网络测试及故障诊断一体化教案-VPN安全技术

1、-. z.新里程旅游技工学校教案首页课程名称网络测试与故障诊断项 目课题VPN平安技术课型讲座授课班级12计算机授课时间课时2小时30分授课教师学习目标知识目标理解VPN的平安性；熟悉路由器端连接VPN,防火墙端连接VPN,专业设备连接VPN；掌握构建虚拟专用网VPN技能目标通过学习，学生学会构建虚拟专用网VPN。情感目标通过学习培养学生计算机网络的兴趣。教学重点构建虚拟专用网VPN教学难点路由器端连接VPN,防火墙端连接VPN,专业设备连接VPN教学场景多媒体教学系统教学方法教授法，课文引导、结合实例分析、习题练习，讲解教学教学回忆教案页教学环节及时间分配教学过程教学容和教学方法教学设计：让

2、同学讨论答复，并抽取同学答复教师点评并归纳出答案，最后简单分析。通过设疑，吸引学生的注意力，激发学习兴趣。学生答复操作方法【组织教学】(约3分钟)：整顿纪律，考勤，填写教学日志，检查课本与练习本的准备情况【复习旧课】约5分钟复习提问：在一台交换机上划分两个VlanVlan2，Vlan32参考答案给两台交换机划分vlan，步骤如下：【新课导入】约2分钟导入企业构建平安局域网后，如何才能实现在互联网中也能平安联网？VPN平安技术教案页教学环节及时间分配教学过程教学容和教学方法课件演示，讲解VPN技术的概念【讲授新课】一、VPN技术约15分钟一VPN技术的介绍：在网络互联世界中，企业为了各站点之间能

3、够平安地传输数据，往往选择从通信厂商处租用昂贵的专有链路来进展传送。为了降低本钱，我们可以在现有的Internet构造根底和其他用户共享通信链路上进展数据传输，但同时如何保证数据传输的平安就成了最重要的问题。其中一种有效的解决方案就是构建虚拟专用网VPN。二VPN概述VPN是将不同物理位置的组织和个人通过已有的公共网络建立一条点到点的虚拟链路，模拟专用网进展平安数据通信的网络技术，其根本原理是通过一定的技术将互联网上每个VPN用户的数据与其他数据加以区别，防止未经授权的访问，从而确保数据的平安。通过利用共享的公共网络设施实现VPN，能够以极低的费用为远程用户提供性能和专用网络相媲美的通信效劳。

4、隧道技术 隧道技术是目前构建VPN的根本方式。隧道技术是指把一种类型的报文封装在另一种报文中在网络上进展传输，如下图。两个网络通过VPN接入设备的一个端口，即一个VPN端点，建立的虚拟链路就叫隧道。发送给远程网络的数据要进展一定的封装处理，从发送方网络的一个VPN端点进入VPN，经相关隧道穿越VPN(物理上穿越不平安的互联网)，到达接收方.教案页教学环节及时间分配教学过程教学容和教学方法详细分析VPN隧道模式，来突出VPN技术的重要作用网络的另一个VPN端点，再经过解封装处理，便得到原始数据，并且把加密后的原始数据发给目的主机。封装的数据在传送中，不仅遵循指定的路径，防止经过不信任的节点而到达

5、未授权接收方，而且封装处理使得传送的中间节点不必也不会解析原始数据，这在一定程度上防止了数据泄密。对主机来说，不管是发送主机还是接收主机，都不知道数据曾经被封装过，也不知道数据是在Internet网络上进展传输的， 它只需要提供要传输的数据，而不需要特殊的软件或配置，所有传送过程都由VPN设备来处理。 仅仅通过隧道技术还不能建立适合所有平安要求的VPN，因为一般的隧道技术只能够满足在单个运营商网络上进展数据平安传输的需求。用户数据要跨越多个运营商网络时，在两个独立网络节点的封装数据要先解封处理后再封装，可能在此过程中造成信息泄漏，因此，必须结合加密技术和密钥管理等教案页教学环节及时间分配教学过

