虛擬專用網(wǎng)VPN課件

虛擬專用網(wǎng)VPN張愛菊中南財(cái)經(jīng)政法大學(xué)信息學(xué)院虛擬專用網(wǎng)VPN張愛菊1VPN的概念虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。所謂虛擬，是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。VPN的概念虛擬專用網(wǎng)指的是依靠ISP（Internet服2由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用，也節(jié)省了長途電話費(fèi)。這就是VPN價格低廉的原因。由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)，3需求的出現(xiàn)隨著商務(wù)活動的日益頻繁，各企業(yè)開始允許其生意伙伴、供應(yīng)商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡化信息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動態(tài)的，并依靠網(wǎng)絡(luò)來維持和加強(qiáng)，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡(luò)的復(fù)雜性，還帶來了管理和安全性的問題需求的出現(xiàn)隨著商務(wù)活動的日益頻繁，各企業(yè)開始允許其生意伙伴、4需求的出現(xiàn)隨著自身的的發(fā)展壯大與跨國化，企業(yè)的分支機(jī)構(gòu)不僅越來越多，而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的信息技術(shù)部門在連接分支機(jī)構(gòu)方面也感到日益棘手。需求的出現(xiàn)隨著自身的的發(fā)展壯大與跨國化，企業(yè)的分支機(jī)構(gòu)不僅越5典型的VPN的結(jié)構(gòu)圖典型的VPN的結(jié)構(gòu)圖6虛擬專用網(wǎng)絡(luò)的基本用途通過Internet實(shí)現(xiàn)遠(yuǎn)程用戶訪問。虛擬專用網(wǎng)絡(luò)支持以安全的方式通過公共互聯(lián)網(wǎng)絡(luò)遠(yuǎn)程訪問企業(yè)資源。虛擬專用網(wǎng)絡(luò)的基本用途通過Internet實(shí)現(xiàn)遠(yuǎn)程用戶訪問7VPN的特點(diǎn)安全保障服務(wù)質(zhì)量保證（QoS）用來解決網(wǎng)絡(luò)延遲和阻塞如何提高服務(wù)質(zhì)量的一種技術(shù)?？蓴U(kuò)充性和靈活性可管理性VPN的特點(diǎn)安全保障8企業(yè)應(yīng)用方式自建大型企業(yè)用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設(shè)備安裝在其總部和分支機(jī)構(gòu)中，將各個機(jī)構(gòu)低成本且安全地連接在一起。最大的優(yōu)勢在于高控制性，尤其是基于安全基礎(chǔ)之上的控制。企業(yè)還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿足自身的特殊需要，這要優(yōu)于ISP所提供的普通服務(wù)。企業(yè)應(yīng)用方式自建9企業(yè)應(yīng)用方式外包中小型企業(yè)如果自己購買VPN設(shè)備，則財(cái)務(wù)成本較高，而且一般中小型企業(yè)的IT人員短缺、技能水平不足、資金能力有限，不足以支持VPN，所以，外包VPN是較好的選擇。

