22 第八章 任务2 VPN技术（2学时）

VPN技术厚德强能、求实创新第八章任务2认识VPN1VPN关键技术2VPN分类3厚德强能、求实创新虚拟专用网络（Virtual

Private

Network，VPN）是指利用Internet或其他公共网络为用户建立一条临时的、安全的隧道，形成逻辑上的专用网络，并提供与专用网络相同的安全保障。是指没有专门的物理上的网络基础设施用于专用网络“虚拟”是指组建VPN的目的是保证通信数据的保密性。“专用”“在家办公”“异地办公”“移动办公”认识VPN厚德强能、求实创新认识VPNVPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内网建立可信的安全连接，并保证数据的安全传输。VPN的特点：（1）价格便宜。（2）安全性强。（3）可扩充性和灵活性（4）服务质量（QualityofService，QoS）较难保证。（5）可管理性。厚德强能、求实创新2VPN关键技术实现VPN的关键技术包括隧道技术（Tunneling）、身份认证技术、访问控制技术和密码技术，另外，密钥管理和QoS技术对VPN的具体实现也至关重要。厚德强能、求实创新2VPN关键技术隧道技术是一种封装技术，即将一种协议的报文封装在另一种协议中进行传输，从而实现被封装协议对封装协议的透明性，保持被封装协议的安全特性。1隧道技术“第二层隧道”“第三层隧道”先把各种网络层协议（如IP、IPX和AppleTalk等）封装到数据链路层的点到点协议（Point-to-PointProtocol，PPP）帧里，再把整个PPP帧装入隧道协议里L2TPPPTP把各种网络层协议数据包直接装入隧道协议中，由于封装的是网络层数据包GREIPSec厚德强能、求实创新2身份认证技术2VPN关键技术计算机及网络系统中常用的身份认证方式主要有用户名/密码认证、智能卡认证、动态口令认证、USBKey认证。3访问控制技术访问控制过程有两个方面。第一个方面是确定访问控制信息，通常包括请求访问实体的身份信息、请求访问的资源及管理访问的规则。请求者的身份信息一般是用户名、IP地址或证书等。第二个方面是具体决策过程的组织。例如，决策过程既可以完全在已通过安全验证的提交与协商环境中完成，也可以由系统向独立的策略服务器发起询问，并由其来做出决策。在一个中心服务器上管理所有的策略，能过使管理工作更加容易。厚德强能、求实创新4密码技术2VPN关键技术由于VPN使用公用网来传输专用数据，所以数据在公共信道上传输的过程中被中途截取甚至被人篡改都是有可能的。因此，强劲的加密算法和消息完整性认证应该被应用在每个数据报文上。另外，数据报文传输系统应该能够预防重放攻击。在这方面要用到密码学的加密技术，哈希函数，消息认证等技术。厚德强能、求实创新VPN分类根据VPN的作用，可以将VPN分为三类：AccessVPN、Intranet

VPN和Extranet

VPN。AccessVPN先拨号接入到用户本地的ISP，然后利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道最适用于公司内部经常有流动人员远程办公的情况IntranetVPN在公司远程分支机构的LAN和公司总部LAN之间建立的VPN通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公司内部的资源共享、文件传递等，可节省数字数据网（DigitalDataNetwork，DDN）等专线所带来的高额费用。厚德强能、求实创新ExtranetVPN在供应商、商业合作伙伴的LAN和公司的LAN之间建立的VPN由于不同公司网络环境的差异性，该产品必须能兼容不同的操作平台和协议。由于用户的多样性，公司的网络管理员还应该设置