6、程教学容和教学方法具体分析VPN的优点技术保证数据传输的性。同时，身份认证及访问控制等技术可以支持远程接入或动态建立隧道的VPN，通过对访问者身份确实认及对其访问资源的控制来保证信息平安。所以VPN通信具有与专用网同等的通信平安性。VPN的简单通信过程如下：(1)客户机向VPN效劳器发出请求。(2)VPN效劳器响应请求，并要求客户进展身份认证。(3)客户机将的用户身份认证响应信息发给效劳器。(4)VPN效劳器收到客户的认证响应信息，确认该是否有效，是否具有远程访问权限。如果有访问权限，则接收此连接。(5)VPN效劳器利用在认证过程中产生的客户机和效劳器的公有密钥对数据进展加密，然后通过VPN隧

7、道技术进展封装、加密、传输到目的部网络。总之，VPN可以通过隧道技术、密码技术、身份认证及访问控制技术等在共享的互联网上实现低本钱的平安数据传输。二、VPN的优点约10分钟VPN的优点如下：1)费用低廉 这是使用VPN的最主要的好处。通过使用VPN，我们可以在公共网络上尽可能平安地传输数据，而不需要再租用专线来组网。并且，多数VPN都可以提供可靠的远程拨号效劳，如此便减少了管理、维护和操作拨号网络的人力本钱，节约了相关费用。2)平安可靠 VPN为数据平安传输提供了许多平安保证，可以保证传输数据的性、完整性和对发送/接收者的认证。教案页教学环节及时间分配教学过程教学容和教学方法具体分析VPN的缺

8、点3) 部署简单 VPN使用的是已有的根底设施，因此可以利用现有的根底设施快速建立VPN，从而降低工作量，节省时间，减少施工费用三、 VPN的缺点约10分钟VPN有如上所述的许多优点，但同时也有一些缺点：1)增加了处理开销 为了保证数据传输平安，通常对传输的每一个报文都进展加密，如此便增加了VPN处理压力。虽然可以采取硬件技术来解决，但同时也增加了构建VPN的本钱。同时，由于VPN对发送的报文进展了封装，或者在原始报文上增加额外报文信息，这些都增加了处理开销，对网络性能构成一定的影响。2)实现问题 由于现有的网络根底情况一般比拟复杂，因此VPN在设计的时候必须考虑到实现的问题，包括VPN通过、

9、网络地址转换最大传输单元大小等问题。3)故障诊断和控制问题由于VPN上传输的数据都进展了封装处理，真实数据只能等解封后才能看见，因此一旦发生故障，很难进展诊断。同时，如果远程用户通过VPN接入的话，必须要考虑对其实施控制。因为此时的远程接入客户作为进入网络的入口，由于其自身主机的平安问题，可能会带来平安隐患。并且，VPN毕竟是构建在公共根底设施上，而一旦这些根底设施出现问题则会导致Internet效劳故障，从而使VPN的通信出现问题。教案页教学环节及时间分配教学过程教学容和教学方法详细分析VPN隧道协议四、VPN隧道协议约50分钟一按照用户数据是在网络协议栈的第几层被封装，即隧道协议是工作在第

10、二层数据链路层、第三层网络层，还是第四层应 用层，可以将VPN协议划分成第二层隧道协议、第三层隧道协议和第四层隧道协议。第二层隧道协议：主要包括点到点隧道协议(PPTP)、第二层转发协议(L2F)，第二层隧道协议(L2TP)、多协议标记交换(MPLS)等，主要应用于构建接入VPN。第三层隧道协议：主要包括通用路由封装协议(GRE)和IPSec，它主要应用于构建联网VPN和外联网VPN。第四层隧道协议：如SSL VPN。SSL VPN与IPSec VPN都是实现VPN的两大实现技术。其中，IPSec VPN工作在网络层，因此与上层的应用程序无关。采用隧道运行模式的IPSec对原始的IP数据包进展

11、封装，从而隐藏了所有的应用协议信息因此可以实现各种应用类型的一对多的连接，如Web、电子邮 件、文件传输、VoIP等连接。与SSL相比，IPSec只在一个客户程序和远程VPN网关或主机之间建立一条连接，所有应用程序的流量都通过该连接建立的隧道进展传输。而SSL VPN工作在应用层，对每一个附加的应用程序都不得不建立额外的连接和隧道。不过，SSL除了具备与IPSec VPN相当的平安性外，还增加了访问控制机制。而且客户端只需要拥有支持SSL的浏览器即可，配置方便，使用简单，非常适合远程用户访问企业部网。因此，现在第四层隧道协议最著名的便是SSL。教案页教学环节及时间分配教学过程教学容和教学方法二

