第14章 虚拟专用网.ppt
合集下载
IP虚拟专网PPT课件
➢CE交付:连接CE后,CE与PE间ping通,并完成与已有CE的ping通。
➢网管专家服务开通:网管专家服务的提供部门在VPN业务竣工后5个工作日内按开通流程的要求完成。
IP虚拟专网
操作要点
1. 新开与补点 ✓ 一个客户的一个国内组网,下单时必须下在同一个网号/网络标识号中,若一个流水无法下完客户所有点,新开 流水时必须选择“补点”而不是新开,才能确保客户各点互通。
➢业务开通过程中中止:应由发起地业务经理向运维部门发出停开业务通知。
➢业务开通过程中的地址变更、经预受理阶段确认需重新开通电路的速率变更与站点质量指标变更:应由发起地业 务经理重新下达变更单并重新确定要求完成日期。
➢PE交付:PE上客户数据配置完成,客户接入段电路调通;对于接入段电路采用非以太网接入方式的,在客户侧环 回后从PE侧ping通本PE的客户子端口地址;待CE设备到位并安装后,客户通知集团和涉及省的相关运维岗进行CE 交付的联调工作。
➢端口速率要求:QoS各等级之和应等于相应的VPN端口及NNI端口速率。接 入电路速率应大于等于VPN端口速率。
IP虚拟专网 流程
需求单、订 单流程图
服务订单流 流程
➢接入方式:对于钻石、白金等级VPN业务,不建议采用DSL接入方式。
➢资源确认:对于单条接入电路带宽超过155M或导致该VPN(所有站点)路由总量超过1500的需求单(变更或补点 时需考虑原有站点的路由数量),需由集团公司网运部进行资源确认。
➢业务互联点选择:凡涉及到跨境外运营商的境外点电路需按照最远路由原则进行选择,只涉及到国内点的电路, 由客户或者电信技术经理进行选择。
➢城域网PE接入特殊要求:各地进行资源反馈时,若选择通过IP城域网PE接入,需注明具体的理由,特别对于特殊 需求,如DSL接入,应详细解释实现方式等以备集团公司网运部核准。
➢网管专家服务开通:网管专家服务的提供部门在VPN业务竣工后5个工作日内按开通流程的要求完成。
IP虚拟专网
操作要点
1. 新开与补点 ✓ 一个客户的一个国内组网,下单时必须下在同一个网号/网络标识号中,若一个流水无法下完客户所有点,新开 流水时必须选择“补点”而不是新开,才能确保客户各点互通。
➢业务开通过程中中止:应由发起地业务经理向运维部门发出停开业务通知。
➢业务开通过程中的地址变更、经预受理阶段确认需重新开通电路的速率变更与站点质量指标变更:应由发起地业 务经理重新下达变更单并重新确定要求完成日期。
➢PE交付:PE上客户数据配置完成,客户接入段电路调通;对于接入段电路采用非以太网接入方式的,在客户侧环 回后从PE侧ping通本PE的客户子端口地址;待CE设备到位并安装后,客户通知集团和涉及省的相关运维岗进行CE 交付的联调工作。
➢端口速率要求:QoS各等级之和应等于相应的VPN端口及NNI端口速率。接 入电路速率应大于等于VPN端口速率。
IP虚拟专网 流程
需求单、订 单流程图
服务订单流 流程
➢接入方式:对于钻石、白金等级VPN业务,不建议采用DSL接入方式。
➢资源确认:对于单条接入电路带宽超过155M或导致该VPN(所有站点)路由总量超过1500的需求单(变更或补点 时需考虑原有站点的路由数量),需由集团公司网运部进行资源确认。
➢业务互联点选择:凡涉及到跨境外运营商的境外点电路需按照最远路由原则进行选择,只涉及到国内点的电路, 由客户或者电信技术经理进行选择。
➢城域网PE接入特殊要求:各地进行资源反馈时,若选择通过IP城域网PE接入,需注明具体的理由,特别对于特殊 需求,如DSL接入,应详细解释实现方式等以备集团公司网运部核准。
虚拟专用网
虚拟专用网虚拟专用网络(Virtual Private Network, VPN)提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。
与普通网络连接一样,VPN也由客户机、传输介质和服务器三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如Internet或Intranet。
VPN可以实现不同网络的组件和资源之间的相互连接,利用Internet或其他公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
VPN允许远程通信方、销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。
VPN对用户端透明,用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。
实现VPN的关键技术如下。
(1)安全隧道技术(Tunneling):隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。
隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。
新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。
被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
一旦到达网络终点,数据将被解包并转发到最终目的地。
隧道技术是指包括数据封装、传输和解包在内的全过程。
(2)加解密技术:VPN利用已有的加解密技术实现保密通信。
(3)密钥管理技术:建立隧道和保密通信都需要密钥管理技术的支撑,密钥管理负责密钥的生成、分发、控制和跟踪,以及验证密钥的真实性。
(4)身份认证技术:假如VPN的用户都要通过身份认证,通常使用用户名和密码,或者智能卡实现。
(5)访问控制技术:由VPN服务的提供者根据在各种预定义的组中的用户身份标识,来限制用户对网络信息或资源的访问控制的机制。
虚拟专用网VPN
A类,或记为10.0.0.0/8,它又称为24位块 (2) 172.16.0.0 到 172.31.255.255
B类,或记为172.16.0.0/12,它又称为20位块 (3) 192.168.0.0 到 192.168.255.255
C类,或记为192.168.0.0/16,它又称为16位块
虚拟专用网 VPN
本地地址与全球地址
丏用地址(本地地址)——仅在机构内部使用的 IP 地址, 可以由本机构自行分配,而不需要向互联网的管理机构申请。
全球地址——全球唯一的 IP 地址,必须向互联网的管理 机构申请。
本地地址与全球地址
问题:在内部使用的本地地址就有可能和互联网中某个 IP 地址 重合,这样就会出现地址的二义性问题。
解决:RFC 1918指明了一些丏用地址 (private address)。 丏用地址只能用作本地地址而不能用作全球地址。 在互联网中的所有路由器,对目的地址是丏用地址的数据报一律 不进行转发。
RFC 1918 指明的专用 IP 地址
三个丏用 IP 地址块: (1) 10.0.0.0 到 10.255.255.255
数据报首部
源地址:125.1.2.3 目的地址:194.4.5.6
X .1
部门A 网络
125.1.2.3 R1
隧道
互联网
194.4.5.6 R2
部门 B 网络
Y 10.2.0.3
使用隧道技术
X 10.1.0.1
部门 A 网络
125.1.2.3 R1
194.4.5.6 R2
部门 B 网络
虚拟丏用网 VPN
利用公用的互联网作为本机构各丏用网乊间的通信载体,这样 的丏用网又称为虚拟丏用网VPN (Virtual Private Network)。
B类,或记为172.16.0.0/12,它又称为20位块 (3) 192.168.0.0 到 192.168.255.255
C类,或记为192.168.0.0/16,它又称为16位块
虚拟专用网 VPN
本地地址与全球地址
丏用地址(本地地址)——仅在机构内部使用的 IP 地址, 可以由本机构自行分配,而不需要向互联网的管理机构申请。
全球地址——全球唯一的 IP 地址,必须向互联网的管理 机构申请。
本地地址与全球地址
问题:在内部使用的本地地址就有可能和互联网中某个 IP 地址 重合,这样就会出现地址的二义性问题。
解决:RFC 1918指明了一些丏用地址 (private address)。 丏用地址只能用作本地地址而不能用作全球地址。 在互联网中的所有路由器,对目的地址是丏用地址的数据报一律 不进行转发。
RFC 1918 指明的专用 IP 地址
三个丏用 IP 地址块: (1) 10.0.0.0 到 10.255.255.255
数据报首部
源地址:125.1.2.3 目的地址:194.4.5.6
X .1
部门A 网络
125.1.2.3 R1
隧道
互联网
194.4.5.6 R2
部门 B 网络
Y 10.2.0.3
使用隧道技术
X 10.1.0.1
部门 A 网络
125.1.2.3 R1
194.4.5.6 R2
部门 B 网络
虚拟丏用网 VPN
利用公用的互联网作为本机构各丏用网乊间的通信载体,这样 的丏用网又称为虚拟丏用网VPN (Virtual Private Network)。
虚拟专用网
不必改变现有的应用程序、网络架构以及用户计算环境 – 网络现有的 Routers 不用作任何修改 – 现有的网络应用完全可以正常运行 – 对于最终用户来说完全感觉不到任何变化
7
VPN的基本概念:隧道,加密以及认证
隧道 – 隧道是在公网上传递私有数据的一种方式 – Tunnels employ a technique called “encapsulation” – 安全隧道是指在公网上几方之间进行数据传 输中,保证数据安全及完整的技术
