虚拟专网
本章目标
能够配置×××,使企业办事处能够通过×××远程接入企业网络中心。
l了解×××的基本概念
l熟悉×××的工作原理
l了解×××的加密算法
l熟悉IPsec ×××技术
l能够在Cisco路由器上配置IPsec ×××
前面讲述过,当企业两个分支机构需要连接的时候,可以租用电信运营商的DDN或帧
中继等链路来实现各企业的分支机构的连接,但是,DDN、帧中继的价格却是用户不愿意接受的。
目前,一种流行的网络互联技术——虚拟专网(virtual private network,×××)它能够因特网的基础设施为用户创建一条专用的虚拟通道,并提供专用网络一样的安全和功能的保障。
一、×××的概述
在公用网络中,按照相同的策略和安全规则, 建立的私有网络连接
二、×××(Virtual Private Network)与专线相比其特点如下:
其专线连接具有以下特点:
u 费用高
n 灵活性差
n 广域网的管理
n 复杂的拓扑结构
×××方式的特点:
n 费用低
n 灵活性好
n 简单的网络管理
n 隧道的拓扑结构
三、×××的结构和分类
1、 远程访问×××
1)移动用户或远程小办公室通过Internet访问网络中心
2)连接单一的网络设备
3)客户通常需要安装×××客户端软件
2、 站点到站点的×××
1)公司总部和其分支机构、办公室之间建立的×××
2)替代了传统的专线或分组交换WAN连接
3)它们形成了一个企业的内部互联网络
四、×××的工作原理
×××技术主要包括以下4个关键的技术
1) 安全隧道技术(secure tunneling technology)
2) 信息加密技术(encryption technology)
3) 用户认证技术(user authentication technology)
4) 访问控制技术(access control technology)
1、 安全隧道技术(secure tunneling technology)
1) 为了在公网上传输私有数据而发展出来的“信息封装”(Encapsulation)方式
2) 在Internet上传输的加密数据包中,只有×××端口或网关的IP地址暴露在外面
3)隧道的协议有:
二层隧道×××
L2TP: Layer 2 Tunnel Protocol
PPTP: Point To Point Tunnel Protocol
L2F: Layer 2 Forwarding
三层隧道×××
GRE : General Routing Encapsulation
IPSEC : IP Security Protocol
第二层隧道协议:
n建立在点对点协议PPP的基础上
n先把各种网络协议(IP、IPX等)封装到PPP帧中,再把整个数据帧装入隧道协议
n适用于通过公共电话交换网或者ISDN线路连接×××
第三层隧道协议:
n把各种网络协议直接装入隧道协议
n在可扩充性、安全性、可靠性方面优于第二层隧道协议
2、 信息加密技术(encryption technology)
1) 机密性
对用户数据提供安全保护
2) 数据完整性
确保消息在传送过程中没有被修改
3) 身份验证
确保宣称已经发送了消息的实体是真正发送消息的实体
加密的算法:
1) 对称加密
DES算法
AES算法
IDEA算法、Blowfish算法、Skipjack算法
2) 非对称加密
RSA算法
PGP
对称加密:
n 发送方和接收方使用同一密钥
q 通常加密比较快(可以达到线速)
q 基于简单的数学操作(可借助硬件)
q 需要数据的保密性时,用于大批量加密
q 密钥的管理是最大的问题
非对称加密:
n 每一方有两个密钥
² 公钥,可以公开
² 私钥,必须安全保存
n 已知公钥,不可能推算出私钥
n 一个密钥用于加密,一个用于解密
n 比对称加密算法慢很多倍
公钥加密和私钥签名
3、 用户认证技术(user authentication technology)
4、 访问控制技术(access control technology)