網(wǎng)絡安全基礎及應用張仕斌陳麟方睿編著北京：人民郵電出版社二00九年十一月2023/3/91主要內容第1章緒論第2章密碼技術第3章信息隱藏技術第4章數(shù)字簽名技術第5章認證技術第6章網(wǎng)絡入侵與攻擊技術第7章網(wǎng)絡安全防范技術第8章操作系統(tǒng)安全技術第9章數(shù)據(jù)與數(shù)據(jù)庫安全技術第10章軟件安全技術第11章Web安全技術第12章網(wǎng)絡互聯(lián)安全技術2023/3/92第12章網(wǎng)絡互聯(lián)安全技術2023/3/93知識點：

網(wǎng)絡互聯(lián)的概念及實現(xiàn)方法

局域網(wǎng)間的互聯(lián)

局域網(wǎng)與廣域網(wǎng)間的互聯(lián)

遠程撥入局域網(wǎng)間的互聯(lián)

2023/3/9412.1網(wǎng)絡互聯(lián)的概念及實現(xiàn)方法12.1.1網(wǎng)絡互聯(lián)的概念

網(wǎng)絡互聯(lián)就是利用網(wǎng)絡互聯(lián)設備，將兩個或者兩個以上具有獨立自治能力的計算機網(wǎng)絡連接起來，通過數(shù)據(jù)通信，擴大資源共享和信息交流的范圍，以容納更多的用戶。（1）網(wǎng)絡互聯(lián)的目的是使一個網(wǎng)絡上的用戶能訪問其他網(wǎng)絡上的資源，使不同網(wǎng)絡上的用戶能互相通信和交換數(shù)據(jù)。同時，在OSI/RM出現(xiàn)以前已大量存在非OSI/RM網(wǎng)絡體系結構，在這些網(wǎng)絡中，物理結構、協(xié)議和所采用的標準各不相同，且不同的網(wǎng)絡類型有著不同的通信手段，如采用總線的、采用分組交換的、采用衛(wèi)星通信的以及采用無線電、紅外線和藍牙等不同技術的數(shù)據(jù)傳輸。隨著硬件技術的不斷發(fā)展，還會出現(xiàn)新的通信網(wǎng)絡類型，甚至在某些情況下，仍然會采用非OSI/RM系統(tǒng)來支持網(wǎng)絡應用的運行。2023/3/95

（2）

實現(xiàn)網(wǎng)絡互聯(lián)的基本條件是：首先，在需要連接的網(wǎng)絡之間提供物理鏈路，建立數(shù)據(jù)交換的連接通道，并且有全面的控制規(guī)程；其次，在不同的網(wǎng)絡之間建立適當?shù)穆酚?；第三，能夠在有差異的網(wǎng)絡中進行數(shù)據(jù)交換；最后，還要能夠進行有效的網(wǎng)絡管理。

網(wǎng)絡互聯(lián)通常要經(jīng)過中間設備，統(tǒng)稱之為中繼系統(tǒng)，在兩個網(wǎng)絡互聯(lián)的路徑中可以有多個不同類型的中繼系統(tǒng)。按OSI/RM所屬的層次劃分，網(wǎng)絡互聯(lián)可以分為物理層的互聯(lián)、數(shù)據(jù)鏈路層的互聯(lián)、網(wǎng)絡層的互聯(lián)和高層的互聯(lián)。2023/3/96

12.1.2網(wǎng)絡互聯(lián)的實現(xiàn)方法（1）網(wǎng)絡互聯(lián)的具體方式，但總體來說，進行網(wǎng)絡互聯(lián)時應注意應注意：

①網(wǎng)絡之間至少提供一條物理上連接的鏈路及對這條鏈路的控制協(xié)議；②不同網(wǎng)絡進程之間提供合適的路由，以便交換數(shù)據(jù)；③選定一個相應的協(xié)議層，使得從該層開始，被互相連接的網(wǎng)絡設備中的高層協(xié)議都是相同的，其低層協(xié)議和硬件差異可通過該層屏蔽，從而使得不同網(wǎng)絡中的用戶可以互相通信。

