1、第一部分,VPN介紹,VPN概述需求,信息數(shù)字化、網(wǎng)絡(luò)化應(yīng)用的發(fā)展，內(nèi)部局域網(wǎng)Intranet依托Internet進(jìn)行通信，而且： 1、出差人員需要隨時(shí)隨地訪問(wèn)單位的Intranet獲得信息。 2、分布在各地的下屬分支機(jī)構(gòu)需要與總部的Intranet連接，互通信息。 3、合作伙伴、產(chǎn)品供應(yīng)商等需要與企業(yè)的Intranet連接，互通信息。,VPN概述解決思路,早期 通過(guò)租用專線、建立撥號(hào)服務(wù)等方式解決上述需求，費(fèi)用昂貴，而且擴(kuò)展性不好，不能很好地滿足機(jī)構(gòu)規(guī)模擴(kuò)大等的需要。 現(xiàn)在 使用的VPN（Virtual Private Network，虛擬專用網(wǎng)），它是指通過(guò)在一個(gè)公用網(wǎng)絡(luò)（如Interne

2、t等）中建立一條安全、專用的虛擬通道，連接異地的兩個(gè)網(wǎng)絡(luò)，構(gòu)成邏輯上的虛擬子網(wǎng)。通過(guò)VPN從異地連接到機(jī)構(gòu)的Intranet，就像在本地Intranet上一樣。,VPN概述含義,V（Virtual），是相對(duì)于傳統(tǒng)的物理專線而言，VPN是通過(guò)公用網(wǎng)絡(luò)建立一個(gè)邏輯上的、虛擬的專線，實(shí)現(xiàn)物理專線所具有的功效。 P（Private），顧名思義，是指私有專用的特性，一方面是只有經(jīng)過(guò)授權(quán)的用戶才能夠建立或使用VPN通道；另一方面是通道內(nèi)的數(shù)據(jù)進(jìn)行了加密，不會(huì)被第三者獲取利用。 N（Network），表明這是一種組網(wǎng)技術(shù)，也就是說(shuō)為了應(yīng)用VPN，需要有相應(yīng)的設(shè)備、軟件來(lái)支撐。 VPN因其安全可靠、容易部署、

3、價(jià)格低廉等優(yōu)點(diǎn)，已經(jīng)被越來(lái)越廣泛地應(yīng)用：,VPN概述價(jià)值,優(yōu)點(diǎn)： 安全可靠 容易部署 價(jià)格低廉 應(yīng)用： 已經(jīng)被越來(lái)越廣泛地應(yīng)用,VPN概述優(yōu)點(diǎn)細(xì)述,1、安全可靠 VPN對(duì)通信數(shù)據(jù)進(jìn)行了加密認(rèn)證，有效地保證了數(shù)據(jù)通過(guò)公用網(wǎng)絡(luò)傳輸時(shí)的安全性，保證數(shù)據(jù)不會(huì)被未授權(quán)的人員篡改。 2、易于部署 VPN只是在節(jié)點(diǎn)部署VPN設(shè)備，然后通過(guò)公用網(wǎng)絡(luò)建立起猶如置身于內(nèi)部網(wǎng)絡(luò)的安全連接。如果要與新的網(wǎng)絡(luò)建立VPN通信，只需增加VPN設(shè)備，改變相關(guān)配置即可。 與專線連接相比較，特別是在需要安全連接的網(wǎng)絡(luò)越來(lái)越多時(shí)，VPN的實(shí)施就要簡(jiǎn)單很多，費(fèi)用也可以節(jié)約很多。 3、成本低廉 如果通過(guò)專線進(jìn)行網(wǎng)絡(luò)間的安全連接，租金昂

