计算机网络课件-VPN-网络

HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedInternal虚拟专用网VPN是依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共网络中建立的虚拟专用通信网络。本课程主要介绍VPN的概念,原理以及应用.HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage3参考资料高端路由操作手册-VPN分册(V1.11)HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage4学习完此课程，您将会：了解VPN基本概念掌握VPN的工作原理了解VPN的具体应用HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage5第1章VPN概述第2章VPN工作原理HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage6VPN概念VPN—VirtualPrivateNetwork虚拟专用网定义：依靠ISP（InternetServiceProvider）和NSP（NetworkServiceProvider），在公共网络中建立的虚拟专用通信网络。特点：专用性：VPN资源只能被该VPN的用户使用，不能被网络中其他用户所使用。同时VPN提供足够的安全保证，确保VPN内部信息不受外部侵扰虚拟性：VPN用户内部的通信是通过一个公共网络进行的，而这个公共网络同时也被其他非VPN用户使用．HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage7VPN优势VPN优势:连接可靠，可保证数据传输的安全性。利用公共网络进行信息通讯，可降低成本，提高网络资源利用率．支持用户实时、异地接入，可满足不断增长的移动业务需求。支持QoS功能，可为VPN用户提供不同等级的服务质量保证。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage8远程访问Internet内部网合作伙伴分支机构虚拟私有网VPN是企业网在因特网上的延伸VPN典型应用HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage9VPN分类按照组网模型、业务用途、运营模式或实现层次，VPN可以分为多种类型组网规模:VPDR:VirtualPrivateDialNetwork虚拟专用拨号网络VPRN:VirtualPrivateRoutingNetwork虚拟专用路由网VRPS:VirtualPrivateLANSegment虚拟专用LAN网段VLL:VirtualLeasedLine虚拟租用线......HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage10VPN分类业务用途:IntranetVPN企业内部虚拟专网ExtranetVPN扩展的企业内部虚拟专网AccessVPN远程访问虚拟专网HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage11VPN分类运营模式:CPE-basedVPN:CustomerPremisesEquipmentbasedVPN由用户控制Network-basedVPN:由ISP控制HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage12VPN分类实现层次:L3VPN（Layer3VPN）L2VPN（Layer2VPN）VPDNHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage13VPDN适用范围：出差员工异地小型办公机构POPPOP用户直接发起连接POPISP发起连接总部隧道HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage14第1章VPN概述第2章VPN工作原理HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage15VPN隧道VPN的基本原理是利用隧道技术，把VPN报文封装在隧道中，利用VPN骨干网建立专用数据传输通道，实现报文的透明传输。隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，在使用上与实际物理链路相同.HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage16VPN隧道VPN隧道的功能:封装原始数据实现隧道两端的点到点连通定时检测VPN隧道的连通性VPN隧道的安全性VPN隧道的QoS特性HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage17VPN协议—隧道协议第二层隧道协议将整个数据帧封装在内部隧道中PPTPL2FL2TP第三层隧道协议第三层隧道协议的起点与终点均在ISP内，PPP会话终止在NAS处，隧道内只携带第三层报文GREIPSecMPLSVPNHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage18L2TPL2TP:LayerTwoTunnelingProtocol二层隧道协议IETF所制定的在Internet上创建VPN的协议。这个协议是在PPTP和L2F的技术之上所制定的标准InternetTunnel协议,用于保护PPP报文;数据没有加密机制，可通过IPSEC保证数据安全。主要用途：企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部之间的网络连接。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage19L2TP报文格式L2TP报文封装层次结构此报文格式是LAC与LNS之间的数据报文。L2TP报文头是VPN协议报文头，其内封装的是PPP报文，因此L2TP是二层VPN协议。IP报文头(公网地址)UDP报文L2TP报文头PPP报文头IP报文头(私网地址)DataHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage20L2TP协议组件VPN用户：指通过L2TP协议连入VPN的用户，通常是外地出差员工或办事机构。LAC:L2TPAccessConcentratorL2TP访问集中器VPN用户和LNS之间传递数据的设备，通常是当地ISP的接入设备，具有PPP端系统和L2TP协议处理能力。LAC把从VPN用户处收到的信息包按照L2TP协议进行封装并送往LNS，将从LNS收到的信息包进行解封装并送往远端系统。LNS:L2TPNetworkServerL2TP网络服务器L2TP协议的服务器端部分，通常是企业内部网的边缘设备。LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是被LAC进行隧道传输的PPP会话的逻辑终止端点。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage21LAC发起连接(LAC-initialized)用户通过PSTN/ISDN接入NAS(LAC)，NAS判断如果是VPN用户，就向指定的LNS发起L2TP连接用户发起连接(Client-initialized)用户通过PSTN/ISDN接入NAS，获得访问Internet权限然后直接向远端LNS服务器发起L2TP连接L2TP隧道发起方式HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage22L2TP隧道发起方式LAC发起以太网VPN用户PSTN/ISDNLACLNSInternet用户部分ISP及公共网部分企业网部分隧道VPN用户：向LAC设备发起PPP连接。LAC：判断用户是否是L2TP用户，如果是，判断用户向哪个LNS发起隧道请求。LNS：为用户分配私网地址，准许用户接入内部网络。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage23L2TP隧道发起方式客户端直接发起VPN用户：首先获得公网地址，与LNS之间保持连通，向LNS发起建立隧道请求。LNS：为用户分配私网地址，准许用户接入内部网络。以太网VPN用户PSTN/ISDNNASInternetLNS用户部分ISP及公共网部分企业网部分隧道HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage24IPSecIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage25隧道模式IPPayloadIPheaderIPPayloadIPheaderIPheaderIPSECheader保护IP包头和IP负载可适用于两者,隐藏内部IP地址,协议类型和端口号加密在IPSec之前在IPSec*之后IPSec工作模式HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage26传输模式在IPSec之前在IPSec*之后IP有效载荷IP头内部受保护的数据IP有效载荷IP头IPSec头线上传输保护TCP/UDP/ICMP有效负载IPSec工作模式HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage27IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议−MD5(MessageDigest5)−SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议−DES(DataEncryptionStandard)−3DES−其他的加密算法：Blowfish，blowfish、cast…HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage28安全关联SA(SecurityAssociation)在使用AH或ESP之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联SA。IPsec就把传统的因特网无连接的网络层转换为具有逻辑连接的层。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage29安全关联的特点安全关联是一个单向连接。它由一个三元组唯一地确定，包括：(1)安全协议（使用AH或ESP）的标识符(2)此单向连接的源IP地址(3)一个32位的连接标识符，称为安全参数索引SPI(SecurityParameterIndex)对于一个给定的安全关联SA，每一个IPsec数据报都有一个存放SPI的字段。通过此SA的所有数据报都使用同样的SPI值。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage302.鉴别首部协议AH在使用鉴别首部协议AH时，把AH首部插在原数据报数据部分的前面，同时把IP首部中的协议字段置为51。在传输过程中，中间的路由器都不查看AH首部。当数据报到达终点时，目的主机才处理AH字段，以鉴别源点和检查数据报的完整性。IP首部AH首部TCP/UDP报文段协议=51HUAWEITECHNOLOG