虚拟专用网 VPN
?虚拟专用网 VPN,就是建立在公共网络上的私有
专用网。它是一个利用基于公众基础架构的网络,
例如 Internet,来建立一个安全的、可靠的和可管
理的企业间通信的通道。
?安全性、可靠性和可管理性这三点要求对于在今
天这样一个复杂的计算环境中建立一个虚拟专用
网 VPN都是最基本的要求,而不是一般公认的虚
拟专用网 VPN仅仅包括加密和认证。
虚拟专用网 VPN的三个关键
?安全:包括访问控制, 认证和加密技术以
保证网络连接的安全, 用户的真实和数据
通信的隐秘和完整;
?通信控制:包括带宽管理和服务质量管理
以保证 VPN的可靠和高速;
?管理:保证 VPN和企业安全策略的集成,
近程或远程集成的管理和解决方案的可伸
缩性 。
虚拟专用网 VPN的工作定义
?隧道、加密、鉴别以及存取控制技术的综
合体,和在 Internet,IP网或 ISP的主干网上
管理通信传输的服务器软件。
安全
?访问控制
?认证
?加密
访问控制
?访问控制指示了一个虚拟专用网 VPN用户的访问自由度,
并且控制合作者、雇员和其他外界用户对应用程序和网络
不同部分进行访问的访问权限。
?一个没有访问控制的虚拟专用网 VPN仅仅当数据穿过传输
媒介时能够保证数据传输的安全,而没有保证网络本身的
安全。
?访问控制不仅仅保护数据,也保护企业的整个知识财富和
信息,确保虚拟专用网 VPN用户能够被授权访问他们所需
要的程序和信息,同时有效控制他们访问其他资源。即在
保障必需的信息共享的同时,还要保障系统的安全和数据
的保密控制。
认证
?虚拟专用网 VPN实现中有两类认证:用户认证和
数据认证 。
?用户认证是对发送者身份进行确认的过程, 数据
认证则确保消息从发出到接受未经修改 。
?一个全面的虚拟专用网 VPN解决方案必须同时具
有数据和用户认证以确保数据传输 。 这样的两要
素认证方案对传统的, 用户名 /密码, 系统提供最
大限度的安全保障, 因为它需要两个要素来验证
一个用户的身份 ( 通常是一个电子令牌和一个
PIN号码 ) 。
加密
?加密技术把数据弄乱,只有拥有读懂这个信息的
密钥的人才能将其解密。当一个用户被认为合法
了,他所传送的数据必须也同时被保护起来。
?密钥,就好比一个人的身份证号码,对于认证和
加密功能是非常需要的。他们被融入安全处理中,
没有密钥不可能解密数据。通常说来,一个密钥
越是长,它的加密强度也越高。
密钥管理
?一旦选好并实现了加密的密钥长度,下一步是确保密钥通
过一个密钥管理系统来保护。
?密钥管理是一个分配密钥的过程,定期更新它们或是在必
要的时候将它们作废。密钥更新间隔和数据交换之间必须
保持一个平衡。过短的间隔将会使虚拟专用网 VPN服务器
不停地产生新的密钥。而另一方面,过长的间隔会使过多
的数据使用同一个密钥。
?密钥管理过程必须是自动的,以便保护密钥的完整,因为
当一个企业逐渐复杂庞大时,密钥的数量也由此而增长。
通信控制
?保证虚拟专用网 VPN的性能也是非常关键的, 否则 VPN将
不能按照计划进行工作 。 作为企业网的扩展, 一个 VPN自
然会增加网络的通信, 并且会影响网络的性能 。 因此, 一
个虚拟专用网 VPN解决方案尽可能保证用户能够有效地访
问网络资源, 同时了必须尽量少对网络本身产生影响 。
?一个虚拟专用网 VPN解决方案必须保证服务的可靠性和质
量, 可以让用户来定义企业间的通信管理策略 。 这个策略
能够依据相对优先或相对重要原则, 灵活调节由外及内和
由内往外的通信的带宽, 从而保证关键任务和高度优先的
应用程序的性能 。
管理
?虚拟专用网 VPN就像其他安全部件一样, 同在一个综合的
企业管理控制之中 。 这样企业就可以为整个网络定义一个
独立的, 全局的安全策略 。 这种管理方式有很多优点:转
换迅速, 容易添加新用户, 新部门和新应用程序, 而且适
合企业策略的变化 。
VPN的技术原理
?虚拟专用网 VPN系统使分布在不同地方的专用网络在不可
信任的公共网络上安全地通信 。 它采用复杂的算法来加密
