第09章 虚拟专用网

1、第9章 虚拟(xn)专用网 引入举例：出差在外的员工远程连入单位内部网进行移动办公；某些组织处于不同城市的分支机构进行远距离互连；企业与商业伙伴的网络之间安全连接。早期(zoq)方法：员工拨号接入内部网，通信费用高，不安全分支机构和商业伙伴直接铺设网络线路或租用运营商的专线，成本高，实现困难。共六十八页虚拟专用网： 物理的公共网络Internet上 建立逻辑的专用通道(tngdo)，建立可信的安全连接。虚拟专用网解决方案 大幅度减少在网络基础设施上的投入；还可以使企业将精力集中到自己的业务上，而不是网络上。共六十八页第9章 虚拟(xn)专用网9.1 VPN概述 9.2 隧道技术(jsh)9.3

2、 实现VPN的二层隧道协议 9.4 实现VPN的三层隧道协议9.5 MPLS VPN 9.6 SSL VPN 共六十八页9.1 VPN概述(i sh)VPN不是一种独立的组网技术，而是一组通信协议，利用Internet基础设施为用户创建隧道，仿真专用的广域网，提供与专用网络一样的安全和功能保障，供隧道的两个端点之间安全地传输(chun sh)信息。共六十八页-9.1 VPN概述(i sh)9.1.1 VPN的概念9.1.2 VPN的基本(jbn)类型9.1.3 VPN的实现技术9.1.4 VPN的应用特点共六十八页9.1.1 VPN的概念(ginin)VPN（Virtual Private N

3、etworks 虚拟专用网）：利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能(gngnng)的安全数据通道，实现不同网络及用户与网络之间的相互连接。IETF草案对于IP网络的VPN定义为： 使用IP机制仿真出一个私有的广域网。共六十八页VPN的特点（3）虚拟 不需要建立专用的物理线路专用 VPN不是任何连接(linji)在公共网络用户都可使用，必须授权用户才可使用网络 对VPN授权用户，使用VPN与使用传统网络一样VPN为了确保传输数据的安全，提供的特性1）隧道机制2）加密保护3）完整性保护4）用户身份认证5）防止恶意攻击共六十八页VPN vs

4、 传统数据专网 的优势（5）远端用户、驻外机构(jgu)、分支机构(jgu)、合作伙伴与公司总部之间建立可靠、安全的连接。对于电子商务、金融网络和通信网络的融合特别重要企业更低的成本连接远地办事机构、出差的和商业伙伴 通过软件配置就可增加、删除VPN用户，无需改动硬件设施支持驻外VPN用户任何时间、任何地点的移动介入，满足不断增长的移动业务需求。为VPN用户提供不同等级的服务质量保证。共六十八页VPN的发展经历 4代1）传统VPN，以FR/ATM技术为主，让位于IP网络2）早期VPN，基于PPTP/L2TP隧道协议，适合拨号方式远程访问，加密及认证方式较弱。3）主流VPN，以IPSec/MPL

5、S技术为主，兼顾IP网络安全和分组交换性能。4）迅速发展的VPN，以SSL/TLS技术为主，通过应用层加密和认证实现高效、简单灵活(ln hu)的VPN安全传输功能，但 VS ( IPSec VPN )？共六十八页9.1.2 VPN的基本(jbn)类型内联网VPN（Intranet VPN ）分支机构外联网VPN（Extranet VPN ）外部伙伴远程(yunchng)接入VPN（Access VPN）移动到外网共六十八页内联网(lin wn)VPN具有多个分支机构的组织在进行区域(qy)网互连时，采用内联网VPN内联网VPN结构 图9-1 p203LAN2C1C2VPN网关LAN1C1C2

6、VPN网关公用网络Internet公用IP地址公用IP地址私有IP地址共六十八页外联网(lin wn)VPN-1企业与合作伙伴之间联系，企业根据不同的用户身份(shn fen)（如供应商、销售商等）进行授权访问，建立身份(shn fen)认证和访问控制机制。外联网VPN的典型结构LAN2C1C2VPN网关分支LAN1C1C2VPN网关总部公用网络Internet公用IP地址公用IP地址VPN网关银行、供应商、销售商、客户C1C2共六十八页外联网(lin wn)VPN-2在外联网VPN，位于不同(b tn)内部网络LAN1，LAN2的主机在功能上是不平等的外联网在内联网的基础上增加了身份认证、访