（2）通過互聯(lián)設備連接起來的兩個網(wǎng)絡之間要能夠進行通信，兩個網(wǎng)絡上的計算機使用的協(xié)議（在某一個協(xié)議層以上所有的協(xié)議）必須是一致的。因此，根據(jù)網(wǎng)絡互聯(lián)所在的層次，常用的互聯(lián)設備有：①物理層互聯(lián)設備，即轉發(fā)器（Repeater）；②數(shù)據(jù)鏈路層互聯(lián)設備，即橋接器（Bridge）；③網(wǎng)絡層互聯(lián)設備，即路由器（Router）；④網(wǎng)絡層以上的互聯(lián)設備，統(tǒng)稱網(wǎng)關（Gateway）。但目前的路由器通常已可實現(xiàn)網(wǎng)關的功能。2023/3/97（3）網(wǎng)絡的互聯(lián)有3種方法構建互聯(lián)網(wǎng)，它們分別與5層實用參考模型的低3層一一對應。例如，用來擴展局域網(wǎng)長度的中繼器（即轉發(fā)器）工作在物理層，用它互聯(lián)的兩個局域網(wǎng)必須是一模一樣的。中繼器提供物理層的連接并且只能連接一種特定體系的局域網(wǎng)，圖12-1所示就是一個基于中繼器的互聯(lián)網(wǎng)，兩個局域網(wǎng)體系結構必須一致。

在數(shù)據(jù)鏈路層，提供連接的設備是網(wǎng)橋和第2層交換機。圖12-2所示是一個基于橋式交換機的互聯(lián)網(wǎng)，兩端的物理層不同，并且連接不同的局域網(wǎng)體系。由于網(wǎng)橋和第2層交換機獨立于網(wǎng)絡協(xié)議，且都與網(wǎng)絡層無關，這使得它們可以互聯(lián)有不同網(wǎng)絡協(xié)議（如TCP/IP、IPX協(xié)議）的網(wǎng)絡。網(wǎng)橋和第2層交換機通過使用硬件地址而非網(wǎng)絡地址在網(wǎng)絡之間轉發(fā)幀來實現(xiàn)網(wǎng)絡的互聯(lián)。此時，由網(wǎng)橋或第2層交換機連接的兩個網(wǎng)絡組成一個互聯(lián)網(wǎng)，可將這種互聯(lián)網(wǎng)絡視為單個的邏輯網(wǎng)絡。2023/3/98

對于在網(wǎng)絡層的網(wǎng)絡互聯(lián)，所需要的互聯(lián)設備應能夠支持不同的網(wǎng)絡協(xié)議（比如IP、IPX和AppleTalk），并完成協(xié)議轉換。用于連接異構網(wǎng)絡的基本硬件設備是路由器。使用路由器連接的互聯(lián)網(wǎng)可以具有不同的物理層和數(shù)據(jù)鏈路層。圖12-3所示就是一個基于路由器和第3層交換機的互聯(lián)網(wǎng)，它工作在網(wǎng)絡層，連接使用不同網(wǎng)絡協(xié)議的網(wǎng)絡。

在一個異構聯(lián)網(wǎng)環(huán)境中，網(wǎng)絡層設備還需要具備網(wǎng)絡協(xié)議轉換（NetworkProtocolTranslation）功能。在網(wǎng)絡層提供網(wǎng)絡互聯(lián)的設備之一是路由器。它可以將多個使用不同技術（包括不同的傳輸介質、物理編址方案或幀格式）的網(wǎng)絡互聯(lián)起來，利用網(wǎng)絡層的信息（比如網(wǎng)絡地址）將分組從一個網(wǎng)絡路由到另一個網(wǎng)路。具體來說，它首先確定到一個目的節(jié)點的路徑，然后將數(shù)據(jù)分組轉發(fā)出去。由于路由器工作在網(wǎng)絡層，如果沒有特意配置，它們并不轉發(fā)廣播分組。路由器使用路由協(xié)議來確定一條從源節(jié)點到特定目的地節(jié)點的最佳路徑。2023/3/99圖12-1基于中繼器的互聯(lián)

圖12-2基于網(wǎng)橋/交換機的互聯(lián)圖12-3基于路由/交換機的互聯(lián)2023/3/91012.2局域網(wǎng)的互聯(lián)

局域網(wǎng)互聯(lián)是將多個局域網(wǎng)相互連接以實現(xiàn)信息交換和資源共享。由于局域網(wǎng)覆蓋的距離有限，能支持的聯(lián)網(wǎng)計算機的數(shù)目有限，以及局域網(wǎng)上能傳輸?shù)耐ㄐ帕坑邢?，這就要求將多個局域網(wǎng)互聯(lián)。用于將局域網(wǎng)絡相聯(lián)的技術可以在網(wǎng)絡協(xié)議體系的各層上實現(xiàn)，主要包括鏈路層間的互聯(lián)網(wǎng)絡層間的互聯(lián)、會話層間的互聯(lián)、應用層間的互聯(lián)等。12.2.1物理層間的互聯(lián)