传输的信息, 使得敏感的数据不会被窃听 。
?处理流程:
?( 1) 某需要安全保护的主机发送明文信息到连接公共网
络的虚拟专用网 VPN设备;
?( 2) 虚拟专用网 VPN设备根据网络管理员设置的规则,
确定是否需要对数据进行加密或让数据直接通过;
?( 3) 对需要加密的数据, 虚拟专用网 VPN设备对整个数
据 ( 包括要传送的数据, 源 IP地址和目标 IP地址 ) 进行加
密和附上数字签名 ( 鉴别 ) ;
VPN的技术原理
?( 4)虚拟专用网 VPN设备加上新的数据报头,其中包括
目的地虚拟专用网 VPN设备需要的安全信息和一些初始化
参数;
?( 5) 虚拟专用网 VPN设备对加密后数据, 鉴别包以及源
IP地址, 目标 VPN设备 IP地址进行重新封装, 重新封装后
数据包通过虚拟通道在公网上传输;
?( 6) 当数据包到达目标 VPN设备时, 数据包被解封装,
数字签名被核对无误后数据包被解密 。
VPN结构 ( 图 7-5)
?多个 Intranet( 内部网 ) 通过公网连接起来,
各个 Intranet位于 VPN设备的后面, 同时通
过路由器连接到公网 。
?在这种虚拟专用网 VPN结构中, 数据按照
严密的算法在公网中通过多层的虚拟通道
( 也称, 隧道, ) 从一端 VPN设备到达另
一端 VPN设备 。
隧道
?隧道从一个 VPN设备开始, 通过路由器横跨整个公网到达
其他目标 VPN设备 。
?通过数字证书来标记整个隧道, 并以此来鉴别属于此 VPN
隧道 。 隧道的最里层就是加密来确保它的机密性 。 隧道的
第二层是数据的封装包, 到达目标 VPN设备的是重新封装
后的数据 。 隧道的第三层是身份证验证, 采用不同的算法
来验证信息来源的真实性 。
?隧道处理的结果使得各种被传输的信息只有预定或被授权
的接收者才能读懂 ( 解密 ) 。
关于完全的补充说说明
?虚拟专用网 VPN系统根据系统设置的安全
规则表来实施安全保护,对用户来说完全
是透明的和自动的。
?在虚拟专用网 VPN系统后面的员工照样上
网发送电子邮件或下载文件。由虚拟专用
网 VPN系统决定他们的任务哪些需要加密
或不加密。
VPN的使用
?当考虑到虚拟专用网 VPN的性能时,决定虚拟专用网 VPN
怎样使用是十分重要的事。因为虚拟专用网 VPN的每一部
分,像加密和认证,都需要不同的管理费用。需考虑:
?远程访问的虚拟专用网 VPN
?企业内部虚拟专用网 VPN
?企业外围虚拟专用网 VPN呢
?是否有必要赋予用户不同的访问权限
?通常使用两级认证,包括用户知道的口令和用户所具有的
安全许可。
通用的加密方法
?RC4,实用但公钥管理困难
?SSL,通过重用密钥来减小公钥管理的困难,
并且 SSL新的压缩功能可以在加密之前压缩
数据。。
隧道技术
?隧道技术是 虚拟专用网 VPN的工作基础 。
?隧道就是从一个 VPN设备开始, 通过路由器横跨
整个公网到达其他目标 VPN设备的虚拟通道, 在
这个虚拟通道中, 附加了安全保障技术 。
?隧道技术可使远端用户通过远程服务器 RAS,把数
据 封装在 IP包内, 并透明地通过公网到达 隧道的
终点, 通常是企业的接入点, 网关, 然后, 进行
拆包处理, 从而实现 虚拟专用网 VPN。
隧道技术的分类
?隧道技术可分为两大类:第二层隧道和第三层隧
道 。 两种技术的区别主要在于隧道的起点, 终点
和所携带数据的不同 。
?第二层隧道技术:起点为远程服务器 RAS,终点为
用户网设备, 在整个隧道内, PPP幀都 封装在内 。
典型的 第二层隧道技术包括 PPTP和 L2TP。
?第三层隧道技术:起点, 终点为都在 ISP界内,
PPP会话终止在远程服务器 RAS内, 在整个隧道内,
只携带第三层报文体 。
PPP协议
?PPP协议是 Internet标准,主要用于串行口间的数
据通信。
?PPP协议的最初发布是在 1989年 11月,经过数次
修改,当前应用的 PPP协议是 1994年制定的,在