企業(yè)應(yīng)用方式外包10VPN的安全技術(shù)目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption&Decryption）、密鑰管理技術(shù)（KeyManagement）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。VPN的安全技術(shù)目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四11隧道技術(shù)隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。主要應(yīng)用于構(gòu)建遠(yuǎn)程訪問虛擬專網(wǎng)。隧道技術(shù)隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對點(diǎn)連接技術(shù)，12隧道技術(shù)第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。主要應(yīng)用于構(gòu)建企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）和擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)（ExtranetVPN）。隧道技術(shù)第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形13加解密技術(shù)加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。加解密技術(shù)加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可14.密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。.密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安15身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼等方式。身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼等方式。16VPN的應(yīng)用模式針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）;這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。VPN的應(yīng)用模式針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)17VPN連接的示意圖虛擬網(wǎng)組成后，出差員工和外地客戶甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限就可以訪問企業(yè)內(nèi)部資源。這對于流動性很大的出差員工和分布廣泛的客戶來說是很有意義的。VPN連接的示意圖虛擬網(wǎng)組成后，出差員工和外地客戶甚至不必?fù)?8VPN端局連接示意圖VPN端局連接示意圖19采用兩種方式實(shí)現(xiàn)Internet網(wǎng)絡(luò)互連使用專線連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。使用撥號線路連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)建議：客戶端使用撥號線路連接，服務(wù)器端則采用專線連接。采用兩種方式實(shí)現(xiàn)Internet網(wǎng)絡(luò)互連使用專線連接分支機(jī)構(gòu)20連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，考慮到一些部門可能存儲有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門同整個企業(yè)網(wǎng)絡(luò)斷開形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護(hù)了部門的重要信息，但是由于物理上的中斷，使其他部門的用戶無法，造成通訊上的困難。采用VPN方案，通過使用一臺VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，考慮到一些部門可21連接企業(yè)內(nèi)部網(wǎng)實(shí)例通過使用一臺VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。企業(yè)網(wǎng)絡(luò)管理人員通過設(shè)置VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問敏感信息的權(quán)利。此外，還可以對所有VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的安全性。連接企業(yè)內(nèi)部網(wǎng)實(shí)例通過使用一臺VPN服務(wù)器既22VPN的基本要求用戶驗(yàn)證地址管理數(shù)據(jù)加密密鑰管理多協(xié)議支持VPN的基本要求用戶驗(yàn)證23隧道技術(shù)基礎(chǔ)隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程隧道技術(shù)基礎(chǔ)隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)24隧道協(xié)議點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）PPTP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)發(fā)送。第2層隧道協(xié)議（L2TP）L2TP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過支持點(diǎn)對點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，X.25，楨中繼或ATM。安全I(xiàn)P（IPSec)隧道模式IPSec隧道模式允許對IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如Internet發(fā)送。隧道協(xié)議點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）25隧道協(xié)議為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。第2層隧道協(xié)議對應(yīng)OSI模型中的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位。PPTP，L2TP和L2F（第2層轉(zhuǎn)發(fā)）都屬于第2層隧道協(xié)議，都是將數(shù)據(jù)封裝在點(diǎn)對點(diǎn)協(xié)議（PPP）幀中進(jìn)行發(fā)送。第3層隧道協(xié)議對應(yīng)OSI模型中的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。IPoverIP以及IPSec隧道模式都屬于第3層隧道協(xié)議，都是將IP包封裝在附加的IP包頭中通過IP網(wǎng)絡(luò)傳送。隧道協(xié)議為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧26隧道技術(shù)如何實(shí)現(xiàn)創(chuàng)建隧道的過程類似于在雙方之間建立會話，隧道的兩個端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。

隧道技術(shù)如何實(shí)現(xiàn)創(chuàng)建隧道的過程類似于在雙方之間建立會話，隧27VPN協(xié)議點(diǎn)對點(diǎn)隧道協(xié)議PPTP(PointtoPointTunnelingProtocol)：1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的。第二層轉(zhuǎn)發(fā)協(xié)議L2F(Layer2Forwarding)：1996年Cisco開發(fā)的。第二層隧道協(xié)議L2TP(Layer2TunnelingProtocol)：1997年底，Microsoft和Cisco共同開發(fā)。VPN協(xié)議點(diǎn)對點(diǎn)隧道協(xié)議PPTP(PointtoPoin28點(diǎn)對點(diǎn)隧道協(xié)議PPTP-PPP協(xié)議的一種擴(kuò)展客戶可以采用撥號方式接入公共的IP網(wǎng)。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器（NAS），建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道PPTP的最大優(yōu)勢是Microsoft公司的支持。另外一個優(yōu)勢是它支持流量控制。PPTP把建立隧道的主動權(quán)交給了客戶，但客戶需要在其PC機(jī)上配置PPTP，這樣做既會增加用戶的工作量，又會造成網(wǎng)絡(luò)的安全隱患。

點(diǎn)對點(diǎn)隧道協(xié)議PPTP-PPP協(xié)議的一種擴(kuò)展客戶可以采用撥號29第二層轉(zhuǎn)發(fā)協(xié)議L2F遠(yuǎn)端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號到ISP的接人服務(wù)器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。這種方式下，隧道的配置和建立對用戶是完全透明的。

第二層轉(zhuǎn)發(fā)協(xié)議L2F遠(yuǎn)端用戶能夠通過任何撥號方式接入公共IP30第二層隧道協(xié)議L2TPL2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或接人服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。L2TP的好處就在于支持多種協(xié)議.在安全性考慮上，L2TP僅僅定義了控制包的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。L2TP并不能滿足用戶對安全性的需求。如果需要安全的VPN，則依然需要IPSec.第二層隧道協(xié)議L2TPL2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，31IPsec的工作原理IPSec提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。

