1、目录前言: 2VPN 概念: 2认识加密: .2VPN 优点: .2VPN 组件: .2VPN 的结构: .3VPN 分类: .3标准 vpn 类型: 4VPN 工作原理: .6VPN 的关键技术: .6隧道协议: .6第二层隧道协议: .7第三层隧道协议: .7VPN 的关键技术参数: 7前言:VPN 是在公用的通信基础平台上提供私有数据网络的技术,运营商一般通过隧道协议和采用安全机制来满足客户的私密性需求。VPN 与传统的专有线/租用线路相比,费用低廉而且能较好地满足客户需求,所以一经推出马上受到了想自己组网又怕自己建网或者租借链路费用昂贵的客户的欢迎。近十年来,VPN从电话公司仅仅提供语
2、音业务发展到了提供数据/语音混合,甚至多媒体业务,相应的技术也从基于DDN、帧中继(Frame Relay)、ATM 发展到 IP VPN,直至现在的 MPLS VPN。VPN 接入技术是多种多样的。从不同角度,VPN 可以有多种划分:比如按商业用途分,有 Intranet、Extranet 和 VPDN;按网络结构分,有星型网、网状网和多层网;按采用二层还是三层技术分,有基于二层技术的帧中继、ATM VPN 和基于三层的 IP VPN。VPN 概念 :VPN(Virtual Private Network),即虚拟专用网络或虚拟私有网。以公用开放的网络( 如, Internet、ATM(异步
3、传输模式、Frame Relay (帧中继)等)作为基本传输媒体,通过加密和认证方式来保护在公共网络上传输的私有信息不被窃听和篡改,从而为用户提供类似私有网络性能的网络服务技术。VPN 主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术认识加密:认 识 加 密VPN 优点:VPN 组件:1. VPN 服务器(路由器、防火墙、windows、linux)2. 加密算法(对称/非对称)3. 认证系统(用户名/强密码)4. 隧道协议(PPTP/L2TP/IPsec /Mpls vpn)VPN 的结构:远程访问 VPN 是指总部和所属同一个公司的小型或家庭办公室(Small off
4、ice Home office 简称 SOHO)以及出外员工之间所建立的 VPN。SOHO 通常以 ISDN 或 DSL 的方式接入 Internet,在其边缘使用路由器与总部的边缘路由器、防火墙之间建立起 VPN。移动用户的电脑中已经事先安装了相应的客户端软件,可以与总部的边缘路由器、防火墙或者专用的 VPN 设备建立的 VPN。在过去的网络中,公司的远程用户需要通过拨号网络接入总公司,这需要借用长途功能。 使用了VPN 以后,用户只需要拨号接入本地 ISP 就可以通过 Internet 访问总公司,从而节省了长途开支。远程访问 VPN 可提供小型公司、家庭办公室、移动用户等用户地安全访问。
5、Intranet VPN 是指的公司内部各部门之间,以及公司总部与其驻外的分支机构和办公室之间建立的VPN。也就是说通信过程仍然是在公司内部进行的。以前,这种网络都需要借用专线或 FrameRelay 来进行通信服务,但是现在地许多公司都和 Internet 有连接,因此 Intranet VPN 便替代了专线或Frame Relay 进行网络连接。Intranet VPN 是传统广域网的一种扩展方式。 VPN 分类:按 VPN 的 协 议 分 类 VPN 的 隧 道 协 议 主 要 有 三 种 , PPTP, L2TP 和 IPSec, 其 中 PPTP 和 L2TP 协 议 工 作 在 O
6、SI 模型 的 第 二 层 , 又 称 为 二 层 隧 道 协 议 ; IPSec 是 第 三 层 隧 道 协 议 , 也 是 最 常 见 的 协 议 。 L2TP 和 IPSec配 合 使 用 是 目 前 性 能 最 好 , 应 用 最 广 泛 的 一 种 。按 VPN 的 应 用 分 类 1) Access VPN( 远 程 接 入 VPN) : 客 户 端 到 网 关 , 使 用 公 网 作 为 骨 干 网 在 设 备 之 间 传 输 VPN 的 数据 流 量 2) Intranet VPN( 内 联 网 VPN) : 网 关 到 网 关 , 通 过 公 司 的 网 络 架 构 连 接
7、来 自 同 公 司 的 资 源 3) Extranet VPN( 外 联 网 VPN) : 与 合 作 伙 伴 企 业 网 构 成 Extranet,将 一 个 公 司 与 另 一 个 公 司 的 资源 进 行 连 接按 所 用 的 设 备 类 型 进 行 分 类 网 络 设 备 提 供 商 针 对 不 同 客 户 的 需 求 , 开 发 出 不 同 的 VPN 网 络 设 备 , 主 要 为 交 换 机 , 路 由 器 ,和 防 火 墙 1) 路 由 器 式 VPN: 路 由 器 式 VPN 部 署 较 容 易 , 只 要 在 路 由 器 上 添 加 VPN 服 务 即 可 2) 交 换 机
8、 式 VPN: 主 要 应 用 于 连 接 用 户 较 少 的 VPN 网 络 3) 防 火 墙 式 VPN: 防 火 墙 式 VPN 是 最 常 见 的 一 种 VPN 的 实 现 方 式 , 许 多 厂 商 都 提 供 这 种 配 置 类 型标准 vpn 类型:1PPTP/L2TPOSI 二层 VPN 协议,前者是微软在 1996 年制定,后者则由 CISCO 汇同微软在 PPTP 和 L2F 的基础上制定。二层协议使用 TCP(传输控制协议)连接的创建,维护,与终止隧道(TCP1723 和 TCP1701),并使用 GRE(通用路由封装)将 PPP( point to point pro