Internet标准中的编号为 51。
?PPP协议包括 HDLC( High-level Data link Control)
封装,LCP( Link Control Protocol) 协议和 NCP
( Network Control Protocol) 协议等三个部分。
PPP协议主要功能
? PPP协议提供口令检查和数据帧加密等安全手段, 可以防止非法用户
的入侵 。
? 多协议支持:在一条链路上能提供多种协议的传输, 适合于在路由器
间的连接 。 除了 TCP/IP协议外, 还支持有诸如 Novell网和 DECNet等
其它类型的网络协议 。
? 多链路规程,PPP协议可以将数条低速的物理链路合并成一条逻辑链
路, 这样不仅提高了传输速率, 而且不同链路可以互为备份, 提高了
可靠性 。
? PPP协议提供了地址协商功能, 两台计算机通过 PPP连接后, 可以自
动了解对方的地址, 或者给对方动态分配地址 。 传输数据通过上层协
议, 如 TCP/IP来检测 。 同时, 由于 PPP协议采用了 HDLC封装方式,
通过 16位或 32位的校验和可以检查数据包的正确性 。
? PPP协议提供了一种数据压缩功能, 用于 TCP/IP协议 。
隧道技术
?PPTP协议
?L2TP协议
PPTP协议
?PPTP( Point to Point Tunneling Protocol) 协
议, 我们称之为点到点隧道协议, 是一个
典型的 第二层隧道技术 协议 。 其 起点为远
程服务器 RAS,终点为用户网设备, 在整个
隧道内, PPP幀都 封装在内 。
?PPTP协议是在 1996年就提出的一种虚拟专
用网 VPN的解决方案, 并且已在 Windows
系统上实现 。
PPTP协议的工作原理(图 7-6)
?在第一重连接, 网络用户通过拨号方式到 ISP的接入服务
器, 建立 PPP连接;
?在此基础上, 网络用户建立连接 PPTP服务器的 第二重连接,
该连接称为 PPTP隧道, 实质上, 是基于 IP协议之上的另一
个 PPP连接 。 其中的 IP包, 可以封装多种协议数据, 包括
IP, IPX 和 NetBEUI。
?PPTP协议通过采用基于 MD4的密码验证和基于 RSA RC4
的数据加密方法, 来保障虚拟专用数据通道, 即隧道的数
据传输安全 。
?对于直接连到 Internet的 网络用户, 则不需要 通过拨号方式
建立第一重 PPP连接, 而直接与 PPTP服务器建立 虚拟专用
数据通道 的连接 。
PPTP协议的工作方式
?PPTP协议的工作方式是以包为单位交换数
据块 。 它在 TCP/IP包中封装原声包 。 包括
控制信息在内的整都将成为 TCP/IP包的负
载, 然后, 这个 IPX包通过 Internet传输 。 对
端的软件打开包并将其发送给原来的协议
进行常规处理 。 该过程称为隧道 。
?PPTP协议数据交换的核心是 PPTP控制连接,
它由建立和维护隧道的一系列消息组成 。
L2TP协议
?L2TP( Layer Two Tunneling Protocol) 协议, 我
们称之为二层隧道协议, 也是一个典型的 第二层
隧道技术 协议 。 其 起点为远程服务器 RAS,终点为
用户网设备, 在整个隧道内, PPP幀都 封装在内 。
?L2TP协议是在 PPTP协议基础上演变过来的 。
?Internet 中的拨号网络只支持 IP协议, 而且必须使
用注册 IP的地址 。 L2TP允许拨号用户支持多种协
议, 包括 IP,IPX,AppleTalk,且可以使用保留
网络地址, 包括保留 IP地址 。
PPTP协议的工作原理(图 7-7)
?网络用户通过 PSTN或 ISDN拨号方式到 L2TP接入服
务器, L2TP接入服务器和指定的 L2TP网络 服务
器建立 L2TP PPP隧道 。
?L2TP网络 服务器可以是任意一台支持 L2TP服务
器工作模式的网络设备, 如接入服务器, 路由器
或网络主机 。
?L2TP接入服务器将网络用户的 PPP幀封装后传送