IPSec處理實(shí)際上是對IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。保證在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，保證通過Internet進(jìn)行通信的安全性。IPsec的工作原理IPSec提供了比包過濾防火墻更進(jìn)一步的32IPsec中的三個重要協(xié)議IPSec的主要功能是實(shí)現(xiàn)IP層的加密和認(rèn)證，為了進(jìn)行加密和認(rèn)證IPSec還提供了密鑰管理和交換的功能。這三個功能分別由三個協(xié)議來實(shí)現(xiàn)：一個術(shù)語：SA（securityassociation）ESP（安全加載封裝）AH（認(rèn)證協(xié)議頭）IKE（互聯(lián)網(wǎng)密鑰交換）兩種工作模式：傳輸模式和隧道模式AH協(xié)議通過在整個IP數(shù)據(jù)報(bào)中實(shí)施一個消息文摘計(jì)算來提供完整性和認(rèn)證服務(wù)。它提供IP數(shù)據(jù)報(bào)的完整性和可信性服務(wù)ESP協(xié)議是設(shè)計(jì)以兩種模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式。IPsec中的三個重要協(xié)議IPSec的主要功33安全關(guān)聯(lián)SA兩臺IPSec計(jì)算機(jī)在交換數(shù)據(jù)之前，必須首先建立某種約定，這種約定，稱為"安全關(guān)聯(lián)"，指雙方需要就如何保護(hù)信息、交換信息等公用的安全設(shè)置達(dá)成一致，更重要的是，必須有一種方法，使那兩臺計(jì)算機(jī)安全地交換一套密鑰，以便在它們的連接中使用。安全關(guān)聯(lián)SA兩臺IPSec計(jì)算機(jī)在交換數(shù)據(jù)之前，必須首先建立34IKE（互聯(lián)網(wǎng)密鑰交換）用于在兩個通信實(shí)體協(xié)商和建立安全相關(guān)，交換密鑰。安全關(guān)聯(lián)（SecurityAssociation）是IPSec中的一個重要概念。一個安全關(guān)聯(lián)表示兩個或多個通信實(shí)體之間經(jīng)過了身份認(rèn)證，且這些通信實(shí)體都能支持相同的加密算法，成功地交換了會話密鑰，可以開始利用IPSec進(jìn)行安全通信。IPSec協(xié)議本身沒有提供在通信實(shí)體間建立安全相關(guān)的方法，利用IKE建立安全相關(guān)。IKE定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE中身份認(rèn)證采用共享密鑰和數(shù)字簽名兩種方式，密鑰交換采用DiffieHellman協(xié)議。