7、问控制等安全机制。共六十八页远程(yunchng)接入VPN又称移动VPN，主要应用场景是单位内部人员在外部网络(wnglu)访问单位内部网络(wnglu)资源。远程接入VPN结构LAN2C1C2VPN网关公用网络Internet公用IP地址外部主机1外部主机2共六十八页以前 用户通过Internet连接到单位内部网络，远程拨号需要RAS支持，而且通信以明文进行，缺乏安全型，支付长途电话费用。现在 通过当地的ISP进入到Internet可以(ky)和公司的VPN网关建立私有的隧道连接，访问内部资源。远程接入VPN，应用非常广泛。例许多高校建立内部的数字资源数据库，如知网、电子图书馆、学位论文数

8、据库，安全和版权问题，建立VPN。共六十八页9.1.3 VPN的实现(shxin)技术VPN综合利用了隧道技术(jsh)、加密技术(jsh)、密钥管理技术(jsh)、身份认证技术(jsh)。隧道技术加密技术密钥管理技术身份认证技术共六十八页9.1.3 -1 隧道(sudo)技术VPN的核心技术-隧道技术隧道技术主要利用协议(xiy)的封装来实现，用一种网络协议(xiy)封装另外一种网络协议(xiy)的报文。隧道的一端数据封装协议在OSI模型中位置不同分：第二层封装协议：数据链路层封装，数据链路层协议传输第三层封装协议：网络层进行数据封装，再通过网络层协议传输当前使用的隧道协议 表9-1 p20

9、5 第二层 第三层 IPSec VPN由于IP网络的优势，得到广泛应用共六十八页9.1.3 -2 加密技术公用网络基础设施传输电子商务，金融等重要应用数据，要利用加密技术，防止非授权实体读取对称加密和非对称加密融合的混合加密技术：公钥密码体制多用认证、数字签名以及安全传输会话(huhu)密钥等场合；如RSA、Deffi-Hellman和椭圆曲线。对称密码体制用于大量传输数据的加密和完整性保护。如DES，3DES、AES、RC4、RC5、IDEA VPN中的加密是可选的。当VPN封闭在特定ISP内，并且ISP保证VPN路由及安全性，可以不选加密技术。共六十八页9.1.3 -3 密钥管理(gunl

10、)技术目的：开放(kifng)环境中安全传递密钥而不且窃取分类SKIP： Deffie-Hellman 算法 ISAKMP/OAKLEY： 公开密钥机制，双方均拥有两个密钥，公钥和私钥。共六十八页非PKI体系：PAP 密码认证协议，账号名称和密码明文传输(chun sh)，在线路上窃听SPAP： PAP改进，加密从客户端发送给服务器的密码， 缺陷：重放攻击CHAP： 挑战握手认证协议。 随机数+口令 摘要MS-CHAP： 微软扩展的CHAPEAP 扩展身份认证协议，多个认证方法的协议框架。用户根据自己的需要自行定义认证方式RADIS：朗讯开发，1997.1 RFC2058PKI体系：CA， 数

11、字签名和哈希函数保证信息的可靠性和完整性。例如用户普遍关注的SSL VPN就是利用PKI支持的SSL协议实现应用层的安全通信。9.1.3 -4 身份认证(rnzhng)技术共六十八页9.1.4 VPN的应用(yngyng)特点VPN的优势：节约成本提供(tgng)了安全保障易于扩展VPN存在的不足：安全方面的问题，VPN扩展了安全边界，由局域网扩展到外部主句，如果外部主机安全比较脆弱，入侵者可以利用外部主机连接到VPN网关进入内部网络。解决：建立完善的加密和身份认证机制，VPN配合防火墙，通过防火墙提升VPN系统的安全性。 共六十八页第9章 虚拟(xn)专用网9.1 VPN概述(i sh) 9

12、.2 隧道技术9.3 实现VPN的二层隧道协议 9.4 实现VPN的三层隧道协议9.5 MPLS VPN 9.6 SSL VPN 共六十八页9.2 隧道(sudo)技术 隧道技术是VPN的核心技术，VPN的加密认证都需要与隧道技术相结合实现(shxin)9.2.1 隧道的概念9.2.2 隧道的基本类型（2种 主动 被动）共六十八页9.2.1 隧道(sudo)的概念公路和铁路隧道：挖通山麓形成的路段计算机网络中的隧道计算机网络中的隧道是逻辑上的概念，是在公共网络中的建立的一个逻辑的点对点的连接，网络隧道的核心内容是封装（隧道协议）。隧道技术是包括数据封装、传输和解封装在内的全过程。封装 利用一种