给 L2TP网络 服务器, L2TP网络 服务器截去 封装
包头, 获得 PPP幀, 再从 PPP幀中获取网络层协议
数据单元 。
?拨号 PPP协议 的实际终节点是 L2TP接入服务器 。 L2TP协
议使 PPP协议 的实际终节点在逻辑上延伸到 L2TP网络 服
务器 。 因此, 可以在等效功能上将 L2TP接入服务器,
L2TP网络 服务器及中间的 IP传送网络看作是一个 虚拟 接
入服务器, 向 网络用户提供 虚拟 拨号服务 。
?由于 PPP协议 的终节点是延伸到内部网这一端, 因此, 内
部网可以采用自己的用户身份方式和地址分配方法 。
?PPP幀在 L2TP虚拟通道中可以承载多种网络层协议数据单
元 PDU。
PPTP协议的工作方式
?在传送用户数据之前, L2TP接入服务器和
L2TP网络 服务器需要交换 L2TP 控制信息以
建立隧道, 对用户进行身份验证, 为用户
分配网络地址 。
?L2TP控制信息是 L2TP协议数据交换的核心,
它门包括协议版本号, 幀类型, 主叫和被
叫号码, 身份认证信息, 速率, 接受窗口
大小和呼叫 ID等信息 。
VPN的类型
?( 1) 一个企业内部各部门和各分支机构之
间之间的企业网虚拟专用网 VPN;
?( 2) 一个企业和它移动雇员之间的远程访
问虚拟专用网 VPN;
?( 3) 一个企业组织和它的战略伙伴, 顾客,
供应商之间的扩展的虚拟专用网 VPN。
?这三种形式的虚拟专用网 VPN,其实现的
要求和技术重点也各不相同 。
类型与 技术
?在一个公司内部各部门和支机构之间的企
业虚拟专用网 VPN中,主要的技术需要是:
为 Intranet间的高速连接提供快速而可靠的
加密,确保诸如金融 /财务系统、核心数据
管理、机密文档交流等关键应用程序的优
先权及其数据加密的高度可靠性。
类型与 技术
?供一个企业和它的移动雇员间的远程访问的虚拟
专用网 VPN的要求则有所不同。服务的可靠性和
质量在这种情况下显得相当重要,因为雇员访问
VPN的方法通常局限于低速的调制解调器。另外,
对于雇员的身份进行确认的一个高效的认证系统
也是至关重要的。在管理这一边,远程访问 VPN
既需要集中式管理,也需要有高度的弹性,以便
当大量移动雇员在同时访问 VPN时能够处理足够
多的连接。
类型与 技术
?一个企业组织和它的战略伙伴, 顾客, 供
应商之间的扩展的虚拟专用网 VPN则需要
一个开放的, 具有统一标准的解决方案,
以确保各商业伙伴间的各种实现方案的互
用性 。 同时要进行完善的通信控制, 以除
去网络访问的瓶颈, 保证重要数据优先权
以得到迅捷和快速的响应 。
VPN的 PPTP实现方案( 图 7-9 )
?虚拟专用网 VPN的一种最简单的实现方案 。
?首先通过 PPTN软件产品设置好 PPTN服务器和客户机, 然后
将位于不同地理位置的客户机和专用网络通过 Internet连
接起来, 组成一个 虚拟专用网 VPN。
?可以通过在分公司安装一个 PPTP客户机连接到总公司, 然
后用这个 PPTP客户机作为分公司的代理服务器负责整个分
公司的总公司网络之间的通信联系 。
?也可以通过路由器负责整个分公司的总公司网络之间的通
信联系, 目前已有多个厂家提供具有建立 PPTP虚拟通道的
路由器产品 。
防火墙 VPN实现方案( 图 7-10)
?利用 防火墙实现 虚拟专用网 VPN可以不受网络设备,如路
由器和网络服务器的限制,它可以快速地在网络可到达的
地方设置。
?通过安装防火墙的网关负责整个分公司的总公司网络之间
的通信联系 。 总公司的系统管理员通过终端进行安全规则
和 VPN配置;防火墙对分公司的总公司网络之间的通信进
行封装和加密;移动客户通过安装 VPN客户端软件, 建立
与总公司网络之间的通信 。 在分公司的客户第一次访问总
公司网络之前, 防火墙需要验证用户身份, 并在客户端软
件和防火墙之间建立加密隧道 。
?在用户环境比较恶劣, 潜在敌意用户时, 防火墙 VPN实现