IKE（互聯(lián)網(wǎng)密鑰交換）用于在兩個通信實(shí)體協(xié)商和建立安35IKE主要完成兩個作用：安全關(guān)聯(lián)的集中化管理，減少連接時間；密鑰的生成和管理。IKE主要完成兩個作用：36IKE如何建立SA分為兩個階段：主模式SA，快速模式SA第一階段SA（主模式SA，為建立信道而進(jìn)行的安全關(guān)聯(lián)），協(xié)商創(chuàng)建一個通信信道（IKESA），并對該信道進(jìn)行認(rèn)證，為雙方進(jìn)一步的IKE通信提供機(jī)密性、數(shù)據(jù)完整性以及數(shù)據(jù)源認(rèn)證服務(wù)。IKE如何建立SA分為兩個階段：主模式SA，快速模式SA37（主模式協(xié)商）步驟：1．策略協(xié)商，在這一步中，就四個強(qiáng)制性參數(shù)值進(jìn)行協(xié)商：1）加密算法：選擇DES或3DES2）hash算法：選擇MD5或SHA3）認(rèn)證方法：選擇證書認(rèn)證、預(yù)置共享密鑰認(rèn)證或Kerberosv5認(rèn)證4）Diffie-Hellman組的選擇（主模式協(xié)商）步驟：38快速模式協(xié)商）步驟：1．策略協(xié)商，雙方交換保護(hù)需求：·使用哪種IPSec協(xié)議：AH或ESP·使用哪種hash算法：MD5或SHA·是否要求加密，若是，選擇加密算法：3DES或DES在上述三方面達(dá)成一致后?？焖倌Ｊ絽f(xié)商）步驟：39AH(認(rèn)證協(xié)議頭)AH協(xié)議通過在整個IP數(shù)據(jù)報(bào)中實(shí)施一個消息文摘計(jì)算來提供完整性和認(rèn)證服務(wù)。一個消息文摘就是一個特定的單向數(shù)據(jù)函數(shù)，它能夠創(chuàng)建數(shù)據(jù)報(bào)的唯一的數(shù)字指紋。消息文摘算法的輸出結(jié)果放到AH包頭的認(rèn)證數(shù)據(jù)（Authentication_Data）區(qū)。AH(認(rèn)證協(xié)議頭)AH協(xié)議通過在整個IP數(shù)據(jù)報(bào)中實(shí)施一個消40ESP（安全加載封裝）它提供IP數(shù)據(jù)報(bào)的完整性和可信性服務(wù),ESP協(xié)議可以兩種模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式。兩者的區(qū)別在于IP數(shù)據(jù)報(bào)的ESP負(fù)載部分的內(nèi)容不同。在隧道模式中，整個IP數(shù)據(jù)報(bào)都在ESP負(fù)載中進(jìn)行封裝和加密。當(dāng)這完成以后，真正的IP源地址和目的地址都可以被隱藏為Internet發(fā)送的普通數(shù)據(jù)。在傳輸模式中，只有更高層協(xié)議幀（TCP、UDP、ICMP等）被放到加密后的IP數(shù)據(jù)報(bào)的ESP負(fù)載部分。在這種模式中，源和目的IP地址以及所有的IP包頭域都是不加密發(fā)送的。ESP（安全加載封裝）它提供IP數(shù)據(jù)報(bào)的完整性和可信性服務(wù)41數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH數(shù)據(jù)原IP包頭AH新IP包頭傳輸模式隧道模式AH協(xié)議ESP協(xié)議數(shù)據(jù)IP包頭加密后的數(shù)據(jù)IP包頭ESP頭部ESP頭新IP包頭傳輸模式隧道模式ESP尾部ESP驗(yàn)證ESP尾部ESP驗(yàn)證數(shù)據(jù)原IP包頭加密部分?jǐn)?shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH數(shù)據(jù)原IP包頭AH新IP42虛擬專用網(wǎng)VPN43虛擬專用網(wǎng)VPN44虛擬專用網(wǎng)VPN45虛擬專用網(wǎng)VPN46虛擬專用網(wǎng)VPN張愛菊中南財(cái)經(jīng)政法大學(xué)信息學(xué)院虛擬專用網(wǎng)VPN張愛菊47VPN的概念虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。所謂虛擬，是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。VPN的概念虛擬專用網(wǎng)指的是依靠ISP（Internet服48由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用，也節(jié)省了長途電話費(fèi)。這就是VPN價格低廉的原因。由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)，49需求的出現(xiàn)隨著商務(wù)活動的日益頻繁，各企業(yè)開始允許其生意伙伴、供應(yīng)商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡化信息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動態(tài)的，并依靠網(wǎng)絡(luò)來維持和加強(qiáng)，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡(luò)的復(fù)雜性，還帶來了管理和安全性的問題需求的出現(xiàn)隨著商務(wù)活動的日益頻繁，各企業(yè)開始允許其生意伙伴、50需求的出現(xiàn)隨著自身的的發(fā)展壯大與跨國化，企業(yè)的分支機(jī)構(gòu)不僅越來越多，而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的信息技術(shù)部門在連接分支機(jī)構(gòu)方面也感到日益棘手。需求的出現(xiàn)隨著自身的的發(fā)展壯大與跨國化，企業(yè)的分支機(jī)構(gòu)不僅越51典型的VPN的結(jié)構(gòu)圖典型的VPN的結(jié)構(gòu)圖52虛擬專用網(wǎng)絡(luò)的基本用途通過Internet實(shí)現(xiàn)遠(yuǎn)程用戶訪問。虛擬專用網(wǎng)絡(luò)支持以安全的方式通過公共互聯(lián)網(wǎng)絡(luò)遠(yuǎn)程訪問企業(yè)資源。虛擬專用網(wǎng)絡(luò)的基本用途通過Internet實(shí)現(xiàn)遠(yuǎn)程用戶訪問53VPN的特點(diǎn)安全保障服務(wù)質(zhì)量保證（QoS）用來解決網(wǎng)絡(luò)延遲和阻塞如何提高服務(wù)質(zhì)量的一種技術(shù)。可擴(kuò)充性和靈活性可管理性VPN的特點(diǎn)安全保障54企業(yè)應(yīng)用方式自建大型企業(yè)用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設(shè)備安裝在其總部和分支機(jī)構(gòu)中，將各個機(jī)構(gòu)低成本且安全地連接在一起。最大的優(yōu)勢在于高控制性，尤其是基于安全基礎(chǔ)之上的控制。企業(yè)還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿足自身的特殊需要，這要優(yōu)于ISP所提供的普通服務(wù)。企業(yè)應(yīng)用方式自建55企業(yè)應(yīng)用方式外包中小型企業(yè)如果自己購買VPN設(shè)備，則財(cái)務(wù)成本較高，而且一般中小型企業(yè)的IT人員短缺、技能水平不足、資金能力有限，不足以支持VPN，所以，外包VPN是較好的選擇。

