差在外的員工遠程連入單位內(nèi)部網(wǎng)進行移動辦公；某些組織處于不同城市的分支機構(gòu)進行遠距離互連；企業(yè)與商業(yè)伙伴的網(wǎng)絡(luò)之間安全連接。早期(zoq)方法：員工撥號接入內(nèi)部網(wǎng)，通信費用高，不安全分支機構(gòu)和商業(yè)伙伴直接鋪設(shè)網(wǎng)絡(luò)線路或租用運營商的專線，成本高，實現(xiàn)困難。共六十八頁虛擬專用網(wǎng)： 物理的公共網(wǎng)絡(luò)Internet上 建立邏輯的專用通道(tngdo)，建立可信的安全連接。虛擬專用網(wǎng)解決方案 大幅度減少在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的投入；還可以使企業(yè)將精力集中到自己的業(yè)務(wù)上，而不是網(wǎng)絡(luò)上。共六十八頁第9章 虛擬(xn)專用網(wǎng)9.1 VPN概述 9.2 隧道技術(shù)(jsh)9.3

2、 實現(xiàn)VPN的二層隧道協(xié)議 9.4 實現(xiàn)VPN的三層隧道協(xié)議9.5 MPLS VPN 9.6 SSL VPN 共六十八頁9.1 VPN概述(i sh)VPN不是一種獨立的組網(wǎng)技術(shù)，而是一組通信協(xié)議，利用Internet基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，仿真專用的廣域網(wǎng)，提供與專用網(wǎng)絡(luò)一樣的安全和功能保障，供隧道的兩個端點之間安全地傳輸(chun sh)信息。共六十八頁-9.1 VPN概述(i sh)9.1.1 VPN的概念9.1.2 VPN的基本(jbn)類型9.1.3 VPN的實現(xiàn)技術(shù)9.1.4 VPN的應(yīng)用特點共六十八頁9.1.1 VPN的概念(ginin)VPN（Virtual Private N

3、etworks 虛擬專用網(wǎng)）：利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，為用戶提供一條與專用網(wǎng)絡(luò)具有相同通信功能(gngnng)的安全數(shù)據(jù)通道，實現(xiàn)不同網(wǎng)絡(luò)及用戶與網(wǎng)絡(luò)之間的相互連接。IETF草案對于IP網(wǎng)絡(luò)的VPN定義為： 使用IP機制仿真出一個私有的廣域網(wǎng)。共六十八頁VPN的特點（3）虛擬 不需要建立專用的物理線路專用 VPN不是任何連接(linji)在公共網(wǎng)絡(luò)用戶都可使用，必須授權(quán)用戶才可使用網(wǎng)絡(luò) 對VPN授權(quán)用戶，使用VPN與使用傳統(tǒng)網(wǎng)絡(luò)一樣VPN為了確保傳輸數(shù)據(jù)的安全，提供的特性1）隧道機制2）加密保護3）完整性保護4）用戶身份認證5）防止惡意攻擊共六十八頁VPN vs

4、 傳統(tǒng)數(shù)據(jù)專網(wǎng) 的優(yōu)勢（5）遠端用戶、駐外機構(gòu)(jgu)、分支機構(gòu)(jgu)、合作伙伴與公司總部之間建立可靠、安全的連接。對于電子商務(wù)、金融網(wǎng)絡(luò)和通信網(wǎng)絡(luò)的融合特別重要企業(yè)更低的成本連接遠地辦事機構(gòu)、出差的和商業(yè)伙伴 通過軟件配置就可增加、刪除VPN用戶，無需改動硬件設(shè)施支持駐外VPN用戶任何時間、任何地點的移動介入，滿足不斷增長的移動業(yè)務(wù)需求。為VPN用戶提供不同等級的服務(wù)質(zhì)量保證。共六十八頁VPN的發(fā)展經(jīng)歷 4代1）傳統(tǒng)VPN，以FR/ATM技術(shù)為主，讓位于IP網(wǎng)絡(luò)2）早期VPN，基于PPTP/L2TP隧道協(xié)議，適合撥號方式遠程訪問，加密及認證方式較弱。3）主流VPN，以IPSec/MPL