方案是最佳选择 。
?虚拟专用网 VPN,就是建立在公共网络上的私有
专用网。它是一个利用基于公众基础架构的网络,
例如 Internet,来建立一个安全的、可靠的和可管
理的企业间通信的通道。
?安全性、可靠性和可管理性这三点要求对于在今
天这样一个复杂的计算环境中建立一个虚拟专用
网 VPN都是最基本的要求,而不是一般公认的虚
拟专用网 VPN仅仅包括加密和认证。
虚拟专用网 VPN的三个关键
?安全:包括访问控制, 认证和加密技术以
保证网络连接的安全, 用户的真实和数据
通信的隐秘和完整;
?通信控制:包括带宽管理和服务质量管理
以保证 VPN的可靠和高速;
?管理:保证 VPN和企业安全策略的集成,
近程或远程集成的管理和解决方案的可伸
缩性 。
虚拟专用网 VPN的工作定义
?隧道、加密、鉴别以及存取控制技术的综
合体,和在 Internet,IP网或 ISP的主干网上
管理通信传输的服务器软件。
安全
?访问控制
?认证
?加密
访问控制
?访问控制指示了一个虚拟专用网 VPN用户的访问自由度,
并且控制合作者、雇员和其他外界用户对应用程序和网络
不同部分进行访问的访问权限。
?一个没有访问控制的虚拟专用网 VPN仅仅当数据穿过传输
媒介时能够保证数据传输的安全,而没有保证网络本身的
安全。
?访问控制不仅仅保护数据,也保护企业的整个知识财富和
信息,确保虚拟专用网 VPN用户能够被授权访问他们所需
要的程序和信息,同时有效控制他们访问其他资源。即在
保障必需的信息共享的同时,还要保障系统的安全和数据
的保密控制。
认证
?虚拟专用网 VPN实现中有两类认证:用户认证和
数据认证 。
?用户认证是对发送者身份进行确认的过程, 数据
认证则确保消息从发出到接受未经修改 。
?一个全面的虚拟专用网 VPN解决方案必须同时具
有数据和用户认证以确保数据传输 。 这样的两要
素认证方案对传统的, 用户名 /密码, 系统提供最
大限度的安全保障, 因为它需要两个要素来验证
一个用户的身份 ( 通常是一个电子令牌和一个
PIN号码 ) 。
加密
?加密技术把数据弄乱,只有拥有读懂这个信息的
密钥的人才能将其解密。当一个用户被认为合法
了,他所传送的数据必须也同时被保护起来。
?密钥,就好比一个人的身份证号码,对于认证和
加密功能是非常需要的。他们被融入安全处理中,
没有密钥不可能解密数据。通常说来,一个密钥
越是长,它的加密强度也越高。
密钥管理
?一旦选好并实现了加密的密钥长度,下一步是确保密钥通
过一个密钥管理系统来保护。
?密钥管理是一个分配密钥的过程,定期更新它们或是在必
要的时候将它们作废。密钥更新间隔和数据交换之间必须
保持一个平衡。过短的间隔将会使虚拟专用网 VPN服务器
不停地产生新的密钥。而另一方面,过长的间隔会使过多
的数据使用同一个密钥。
?密钥管理过程必须是自动的,以便保护密钥的完整,因为
当一个企业逐渐复杂庞大时,密钥的数量也由此而增长。
通信控制
?保证虚拟专用网 VPN的性能也是非常关键的, 否则 VPN将
不能按照计划进行工作 。 作为企业网的扩展, 一个 VPN自
然会增加网络的通信, 并且会影响网络的性能 。 因此, 一
个虚拟专用网 VPN解决方案尽可能保证用户能够有效地访
问网络资源, 同时了必须尽量少对网络本身产生影响 。
?一个虚拟专用网 VPN解决方案必须保证服务的可靠性和质
量, 可以让用户来定义企业间的通信管理策略 。 这个策略
能够依据相对优先或相对重要原则, 灵活调节由外及内和
由内往外的通信的带宽, 从而保证关键任务和高度优先的
应用程序的性能 。
管理
?虚拟专用网 VPN就像其他安全部件一样, 同在一个综合的
企业管理控制之中 。 这样企业就可以为整个网络定义一个
独立的, 全局的安全策略 。 这种管理方式有很多优点:转
换迅速, 容易添加新用户, 新部门和新应用程序, 而且适
合企业策略的变化 。
VPN的技术原理
?虚拟专用网 VPN系统使分布在不同地方的专用网络在不可
信任的公共网络上安全地通信 。 它采用复杂的算法来加密