企業(yè)應(yīng)用方式外包56VPN的安全技術(shù)目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption&Decryption）、密鑰管理技術(shù)（KeyManagement）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。VPN的安全技術(shù)目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四57隧道技術(shù)隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。主要應(yīng)用于構(gòu)建遠(yuǎn)程訪問虛擬專網(wǎng)。隧道技術(shù)隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對點(diǎn)連接技術(shù)，58隧道技術(shù)第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。主要應(yīng)用于構(gòu)建企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）和擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)（ExtranetVPN）。隧道技術(shù)第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形59加解密技術(shù)加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。加解密技術(shù)加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可60.密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。.密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安61身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼等方式。身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼等方式。62VPN的應(yīng)用模式針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）;這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。VPN的應(yīng)用模式針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)63VPN連接的示意圖虛擬網(wǎng)組成后，出差員工和外地客戶甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限就可以訪問企業(yè)內(nèi)部資源。這對于流動性很大的出差員工和分布廣泛的客戶來說是很有意義的。VPN連接的示意圖虛擬網(wǎng)組成后，出差員工和外地客戶甚至不必?fù)?4VPN端局連接示意圖VPN端局連接示意圖65采用兩種方式實(shí)現(xiàn)Internet網(wǎng)絡(luò)互連使用專線連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。使用撥號線路連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)建議：客戶端使用撥號線路連接，服務(wù)器端則采用專線連接。采用兩種方式實(shí)現(xiàn)Internet網(wǎng)絡(luò)互連使用專線連接分支機(jī)構(gòu)66連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，考慮到一些部門可能存儲有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門同整個企業(yè)網(wǎng)絡(luò)斷開形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護(hù)了部門的重要信息，但是由于物理上的中斷，使其他部門的用戶無法，造成通訊上的困難。采用VPN方案，通過使用一臺VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，考慮到一些部門可67連接企業(yè)內(nèi)部網(wǎng)實(shí)例通過使用一臺VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。企業(yè)網(wǎng)絡(luò)管理人員通過設(shè)置VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問敏感信息的權(quán)利。此外，還可以對所有VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的安全性。連接企業(yè)內(nèi)部網(wǎng)實(shí)例通過使用一臺VPN服務(wù)器既68VPN的基本要求用戶驗(yàn)證地址管理數(shù)據(jù)加密密鑰管理多協(xié)議支持VPN的基本要求用戶驗(yàn)證69隧道技術(shù)基礎(chǔ)隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程隧道技術(shù)基礎(chǔ)隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)70隧道協(xié)議點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）PPTP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)發(fā)送。第2層隧道協(xié)議（L2TP）L2TP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過支持點(diǎn)對點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，X.25，楨中繼或ATM。安全I(xiàn)P（IPSec)隧道模式IPSec隧道模式允許對IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如Internet發(fā)送。隧道協(xié)議點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）71隧道協(xié)議為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。第2層隧道協(xié)議對應(yīng)OSI模型中的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位。PPTP，L2TP和L2F（第2層轉(zhuǎn)發(fā)）都屬于第2層隧道協(xié)議，都是將數(shù)據(jù)封裝在點(diǎn)對點(diǎn)協(xié)議（PPP）幀中進(jìn)行發(fā)送。第3層隧道協(xié)議對應(yīng)OSI模型中的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。IPoverIP以及IPSec隧道模式都屬于第3層隧道協(xié)議，都是將IP包封裝在附加的IP包頭中通過IP網(wǎng)絡(luò)傳送。隧道協(xié)議為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧72隧道技術(shù)如何實(shí)現(xiàn)創(chuàng)建隧道的過程類似于在雙方之間建立會話，隧道的兩個端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。