（1）中繼器互聯(lián)中繼器（Repeater，RP）是工作于OSI的物理層，連接網(wǎng)絡線路的一種裝置。中繼器常用于兩個網(wǎng)絡節(jié)點之間物理信號的雙向轉發(fā)工作，連接兩個（或多個）網(wǎng)段，對信號起中繼放大作用，補償信號衰減，支持遠距離的通信。中繼器主要完成物理層的功能，負責在兩個節(jié)點的物理層上按位傳遞信息，完成信號的復制、調整和放大功能，以此來延長網(wǎng)絡的長度。中繼器對所有送達的數(shù)據(jù)不加選擇地予以傳送。2023/3/911（2）集線器互聯(lián)

集線器（Hub）屬于數(shù)據(jù)通信系統(tǒng)中的基礎設備，它和雙絞線等傳輸介質一樣，是一種不需任何軟件支持或只需很少管理軟件管理的硬件設備。集線器工作在局域網(wǎng)(LAN)環(huán)境，像網(wǎng)卡一樣，應用于OSI參考模型第一層，因此又被稱為物理層設備。集線器內部采用了電氣互聯(lián)，當維護LAN的環(huán)境是邏輯總線或環(huán)形結構時，完全可以用集線器建立一個物理上的星形或樹形網(wǎng)絡結構。在這方面，集線器所起的作用相當于多端口的中繼器。其實，集線器實際上就是中繼器的一種，其區(qū)別僅在于集線器能夠提供更多的端口服務，所以集線器又叫多口中繼器。2023/3/912

依據(jù)IEEE802.3協(xié)議，集線器的功能是隨機選出某一端口的設備，并讓它獨占全部帶寬，與集線器的上聯(lián)設備（交換機、路由器或服務器等）進行通信。由此可以看出，集線器在工作時具有以下兩個特點。

首先，Hub只是一個多端口的信號放大設備，工作中當一個端口接收到數(shù)據(jù)信號時，由于信號在從源端口到Hub的傳輸過程中已有了衰減，所以Hub便將該信號進行整形放大，使被衰減的信號再生（恢復）到發(fā)送時的狀態(tài)，緊接著轉發(fā)到其他所有處于工作狀態(tài)的端口上。從Hub的工作方式可以看出，它在網(wǎng)絡中只起到信號放大和重發(fā)的作用，其目的是擴大網(wǎng)絡的傳輸范圍，而不具備信號的定向傳送能力，是一個標準的共享式設備。

其次，Hub只與它的上聯(lián)設備（如上層Hub、交換機或服務器）進行通信，同層的各端口之間不會直接進行通信，而是通過上聯(lián)設備再將信息廣播到所有端口上。2023/3/913（3）調制解調器互聯(lián)

調制解調器（Modulator/DemodulatorModem）是為數(shù)據(jù)通信的數(shù)字信號在具有有限帶寬的模擬信道上進行遠距離傳輸而設計的，它一般由基帶處理、調制解調、信號放大和濾波、均衡等幾部分組成。調制是將數(shù)字信號與音頻載波組合，產(chǎn)生適合于在電話線上傳輸?shù)囊纛l信號（模擬信號），解調是從音頻信號中恢復出數(shù)字信號。

調制解調器一般分為外置式、內置式和PC卡式3種。外置調制解調器可通過電話線或專用網(wǎng)纜，與計算機串行接口相接；內置式調制解調器直接插在計算機擴展槽中；PC卡式調制解調器用于筆記本計算機，直接插在標準的PCMCIA插槽中。2023/3/91412.2.2鏈路層間的互聯(lián)在OSI/M的數(shù)據(jù)鏈路層的互聯(lián)主要應用橋接和交換技術，對幀信息進行存儲轉發(fā)，對傳輸?shù)男畔⒂休^強的管理能力。它們可控制數(shù)據(jù)流量、處理傳輸錯誤、提供物理編址以及管理對物理媒體的訪問。數(shù)據(jù)鏈路層實現(xiàn)網(wǎng)絡互聯(lián)常用的設備是網(wǎng)絡適配器、網(wǎng)橋和交換機等。（1）網(wǎng)橋互聯(lián)

網(wǎng)橋工作在數(shù)據(jù)鏈路層，將兩個局域網(wǎng)連起來，根據(jù)MAC地址（物理地址）來轉發(fā)幀，可以看作一個“低層的路由器”（路由器工作在網(wǎng)絡層，根據(jù)網(wǎng)絡地址如IP地址進行轉發(fā)）。網(wǎng)橋通常有兩大類：①透明網(wǎng)橋（使用這種網(wǎng)橋，不需要改動硬件和軟件，無需設置地址開關，無需裝入路由表或參數(shù)，只須插入電纜就可以，現(xiàn)有LAN的運行完全不受網(wǎng)橋的任何影響）；②源路由選擇網(wǎng)橋（源路由選擇的核心思想是假定每個幀的發(fā)送者都知道接收者是否在同一局域網(wǎng)上，當發(fā)送一幀到另外的網(wǎng)段時，源機器將目的地址的高位設置成1作為標記）。2023/3/915（2）交換機互聯(lián)

