VPN概念及发展历程

网络安全协议Oct.14,2007信息安全专业VPN(VirtualPrivateNetwork)薛开平（XueKaiping）信息网络实验室Lab.ofInformationandNetworkskpxue@ustc.edu.cn网络安全协议信息安全专业2VPN(VirtualPrivateNetwork)VPN的概念及发展历程VPN主要组网技术网络安全协议信息安全专业3VPN定义虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。在虚拟专网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。网络安全协议信息安全专业4VPN定义虚拟“virtual”指没有物理的连接存在于2个网络间；事实上，连接是通过Internet的路由完成的；专用“private”指传输的数据是保密的(通过加密和安全隧道)；网络“network”指利用各种网络（私有、公用、有线无线等等）构成的通信手段；网络安全协议信息安全专业5TunnelingthroughtheInternet网络安全协议信息安全专业6为什么要VPN资源访问限制于某些IP地址通过防火墙不能访问资源内部人员需要在外面访问内部网络雇员可能在外地，需要访问内部网络专有网太贵外地的雇员也可能不是定点的网络安全协议信息安全专业7VPN的发展业务需求的变化导致了此业务的产生和发展1970年PNL1-1990年FR（帧中继）的出现是VPN的首次出现(L2)-IPVPN的提出外包模式促进了CPE-basedVPN-NetworkbasedVPN的转化网络安全协议信息安全专业8对VPN的需求安全保障VPN应保证通过公用网络平台传输数据的专用性和安全性，这是目前公共Internet所无法提供的功能服务质量（QoS）保证对不同的用户提供不同的服务质量，如带宽、延时等保证，这取决于广域网上是否提供QoS保证可扩充性和灵活性便于增加新的节点，支持多种类型的传输媒体可管理性易于维护和管理网络安全协议信息安全专业9建立VPN所需的安全技术VPN主要采用四项技术来保证安全，这四项技术分别为隧道技术（Tunneling）加解密技术（Encryption&Decryption）密钥管理技术（KeyManagement）认证技术（Authentication）网络安全协议信息安全专业10VPN类型按技术分类基于第二层隧道技术的VPNIPSecVPNMPLSVPNSSLVPN按应用分类远程访问型LAN间互连层2发送协议(L2F)层2隧道协议(L2TP)点到点隧道协议(PPTP)网络安全协议信息安全专业11VPN的本质：隧道Tunneling网络安全协议信息安全专业12VPNTwomainkindsApplicationsLan-to-LanVPN（LAN间VPN）Firewall-To-LaptopVPN（远程访问型VPN）网络安全协议信息安全专业13LAN间VPN防火墙aZY目的地址源地址IP分组防火墙bZYZYZYZY....窃取数据内容篡改数据....IP分组IP分组IP分组Internet安全部分不安全部分安全部分总部内LAN系统A分公司内LAN系统B(1)在不安全的Internet上传送IP分组防火墙aZY目的地址源地址IP分组防火墙bZYZYZYZY......安全部分不安全部分安全部分总部内LAN系统A分公司内LAN系统B防火墙aZYIP分组防火墙bZYZYZYZY......安全部分利用VPN的LAN间连接(安全)安全部分总部内LAN系统A分公司内LAN系统B(2)分组的封装与加密配置了IPsec配置了IPsecIPVPN?bab?a?abIP隧道用IP对IP分组再加密、封装将Internet作为专线使用的VPNZIP分组拆除IP封装YYZIP分组..网络安全协议信息安全专业14远程访问型VPN网络安全协议信息安全专业15远程访问型VPN的优点降低费用外购拨号网络增强的安全性网络协议支持IP地址安全网络安全协议信息安全专业16隧道技术隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术，隧道协议通常分别是第2层或第3层隧道协议第2层隧道协议第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2F（Layer2Forwarding）/PPTP（Point-to-PointTunnelingProtocol）/L2TP（Layer2TunnelingProtocol）都是远程访问VPN的协议，L2TP协议是目前IETF的标准，是在L2F和PPTP基础上进行综合，其格式是基于L2F，信令是基于PPTP。第3层隧道协议IPSEC：本身不是隧道协议，但由于其提供的认证、加密功能适用于建立VPN环境，它既能提供LAN间VPN，也能提供远程访问型VPN网络安全协议信息安全专业17数据传输过程网络安全协议信息安全专业18不同隧道实现技术比较协议名称RFC编号封装化协议号码L2/L3加密与否LAN间连接型VPN远程访问型VPNL2F2341L2FUDP(17)第2层否－○PPTP草案GREGRE(47)第2层否○○L2TP草案L2TPUDP(17)第2层否○○ATMP2107GREGRE(47)第3层否―○BayDVS无GREGRE(47)第3层否－○GRE1701GREGRE(47)第3层否○－IPsecESP2406ESPESP(50)第3层是○○IPsecAH2402AHAH(51)第3层否○○网络安全协议信息安全专业19第2层隧道协议L2F（Layer2Forwarding）：1998年标准化的远程访问VPN的协议。