12、PPTP在了解点到点隧道协议(PPTP)协议之前，必须先要了解PPP和GRE两个协议。点到点协议(PPP)PPP协议主要是为通过拨号或专线方式建立点对点连接的同等单元之间传输数据包而设计的链路层协议。PPP协议将IP、IP*和NETBEUI包封装在PPP帧通过点对点的链路发送，主要应用于拨号连接用户和NAS。2)GRE协议 GRE协议由Cisco和NetSmiths等公司提交给IETF的数据封装协议，它规定了如何用一种网络协议去封装另一种网络协议的方法，由RFC1701和RFC1702详细定义。目前多数厂商的网络设备均支持GRE隧道协议。GRE协议允许用户使用IP包封装IP、IP*、Apple

13、Talk包，并支持全部的路由协议(如RIP2、OSPF等)。不过，GRE协议只提供了数据包封装功能而没有加密功能，所以在实际环境中为了保证用户数据平安，GRE协议经常与IPSec结合使用，由IPSec提供用户数据的加密。 PPTP是由微软、Ascend、3等公司支持的基于IP的点对点隧道协议，它采用隧道技术，使用IP数据包通过Internet传送PPP数据帧，在RFC2367中有详细定义。该协议使用两种不同类型的数据包来管理隧道和发送数据包。PPTP通过TCP端口1723建立TCP连接并发送和接收所有控制命令。对于数据传输，PPTP先使用PPP封装，再将PPP封装到一个IP类型为47的GRE数

14、据包中，最后GRE数据包再被封装到一个IP数据包过隧道传输。如下图。 PPTP协议的实现由PPTP接入集中器(PAC)和PPTP网络效劳器(PNS)来分别执行，从而实现因特网上的VPN。其中，ISP的NAS将执行PPTP协议中指定的PAC的功能，企业VPN中心效劳器将执行PNS的功能。教案页教学环节及时间分配教学过程教学容和教学方法如下图，远程拨号用户(如远程用户1)首先采用拨号方式接入到ISPNAS(PAC)建立PPP连接，然后接入Internet通过企业VPN效劳器(PNS)访问企业的网络和应用，而不再直接拨号至企业的网络。这样，由GRE将PPP报文封装成的IP报文就可以在PAC-PNS之

15、间经由因特网传递，即在PAC和PNS之间为用户的PPP会话建立了一条PPTP隧道(如PPTP隧道1)。由于所有的通信都将在IP包通过隧道，因此PAC只起着通过PPP连接进因特网的入口点的作用。对于直接连接到Internet上的客户(如远程用户2)，可以直接与企业VPN效劳器建立虚拟通道(如PPTP隧道2)而不需要与ISP建立PPP连接。教案页教学环节及时间分配教学过程教学容和教学方法3PPTP具有两种不同的工作模式，即被动模式和主动模式。 被动模式的PPTP：ISP为用户提供其拨号连接到ISP过程中所有的效劳和帮助，而客户端则不需要安装任何与PPTP相关的软件。此模式的好处是降低了对客户的要求

16、，缺点是限制了客户对因特网其他局部的访问。主动模式的PPTP：由客户建立一个与企业网络效劳器直接连接的PPTP隧道，ISP只提供透明的传输通道而并不参与隧道的建立。此模式的优点是客户拥有对PPTP的绝对控制，缺点是对用户的要求较高，并需要在客户端安装支持PPTP的相应软件。如图从平安性上来说，对于加密，PPTP使用Microsoft点对点加密算法(MPPE)，采用RC4加密程序。对于认证，PPTP使用Microsoft挑战握手认证协议(MS-CHAP)、口令认证协议(PAP)、挑战握手认证协议(CHAP)或扩展认证协议(EAP)来实现用户认证功能。但是，由于MS-CHAP是不平安的，因此大都认

17、为PPTP不平安。后来，Microsoft在PPTP实现中采用了MS-CHAP V2，解决了其存在的平安问题。教案页教学环节及时间分配教学过程教学容和教学方法详细介绍第二层隧道协议L2TP四、 L2TP约20分钟第二层隧道协议(L2TP)是IETF起草，微软、Cisco、3等公司参与的协议，在RFC 2661中对其进展了详细定义。该协议由PPTP与二层转发协议(L2F)的融合而形成，结合了两个协议的优点，是目前IETF的标准。其中，L2F是由Cisco公司提出的，可以在多种传输网络(如ATM、帧中继、IP网)上建立多协议的平安虚拟专用网的通信方式，主要用于Cisco的路由器和拨号访问效劳器，能