交換機(Switch)也稱為交換器。交換機按每一數(shù)據(jù)包中的MAC地址相對簡單地決策信息轉發(fā)。而這種轉發(fā)決策一般不考慮包中隱藏的更深的其他信息。交換技術允許共享型和專用型的局域網(wǎng)段進行帶寬調整。交換機能經(jīng)濟地將網(wǎng)絡分成小的沖突網(wǎng)域，為每個工作站提供更高的帶寬。協(xié)議的透明性使得交換機在軟件配置簡單的情況下直接安裝在多協(xié)議網(wǎng)絡中：交換機使用現(xiàn)有的電纜、中繼器、集線器和工作站的網(wǎng)絡適配器，不必做高層的硬件升級；交換機對工作站是透明的，這樣管理開銷低廉，簡化了網(wǎng)絡節(jié)點的增加、移動和網(wǎng)絡變化的操作。2023/3/91612.2.3網(wǎng)絡層間的互聯(lián)網(wǎng)絡層互聯(lián)一般連接相同協(xié)議的網(wǎng)絡，可以連接異構網(wǎng)絡，還可以利用協(xié)議將整個網(wǎng)絡劃分為若干邏輯子網(wǎng)。中繼系統(tǒng)在網(wǎng)絡層對數(shù)據(jù)包進行存儲轉發(fā)，對傳輸?shù)男畔⒂泻軓姷墓芾砟芰Α１緦拥幕ヂ?lián)主要解決的技術問題是：路由選擇、擁塞控制、差錯處理和分段技術等。網(wǎng)絡層互聯(lián)的典型設備是路由器，它具有判斷網(wǎng)絡地址和選擇路徑的功能，完成網(wǎng)絡層中繼的任務。（1）路由器互聯(lián)

路由器互聯(lián)與網(wǎng)絡的協(xié)議有關，路由器工作在OSI模型中的第三層，即網(wǎng)絡層。路由器利用網(wǎng)絡層定義的“邏輯”上的網(wǎng)絡地址（即IP地址）來區(qū)別不同的網(wǎng)絡，實現(xiàn)網(wǎng)絡的互聯(lián)和隔離，保持各個網(wǎng)絡的獨立性。路由器不轉發(fā)廣播消息，而把廣播消息限制在各自的網(wǎng)絡內部。發(fā)送到其他網(wǎng)絡的數(shù)據(jù)包先被送到路由器，再由路由器轉發(fā)出去。2023/3/917

IP路由器只轉發(fā)IP分組，把其余的部分擋在網(wǎng)內（包括廣播），從而保持各個網(wǎng)絡具有相對的獨立性，這樣可以組成具有許多網(wǎng)絡（子網(wǎng)）互聯(lián)的大型網(wǎng)絡。網(wǎng)絡中的設備用它們的網(wǎng)絡地址（TCP/IP網(wǎng)絡中為IP地址）互相通信。IP地址是與硬件地址無關的“邏輯”地址。路由器只根據(jù)IP地址來轉發(fā)數(shù)據(jù)。IP地址的結構有兩部分，一部分定義網(wǎng)絡號，另一部分定義網(wǎng)絡內的主機號。同一個網(wǎng)絡中的主機IP地址，其網(wǎng)絡號必須是相同的，這個網(wǎng)絡稱為IP子網(wǎng)。通信只能在具有相同網(wǎng)絡號的IP地址之間進行，要與其他IP子網(wǎng)的主機進行通信，則必須經(jīng)過同一網(wǎng)絡上的某個路由器或網(wǎng)關（gateway）出去。不同網(wǎng)絡號的IP地址不能直接通信，即使它們接在一起，也不能通信。

路由器有多個端口，用于連接多個IP子網(wǎng)。每個端口的IP地址的網(wǎng)絡號要求與所連接的IP子網(wǎng)的網(wǎng)絡號相同。不同的端口為不同的網(wǎng)絡號，對應不同的IP子網(wǎng)，這樣才能使各子網(wǎng)中的主機通過自己子網(wǎng)的IP地址把要求出去的IP分組送到路由器上。2023/3/918(2)路由原理當IP子網(wǎng)中的一臺主機發(fā)送IP分組給同一IP子網(wǎng)的另一臺主機時，它直接把IP分組送到網(wǎng)絡上，對方就能收到。要送給不同IP子網(wǎng)上的主機時，它要選擇一個能到達目的子網(wǎng)上的路由器，把IP分組送給該路由器，由路由器負責把IP分組送到目的地。（如果沒有找到這樣的路由器，主機就把IP分組送給一個稱為“默認網(wǎng)關（DefaultGateway）”的路由器上。）