9、toco,点对点协议)帧封装成隧道数据( IP 报文)。被封装后的 PPP 帧(提供 PAP 和 CHAP 认证)的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP/L2TP 简单易行,但扩展性、保密性、认证支持差,最适合用于客户端远程访问虚拟专用网,作为安全要求高的企业信息,使用 PPTP/L2TP 与明文传送的差别不大,而 Extranet 需要对隧道进行加密并需要相应的密钥管理机制。PPTP/L2TP 不适合于向 Ipv6 的转移, PPTP 和 L2TP 限制同时最多只能连接255 个用户。 PPTP 和 L2TP 比较:PPTP 和 L2TP 都属于第二层隧道协议,使用 PP
10、P 协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同: (1) PPTP 要求互联网络为 IP 网络。L2TP 只要求隧道媒介提供面向数据包的点对点的连接。 L2TP 可以在IP(使用 UDP),帧中继永久虚拟电路(PVCs)、X.25 虚拟电路(VCs)或 ATM 网络上使用 (2) PPTP 只能在两端点间建立单一隧道。L2TP 支持在两端点间使用多隧道。 使用 L2TP,用户可以针对不同的服务质量创建不同的隧道 (3) L2TP 可以提供包头压缩。当压缩包头时,系统开销(overhead)占用 4 个字节,而 PPTP 协议
11、下要占用 6 个字节 (4) L2TP 可以提供隧道验证,而 PPTP 则不支持隧道验证。但是当 L2TP 或 PPTP 与 IPsec 共同使用时,可以由 IPsec 提供隧道验证,不需要在第 2 层协议上验证隧道。2IPsec(安全 IP):IPSec 是 IETF(Internet Engineer Task Force)完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec 使用 UDP 端口 500 进行初始协商,然后使用 IP 的 50 和 51 号端口进行所有通信。IPSec 由 IP
12、认证头 AH(Authentication Header)、IP 安全载荷封载 ESP(Encapsulated Security Payload)和密钥管理协议 IKE(Internet Key Exchange)组成。是目前支持最广泛的 VPN 协议。IPSec 协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec 适应向 IP v6 迁移,它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec 用密码技术从三个方面来保证数据的安全。即:认证:用于对主机和端点进行身份鉴别。完整性检查:用于保证数据在通过网络传输时没有被修改。加密:加密 IP 地址和数据以保证私有性。IPsec
13、是完全意义上的 VPN,能直接与 PKI、CA 设备密切协同完成认证功能。IPSec 的缺点是需要固定范围的 IP 地址,因此在动态分配 IP 地址时不太适合于 IPSec。(图腾 VPN 是目前不多的部分支持动态IP 的 VPN 网关技术);除了 TCP/IP 协议外,IPSec 不支持其他协议。除了包过滤之外,它没有指定其他访问控制方法。另外,微软在 windows 中没有集成对 IPSec 的支持,因此,windows 客户端需要专门的软件或硬件的支持。IPSec 最适合可信的网关到网关之间的虚拟专用网,即企业广域网(Extranet) 的构建。3.MPLS VPNMPLS VPN 是与
14、 IPsec 同级的,同样由 IETF 制定的,与 IPsec 互补的 VPN 的标准。IETF IPsec 工作组(属于 Security Area 部分)的工作主要涉及网络层的保护方面,所以该组设计了加密安全机制以便灵活地支持认证、完整性、访问控制和系统加密;而 IETF MPLS 工作组(属于 Routing Area 部分)则在从另一方面着手开发了支持高层资源预留、QoS 和主机行为定义的机制。VPN 工作原理:VPN=加密+隧道VPN 的关键技术:1.安全隧道技术2.信息加密技术3.用户认证技术4.访问控制技术隧道协议:二层隧道 VPNPPTP:点到点隧道协议,Point To Po
15、int Tunnel ProtocolL2TP:二层隧道协议,Layer 2 Tunnel ProtocolL2F:Layer 2 Forwarding三层隧道 VPNGRE :通用路由封装协议, General Routing Encapsulation IPSEC : IP Security Protocol 第二层隧道协议:建立在点对点协议 PPP 的基础上先把各种网络协议(IP、IPX 等)封装到 PPP 帧中,再把整个数据帧装入隧道协议适用于通过公共电话交换网或者 ISDN 线路连接 VPN第三层隧道协议:把各种网络协议直接装入隧道协议在可扩充性、安全性、可靠性方面优于第二层隧道协议 VPN 的关键技术参数:VPN 产品的关键技术参数包括:支持那些标准(IPsec,PPTP,L2TP,MSLP ,SOCK5),支持那些加密算法;最大加密强度是多少;是否支持公钥体系(PKI),及 IKE 密钥管理等。