5、S技術(shù)為主，兼顧IP網(wǎng)絡(luò)安全和分組交換性能。4）迅速發(fā)展的VPN，以SSL/TLS技術(shù)為主，通過應(yīng)用層加密和認證實現(xiàn)高效、簡單靈活(ln hu)的VPN安全傳輸功能，但 VS ( IPSec VPN )？共六十八頁9.1.2 VPN的基本(jbn)類型內(nèi)聯(lián)網(wǎng)VPN（Intranet VPN ）分支機構(gòu)外聯(lián)網(wǎng)VPN（Extranet VPN ）外部伙伴遠程(yunchng)接入VPN（Access VPN）移動到外網(wǎng)共六十八頁內(nèi)聯(lián)網(wǎng)(lin wn)VPN具有多個分支機構(gòu)的組織在進行區(qū)域(qy)網(wǎng)互連時，采用內(nèi)聯(lián)網(wǎng)VPN內(nèi)聯(lián)網(wǎng)VPN結(jié)構(gòu) 圖9-1 p203LAN2C1C2VPN網(wǎng)關(guān)LAN1C1C2

6、VPN網(wǎng)關(guān)公用網(wǎng)絡(luò)Internet公用IP地址公用IP地址私有IP地址共六十八頁外聯(lián)網(wǎng)(lin wn)VPN-1企業(yè)與合作伙伴之間聯(lián)系，企業(yè)根據(jù)不同的用戶身份(shn fen)（如供應(yīng)商、銷售商等）進行授權(quán)訪問，建立身份(shn fen)認證和訪問控制機制。外聯(lián)網(wǎng)VPN的典型結(jié)構(gòu)LAN2C1C2VPN網(wǎng)關(guān)分支LAN1C1C2VPN網(wǎng)關(guān)總部公用網(wǎng)絡(luò)Internet公用IP地址公用IP地址VPN網(wǎng)關(guān)銀行、供應(yīng)商、銷售商、客戶C1C2共六十八頁外聯(lián)網(wǎng)(lin wn)VPN-2在外聯(lián)網(wǎng)VPN，位于不同(b tn)內(nèi)部網(wǎng)絡(luò)LAN1，LAN2的主機在功能上是不平等的外聯(lián)網(wǎng)在內(nèi)聯(lián)網(wǎng)的基礎(chǔ)上增加了身份認證、訪

7、問控制等安全機制。共六十八頁遠程(yunchng)接入VPN又稱移動VPN，主要應(yīng)用場景是單位內(nèi)部人員在外部網(wǎng)絡(luò)(wnglu)訪問單位內(nèi)部網(wǎng)絡(luò)(wnglu)資源。遠程接入VPN結(jié)構(gòu)LAN2C1C2VPN網(wǎng)關(guān)公用網(wǎng)絡(luò)Internet公用IP地址外部主機1外部主機2共六十八頁以前 用戶通過Internet連接到單位內(nèi)部網(wǎng)絡(luò)，遠程撥號需要RAS支持，而且通信以明文進行，缺乏安全型，支付長途電話費用。現(xiàn)在 通過當?shù)氐腎SP進入到Internet可以(ky)和公司的VPN網(wǎng)關(guān)建立私有的隧道連接，訪問內(nèi)部資源。遠程接入VPN，應(yīng)用非常廣泛。例許多高校建立內(nèi)部的數(shù)字資源數(shù)據(jù)庫，如知網(wǎng)、電子圖書館、學位論文數(shù)