路由器轉發(fā)IP分組時，只根據(jù)IP分組目的IP地址的網(wǎng)絡號部分選擇合適的端口，把IP分組送出去。路由器也要判定端口所接的是否是目的子網(wǎng)：是，則直接把分組通過端口送到網(wǎng)絡上；否，選擇下一個路由器來傳送分組。路由器也有它的默認網(wǎng)關，用來傳送不知道往哪兒送的IP分組。2023/3/919

路由動作包括兩項基本內容：尋徑和轉發(fā)。尋徑即判定到達目的地的最佳路徑，由路由選擇算法來實現(xiàn)。為了判定最佳路徑，路由選擇算法必須啟動并維護包含路由信息的路由表，其中路由信息根據(jù)所用的路由選擇算法不同而不盡相同。路由選擇算法將收集到的不同信息填入路由表中，根據(jù)路由表可將目的網(wǎng)絡與下一站（Nexthop）的關系告訴路由器。路由器間互通信息進行路由更新，更新維護路由表使之正確反映網(wǎng)絡的拓撲變化，并由路由器根據(jù)量度來決定最佳路徑。這就是路由選擇協(xié)議（RoutingProtocol），例如路由信息協(xié)議（RIP）、開放式最短路徑優(yōu)先協(xié)議（OSPF）和邊界網(wǎng)關協(xié)議（BGP）等。轉發(fā)即沿尋徑好的最佳路徑傳送信息分組。路由器首先在路由表中查找，判明是否知道如何將分組發(fā)送到下一個站點（路由器或主機），如果路由器不知道如何發(fā)送分組，通常將該分組丟棄；否則就根據(jù)路由表的相應表項將分組發(fā)送到下一個站點，如果目的網(wǎng)絡直接與路由器相連，路由器就把分組直接送到相應的端口上。這就是路由轉發(fā)協(xié)議（RoutedProtocol）。2023/3/92012.2.4應用層間的互聯(lián)

網(wǎng)關（Gateway）是應用層使用的互聯(lián)設備，屬于能夠連接不同網(wǎng)絡的硬件和軟件的結合產(chǎn)品。網(wǎng)關用來連接異類網(wǎng)絡，是一個協(xié)議轉換器，工作在OSI/RM模型或TCP/IP體系的高層。優(yōu)點：通過網(wǎng)關可使不同格式、不同通信協(xié)議、不同結構類型的網(wǎng)絡連接起來，使不同協(xié)議網(wǎng)絡間的信息包傳送和接收，簡化了網(wǎng)絡的管理。缺點：網(wǎng)關的實現(xiàn)較為復雜，因此，工作效率較低，透明性不強，一般只限于幾種協(xié)議的轉換，用于提供某種特殊用途的連接。連接方式有兩種：無連接的網(wǎng)關和面向連接的網(wǎng)關。提供的服務主要是連接、翻譯和轉換，使不同類型的網(wǎng)絡體系能夠相連。網(wǎng)關分類：網(wǎng)關是用于大型網(wǎng)絡中心或大型計算機系統(tǒng)的設備，在面向連接的網(wǎng)關中又分為半網(wǎng)關和全網(wǎng)關。半網(wǎng)關是在兩個子網(wǎng)之間存在一定距離時，一般是將一個網(wǎng)關分成兩半，中間用一條鏈路連接起來。全網(wǎng)關是一種面向連接的數(shù)據(jù)報網(wǎng)絡的互聯(lián)。局域網(wǎng)的網(wǎng)關可以使運行不同協(xié)議或運行于OSI/RM模型不同層次上的局域網(wǎng)網(wǎng)段之間通信或隔離，路由器和計算機都可以配置成網(wǎng)關。2023/3/92112.3局域網(wǎng)與廣域網(wǎng)間的互聯(lián)12.3.1局域網(wǎng)與廣域網(wǎng)間的互聯(lián)概述

局域網(wǎng)與廣域網(wǎng)間互聯(lián)可以將一個單一網(wǎng)絡擴展到其他合作單位的網(wǎng)絡或特定用戶。此時，訪問策略應根據(jù)互聯(lián)網(wǎng)絡策略來進行規(guī)劃，以創(chuàng)建和保護不同利益的工作組和局部網(wǎng)絡。在網(wǎng)絡互聯(lián)時，除了選用一般的網(wǎng)絡組件外，還要考慮引入類似于防火墻的安全組件、增強訪問控制能力。局域網(wǎng)與廣域網(wǎng)之間互聯(lián)主要有兩種方式：撥號方式和專用線路方式。撥號方式是用電話撥號技術將局域網(wǎng)和廣域網(wǎng)互聯(lián)起來。專用線路方式是兩個節(jié)點之間建立一個安全永久的信道。專用線路不需要經(jīng)過任何建立或撥號進行連接，它是點到點連接的網(wǎng)絡。通常情況下，實現(xiàn)局域網(wǎng)與廣域網(wǎng)間互聯(lián)需要從安全、性能、管理和標準等幾個主要方面全面考慮。下面介紹一下采用VPN技術（關于VPN的有關內容請參見18章）實現(xiàn)局域網(wǎng)與廣域網(wǎng)間互聯(lián)時如何考慮安全、性能、管理和標準。2023/3/922（1）安全安全是實現(xiàn)網(wǎng)絡互聯(lián)的一個重要因素。網(wǎng)絡互聯(lián)安全主要涉及數(shù)據(jù)保密性、數(shù)據(jù)完整性和公網(wǎng)上的訪問控制等內容。數(shù)據(jù)保密性