传输的信息, 使得敏感的数据不会被窃听 。
?处理流程:
?( 1) 某需要安全保护的主机发送明文信息到连接公共网
络的虚拟专用网 VPN设备;
?( 2) 虚拟专用网 VPN设备根据网络管理员设置的规则,
确定是否需要对数据进行加密或让数据直接通过;
?( 3) 对需要加密的数据, 虚拟专用网 VPN设备对整个数
据 ( 包括要传送的数据, 源 IP地址和目标 IP地址 ) 进行加
密和附上数字签名 ( 鉴别 ) ;
VPN的技术原理
?( 4)虚拟专用网 VPN设备加上新的数据报头,其中包括
目的地虚拟专用网 VPN设备需要的安全信息和一些初始化
参数;
?( 5) 虚拟专用网 VPN设备对加密后数据, 鉴别包以及源
IP地址, 目标 VPN设备 IP地址进行重新封装, 重新封装后
数据包通过虚拟通道在公网上传输;
?( 6) 当数据包到达目标 VPN设备时, 数据包被解封装,
数字签名被核对无误后数据包被解密 。
VPN结构 ( 图 7-5)
?多个 Intranet( 内部网 ) 通过公网连接起来,
各个 Intranet位于 VPN设备的后面, 同时通
过路由器连接到公网 。
?在这种虚拟专用网 VPN结构中, 数据按照
严密的算法在公网中通过多层的虚拟通道
( 也称, 隧道, ) 从一端 VPN设备到达另
一端 VPN设备 。
隧道
?隧道从一个 VPN设备开始, 通过路由器横跨整个公网到达
其他目标 VPN设备 。
?通过数字证书来标记整个隧道, 并以此来鉴别属于此 VPN
隧道 。 隧道的最里层就是加密来确保它的机密性 。 隧道的
第二层是数据的封装包, 到达目标 VPN设备的是重新封装
后的数据 。 隧道的第三层是身份证验证, 采用不同的算法
来验证信息来源的真实性 。
?隧道处理的结果使得各种被传输的信息只有预定或被授权
的接收者才能读懂 ( 解密 ) 。
关于完全的补充说说明
?虚拟专用网 VPN系统根据系统设置的安全
规则表来实施安全保护,对用户来说完全
是透明的和自动的。
?在虚拟专用网 VPN系统后面的员工照样上
网发送电子邮件或下载文件。由虚拟专用
网 VPN系统决定他们的任务哪些需要加密
或不加密。
VPN的使用
?当考虑到虚拟专用网 VPN的性能时,决定虚拟专用网 VPN
怎样使用是十分重要的事。因为虚拟专用网 VPN的每一部
分,像加密和认证,都需要不同的管理费用。需考虑:
?远程访问的虚拟专用网 VPN
?企业内部虚拟专用网 VPN
?企业外围虚拟专用网 VPN呢
?是否有必要赋予用户不同的访问权限
?通常使用两级认证,包括用户知道的口令和用户所具有的
安全许可。
通用的加密方法
?RC4,实用但公钥管理困难
?SSL,通过重用密钥来减小公钥管理的困难,
并且 SSL新的压缩功能可以在加密之前压缩
数据。。
隧道技术
?隧道技术是 虚拟专用网 VPN的工作基础 。
?隧道就是从一个 VPN设备开始, 通过路由器横跨
整个公网到达其他目标 VPN设备的虚拟通道, 在
这个虚拟通道中, 附加了安全保障技术 。
?隧道技术可使远端用户通过远程服务器 RAS,把数
据 封装在 IP包内, 并透明地通过公网到达 隧道的
终点, 通常是企业的接入点, 网关, 然后, 进行
拆包处理, 从而实现 虚拟专用网 VPN。
隧道技术的分类
?隧道技术可分为两大类:第二层隧道和第三层隧
道 。 两种技术的区别主要在于隧道的起点, 终点
和所携带数据的不同 。
?第二层隧道技术:起点为远程服务器 RAS,终点为
用户网设备, 在整个隧道内, PPP幀都 封装在内 。
典型的 第二层隧道技术包括 PPTP和 L2TP。
?第三层隧道技术:起点, 终点为都在 ISP界内,
PPP会话终止在远程服务器 RAS内, 在整个隧道内,
只携带第三层报文体 。
PPP协议
?PPP协议是 Internet标准,主要用于串行口间的数
据通信。
?PPP协议的最初发布是在 1989年 11月,经过数次
修改,当前应用的 PPP协议是 1994年制定的,在