8、據(jù)庫，安全和版權(quán)問題，建立VPN。共六十八頁9.1.3 VPN的實現(xiàn)(shxin)技術(shù)VPN綜合利用了隧道技術(shù)(jsh)、加密技術(shù)(jsh)、密鑰管理技術(shù)(jsh)、身份認證技術(shù)(jsh)。隧道技術(shù)加密技術(shù)密鑰管理技術(shù)身份認證技術(shù)共六十八頁9.1.3 -1 隧道(sudo)技術(shù)VPN的核心技術(shù)-隧道技術(shù)隧道技術(shù)主要利用協(xié)議(xiy)的封裝來實現(xiàn)，用一種網(wǎng)絡(luò)協(xié)議(xiy)封裝另外一種網(wǎng)絡(luò)協(xié)議(xiy)的報文。隧道的一端數(shù)據(jù)封裝協(xié)議在OSI模型中位置不同分：第二層封裝協(xié)議：數(shù)據(jù)鏈路層封裝，數(shù)據(jù)鏈路層協(xié)議傳輸?shù)谌龑臃庋b協(xié)議：網(wǎng)絡(luò)層進行數(shù)據(jù)封裝，再通過網(wǎng)絡(luò)層協(xié)議傳輸當前使用的隧道協(xié)議 表9-1 p20

9、5 第二層 第三層 IPSec VPN由于IP網(wǎng)絡(luò)的優(yōu)勢，得到廣泛應(yīng)用共六十八頁9.1.3 -2 加密技術(shù)公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施傳輸電子商務(wù)，金融等重要應(yīng)用數(shù)據(jù)，要利用加密技術(shù)，防止非授權(quán)實體讀取對稱加密和非對稱加密融合的混合加密技術(shù)：公鑰密碼體制多用認證、數(shù)字簽名以及安全傳輸會話(huhu)密鑰等場合；如RSA、Deffi-Hellman和橢圓曲線。對稱密碼體制用于大量傳輸數(shù)據(jù)的加密和完整性保護。如DES，3DES、AES、RC4、RC5、IDEA VPN中的加密是可選的。當VPN封閉在特定ISP內(nèi)，并且ISP保證VPN路由及安全性，可以不選加密技術(shù)。共六十八頁9.1.3 -3 密鑰管理(gunl

10、)技術(shù)目的：開放(kifng)環(huán)境中安全傳遞密鑰而不且竊取分類SKIP： Deffie-Hellman 算法 ISAKMP/OAKLEY： 公開密鑰機制，雙方均擁有兩個密鑰，公鑰和私鑰。共六十八頁非PKI體系：PAP 密碼認證協(xié)議，賬號名稱和密碼明文傳輸(chun sh)，在線路上竊聽SPAP： PAP改進，加密從客戶端發(fā)送給服務(wù)器的密碼， 缺陷：重放攻擊CHAP： 挑戰(zhàn)握手認證協(xié)議。 隨機數(shù)+口令 摘要MS-CHAP： 微軟擴展的CHAPEAP 擴展身份認證協(xié)議，多個認證方法的協(xié)議框架。用戶根據(jù)自己的需要自行定義認證方式RADIS：朗訊開發(fā)，1997.1 RFC2058PKI體系：CA， 數(shù)

11、字簽名和哈希函數(shù)保證信息的可靠性和完整性。例如用戶普遍關(guān)注的SSL VPN就是利用PKI支持的SSL協(xié)議實現(xiàn)應(yīng)用層的安全通信。9.1.3 -4 身份認證(rnzhng)技術(shù)共六十八頁9.1.4 VPN的應(yīng)用(yngyng)特點VPN的優(yōu)勢：節(jié)約成本提供(tgng)了安全保障易于擴展VPN存在的不足：安全方面的問題，VPN擴展了安全邊界，由局域網(wǎng)擴展到外部主句，如果外部主機安全比較脆弱，入侵者可以利用外部主機連接到VPN網(wǎng)關(guān)進入內(nèi)部網(wǎng)絡(luò)。解決：建立完善的加密和身份認證機制，VPN配合防火墻，通過防火墻提升VPN系統(tǒng)的安全性。 共六十八頁第9章 虛擬(xn)專用網(wǎng)9.1 VPN概述(i sh) 9