VPN中的數(shù)據(jù)保密性主要是通過加密封裝或隧道實現(xiàn)的。加密是指利用對稱或非對稱加密技術把數(shù)據(jù)包中的部分或全部內容進行相應處理。而隧道方式是指將整個數(shù)據(jù)包封裝到一個新的數(shù)據(jù)包中。加密方式需要支持強加密標準。數(shù)據(jù)完整性

VPN中的數(shù)據(jù)完整性主要是通過安全散列算法（SecureHashAlgorithmSHA）、消息摘要（Message-DigestAlgorithmMD4）或MD5算法實現(xiàn)的。訪問控制VPN的訪問控制措施可分為認證（VPN支持用戶ID/口令、智能卡、令牌認證和X.509證書等多種認證方案）、授權（通過配置用戶賬戶和授權級別，可以對任何非授權行為進行告警）、接入控制（VPN利用安全審計信息來對用戶ID、主機ID、IP地址或子網(wǎng)地址等進行接入控制。并對接入用戶實施跟蹤、審計和控制）和計費（VPN需要提供多種方案來對客戶的各種網(wǎng)絡活動進行計賬和管理）等多種形式。2023/3/923（2）性能

從用戶角度來講，其關心的并不是VPN的技術細節(jié)，而更多的是關心VPN網(wǎng)絡的性能，如VPN的延時、丟包率、兼容性、所需費用等。在諸多影響VPN因素中，以下幾個因素對將要實現(xiàn)的VPN的性能影響更大一些。服務質量為了確保一定的服務質量（QualityofService，QoS），VPN方案應該設計成在邊界和主干上具有帶寬分配和優(yōu)先排隊機制。各種服務質量保證必須與服務提供者的服務協(xié)議組合才有可能獲得可接受的服務質量。服務等級協(xié)商在VPN主干上，如果提供了并行一定的經(jīng)費保證，服務提供者就能提供服務級協(xié)商（ServiceLevelAgreement，SLA）。某些服務提供者還專門為VPN提供了并行IP主干的功能，即使不能實現(xiàn)并行，也會盡最大努力來提高VPN主干的性能以滿足通信要求。多協(xié)議支持VPN需要支持多種網(wǎng)絡協(xié)議，特別是傳統(tǒng)的網(wǎng)絡協(xié)議，如Novel的IPX、IBM的SNA等。在IP主干上傳輸數(shù)據(jù)時，需要對各種協(xié)議進行封裝和拆封。這種封裝和拆封增加了網(wǎng)絡邊界設備（如路由器、防火墻）的處理時間，進而影響了網(wǎng)絡的總體性能?？煽啃院腿蒎e性在考慮建立高可靠性和高容錯性VPN網(wǎng)絡時，對網(wǎng)絡的最終性能、實用性和VPN服務費用都有很大影響。因此，要慎重考慮建立高可靠性和高容錯性VPN結構。2023/3/924（3）管理

VPN的管理主要包括安全策略管理和審計管理等內容。在安全策略管理上，VPN需要提供一個集中的安全策略管理程序來滿足安全策略管理的要求。一個安全策略管理系統(tǒng)應該可以設置對VPN的訪問時間、用戶和組對特定服務和文件的認證、對源和目標網(wǎng)絡授權、設定用戶的ID和口令、選擇其他認證機制等。

12.3.2局域網(wǎng)與廣域網(wǎng)間互聯(lián)的標準與交互操作性VPN方案應盡可能地遵循已公開的標準。公開標準一般規(guī)定了交節(jié)互操作性及對VPN服務提供者的選擇性。這些公開標準可分為加密（如IPSec）、數(shù)據(jù)完整性（如MD5）、代理服務（如SOCKSv5）、認證（如CHAP）、密鑰交換（如IKE、SKIP、Diffie-Hellman）和數(shù)字簽名（如X.509v3）。某些服務提供者已在操作系統(tǒng)（如Windows）、隧道協(xié)議（如L2F、PPTP）和認證服務（如RADIUS、NT域認證、TACACS+）等領域中制定了很多標準。2023/3/92512.4遠程撥入局域網(wǎng)間的互聯(lián)12.4.1撥號接入技術

