VPN技术

VPN技术本章内容VPN类型VPN术语加密系统配置VPN设备课程议题VPN类型、术语VPN概述利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，VirtualPrivateNetwork），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等VPN概述VPN提供了三种主要功能：加密：通过网络传输分组之前，发送方可对其进行加密。这样，即使有人窃听，也无法读懂其中的信息数据完整性：接收方可检查数据通过internet传输的过程中是否被修改来源验证：接收方可验证发送方的身份，确保信息来自正确的地方VPN连接的主要优点有：费用更低业务更灵活简单化了管理工作隧道化网络拓扑降低了管理负担VPN术语VPN常用的术语隧道加密/解密加密系统散列算法身份验证授权(Authorization)密钥管理认证服务验证报头（AuthenticatonHeader）VPN术语VPN常用的术语封装安全有效负载（ESP）Internet密钥交换（IKE，InternetKeyExchangeProtocol）ISAKMP安全关联（SA）验证、授权和统计（AAA）终端访问控制器访问控制系统：（TACACS，TerminalAccessControllerAccessControlSystem），远程用户拨入认证系统：RADIUS，RemoteAuthenticationDialInUserService）VPN类型VPN分为三种类型：远程访问虚拟网（AccessVPN）企业内部虚拟网（IntranetVPN）企业扩展虚拟网（ExtranetVPN）AccessVPNAccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN的结构有两种类型用户发起（Client-initiated）的VPN连接，接入服务器发起（NAS-initiated）的VPN连接。AccessVPNAccessVPN的优点减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用。极大的可扩展性，简便地对加入网络的新用户进行调度。远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务。IntranetVPNIntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。IntranetVPNIntranetVPN的优点减少WAN带宽的费用。能使用灵活的拓扑结构，包括全网孔连接。新的站点能更快、更容易地被连接。通过设备供应商WAN的连接冗余，可以延长网络的可用时间。ExtranetVPNExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。ExtranetVPNExtranetVPN优点：能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。VPN技术VPN主要采用四项技术隧道技术(Tunneling)；加解密技术(Encryption&Decryption)；密钥管理技术(KeyManagement)；使用者与设备身份认证技术(Authentication)。隧道技术网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议网络隧道协议支撑隧道协议的承载协议隧道协议所承载的被承载协议隧道协议两种类型的隧道协议：二层隧道协议，用于传输二层网络协议，它主要应用于构建AccessVPN和ExtranetVPN；三层隧道协议，用于传输三层网络协议，它主要应用于构建IntranetVPN和ExtranetVPN。二层隧道协议主要有三种：PPTP（PointtoPointTunnelingProtocol，点对点隧道协议）L2F（Layer2Forwarding，二层转发协议）L2TP（Layer2TunnelingProtocol，二层隧道协议）。二层隧道协议主要有三种GenericRoutingEncapsulation（GRE）协议IPSec协议L2TP网络协议L2TP特性安全的身份验证机制内部地址分配支持网络计费的灵活性可靠性统一的网络管理GRE协议GRE与IPinIP、IPXoverIP等封装形式很相似，但比他们更通用。是一种最基本的封装形式GRE是不提供加密功能优点多协议的本地网可以通过单一协议的骨干网实现传输；将一些不能连续的子网连接起来，用于组建VPN；扩大了网络的工作范围，包括那些路由网关有限的协议。如IPX包最多可以转发16次（即经过16个路由器），而在一个Tunnel连接中看上去只经过一个路由器IP安全协议IPSec（IPSecurity）是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）这两个安全协议来实现。IPSec提供以下几种网络安全服务私有性－IPSec在传输数据包之前将其加密.以保证数据的私有性；完整性－IPSec在目的地要验证数据包，以保证该数据包在传输过程中没有被修改；真实性－IPSec端要验证所有受IPSec保护的数据包；防重放－IPSec防止了数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。选择3层VPN隧道技术IPSec只支持IP单播数据流L2TP和GRE都不支持数据加密和分组完整性结合使用IPSec和L2TP/GRE时，可提供IPSec的加密功能加解密技术为确保私有资料在传输过程中不被其他人浏览、窃取或篡改安全外壳（SSH）S/MIME（安全/多用途internet邮件扩展）密钥管理技术密钥管理（KeyManagement）的主要任务就是来保证在开放网络环境中安全地传输密钥而不被黑客窃取Internet密钥交换协议（IKE）用于通信双方协商和建立安全联盟，交换密钥。核心技术就是DH（DiffieHellman）交换技术阶段1建立ISAKMPSA，有主模式（MainMode）和激进模式（AggressiveMode）两种阶段2在阶段1ISAKMPSA的保护下建立IPSecSA，称之为快速模式（QuickMode）。IPSecSA用于最终的IP数据安全传送。IKE还包含有传送信息的信息交换（InformationalExchange）和建立新DH组的组交换（DHGroupExchange）身份认证技术网络上的用户与设备都需要确定性的身份认证用户名密码方式（PAP）数字证书签发中心（CertificateAuthority）所发出的符合X.509规范的标准数字证书（Certificate）KE提供了共享验证字（Pre-sharedKey）、公钥加密验证、数字签名验证等验证方法。后两种方法通过对CA（CertificateAuthority）中心的支持来实现课程议题加密系统加密系统概述数据加密标准（DES）使用56位的密钥对分组数据进行加密3DES3DES是DES加密算法的一种模式，使用112位密钥高级加密标准（AES）采用对称分组密码体制，密钥长度的最少支持为128、192、256，RSA是一种公开密钥加密系统对称加密算法称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。密钥管理困难广泛使用的对称加密算法有DES、IDEA和AES，使用成本较高非对称加密算法加密和解密花费时间长、速度慢，广泛应用的非对称加密算法有RSA算法和美国国家标准局提出的DSA密钥交换A和B先说好一个大素数p和它的原始根a；A随机产生一个数x，计算X=axmodp，然后把X发给B；B秘密产生一个随机数y，计算Y=aymodp，然后把Y发给A；A计算k=Yxmodp；B计算k*=Xymodp；散列算法Hash一般翻译做“散列”，也有直接音译为哈希的，就是把任意长度的输入（又叫做预映射，pre-image），通过散列算法，变换成固定长度的输出，该输出就是散列值。散列算法确保消息的完整性常用的散列算法有两种：HMAC-MD5、HMAC-SHA-1课程议题配置RG-WALLVPN网关RG-WALLVPN网关基本配置默认的用户名和密码都为sadm退出串口登录使用锐捷网关管理中心使用锐捷网关管理中心（续）默认的用户名和密码都为admRG-WALLVPN管理界面配置接口配置Site-to-SiteIPsecVPN配置Site-to-SiteIPsecVPN（续）配置Site-to-SiteIPsecVPN（续）配置远程访问IPsecVPN配置远程访问IPsecVPN（续）配置远程访问IPsecVPN（续）配置远程访问IPsecVPN（续）使用锐捷安全远程接入系统使用安全远程接入系统实现远程访问IPsecVPN使用锐捷安全远程接入系统（续）使用锐捷安全远程接入系统（续）验证客户端路由表