4、貴。而VPN通過(guò)公共網(wǎng)絡(luò)建立安全連接，只需一次性投入VPN設(shè)備，價(jià)格也比較便宜，大大節(jié)約了通信成本。,VPN工作原理關(guān)鍵技術(shù),VPN是通過(guò)公用網(wǎng)絡(luò)來(lái)傳輸企業(yè)內(nèi)部數(shù)據(jù)，因此需要確保傳輸?shù)臄?shù)據(jù)不會(huì)被竊取、篡改，其安全性的保證主要通過(guò) 密碼技術(shù) 身份鑒別技術(shù) 隧道技術(shù) 密鑰管理技術(shù),TCP/IP協(xié)議,應(yīng)用數(shù)據(jù),出站,入站,VPN工作原理隧道技術(shù),VPN工作原理隧道技術(shù),所謂隧道，類似于點(diǎn)到點(diǎn)連接技術(shù)，在源節(jié)點(diǎn)對(duì)數(shù)據(jù)進(jìn)行加密封裝，然后通過(guò)在一個(gè)公用網(wǎng)絡(luò)（如Internet）中建立一條數(shù)據(jù)通道隧道，將數(shù)據(jù)傳送到目標(biāo)節(jié)點(diǎn)，目標(biāo)節(jié)點(diǎn)對(duì)數(shù)據(jù)包進(jìn)行反解，得到原始數(shù)據(jù)包。,VPN工作原理隧道分類,隧道類型： 鏈路

5、層進(jìn)行隧道處理的第二層隧道協(xié)議 把需要傳輸?shù)膮f(xié)議包封裝到PPP中，再把新生成的PPP包封裝到隧道協(xié)議包中，然后通過(guò)第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等，其中L2TP是目前的IETF標(biāo)準(zhǔn)。 網(wǎng)絡(luò)層進(jìn)行隧道處理的第三層隧道協(xié)議 把需要傳輸?shù)膮f(xié)議包直接封裝到隧道協(xié)議包中，新生成的數(shù)據(jù)包通過(guò)第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有IPSec。,VPN工作原理隧道分類,隧道類型： 鏈路層進(jìn)行隧道處理的第二層隧道協(xié)議 把需要傳輸?shù)膮f(xié)議包封裝到PPP中，再把新生成的PPP包封裝到隧道協(xié)議包中，然后通過(guò)第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等，其中L2TP是目前

6、的IETF標(biāo)準(zhǔn)。 網(wǎng)絡(luò)層進(jìn)行隧道處理的第三層隧道協(xié)議 把需要傳輸?shù)膮f(xié)議包直接封裝到隧道協(xié)議包中，新生成的數(shù)據(jù)包通過(guò)第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有IPSec。,第二部分,IPsec VPN,IPSec VPN,介紹： IPSec（IP Security）是一個(gè)開(kāi)放式的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，由 IETF定義 它在TCP/IP協(xié)議棧中間位置的IP層實(shí)現(xiàn) 高層應(yīng)用程序可以透明地使用IP層提供的安全服務(wù)和密鑰管理安全機(jī)制 應(yīng)用密碼技術(shù)，提供傳送、接收端的身份鑒別、完整性、訪問(wèn)控制、機(jī)密性服務(wù)。 特點(diǎn)： 對(duì)IP層級(jí)的所有通信進(jìn)行加密與鑒別 有比較好的兼容性，比高層的安全協(xié)議更靈活，比底層協(xié)議更能夠適應(yīng)通信介

7、質(zhì)的多樣性 透明性好，IP層以上的所有應(yīng)用都不需要經(jīng)過(guò)修改，即可獲得安全保護(hù) 容易實(shí)現(xiàn)VPN,IPSec 體系結(jié)構(gòu),2種基本服務(wù)： 數(shù)據(jù)完整 機(jī)密性 3個(gè)基本組件： 鑒別報(bào)頭（Authentication Header，AH ）協(xié)議 封裝安全載荷（Encapsulating Security Payload，ESP） 協(xié)議 密鑰管理與交換協(xié)議（Internet Key Exchange IKE）,IPSec 的傳輸模式與隧道模式,IPSec VPN的弱點(diǎn),密鑰分發(fā)協(xié)議有嚴(yán)重漏洞 采用的一些算法較弱（如DES、MD5） 本地密鑰管理實(shí)現(xiàn)可能造成攻擊,IPSec VPN密鑰分發(fā)的弱點(diǎn),容易收到中間