12、.2 隧道技術(shù)9.3 實現(xiàn)VPN的二層隧道協(xié)議 9.4 實現(xiàn)VPN的三層隧道協(xié)議9.5 MPLS VPN 9.6 SSL VPN 共六十八頁9.2 隧道(sudo)技術(shù) 隧道技術(shù)是VPN的核心技術(shù)，VPN的加密認證都需要與隧道技術(shù)相結(jié)合實現(xiàn)(shxin)9.2.1 隧道的概念9.2.2 隧道的基本類型（2種 主動 被動）共六十八頁9.2.1 隧道(sudo)的概念公路和鐵路隧道：挖通山麓形成的路段計算機網(wǎng)絡(luò)中的隧道計算機網(wǎng)絡(luò)中的隧道是邏輯上的概念，是在公共網(wǎng)絡(luò)中的建立的一個邏輯的點對點的連接，網(wǎng)絡(luò)隧道的核心內(nèi)容是封裝（隧道協(xié)議）。隧道技術(shù)是包括數(shù)據(jù)封裝、傳輸和解封裝在內(nèi)的全過程。封裝 利用一種

13、(y zhn)網(wǎng)絡(luò)協(xié)議（隧道協(xié)議），將其他協(xié)議產(chǎn)生的數(shù)據(jù)報文封裝在自己的報文中，并在網(wǎng)絡(luò)中傳輸。在隧道的另一端將數(shù)據(jù)解封裝，取出負載共六十八頁隧道的組成，具備基本要素（3）隧道開通器： 功能在公共網(wǎng)絡(luò)中創(chuàng)建(chungjin)一條隧道。 設(shè)備：PC上的modem卡 有VPN撥號功能的軟件 、企業(yè)網(wǎng)絡(luò) 和ISP中有VPN功能路由器有路由能力的公用網(wǎng)路： VPN網(wǎng)關(guān)之間 VPN網(wǎng)關(guān)與客戶端之間連接，需有路由功能。隧道終止器：任務(wù)使隧道到此終止。 設(shè)備：專用隧道終止器、防火墻和ISP路由器上的VPN網(wǎng)關(guān)。共六十八頁9.2.1 -2 隧道(sudo)的形成過程隧道的工作原理圖 內(nèi)聯(lián)網(wǎng)(lin wn)V

14、PN，隧道協(xié)議IP協(xié)議隧道的形成過程（2步） 封裝：隧道開通器D 原始IP分組AB，D對此進行加密和認證處理，產(chǎn)生附加數(shù)據(jù)，形成新的IP分組CD，全局CD進行路由解封裝：隧道終止器C。去掉外層IP頭部 解密得到源IP分組。隧道分組隧道分組Internet分公司微機B總公司微機AVPN設(shè)備DVPN設(shè)備C目A源B數(shù)據(jù)目A源D目C源B數(shù)據(jù)目A源B數(shù)據(jù)加頭標刪除頭標共六十八頁隧道的功能（4）將數(shù)據(jù)傳輸?shù)教囟ǖ哪康牡兀禾摂M通道，從隧道的一端傳到隧道的另一端。隱藏私有網(wǎng)絡(luò)地址 私用IP地址 公用IP地址協(xié)議數(shù)據(jù)傳遞：隧道只需連接兩個使用相同通信協(xié)議網(wǎng)絡(luò)，不關(guān)心網(wǎng)絡(luò)內(nèi)部使用的通信協(xié)議提供數(shù)據(jù)安全支持 隧道中

15、傳輸(chun sh)的數(shù)據(jù)是經(jīng)過加密和認證處理的，可以保證數(shù)據(jù)在傳輸(chun sh)過程中的安全性。共六十八頁9.2.2 隧道的基本(jbn)類型（2）主動式隧道 客戶端計算機安裝隧道協(xié)議，客戶端主動與目標隧道服務(wù)器建立一個連接。遠程接入VPN 最常見的方式是主動式隧道。被動式隧道隧道的構(gòu)建、管理和維護由ISP控制?？蛻舳酥恢С志W(wǎng)絡(luò)互連，無需(wx)特殊的VPN功能主要用于兩個局域網(wǎng)的固定連接 。內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN中，VPN網(wǎng)關(guān)之間的隧道共六十八頁第9章 虛擬(xn)專用網(wǎng)9.1 VPN概述 9.2 隧道技術(shù)9.3 實現(xiàn)(shxin)VPN的二層隧道協(xié)議 9.4 實現(xiàn)VPN的三層隧