18、够将链路层的协议(HDLC、PPP等)封装起来传送。 和PPTP一样，L2TP通过对数据加密和对目的地址加密隐藏，在Internet网络上建立隧道，从而创立一种平安的连接来传送信息。L2TP消息可以分为两种类型，一种是控制信息，另一种是数据信息。控制信息用于隧道和呼叫的建立、维护与去除。数据信息用于封装隧道传输的PPP数据帧。控制信息利用L2TP部可靠的控制通道来保证传输，而数据信息一旦数据包丧失则不再重传。如下图。L2TP在IP网络上的隧道控制信息以及数据使用相类似，通过UDP的1701端口承载于TCP/IP之上进展传输。教案页教学环节及时间分配教学过程教学容和教学方法教案页教学环节及时间分

19、配教学过程教学容和教学方法表达L2TP的建立过程分析L2TP协议的特性与PPTP类似，L2TP协议的实现也由两个设备来执行：一个是L2TP访问集中器(LAC)，另一个是L2TP网络效劳器(LNS)。L2TP将隧道连接定义为一个LNS和LAC对，其中LAC用于发起呼叫、接收呼叫和建立隧道，而LNS是远程系统通过L2TP建立的隧道传送PPP会话的逻辑终点。如下图。1. L2TP的建立过程(1)远程用户通过PSTN或ISDN拨号至本地接入效劳器LAC(LAC是连接的终点)；(2)LAC接收呼叫，认证用户是否合法，通过Internet、帧中继或ATM网络建立一个通向部网(Home LAN)LNS的VP

20、N隧道；(3)在隧道上传输PPP数据到达部网络。在以上过程中，部网提供地址分配、认证、计费等管理。 LAC客户端(运行L2TP的主机)可以直接接入部网而不需要另外的LAC。在这种情况下，包含LAC客户端软件的主机必须已经连接到公网上，然后建立一个虚拟PPP连接，使主机L2TP LAC客户端与LNS之间建立一个隧道。其地址分配、认证、授权和计费都由目标网络的管理域提供。LAC和LNS功能一般由为用户通过PSTN/ISDN拨入网络提供效劳的网络接入效劳器NAS提供。2. L2TP协议的特性(1)扩展性。为了在互通的根底上具有最大化扩展性，L2TP使用了统一的格式来对消息类型和主体进展编码，用AVP

21、值对来表示。(2)可靠性。L2TP在控制信息的传输过程中，应用消息丧失重传和定时检测通道连通性等机制来保证传输的可靠性。而其数据消息的传输由于不采用重传机制，所以它无法保证传输的可靠性，但这一点可以通过上层协议如TCP等得到保证。另外，L2TP在所有的控制信息中都采用序号来保证可靠传输，而数据信息可用序号来进展数据包的重排或用来检测丧失的数据包。(3)身份认证及性。L2TP继承了PPP的所有平安特性，不仅可以选择多种身份认证机制(CHAP、PAP等)，还可以对隧道端点进展认证。L2TP定义了控制包的加密传输，对每个隧道生成一个独一无二的随钥，以抵御欺骗性的攻击，但是它对传输中的数据不加密。根据

22、特定的网络平安要求可以方便地在L2TP之上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高数据的平安性。教案页教学环节及时间分配教学过程教学容和教学方法通过比拟L2TP与PPTP的区别，让同学更加了解VPN技术五、L2TP与PPTP的区别约30分钟 虽然L2TP是由PPTP开展起来的，都使用PPP协议对数据进展封装，然后添加附加报头用于数据在互联网络上的传输，但两者间仍有一定的区别：(1)从网络运行环境上来看，PPTP要求互联网络为IP网络，而L2TP可以在IP、帧中继、ATM等网络上使用。(2)从建立隧道的模式来看，PPTP只能在两端点间建立单一隧道，而L2TP支持在两端点间使用多隧