13、(y zhn)网络协议（隧道协议），将其他协议产生的数据报文封装在自己的报文中，并在网络中传输。在隧道的另一端将数据解封装，取出负载共六十八页隧道的组成，具备基本要素（3）隧道开通器： 功能在公共网络中创建(chungjin)一条隧道。 设备：PC上的modem卡 有VPN拨号功能的软件 、企业网络 和ISP中有VPN功能路由器有路由能力的公用网路： VPN网关之间 VPN网关与客户端之间连接，需有路由功能。隧道终止器：任务使隧道到此终止。 设备：专用隧道终止器、防火墙和ISP路由器上的VPN网关。共六十八页9.2.1 -2 隧道(sudo)的形成过程隧道的工作原理图 内联网(lin wn)V

14、PN，隧道协议IP协议隧道的形成过程（2步） 封装：隧道开通器D 原始IP分组AB，D对此进行加密和认证处理，产生附加数据，形成新的IP分组CD，全局CD进行路由解封装：隧道终止器C。去掉外层IP头部 解密得到源IP分组。隧道分组隧道分组Internet分公司微机B总公司微机AVPN设备DVPN设备C目A源B数据目A源D目C源B数据目A源B数据加头标删除头标共六十八页隧道的功能（4）将数据传输到特定的目的地：虚拟通道，从隧道的一端传到隧道的另一端。隐藏私有网络地址 私用IP地址 公用IP地址协议数据传递：隧道只需连接两个使用相同通信协议网络，不关心网络内部使用的通信协议提供数据安全支持 隧道中

15、传输(chun sh)的数据是经过加密和认证处理的，可以保证数据在传输(chun sh)过程中的安全性。共六十八页9.2.2 隧道的基本(jbn)类型（2）主动式隧道 客户端计算机安装隧道协议，客户端主动与目标隧道服务器建立一个连接。远程接入VPN 最常见的方式是主动式隧道。被动式隧道隧道的构建、管理和维护由ISP控制。客户端只支持网络互连，无需(wx)特殊的VPN功能主要用于两个局域网的固定连接 。内联网VPN和外联网VPN中，VPN网关之间的隧道共六十八页第9章 虚拟(xn)专用网9.1 VPN概述 9.2 隧道技术9.3 实现(shxin)VPN的二层隧道协议 9.4 实现VPN的三层隧

16、道协议9.5 MPLS VPN 9.6 SSL VPN 共六十八页9.3 实现(shxin)VPN的二层隧道协议 二层隧道协议是在OSI协议的第2层（数据链路层）实现的隧道协议，即封装后的用户数据要靠数据链路层协议传输(chun sh)。以 帧为数据交换单位。9.3.1 PPTP9.3.2 L2F9.3.3 L2TP共六十八页9.3.1 PPTP -点对点隧道(sudo)协议 Microsofthe 和Ascend开发，建立在PPP协议和TCP/IP协议上，实质是对PPP协议的扩展 PPTP使用(shyng)增强的GRE封装机制使PPP数据包按隧道方式穿越IP网络，增强了认证、压缩和加密功能.

17、PPP概述PPTP的体系结构PPTP的工作机制共六十八页9.3.1 1 PPP概述(i sh)PPP体系结构图 图9-5 p212远程用户公用电话网NAS InternetNAS： 网络接入服务器PPP组成3部分使用高级数据链路控制（HDLC）协议封装上层数据使用可扩展的链路控制协议（LCP建立、配置测试数据链路基于(jy)网络控制协议簇NCP来建立配置不同的网络层协议。共六十八页PPP会话过程分4个阶段创建PPP链路用户身份认证 有限的验证方式PPP回叫机制调用(dioyng)网络层协议共六十八页9.3.1- PPTP的体系结构 PPTP将传统的网络服务器NAS的功能(gngnng)分裂成客

18、户/服务器体系结构。PAC 和 PNSPSTN/ISDNPPTP隧道InternetPACPNS企业LAN共六十八页传统(chuntng)NAS具有6个功能与PSTN/ISDN的物理接口和对Moderm以及终端(zhn dun)适配器的控制LCP（链路控制协议）会话的逻辑终点参与PPP的认证协议对PPP多连接协议的通道进行汇聚和管理NCP（网络控制协议）的逻辑终点NAS接口之间多协议的路由选择和桥接 PAC完成1 2，参与3； PNS完成4 5 6，负责验证PAC并桥接PAC的被封装的流量到另外的地方。PPTP协议负责PAC和PNS之间的协议数据单元的传送、访问控制和管理。共六十八页9.3.1