Internet标准中的编号为 51。
?PPP协议包括 HDLC( High-level Data link Control)
封装,LCP( Link Control Protocol) 协议和 NCP
( Network Control Protocol) 协议等三个部分。
PPP协议主要功能
? PPP协议提供口令检查和数据帧加密等安全手段, 可以防止非法用户
的入侵 。
? 多协议支持:在一条链路上能提供多种协议的传输, 适合于在路由器
间的连接 。 除了 TCP/IP协议外, 还支持有诸如 Novell网和 DECNet等
其它类型的网络协议 。
? 多链路规程,PPP协议可以将数条低速的物理链路合并成一条逻辑链
路, 这样不仅提高了传输速率, 而且不同链路可以互为备份, 提高了
可靠性 。
? PPP协议提供了地址协商功能, 两台计算机通过 PPP连接后, 可以自
动了解对方的地址, 或者给对方动态分配地址 。 传输数据通过上层协
议, 如 TCP/IP来检测 。 同时, 由于 PPP协议采用了 HDLC封装方式,
通过 16位或 32位的校验和可以检查数据包的正确性 。
? PPP协议提供了一种数据压缩功能, 用于 TCP/IP协议 。
隧道技术
?PPTP协议
?L2TP协议
PPTP协议
?PPTP( Point to Point Tunneling Protocol) 协
议, 我们称之为点到点隧道协议, 是一个
典型的 第二层隧道技术 协议 。 其 起点为远
程服务器 RAS,终点为用户网设备, 在整个
隧道内, PPP幀都 封装在内 。
?PPTP协议是在 1996年就提出的一种虚拟专
用网 VPN的解决方案, 并且已在 Windows
系统上实现 。
PPTP协议的工作原理(图 7-6)
?在第一重连接, 网络用户通过拨号方式到 ISP的接入服务
器, 建立 PPP连接;
?在此基础上, 网络用户建立连接 PPTP服务器的 第二重连接,
该连接称为 PPTP隧道, 实质上, 是基于 IP协议之上的另一
个 PPP连接 。 其中的 IP包, 可以封装多种协议数据, 包括
IP, IPX 和 NetBEUI。
?PPTP协议通过采用基于 MD4的密码验证和基于 RSA RC4
的数据加密方法, 来保障虚拟专用数据通道, 即隧道的数
据传输安全 。
?对于直接连到 Internet的 网络用户, 则不需要 通过拨号方式
建立第一重 PPP连接, 而直接与 PPTP服务器建立 虚拟专用
数据通道 的连接 。
PPTP协议的工作方式
?PPTP协议的工作方式是以包为单位交换数
据块 。 它在 TCP/IP包中封装原声包 。 包括
控制信息在内的整都将成为 TCP/IP包的负
载, 然后, 这个 IPX包通过 Internet传输 。 对
端的软件打开包并将其发送给原来的协议
进行常规处理 。 该过程称为隧道 。
?PPTP协议数据交换的核心是 PPTP控制连接,
它由建立和维护隧道的一系列消息组成 。
L2TP协议
?L2TP( Layer Two Tunneling Protocol) 协议, 我
们称之为二层隧道协议, 也是一个典型的 第二层
隧道技术 协议 。 其 起点为远程服务器 RAS,终点为
用户网设备, 在整个隧道内, PPP幀都 封装在内 。
?L2TP协议是在 PPTP协议基础上演变过来的 。
?Internet 中的拨号网络只支持 IP协议, 而且必须使
用注册 IP的地址 。 L2TP允许拨号用户支持多种协
议, 包括 IP,IPX,AppleTalk,且可以使用保留
网络地址, 包括保留 IP地址 。
PPTP协议的工作原理(图 7-7)
?网络用户通过 PSTN或 ISDN拨号方式到 L2TP接入服
务器, L2TP接入服务器和指定的 L2TP网络 服务
器建立 L2TP PPP隧道 。
?L2TP网络 服务器可以是任意一台支持 L2TP服务
器工作模式的网络设备, 如接入服务器, 路由器
或网络主机 。
?L2TP接入服务器将网络用户的 PPP幀封装后传送