16、道協(xié)議9.5 MPLS VPN 9.6 SSL VPN 共六十八頁9.3 實現(xiàn)(shxin)VPN的二層隧道協(xié)議 二層隧道協(xié)議是在OSI協(xié)議的第2層（數(shù)據(jù)鏈路層）實現(xiàn)的隧道協(xié)議，即封裝后的用戶數(shù)據(jù)要靠數(shù)據(jù)鏈路層協(xié)議傳輸(chun sh)。以 幀為數(shù)據(jù)交換單位。9.3.1 PPTP9.3.2 L2F9.3.3 L2TP共六十八頁9.3.1 PPTP -點對點隧道(sudo)協(xié)議 Microsofthe 和Ascend開發(fā)，建立在PPP協(xié)議和TCP/IP協(xié)議上，實質(zhì)是對PPP協(xié)議的擴展 PPTP使用(shyng)增強的GRE封裝機制使PPP數(shù)據(jù)包按隧道方式穿越IP網(wǎng)絡(luò)，增強了認證、壓縮和加密功能.

17、PPP概述PPTP的體系結(jié)構(gòu)PPTP的工作機制共六十八頁9.3.1 1 PPP概述(i sh)PPP體系結(jié)構(gòu)圖 圖9-5 p212遠程用戶公用電話網(wǎng)NAS InternetNAS： 網(wǎng)絡(luò)接入服務(wù)器PPP組成3部分使用高級數(shù)據(jù)鏈路控制（HDLC）協(xié)議封裝上層數(shù)據(jù)使用可擴展的鏈路控制協(xié)議（LCP建立、配置測試數(shù)據(jù)鏈路基于(jy)網(wǎng)絡(luò)控制協(xié)議簇NCP來建立配置不同的網(wǎng)絡(luò)層協(xié)議。共六十八頁PPP會話過程分4個階段創(chuàng)建PPP鏈路用戶身份認證 有限的驗證方式PPP回叫機制調(diào)用(dioyng)網(wǎng)絡(luò)層協(xié)議共六十八頁9.3.1- PPTP的體系結(jié)構(gòu) PPTP將傳統(tǒng)的網(wǎng)絡(luò)服務(wù)器NAS的功能(gngnng)分裂成客

18、戶/服務(wù)器體系結(jié)構(gòu)。PAC 和 PNSPSTN/ISDNPPTP隧道InternetPACPNS企業(yè)LAN共六十八頁傳統(tǒng)(chuntng)NAS具有6個功能與PSTN/ISDN的物理接口和對Moderm以及終端(zhn dun)適配器的控制LCP（鏈路控制協(xié)議）會話的邏輯終點參與PPP的認證協(xié)議對PPP多連接協(xié)議的通道進行匯聚和管理NCP（網(wǎng)絡(luò)控制協(xié)議）的邏輯終點NAS接口之間多協(xié)議的路由選擇和橋接 PAC完成1 2，參與3； PNS完成4 5 6，負責驗證PAC并橋接PAC的被封裝的流量到另外的地方。PPTP協(xié)議負責PAC和PNS之間的協(xié)議數(shù)據(jù)單元的傳送、訪問控制和管理。共六十八頁9.3.1

19、-3 PPTP的工作(gngzu)機制PPTP是一個(y )面向連接的協(xié)議，PAC和PNS維護它們的連接狀態(tài)。PAC和PNS之間兩種連接控制連接數(shù)據(jù)連接：隧道，使用GRE封裝機制在PAC和PNS之間傳輸PPP數(shù)據(jù)包，多個PPP會話可共享一個隧道共六十八頁9.3.1-3 PPTP的工作(gngzu)機制PPTP控制連接的建立過程（3）PAC和PNS建立一個TCP連接PAC或PNS向?qū)Ψ桨l(fā)送一個請求信息Start-Control-Connection-request收到請求的PAC和PNS發(fā)送一條響應(yīng)(xingyng)消息控制連接數(shù)據(jù)連接（隧道的建立 一個會話）Outgoing-Call-Requ