它是基于ISP的由若干远程接入服务器（remoteaccessserver）提供VPN功能的协议。PPTP（PointtoPointTunnelingProtocol）也是为实现基于ISP的远程访问VPN而制订的协议。在分组和封装化头标中采用了扩展GRE（GenericRoutingEncapsulation：通用寻路封装）。在Windows微机中将GRE作为标准功能提供，是当前最易于使用的VPN协议。L2TP（Layer2TunnelingProtocol）是远程访问型VPN今后的标准协议。它将PPTP和L2F综合，以便扩展功能。其格式基于L2F，信令（signaling）基于PPTP。网络安全协议信息安全专业20L2FCisco在1998年5月发表标题为“Cisco的2层发送(协议)L2F”的RFC2341。L2F主要强调的是将物理层协议移到链路层，并允许通过Internet光缆的链路层和较高层协议的传输。物理层协议仍然保持在对该ISP的拨号连接中。L2F还解决IP写地址和记帐的问题；初始连接：使用标准PPP。验证：使用标准CHAP或者做某些修改。封装：在L2F数据报中封装整个PPP或SLIP包所需要的协议。网络安全协议信息安全专业21点到点隧道协议(PPTP)PPTP协议基础：点到点协议(PPP,Point-to-PointProtocol),RFC1171；口令验证协议(PAP,PasswordAuthenticationProtocol)，RFC1172；通用路由选择封装协议(GRE,GenericRoutingEncapsulation)，RFC1701；PPP挑战握手验证协议(CHAP,ChallengeHandshakeAuthenticationProtocol)，RFC1994；PPTP体系结构使用三个过程：PPP连接和通信。PPTP控制连接，它建立到Internet的PPTP服务器上的连接，并建立一个虚拟隧道。PPTP数据隧道，在隧道中PPTP协议建立包含加密的PPP包的IP数据报，这些数据报通过PPTP隧道进行发送。网络安全协议信息安全专业22L2TP尽管技术上是相同的，但厂商和用户都会察觉PPTP和L2F有明显的不同。PPTP受到Microsoft的关爱，它拥有世界上绝大多数的桌面电脑，而L2F受到Cisco的关注，它主要用于Internet。尽管PPTP和L2F都使用封装和加密，但它们互相不兼容。IETF建议将PPTP和L2F的最优秀的部分组成一个工业标准，并称为第2层隧道协议(L2TP)。网络安全协议信息安全专业23L2TPL2TP是连接型的隧道封装协议，适用于通过Internet接纳远程用户的远程访问型VPN。特点：接纳移动用户（指拔号上网），每次连接都进行用户认证支持多协议（因为L2TP协议封装在PPP之外，PPP具有支持多种网络协议的功能）组成：LAC：L2TP接入集中器（L2TPAccessConcentrator），是接在公网上的用户拔号设备，通常配置在ISP接入点的接入服务器具有LAC功能LNS：L2TP网络服务器（L2TPNetworkServer），管理隧道，通常安装在企业网内网络安全协议信息安全专业24L2TP网络安全协议信息安全专业25基于服务器的认证方式-RADIUSRADIUS（RemoteAuthenticationDialInUserService）由朗讯开发，1997年1月公布在RFC2058，用于AAA（Authentication、AuthorizationandAccounting）认证，基于客户/服务器方式网络安全协议信息安全专业26IPSecVPNIPSec不是一个单独的协议，而是一套协议包，包括三个基本协议AH协议提供信息源验证和完整性保证；ESP协议提供信息源验证、机密性和完整性保证；密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。网络安全协议信息安全专业27IPSecVPN提供安全的网络传输服务主要适用于LAN间VPN（隧道模式）IKE支持动态密钥交换，采用预共享密钥或公钥机制认证身份，协商加密、认证密钥具有数据传输的完整性认证、加密功能实现方式VPN专用设备将IPSec嵌入到防火墙软件将IPSec嵌入到路由器软件动态IP地址的IPSecVPN（利用动态域名服务器）网络安全协议信息安全专业28IPSecVPNpayloadpayloadencryptedcleartextIPSecESPheaderLANInternetLANIPSecgatewayIPSecgatewayIPIPESPESPIPIPnewIPheaderIPSec“tunnel”cleartextcleartextIPIPIPIPpayloadpayloadpayloadpayloadIPSecgatewaypayloadpayloadencryptedcleartextIPSecESPheaderLANInternetLANIPSecgatewayIPSecgatewayIPIPESPESPIPIPnewIPheaderIPSec“tunnel”cleartextcleartextIPIPIPIPpayloadpayloadpayloadpayloadIPSecgateway网络安全协议信息安全专业29MPLSVPN什么是MPLS？MPLS基本原理MPLSVPN网络安全协议信息安全专业30什么是MPLS？MPLS（MultiProtocolLabelSwitching）：多协议标记（标签）交换起源于Cisco的TagSwitching（1996），后由IETF标准化，并改为多协议标记交换。是一种支持多种网络层协议的快速转发技术，它就象一个垫片（shim)，处于OSI的第2、3层之间。