给 L2TP网络 服务器, L2TP网络 服务器截去 封装
包头, 获得 PPP幀, 再从 PPP幀中获取网络层协议
数据单元 。
?拨号 PPP协议 的实际终节点是 L2TP接入服务器 。 L2TP协
议使 PPP协议 的实际终节点在逻辑上延伸到 L2TP网络 服
务器 。 因此, 可以在等效功能上将 L2TP接入服务器,
L2TP网络 服务器及中间的 IP传送网络看作是一个 虚拟 接
入服务器, 向 网络用户提供 虚拟 拨号服务 。
?由于 PPP协议 的终节点是延伸到内部网这一端, 因此, 内
部网可以采用自己的用户身份方式和地址分配方法 。
?PPP幀在 L2TP虚拟通道中可以承载多种网络层协议数据单
元 PDU。
PPTP协议的工作方式
?在传送用户数据之前, L2TP接入服务器和
L2TP网络 服务器需要交换 L2TP 控制信息以
建立隧道, 对用户进行身份验证, 为用户
分配网络地址 。
?L2TP控制信息是 L2TP协议数据交换的核心,
它门包括协议版本号, 幀类型, 主叫和被
叫号码, 身份认证信息, 速率, 接受窗口
大小和呼叫 ID等信息 。
VPN的类型
?( 1) 一个企业内部各部门和各分支机构之
间之间的企业网虚拟专用网 VPN;
?( 2) 一个企业和它移动雇员之间的远程访
问虚拟专用网 VPN;
?( 3) 一个企业组织和它的战略伙伴, 顾客,
供应商之间的扩展的虚拟专用网 VPN。
?这三种形式的虚拟专用网 VPN,其实现的
要求和技术重点也各不相同 。
类型与 技术
?在一个公司内部各部门和支机构之间的企
业虚拟专用网 VPN中,主要的技术需要是:
为 Intranet间的高速连接提供快速而可靠的
加密,确保诸如金融 /财务系统、核心数据
管理、机密文档交流等关键应用程序的优
先权及其数据加密的高度可靠性。
类型与 技术
?供一个企业和它的移动雇员间的远程访问的虚拟
专用网 VPN的要求则有所不同。服务的可靠性和
质量在这种情况下显得相当重要,因为雇员访问
VPN的方法通常局限于低速的调制解调器。另外,
对于雇员的身份进行确认的一个高效的认证系统
也是至关重要的。在管理这一边,远程访问 VPN
既需要集中式管理,也需要有高度的弹性,以便
当大量移动雇员在同时访问 VPN时能够处理足够
多的连接。
类型与 技术
?一个企业组织和它的战略伙伴, 顾客, 供
应商之间的扩展的虚拟专用网 VPN则需要
一个开放的, 具有统一标准的解决方案,
以确保各商业伙伴间的各种实现方案的互
用性 。 同时要进行完善的通信控制, 以除
去网络访问的瓶颈, 保证重要数据优先权
以得到迅捷和快速的响应 。
VPN的 PPTP实现方案( 图 7-9 )
?虚拟专用网 VPN的一种最简单的实现方案 。
?首先通过 PPTN软件产品设置好 PPTN服务器和客户机, 然后
将位于不同地理位置的客户机和专用网络通过 Internet连
接起来, 组成一个 虚拟专用网 VPN。
?可以通过在分公司安装一个 PPTP客户机连接到总公司, 然
后用这个 PPTP客户机作为分公司的代理服务器负责整个分
公司的总公司网络之间的通信联系 。
?也可以通过路由器负责整个分公司的总公司网络之间的通
信联系, 目前已有多个厂家提供具有建立 PPTP虚拟通道的
路由器产品 。
防火墙 VPN实现方案( 图 7-10)
?利用 防火墙实现 虚拟专用网 VPN可以不受网络设备,如路
由器和网络服务器的限制,它可以快速地在网络可到达的
地方设置。
?通过安装防火墙的网关负责整个分公司的总公司网络之间
的通信联系 。 总公司的系统管理员通过终端进行安全规则
和 VPN配置;防火墙对分公司的总公司网络之间的通信进
行封装和加密;移动客户通过安装 VPN客户端软件, 建立
与总公司网络之间的通信 。 在分公司的客户第一次访问总
公司网络之前, 防火墙需要验证用户身份, 并在客户端软
件和防火墙之间建立加密隧道 。
?在用户环境比较恶劣, 潜在敌意用户时, 防火墙 VPN实现
方案是最佳选择 。