20、est Outgoing-Call-RePly ： PNSPAC請求，應(yīng)答Incoming-Call-Request Incoming-Call-RePly Incoming-Call-Connect PACPNS請求 響應(yīng) 響應(yīng)回應(yīng) 三次握手共六十八頁9.3.1-3 PPTP的工作(gngzu)機制數(shù)據(jù)鏈路頭IP頭TCP頭PPTP控制與管理信息數(shù)據(jù)鏈路尾數(shù)據(jù)鏈路頭IP頭GRE頭PPP頭加密的PPP凈荷數(shù)據(jù)鏈路尾PPTP控制(kngzh)報文的結(jié)構(gòu) 圖9-7 a p214PPTP數(shù)據(jù)報文的結(jié)構(gòu) 圖9-7 a p214共六十八頁9.3.2 L2FL2F 第二層轉(zhuǎn)發(fā)協(xié)議(xiy)Cisco 多種網(wǎng)

21、絡(luò)類型建立多協(xié)議的安全VPN的通信方式1998 IETE RFC2341圖9-8 L2F隧道原理圖 p215建立與NAS正常連接進行VPN撥號建立隧道數(shù)據(jù)傳輸共六十八頁L2F的報文格式。 P215 圖9-9(a)(b)數(shù)據(jù)鏈路頭IP頭UDP頭L2F控制信息數(shù)據(jù)鏈路尾數(shù)據(jù)鏈路頭IP頭UDP頭L2F頭PPP頭加密的PPP凈荷L2F校驗(可選)數(shù)據(jù)鏈路尾共六十八頁9.3.3 L2TP-第二層隧道(sudo)協(xié)議L2TP的體系結(jié)構(gòu)圖 圖9-10 p216L2TP工作(gngzu)原理L2TP的報文格式共六十八頁第9章 虛擬(xn)專用網(wǎng)9.1 VPN概述(i sh) 9.2 隧道技術(shù)9.3 實現(xiàn)VPN

22、的二層隧道協(xié)議 9.4 實現(xiàn)VPN的三層隧道協(xié)議9.5 MPLS VPN 9.6 SSL VPN 共六十八頁9.4 實現(xiàn)(shxin)VPN的三層隧道協(xié)議三層隧道(sudo)協(xié)議對應(yīng)于OSI的第三層，網(wǎng)絡(luò)層，分組(包)作為數(shù)據(jù)交換單位。9.4.1 GRE9.4.2 IPSec共六十八頁9.4 實現(xiàn)VPN的三層隧道(sudo)協(xié)議9.4.1 GRE9.4.2 IPSec共六十八頁9.4.1 GREGRE （通用路由封裝）協(xié)議是一種應(yīng)用非常廣泛的第三層VPN隧道(sudo)協(xié)議。1994年提出，2002 Cisco 改進GRE v2 GRE的工作原理GRE的安全性 共六十八頁9.4.1-1 GRE

23、的工作(gngzu)原理GRE封裝原理圖9-12 p218原始數(shù)據(jù)包頭原始數(shù)據(jù)包凈荷IP頭GRE頭原始數(shù)據(jù)包頭原始數(shù)據(jù)包凈荷有效載荷共六十八頁9.4.1-1 GRE的工作(gngzu)原理辦事處主機A - 總部主機B發(fā)送數(shù)據(jù)過程1）主機A辦事處路由器A，路由器連接內(nèi)部接口收到數(shù)據(jù)，檢查數(shù)據(jù)包頭中的目的地址，確定如何(rh)路由2）檢查后如果需要隧道，發(fā)到路由器A與隧道相連的接口3）添加GRE頭部，IP模塊處理，加新IP頭 3）路由器將封裝好的報文通過隧道發(fā)送出去。共六十八頁 9.4.1 2 GRE的安全性 為了提高GRE的安全性，采用其他的安全技術(shù)1）進行GRE相關(guān)(xinggun)的安全配置