話帶Modem的撥號接入技術是通過現(xiàn)有的模擬電話線路和電話網(wǎng)絡，使用話帶Modem進行撥號實現(xiàn)最低成本的互聯(lián)網(wǎng)接入撥號接入主要分為兩種：話帶modem撥號接入和ISDN撥號接入。

（1）話帶modem撥號接入

modem（調制解調器）是Modulator和Demodulator的縮寫，是基于PSTN的IP接入的主要設備之一。其主要作用是將計算機的數(shù)字信號轉變成模擬信號在電話線上傳輸。modem的種類很多，有基帶的、寬帶的、有線的、無線的、音頻的、高頻的、同步的、異步的。其中最普及、最便宜的就是利用電話線作為傳輸介質的音頻modem，也稱話帶modem。基于PSTN的modem撥號接入是一種簡單、便宜的接入方式。用戶需要事先從Internet服務提供商（Internetserviceprovider，ISP）處得到撥叫的特服號碼、登錄用戶名及登錄口令，經(jīng)過撥號、身份驗證之后，通過modem和模擬電話線，再經(jīng)PSTN接入ISP網(wǎng)絡平臺，在網(wǎng)絡側的撥號服務器上動態(tài)獲取IP地址，從而接入Internet。圖12-4給出了典型的通過PSTN撥號接入Internet網(wǎng)絡的應用示意圖。2023/3/926圖12-4PSTN撥號接入應用模型

用戶撥號入網(wǎng)通常采用的鏈路協(xié)議為點到點協(xié)議（PointtoPointProtocot，PPP）。當用戶與撥號接入服務器成功建立PPP連接時，通常會得到一個動態(tài)IP地址。在ISP的撥號服務器中存儲了一定數(shù)量的空閑的IP地址，一般稱為IPpool（IP地址池）。當用戶撥通撥號服務器時，服務器就從“池”中選出一個IP地址分配給用戶計算機，這樣用戶的計算機就有了一個全球唯一的IP地址，此時，用戶PC成為Internet的一個站點。當用戶下線后服務器就收回這個IP地址，放回IP地址池中，以備下次分配使用。2023/3/927（2）ISDN撥號接入ISDN撥號接入的應用模型

ISDN由電話綜合數(shù)字網(wǎng)（IDN）發(fā)展而來，是數(shù)字交換和數(shù)字傳輸?shù)慕Y合。ISDN實現(xiàn)了用戶線的數(shù)字化，提供端到端的數(shù)字連接，極大地提高了傳輸質量。ISDN的接入模型如圖12-5所示。ISDN的設備分為網(wǎng)絡終端（NTl）、終端適配器（TA）和ISDN卡3種。

圖12-5ISDN撥號接入應用模型2023/3/928①（NetwnrkTerminal，網(wǎng)絡終端NTl）。這是用戶傳輸線路的終端裝置。它是實現(xiàn)在普通電話線上進行數(shù)字信號傳送和接收的關鍵設備。該設備安裝于用戶端，是實現(xiàn)N-ISDN功能的必備硬件。網(wǎng)絡終端分為基本速率NTl和一次群速率NTl兩種。②終端適配器（TerminalAdapter，TA）。它是將傳統(tǒng)數(shù)據(jù)接口如V.24連接到ISDN線路，使那些不能直接接入ISDN網(wǎng)絡的非標準ISDN終端與ISDN連接。

③ISDN卡。一般安裝在計算機的擴展槽中，將計算機連接到NTl

。ISDN的接口標準

ISDN提供兩種類型的接口：（基本速率接口BaserateInterface，BRI）和基群速率接口（PrimaryRateInterface，PRI）。①

BRI接口。電信局向普通用戶提供的均為BRI接口，即2B+D。BRI接口可在一對雙絞線上提供兩個B通道（每個64kbit/s）和一個D通道（16kbit/s），D通道用于傳輸信令，B通道則用于傳輸話音、數(shù)據(jù)等，所以總速率可達144kbit/s。因為一路電話只占用一個B通道，因此，可同時進行通話和上網(wǎng)。

②

PRI接口。PRI接口分為30B+D（30×64kbit/s十64kbit/s——歐洲標準）和23B十D（23×64kbit/s十64kbit/s-美國/日本標準）兩種，用于需要傳輸大量數(shù)據(jù)的應用，如PBX、LAN互聯(lián)等。