23、道。因此，用户可以针对不同的效劳质量使用L2TP创立不同的隧道。(3)从认证方式来看，L2TP可以提供隧道认证，而PPTP则不支持隧道认证。但是当L2TP或PPTP与IPSec共同使用时，可以由IPSec提供隧道验证，而不需要在第二层协议上验证隧道。(4)从数据包传输效率来看，L2TP合并了控制通道和数据通道，使用UDP协议来传输所有信息，因此，相对采用TCP协议传输数据的PPTP来说，效率更高，更容易通过防火墙。另一方面，PPTP支持通过NAT防火墙的操作，而L2TP则不能支持1.MPLS 多协议标记交换(MPLS)吸收了ATM的VPI/VCI交换思想，无缝集成了IP路由技术的灵活性和两层交

24、换的简捷性，在面向无连接的IP网络中增加了MPLS这种面向连接的属性。通过采用MPLS建立虚连接的方法，为IP网增加了一些管理和运营的手段。随着网络技术的迅速开展，MPLS应用也逐步转向MPLS流量工程和MPLS VPN等应用。MPLS的主要原理是为每个IP数据包提供一个标记，并由此标记决定数据包的路径以及优先级，使与MPLS兼容的路由器在将数据包转送到其路径之前，只需读取数据包标记，而无需读取每个数据包的IP地址和标头，然后将所传送的数据包置于帧中继或ATM的虚拟电路上，从而将数据包快速传送至终点路由器，减少了数据包的延迟，增加了网络传输的速度。同时由帧中继及ATM交换器所提供的效劳质量(Q

25、oS)对所传送的数据包加以分级，因而大幅提升网络效劳品质及提供更多样化的效劳。因此，MPLS技术适合用于远程互联的大中型企业专用网络等对QoS、效劳级别(CoS)、网络带宽、可靠性等要求高的VPN业务。教案页教学环节及时间分配教学过程教学容和教学方法详细分析VPN的集成路由器集成VPN2.VPN集成 VPN在网络中的集成有很多方式，最常见的有路由器集成VPN、防火墙集成VPN和专用VPN设备在三种方式 。1路由器集成VPN 现在一些路由器中已经配备了VPN模块，即路由器集成VPN，如下列图所示。边缘路由器上集成VPN，访问过程如下：远程用户建立VPN到路由器。路由器将请求转发给NAS。NAS认

26、证远程用户是否合法，假设合法，则授权用户访问外部网。路由器集成VPN的设备仅适合小型网络而不适合大型网络，因为路由器本身的性能有限，假设再加上加密/解密VPN信息带来的负担，则会使路由器超负荷。因此，一般对企业用户来说，路由器集成VPN并不是一个很好的选取择。教案页教学环节及时间分配教学过程教学容和教学方法防火墙集成VPN 2防火墙集成VPN防火墙集成VPN是应用广泛的模式，许多厂家的防火墙产品都具有VPN功能。由于防火墙本身具备较完善的记录功能，因此，在此根底上增加VPN记录不会给防火墙带来太大的额外负担。另外，防火墙也是网络的入口点，在此增加VPN功能将使用户能够访问网络而不用开放防火墙规

27、则，以免增加平安漏洞。防火墙集成VPN如下图。防火墙集成VPN访问过程与路由器集成VPN类似：远程用户建立VPN到防火墙防火墙将认证请求转发给NAS。NAS认证远程用户是否合法，假设合法，则防火墙授权用户访问部网。防火墙集成VPN的模式可以获得设备中由防火墙部件提供的强健的访问控制功能，给网络管理员提供了更多的控制权，使用户能够访问的网络资源局部被限定。但与路由器集成VPN一样，处理VPN加密/解密信息需要占用大量系统资源，如果防火墙本身负荷已经很重，则不适合选择此种模式。而且，防火墙集成VPN方案还有一个缺陷，就是在优化配置虚拟网和防火墙部件方面，选择余地非常小，因为最适合业务需要的防火墙产品可能与虚拟专用网不匹配。同时，集成方案还会使VPN和防火墙部件限制在一套系统上，使得配置方案不灵活。教案页教学环节及时间分配教学过程教学容和教学方法专业VPN设备3专用VPN设备专用VPN设备最主要的优点就是减轻了路由器和防火墙管理VPN的负担，即使有再多的连接甚至过载，也不会影响网络的其他局部。专用VPN设备的另一个优点是增强了VPN访问的平安性，即使VPN被攻破，