19、-3 PPTP的工作(gngzu)机制PPTP是一个(y )面向连接的协议，PAC和PNS维护它们的连接状态。PAC和PNS之间两种连接控制连接数据连接：隧道，使用GRE封装机制在PAC和PNS之间传输PPP数据包，多个PPP会话可共享一个隧道共六十八页9.3.1-3 PPTP的工作(gngzu)机制PPTP控制连接的建立过程（3）PAC和PNS建立一个TCP连接PAC或PNS向对方发送一个请求信息Start-Control-Connection-request收到请求的PAC和PNS发送一条响应(xingyng)消息控制连接数据连接（隧道的建立 一个会话）Outgoing-Call-Requ

20、est Outgoing-Call-RePly ： PNSPAC请求，应答Incoming-Call-Request Incoming-Call-RePly Incoming-Call-Connect PACPNS请求 响应 响应回应 三次握手共六十八页9.3.1-3 PPTP的工作(gngzu)机制数据链路头IP头TCP头PPTP控制与管理信息数据链路尾数据链路头IP头GRE头PPP头加密的PPP净荷数据链路尾PPTP控制(kngzh)报文的结构 图9-7 a p214PPTP数据报文的结构 图9-7 a p214共六十八页9.3.2 L2FL2F 第二层转发协议(xiy)Cisco 多种网

21、络类型建立多协议的安全VPN的通信方式1998 IETE RFC2341图9-8 L2F隧道原理图 p215建立与NAS正常连接进行VPN拨号建立隧道数据传输共六十八页L2F的报文格式。 P215 图9-9(a)(b)数据链路头IP头UDP头L2F控制信息数据链路尾数据链路头IP头UDP头L2F头PPP头加密的PPP净荷L2F校验(可选)数据链路尾共六十八页9.3.3 L2TP-第二层隧道(sudo)协议L2TP的体系结构图 图9-10 p216L2TP工作(gngzu)原理L2TP的报文格式共六十八页第9章 虚拟(xn)专用网9.1 VPN概述(i sh) 9.2 隧道技术9.3 实现VPN

22、的二层隧道协议 9.4 实现VPN的三层隧道协议9.5 MPLS VPN 9.6 SSL VPN 共六十八页9.4 实现(shxin)VPN的三层隧道协议三层隧道(sudo)协议对应于OSI的第三层，网络层，分组(包)作为数据交换单位。9.4.1 GRE9.4.2 IPSec共六十八页9.4 实现VPN的三层隧道(sudo)协议9.4.1 GRE9.4.2 IPSec共六十八页9.4.1 GREGRE （通用路由封装）协议是一种应用非常广泛的第三层VPN隧道(sudo)协议。1994年提出，2002 Cisco 改进GRE v2 GRE的工作原理GRE的安全性 共六十八页9.4.1-1 GRE

23、的工作(gngzu)原理GRE封装原理图9-12 p218原始数据包头原始数据包净荷IP头GRE头原始数据包头原始数据包净荷有效载荷共六十八页9.4.1-1 GRE的工作(gngzu)原理办事处主机A - 总部主机B发送数据过程1）主机A办事处路由器A，路由器连接内部接口收到数据，检查数据包头中的目的地址，确定如何(rh)路由2）检查后如果需要隧道，发到路由器A与隧道相连的接口3）添加GRE头部，IP模块处理，加新IP头 3）路由器将封装好的报文通过隧道发送出去。共六十八页 9.4.1 2 GRE的安全性 为了提高GRE的安全性，采用其他的安全技术1）进行GRE相关(xinggun)的安全配置

24、2）采用基于GRE+IPSec的VPN技术3）保证路由器的安全共六十八页9.4.2 IPSecIPSec通过AH和ESP协议对网络层数据进行保护，通过IKE协议进行密钥交换。ESP由于提供对数据的保密性，应用更广泛。两种模式(msh)4中组合：传输模式的AH隧道模式的AH传输模式的ESP隧道模式的ESP共六十八页9.4.2- 传输(chun sh)模式AH在传输模式下与NAT是冲突的。应用AH协议，完整性保护区域是整个IP包，包含头部。，所以源目的IP地址不能修改，否则检验通不过。 NAT: (Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保