24、2）采用基于GRE+IPSec的VPN技術(shù)3）保證路由器的安全共六十八頁9.4.2 IPSecIPSec通過AH和ESP協(xié)議對網(wǎng)絡(luò)層數(shù)據(jù)進行保護，通過IKE協(xié)議進行密鑰交換。ESP由于提供對數(shù)據(jù)的保密性，應(yīng)用更廣泛。兩種模式(msh)4中組合：傳輸模式的AH隧道模式的AH傳輸模式的ESP隧道模式的ESP共六十八頁9.4.2- 傳輸(chun sh)模式AH在傳輸模式下與NAT是沖突的。應(yīng)用AH協(xié)議，完整性保護區(qū)域是整個IP包，包含頭部。，所以源目的IP地址不能修改，否則檢驗通不過。 NAT: (Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保

25、留(boli)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù).ESP傳輸模式的完整性保護不包含IP包頭部，與NAT可以同時使用。但驗證服務(wù)要比AH傳輸模式弱共六十八頁隧道模式保護的內(nèi)容是整個IP包，只要IPSec有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式隧道模式的數(shù)據(jù)包有兩個IP頭：內(nèi)部頭和外部(wib)頭隧道模式的AH與NAT的沖突同樣存在隧道模式占用更多的帶寬 9.4.2- 2 隧道(sudo)模式共六十八頁IPSec VPN vs MPLS VPNIPSec VPN解決方案： 小企業(yè) 經(jīng)濟實用MPLS： 經(jīng)濟實力更強的公司(n s)選。因為很多網(wǎng)絡(luò)提供提供商的MPLS網(wǎng)絡(luò)本身是與互連網(wǎng)分開的，是一個

26、大專網(wǎng)，有先天的安全隔離 共六十八頁第9章 虛擬(xn)專用網(wǎng)9.1 VPN概述 9.2 隧道技術(shù)(jsh)9.3 實現(xiàn)VPN的二層隧道協(xié)議 9.4 實現(xiàn)VPN的三層隧道協(xié)議9.5 MPLS VPN 9.6 SSL VPN 共六十八頁9.5 MPLS VPN基于MPLS這種短標簽快速交換網(wǎng)而建立的VPN ，通常是同一個企業(yè)的不同分支機構(gòu)或企業(yè)間構(gòu)建的通信站點集合群。相對傳統(tǒng)VPN，MPLS VPN的優(yōu)勢：安全性高 標記交換，完全隔離性保證傳輸?shù)陌踩钥蓴U展性強用戶網(wǎng)絡(luò)結(jié)構(gòu)靈活。支持(zhch)端到端的QoS（服務(wù)質(zhì)量）支持多種業(yè)務(wù)。 語音視頻實時性強 申請不同的QoS共六十八頁9.5 MPLS

27、 VPN9.5.1 MPLS的概念和組成(z chn)9.5.2 MPLS的工作原理9.5.3 MPLS VPN的概念和組成9.5.4 MPLS VPN的數(shù)據(jù)轉(zhuǎn)發(fā)過程共六十八頁9.5.1 MPLS的概念(ginin)和組成 MPLS是一種結(jié)合第二層交換(jiohun)和第三層路由的快速交換(jiohun)技術(shù)，Cisco公司提出的Tag Switching技術(shù)上發(fā)展而來的。傳統(tǒng)IP技術(shù)機制， 路由器 MPLS的網(wǎng)絡(luò)結(jié)構(gòu)圖 圖9-14 p222LSR 標簽交換路由器 核心 PLER 標簽邊緣路由器 PE： 進口LER 出口LERLSP 標簽交換路徑：MPLS結(jié)點之間的路徑共六十八頁9.5.2 M

