网络交换与路由技术：第七章 虚拟专用网技术

第七章虚拟专用网技术

总部设在北京国内某人寿保险公司，在天津、上海、广州等5个地区设有办事处。总部目前使用“用友U8”财务管理软件，网络应用服务器放置在总部局域网内。为了实现财务统一管理，总部希望各办事处的财务人员，统一使用总部的“用友U8”系统。但为了保证财务数据安全，总部要求全国分支机构的终端系统，通过Internet建立虚拟专用网络对总部局域网内的应用服务器进行远程安全访问工程任务：VPN保障网络安全连接回顾1、你对隧道技术是如何理解的？2、Intranet、Extranet3、CHAP的验证方式。什么是VPNVPN（VirtualPrivateNetwork）技术也就是虚拟专用网技术，顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能

InternetLAN与LAN之间彼此孤立VPNTunnelVPNTunnelVPNTunnelLAN与LAN之间实现安全互访LAN与LAN通过VPN技术构建新的LAN虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术为什么使用VPN？用户的需求用户的需求是虚拟专用网技术诞生的直接原因经济全球化的最佳途径是发展基于Internet的商务应用各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题自身的的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍用户的信息技术部门在连接分支机构方面也感到日益棘手信息在传输中可能泄密数据被黑客窃听总部分支机构移动用户A黑客我的密码是CAF我的密码是CAFVPN的需求之一：数据机密性保护移动用户BInternet信息在传输中可能失真总部分支机构移动用户A黑客同意2000元成交VPN的需求之二：数据完整性保护移动用户BInternet黑客篡改数据同意

5000元成交信息的来源可能伪造的总部分支机构黑客交易服务器VPN的需求之三：数据源发性保护移动用户Internet谁是真的Bob？我是Bob，请求交易“我是Bob”，请求交易信息传输的成本可能很高移动用户APSTNPSTN长途拨号：010-163市话拨号：163上海的拨号服务器上海北京的拨号服务器10010010101010数据在公网传输不安全？长途拨号，成本太高？VPN的需求之四：降低远程传输成本Internet使用VPN的优势防止数据在公网传输中被窃听防止数据在公网传输中被篡改可以验证数据的真实来源成本低廉（相对于专线、长途拨号）应用灵活、可扩展性好VPN的应用类型AccessVPN（远程访问虚拟网）AccessVPN最适用于公司内部经常有流动人员远程办公的情况出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接CA中心或者Radius服务器可对员工进行身份授权和验证，保证连接的安全

VPN客户端企业总部VPNInternet移动用户移动用户移动用户移动用户VPN客户端VPN客户端VPN客户端IntranetVPN（企业内部虚拟网）企业的发展、机构网点的增加，使得网络的结构趋于复杂，链路费用昂贵利用VPN特性，在Internet上组建世界范围内的IntranetVPN，保证信息在整个IntranetVPN上安全传输

企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性企业总部分支机构办事处InternetVPNVPNVPNExtranetVPN（企业扩展虚拟网）各个企业之间的合作关系也越来越多，信息交换日益频繁。利用VPN技术组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全

Internet企业总部分支机构合作伙伴合作伙伴VPN的安全技术四项技术VPN主要采用四项技术来保证安全隧道技术（Tunneling）加解密技术（Encryption&Decryption）密钥管理技术（KeyManagement）认证技术（Authentication）隧道技术隧道技术的基本过程是在源局域网与公用网的接口处将局域网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中，在目的局域网与公用网的接口处将公用网的数据解封装后，取出负载即源局域网发送的数据向目的局域网传输隧道技术由于封装与解封装只在两个接口处由设备按照隧道协议配置进行，局域网中的其他设备将不会觉察到这一过程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道加解密技术1现代密码学中，加密算法被分为对称加密算法和非对称加密算法对称加密算法采用同一个密钥进行加密和解密，优点是速度快，但密钥的分发与交换不便于管理对称加密算法：国际数据加密算法（IDEA：InternationalData

EncryptionAlgorithm）：128位长密钥，把64位的明文块加密成64位的密文块DES和3DES加密算法(TheDataEncryptionStandard):DES有64位长密钥,实际上只使用56位密钥。AES：Rijndael加密算法对称加密算法图示加密算法解密算法PKeyPKeyE(P)AB加解密技术2使用不对称加密算法加密时，通讯各方使用两个不同的密钥,一个是只有发送方知道的私有密钥，另一个则是对应的公开密钥，任何人都可以获得公开密钥私有密钥和公开密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密由于不对称加密运算量大，一般用于加密对称加密算法中使用的密钥不对称加密还有一个重要用途即数字签名不对称加密算法：RSA椭圆曲线制算法公钥密码算法图示加密算法解密算法PkpubBPkprvBEkpubB(P)kprvB保密的私钥kprvB保密的私钥AkpubABkpubB公开私钥表AB密钥管理技术密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥在ISAKMP中，双方都有两把密钥，分别用于公用、私用

认证技术认证技术可以区分真实数据与伪造、被篡改过的数据认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要验证数据的完整性。发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改用户认证。该功能实际上是上一种功能的延伸。当一方希望验证对方，但又不希望验证秘密在网络上传送，这时一方可以发送一段随机报文，要求对方将秘密信息连接上该报文作摘要后发回，接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息，从而达到验证对方的目的常用的HASH函数有MD5，SHA-1等MD5算法图示MD5MD5PMD5(P)PMD5(P)MD5(P)OKAB回顾1、解释数据传输安全中下列性能的含义:(1)机密性(2)完整性(3)来源认证2、滑动窗口的含义？按实现的层次分类二层隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)支持多协议、多隧道、包头压缩、隧道验证LACLNSPPTP:PointToPointTunnelProtocolRC4三层隧道VPN

GRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocol

网络层隔离客户图示202.0.0.0/24Blue1Rt1Red1Blue2Rt2Red2GREGRE(GenericRoutingEncapsulation):是对某些网络层协议（如：IP,IPX,AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议中传输GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnelGRE协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayloadGRE构建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企业总部分支机构隧道技术组建VPN示意图10.0.0.0/24Blue1Rt1Red1Blue2Rt2Red210.0.0.0/24公共IP网络10.0.1.1/24129.0.1.1/30129.0.1.2/3010.0.1.1/24129.0.0.2/30129.0.0.1/3010.0.1.2/24129.0.3.1/30129.0.3.2/3010.0.1.2/24129.0.2.2/30129.0.2.1/30GRETunnelGRETunnelIPSecIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传输（transport）两种工作方式

IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES

其他的加密算法：Blowfish，blowfish、cast…IPSecVPN的应用场景分为3种Site-to-Site（站点到站点或者网关到网关）End-to-End（端到端或者PC到PC）End-to-Site（端到站点或者PC到网关）IPSec的两种应用方式：传输模式IPSec的两种应用方式：隧道模式应用总结隧道模式可以适用于任何场景传输模式只能适合PC到PC的场景IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证（DataAuthentication）反重放（Anti-Replay）

IPSec协商IKE

IKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立和维护、删除安全联盟的服务通过数据交换来计算密钥协商过程协商过程

项目1：

配置AccessVPN接入设