25、留(boli)地址转化为合法IP地址的转换技术.ESP传输模式的完整性保护不包含IP包头部，与NAT可以同时使用。但验证服务要比AH传输模式弱共六十八页隧道模式保护的内容是整个IP包，只要IPSec有一方是安全网关或路由器，就必须使用隧道模式隧道模式的数据包有两个IP头：内部头和外部(wib)头隧道模式的AH与NAT的冲突同样存在隧道模式占用更多的带宽 9.4.2- 2 隧道(sudo)模式共六十八页IPSec VPN vs MPLS VPNIPSec VPN解决方案： 小企业 经济实用MPLS： 经济实力更强的公司(n s)选。因为很多网络提供提供商的MPLS网络本身是与互连网分开的，是一个

26、大专网，有先天的安全隔离 共六十八页第9章 虚拟(xn)专用网9.1 VPN概述 9.2 隧道技术(jsh)9.3 实现VPN的二层隧道协议 9.4 实现VPN的三层隧道协议9.5 MPLS VPN 9.6 SSL VPN 共六十八页9.5 MPLS VPN基于MPLS这种短标签快速交换网而建立的VPN ，通常是同一个企业的不同分支机构或企业间构建的通信站点集合群。相对传统VPN，MPLS VPN的优势：安全性高 标记交换，完全隔离性保证传输的安全性可扩展性强用户网络结构灵活。支持(zhch)端到端的QoS（服务质量）支持多种业务。 语音视频实时性强 申请不同的QoS共六十八页9.5 MPLS

27、 VPN9.5.1 MPLS的概念和组成(z chn)9.5.2 MPLS的工作原理9.5.3 MPLS VPN的概念和组成9.5.4 MPLS VPN的数据转发过程共六十八页9.5.1 MPLS的概念(ginin)和组成 MPLS是一种结合第二层交换(jiohun)和第三层路由的快速交换(jiohun)技术，Cisco公司提出的Tag Switching技术上发展而来的。传统IP技术机制， 路由器 MPLS的网络结构图 图9-14 p222LSR 标签交换路由器 核心 PLER 标签边缘路由器 PE： 进口LER 出口LERLSP 标签交换路径：MPLS结点之间的路径共六十八页9.5.2 M

28、PLS的工作(gngzu)原理MPLS的一个重要概念： FEC 转发等价类LDP 标签分发协议。通过网络层路由信息和数据链路层交换路径之间的直接映射，LSR使用LDP协议来建立面向(min xin)连接的标签交换路径。MPLS的数据转发原理FEC划分标签绑定标签分发与标签转换路径的建立带标签的分组转发标签弹出出口IP转发共六十八页9.5.3 MPLS VPN的概念(ginin)和组成MPLS VPN利用MPLS中的LSP作为实现VPN的隧道，用标签和VPN ID将特定的数据包唯一识别。建立的隧道是由路由交换信息(xnx)的交互而得到的一条虚拟隧道（即LSP）MPLS VPN的结构 图9-15

29、p224用户边缘CE网络服务提供商边缘 PE： 维持一个虚拟路由转发表VRF网络服务提供商P设备用户站点共六十八页9.5.4 MPLS VPN的数据转发(zhun f)过程（4步）CEPE ，PE路由器查找该VPN对应的VRF，从中得到一个VPN标签和下一跳的出口PE路由器的地址。 内外两次标签主干网的P路由器根据外层标签转发IP数据包出口PE路由器根据内层标签找到相应的出口，将内层标签去掉(q dio)，将不含标签的VPN数据包转发给指定的CECE根据自己的路由表经封装前的数据包转发到正确的目的地。共六十八页第9章 虚拟(xn)专用网9.1 VPN概述 9.2 隧道技术9.3 实现(shxi

30、n)VPN的二层隧道协议 9.4 实现VPN的三层隧道协议9.5 MPLS VPN 9.6 SSL VPN 共六十八页9.6 SSL VPN MPLS VPN 电信运营商为企业用户提供 实现内部网络(wnglu)之间远程互联业务 SSL VPN： 企业移动用户访问企业内部网络资源9.6.1 SSL VPN概述9.6.2 基于Web浏览器模式的SSL VPN9.6.3 SSL VPN的应用特点共六十八页9.6.1 SSL VPN概述(i sh)SSL VPN属于应用层VPN技术VPN客户端与服务器之间通过HTTPS安全协议建立连接和传输数据SSL VPN的核心是SSL协议SSL VPN网关 介于企业企业内部服务器和远程用户(yngh)之间远程用户和SSL VPN网关之间建立一条应用层隧道。客户端请求，先加密数据，发到网关，网关解密，执行安全策略检查，转发给应用服务器。共六十八页9.6.1 SSL VPN概述(i sh)SSL VPN实现的关键技术（4）Web代理(dil)技术应用转换技术端口转发技术SSL VPN的应用模式Web浏览器SS