28、PLS的工作(gngzu)原理MPLS的一個重要概念： FEC 轉(zhuǎn)發(fā)等價類LDP 標簽分發(fā)協(xié)議。通過網(wǎng)絡(luò)層路由信息和數(shù)據(jù)鏈路層交換路徑之間的直接映射，LSR使用LDP協(xié)議來建立面向(min xin)連接的標簽交換路徑。MPLS的數(shù)據(jù)轉(zhuǎn)發(fā)原理FEC劃分標簽綁定標簽分發(fā)與標簽轉(zhuǎn)換路徑的建立帶標簽的分組轉(zhuǎn)發(fā)標簽彈出出口IP轉(zhuǎn)發(fā)共六十八頁9.5.3 MPLS VPN的概念(ginin)和組成MPLS VPN利用MPLS中的LSP作為實現(xiàn)VPN的隧道，用標簽和VPN ID將特定的數(shù)據(jù)包唯一識別。建立的隧道是由路由交換信息(xnx)的交互而得到的一條虛擬隧道（即LSP）MPLS VPN的結(jié)構(gòu) 圖9-15

29、p224用戶邊緣CE網(wǎng)絡(luò)服務(wù)提供商邊緣 PE： 維持一個虛擬路由轉(zhuǎn)發(fā)表VRF網(wǎng)絡(luò)服務(wù)提供商P設(shè)備用戶站點共六十八頁9.5.4 MPLS VPN的數(shù)據(jù)轉(zhuǎn)發(fā)(zhun f)過程（4步）CEPE ，PE路由器查找該VPN對應(yīng)的VRF，從中得到一個VPN標簽和下一跳的出口PE路由器的地址。 內(nèi)外兩次標簽主干網(wǎng)的P路由器根據(jù)外層標簽轉(zhuǎn)發(fā)IP數(shù)據(jù)包出口PE路由器根據(jù)內(nèi)層標簽找到相應(yīng)的出口，將內(nèi)層標簽去掉(q dio)，將不含標簽的VPN數(shù)據(jù)包轉(zhuǎn)發(fā)給指定的CECE根據(jù)自己的路由表經(jīng)封裝前的數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的目的地。共六十八頁第9章 虛擬(xn)專用網(wǎng)9.1 VPN概述 9.2 隧道技術(shù)9.3 實現(xiàn)(shxi

30、n)VPN的二層隧道協(xié)議 9.4 實現(xiàn)VPN的三層隧道協(xié)議9.5 MPLS VPN 9.6 SSL VPN 共六十八頁9.6 SSL VPN MPLS VPN 電信運營商為企業(yè)用戶提供 實現(xiàn)內(nèi)部網(wǎng)絡(luò)(wnglu)之間遠程互聯(lián)業(yè)務(wù) SSL VPN： 企業(yè)移動用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源9.6.1 SSL VPN概述9.6.2 基于Web瀏覽器模式的SSL VPN9.6.3 SSL VPN的應(yīng)用特點共六十八頁9.6.1 SSL VPN概述(i sh)SSL VPN屬于應(yīng)用層VPN技術(shù)VPN客戶端與服務(wù)器之間通過HTTPS安全協(xié)議建立連接和傳輸數(shù)據(jù)SSL VPN的核心是SSL協(xié)議SSL VPN網(wǎng)關(guān) 介于企業(yè)企業(yè)內(nèi)部服務(wù)器和遠程用戶(yngh)之間遠程用戶和SSL VPN網(wǎng)關(guān)之間建立一條應(yīng)用層隧道?？蛻舳苏埱?，先加密數(shù)據(jù)，發(fā)到網(wǎng)關(guān)，網(wǎng)關(guān)解密，執(zhí)行安全策略檢查，轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器。共六十八頁9.6.1 SSL VPN概述(i sh)SSL VPN實現(xiàn)的關(guān)鍵技術(shù)（4）Web代理(dil)技術(shù)應(yīng)用轉(zhuǎn)換技術(shù)端口轉(zhuǎn)發(fā)技術(shù)SSL VPN的應(yīng)用模式Web瀏覽器SS