8、人攻擊（Man-in-Middle Attack）。 公鑰密碼系統(tǒng)運(yùn)算速度較慢，容易受到拒絕服務(wù)攻擊（DoS Attack）。 帶認(rèn)證的Diffie-Hellman系統(tǒng)要使用到CA證書管理等。程序更復(fù)雜而且耗時(shí)。,第三部分,其它 VPN,第二層轉(zhuǎn)發(fā)協(xié)議L2F （Layer Two Forwarding Protocol）,1996年由Cisco公司開(kāi)發(fā)的協(xié)議。 遠(yuǎn)程用戶首先通過(guò)PPP或SLIP協(xié)議等方式撥號(hào)到本地ISP，然后通過(guò)L2F隧道協(xié)議連接到企業(yè)網(wǎng)絡(luò)。 L2F隧道協(xié)議可以支持IP、ATM、幀中繼等多種傳輸協(xié)議。,端到端隧道協(xié)議PPTP （Point-to-Point Tunneling

9、Protocol）,PPP和TCP/IP的結(jié)合，將PPP數(shù)據(jù)包封裝在IP數(shù)據(jù)包內(nèi)，然后通過(guò)IP網(wǎng)絡(luò)進(jìn)行傳輸。 PPTP使用一個(gè)TCP連接對(duì)隧道進(jìn)行維護(hù)，使用通用路由封裝（GRE）技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)包通過(guò)隧道傳送。 PPTP的報(bào)文: 控制報(bào)文，用于PPTP隧道的建立、維護(hù)和斷開(kāi)； 數(shù)據(jù)報(bào)文，用于傳輸數(shù)據(jù)。,第二層隧道協(xié)議L2TP（Layer Two Tunneling Protocol）,結(jié)合了L2F、PPTP優(yōu)點(diǎn)，由Cisco、Ascend、Microsoft等公司于1999年在L2F和PPTP的基礎(chǔ)上聯(lián)合制定，并已經(jīng)成為第二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。 L2TP使用IPSec對(duì)通信數(shù)據(jù)進(jìn)行

10、加密和鑒別。 PPTP的報(bào)文: 控制報(bào)文，用于隧道的建立、維護(hù)和斷開(kāi)； 數(shù)據(jù)報(bào)文，用于傳輸數(shù)據(jù)。,L2TP的控制報(bào)文,L2TP的控制報(bào)文與PPTP的控制報(bào)文一樣用于隧道的建立與維護(hù)，它們的區(qū)別是PPTP通過(guò)TCP協(xié)議進(jìn)行隧道的維護(hù)，而L2TP則是采用UDP協(xié)議。另外PPTP的控制報(bào)文沒(méi)有經(jīng)過(guò)加密，而L2TP的控制報(bào)文應(yīng)用IPSec ESP進(jìn)行了加密，具有較高的安全性。,L2TP的數(shù)據(jù)報(bào)文,L2TP的數(shù)據(jù)封裝過(guò)程如下： （1）初始數(shù)據(jù)包為PPP封裝的IP、IPX或NetBEUI數(shù)據(jù)包，首先進(jìn)行L2TP封裝。 （2）經(jīng)過(guò)L2TP封裝的數(shù)據(jù)包進(jìn)一步添加UDP報(bào)頭進(jìn)行UDP封裝，并將UDP源端和目的端的端口號(hào)設(shè)置為1701。 （3）然后對(duì)上述過(guò)程得到的UDP包進(jìn)行基于IPSec的加密封裝，添加IPSec的ESP報(bào)頭、報(bào)尾，以及IPSec認(rèn)證報(bào)尾。 （4）最后進(jìn)行IP封裝和數(shù)據(jù)鏈路層的封裝。數(shù)據(jù)鏈路層的封裝根據(jù)不同的物理網(wǎng)絡(luò)