2023/3/92912.4.2ADSL技術

xDSL是DSL（DigitalSubscriberLine）的統(tǒng)稱，意即數(shù)字用戶線路，是以銅電話線為傳輸介質的點對點傳輸技術。DSL技術在傳統(tǒng)的電話網(wǎng)絡（POTS）用戶環(huán)路上支持對稱和非對稱傳輸模式，解決了經(jīng)常發(fā)生在網(wǎng)絡服務供應商和最終用戶間的“最后一公里”的傳輸瓶頸問題。DSL技術目前已經(jīng)得到大量應用，是非常成熟的接入技術。非對稱用戶數(shù)字線（ADSL）是一種非對稱的DSL技術，非對稱是指用戶線的上行速率與下行速率不同，上行速率低，下行速率高，特別適合傳輸多媒體信息業(yè)務?，F(xiàn)在比較成熟的ADSL標準有兩種：G.DMT和G.Lite。2023/3/93012.4.3VPDN技術

虛擬專用撥號網(wǎng)絡(VPDN)是撥號業(yè)務的VPN，指利用公共網(wǎng)絡的撥號及接入網(wǎng)實現(xiàn)的虛擬專用網(wǎng)，可為企業(yè)、小型ISP、移動辦公人員提供接入服務。

VPDN的主要特點是：安全性好，不易受攻擊；保密性好，可有效防止非法訪問；組網(wǎng)靈活、投資省、建設快；易用、易管理，可自動生成和管理VPDN用戶。（1）VPDN的基本原理

VPDN主要由網(wǎng)絡接入服務器（NAS）、用戶端設備（CPE）和管理工具組成。VPDN的構成如圖12-6所示。

圖12-6VPDN網(wǎng)絡結構

在圖12-6中，NAS作用是作為VPDN的接入服務，提供廣域網(wǎng)接口，負責與PSTN、ISDN的連接，并支持各種LAN的協(xié)議、安全管理和認證、隧道及相關技術；CPE是VPDN的用戶端設備，位于用戶總部，根據(jù)網(wǎng)絡功能的不同，可以是由NAS、路由器或防火墻等提供相關的設備來擔任；VPDN管理工具對VPDN設備和用戶進行管理。2023/3/931（2）VPDN的基本結構

VPDN的設計基于兩種基本結構：一種是由客戶端發(fā)起的VPDN；另一種是由網(wǎng)絡訪問服務器（NetworkAccessServer，NAS）發(fā)起的VPDN。NAS是一種由Internet服務提供商ISP維護的網(wǎng)絡訪問服務器，用戶首先通過撥號進入NAS，然后再繼續(xù)通過NAS撥入到網(wǎng)絡。由客戶端發(fā)起的VPDN用戶通過與其共享的ISP網(wǎng)絡建立一個加密的IP隧道。用戶管理發(fā)起建立隧道的用戶網(wǎng)絡。由客戶端發(fā)起的VPDN的主要優(yōu)點是可以安全地連接客戶端和ISP。但是，在使用和管理上，不如由NAS發(fā)起的VPDN靈活。由NAS發(fā)起的VPDN用戶撥號進入ISP的NAS后，這個NAS可以建立一條到用戶專用網(wǎng)絡的加密隧道。NAS發(fā)起的VPDN比客戶端發(fā)起的VPDN更加健壯，這種方式允許用戶使用多個隧道來連接多個網(wǎng)絡，而且在客戶端不需要維護創(chuàng)建隧道的軟件。NAS發(fā)起的VPDN在客戶端和ISP之間的連接通道上沒有進行加密，但是對于大多數(shù)用戶這不是問題，因為僅供電話系統(tǒng)比Internet要安全得多。因此，一般情況下，服務提供商都提供NAS發(fā)起的VPDN服務。2023/3/932（3）VPDN隧道協(xié)議

VPDN隧道協(xié)議有點到點隧道協(xié)議（PPTP）、第二層轉發(fā)協(xié)議（L2F）、第二層隧道協(xié)議（L2TP）、安全協(xié)議（Ipsec）等幾種：點到點隧道協(xié)議（PPTP）PPTP是PPP（點到點協(xié)議）的一種擴展，提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式，遠端用戶能夠通過任何支持PPTP的ISP訪問企業(yè)的專用網(wǎng)絡。通過PPTP，客戶可以采用撥號方式接入公共的IP網(wǎng)，方法是：撥號客戶首先按常規(guī)方式撥號到ISP的NAS，建立PPP連接；在此基礎上，客戶進行第二次撥號，建立到PPTP服務器的連接。第二層轉發(fā)協(xié)議L2F是可以在多種介質上建立多協(xié)議安全VPN的通信方式。它將鏈路層的協(xié)議封裝起來傳送，因此網(wǎng)絡的鏈路層完全獨立于用戶的鏈路層協(xié)議。L2F遠端用戶能夠通過任何撥號方式接入