隧道技術(shù)如何實(shí)現(xiàn)創(chuàng)建隧道的過程類似于在雙方之間建立會話，隧73VPN協(xié)議點(diǎn)對點(diǎn)隧道協(xié)議PPTP(PointtoPointTunnelingProtocol)：1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的。第二層轉(zhuǎn)發(fā)協(xié)議L2F(Layer2Forwarding)：1996年Cisco開發(fā)的。第二層隧道協(xié)議L2TP(Layer2TunnelingProtocol)：1997年底，Microsoft和Cisco共同開發(fā)。VPN協(xié)議點(diǎn)對點(diǎn)隧道協(xié)議PPTP(PointtoPoin74點(diǎn)對點(diǎn)隧道協(xié)議PPTP-PPP協(xié)議的一種擴(kuò)展客戶可以采用撥號方式接入公共的IP網(wǎng)。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器（NAS），建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道PPTP的最大優(yōu)勢是Microsoft公司的支持。另外一個優(yōu)勢是它支持流量控制。PPTP把建立隧道的主動權(quán)交給了客戶，但客戶需要在其PC機(jī)上配置PPTP，這樣做既會增加用戶的工作量，又會造成網(wǎng)絡(luò)的安全隱患。

點(diǎn)對點(diǎn)隧道協(xié)議PPTP-PPP協(xié)議的一種擴(kuò)展客戶可以采用撥號75第二層轉(zhuǎn)發(fā)協(xié)議L2F遠(yuǎn)端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號到ISP的接人服務(wù)器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。這種方式下，隧道的配置和建立對用戶是完全透明的。

第二層轉(zhuǎn)發(fā)協(xié)議L2F遠(yuǎn)端用戶能夠通過任何撥號方式接入公共IP76第二層隧道協(xié)議L2TPL2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或接人服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。L2TP的好處就在于支持多種協(xié)議.在安全性考慮上，L2TP僅僅定義了控制包的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。L2TP并不能滿足用戶對安全性的需求。如果需要安全的VPN，則依然需要IPSec.第二層隧道協(xié)議L2TPL2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，77IPsec的工作原理IPSec提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。

IPSec處理實(shí)際上是對IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。保證在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，保證通過Internet進(jìn)行通信的安全性。IPsec的工作原理IPSec提供了比包過濾防火墻更進(jìn)一步的78IPsec中的三個重要協(xié)議IPSec的主要功能是實(shí)現(xiàn)IP層的加密和認(rèn)證，為了進(jìn)行加密和認(rèn)證IPSec還提供了密鑰管理和交換的功能。這三個功能分別由三個協(xié)議來實(shí)現(xiàn)：一個術(shù)語：SA（securityassociation）ESP（安全加載封裝）AH（認(rèn)證協(xié)議頭）IKE（互聯(lián)網(wǎng)密鑰交換）兩種工作模式：傳輸模式和隧道模式AH協(xié)議通過在整個IP數(shù)據(jù)報(bào)中實(shí)施一個消息文摘計(jì)算來提供完整性和認(rèn)證服務(wù)。它提供IP數(shù)據(jù)報(bào)的完整性和可信性服務(wù)ESP協(xié)議是設(shè)計(jì)以兩種模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式。IPsec中的三個重要協(xié)議IPSec的主要功79安全關(guān)聯(lián)SA兩臺IPSec計(jì)算機(jī)在交換數(shù)據(jù)之前，必須首先建立某種約定，這種約定，稱為"安全關(guān)聯(lián)"，指雙方需要就如何保護(hù)信息、交換信息等公用的安全設(shè)置達(dá)成一致，更重要的是，必須有一種方法，使那兩臺計(jì)算機(jī)安全地交換一套密鑰，以便在它們的連接中使用。安全關(guān)聯(lián)SA兩臺IPSec計(jì)算機(jī)在交換數(shù)據(jù)之前，必須首先建立80IKE（互聯(lián)網(wǎng)密鑰交換）用于在兩個通信實(shí)體協(xié)商和建立安全相關(guān)，交換密鑰。安全關(guān)聯(lián)（SecurityAssociation）是IPSec中的一個重要概念。一個安全關(guān)聯(lián)表示兩個或多個通信實(shí)體之間經(jīng)過了身份認(rèn)證，且這些通信實(shí)體都能支持相同的加密算法，成功地交換了會話密鑰，可以開始利用