VPN 可以充分利用 Internet 公网资源,快速地建立 起公司的广域连接。
远程局域 网络
单个 用户
分支机构 VPN
Gateway
ISP Modems
Internet
总部
VPN Gateway
总部 网络
4
VPN的访问方式
远程访问(Access VPN) 这是企业员工或企业的小分支机构通过公网远程访问企
6
VPN 为用户带来的好处
节省资金 (降低 30-70% 的网络费用) – 免去长途费用 – 降低建立私有专网的费用
用户不必设立自己的 Modem Pool – Internet 对于用户来说,可以以任何技术任何地点访问 – Internet 的容量完全可以随着需求的增张而增长
提供安全性 – 强大的用户认证机制 – 数据的私有性以及完整性得以保障
加密 – 保证数据传输过程中的安全
认证 – 保证 VPN 通讯方的身份确认及合法
8
电子商务安全
பைடு நூலகம்
业内部网络的VPN方式。远程用户一般是一台计算机,而不 是网络,因此组成的VPN是一种主机到网络的拓扑模型。 组建内联网(Intranet VPN)
7
VPN的基本概念:隧道,加密以及认证
隧道 – 隧道是在公网上传递私有数据的一种方式 – Tunnels employ a technique called “encapsulation” – 安全隧道是指在公网上几方之间进行数据传 输中,保证数据安全及完整的技术
VPN 可以充分利用 Internet 公网资源,快速地建立 起公司的广域连接。
远程局域 网络
单个 用户
分支机构 VPN
Gateway
ISP Modems
Internet
总部
VPN Gateway
总部 网络
4
VPN的访问方式
远程访问(Access VPN) 这是企业员工或企业的小分支机构通过公网远程访问企
6
VPN 为用户带来的好处
节省资金 (降低 30-70% 的网络费用) – 免去长途费用 – 降低建立私有专网的费用
用户不必设立自己的 Modem Pool – Internet 对于用户来说,可以以任何技术任何地点访问 – Internet 的容量完全可以随着需求的增张而增长
提供安全性 – 强大的用户认证机制 – 数据的私有性以及完整性得以保障
加密 – 保证数据传输过程中的安全
认证 – 保证 VPN 通讯方的身份确认及合法
8
电子商务安全
பைடு நூலகம்
业内部网络的VPN方式。远程用户一般是一台计算机,而不 是网络,因此组成的VPN是一种主机到网络的拓扑模型。 组建内联网(Intranet VPN)
教学课件第14章虚拟专用网技术与应用实验
2. IPSec的工作模式 1、传输模式 2、隧道模式
图14-10两种模式下受IPSec保护的IP包
3. Internet密钥交换(IKE) 4. Windows的IPSec驱动程序
图14-11Windows中的IPSec协议结构
第二层隧道协议
图14-12使用L2TP的VPN连接
• 1. L2TP的组成 • 2. L2TP的安全性 • 3. L2TP和PPTP的比较 • 4. 证书管理 • 5. L2TP/IPSec安全
负载; • 访问内部网时不会向INTERNET 透露内网地址; • 接收者滤掉或报告隧道连接。
• 隧 道的功能:
–将数据流传输到特定的目的地 –隐藏私有网络地址 –在IP网络传输非IP协议数据包 –提供数据安全支持 –用户认证
隧道的类型
• 自愿隧道: 客户机通过VPN请求配置并创建一 条自愿隧道,用户端作为隧道的一个端点。
VPN应用
• 远程访问(Remote Access)
图14-1Remote Access VPN
• 企业内部网PN
• 企业外联网 (Extranet)
图14-3Extranet VPN
的特点
• 传统企业网远程接入的缺点
• 成本高、专线或长途电话线、缺乏灵活性、 系统封闭与外部网路隔绝
• 强制隧道:由支持VPN的网络接入服务器 (NAS)配置和创建一条强制隧道。客户机和 服务器之间的NAS作作为隧道的一个端点。
14.3典型的隧道协议
点到点协议(PPP) PPP由: LCP:建立、维护终止一次物理连接 NCP:物理连接后运行的网络协议 认证协议:PAP、CHAP
PPP链路状态转换与建立
• 创建PPP链路 :通信参数协商,两端通 过LCP互发配置信息报文
VPN技术ppt课件
基于SSL算法工作原理
21
ppt课件.
SSL—VPN特性
一、安全的协议 1.SSL VPN采用了SSL协议,介于HTTP层及TCP层。 2.通过SSL VPN是接入企业内部的应用,而不是企业的整个
网络。没有控制的联入整个企业的网络是非常危险的。 3.采用SSL安全协议在网络中加密传输,对于gateway上的防
知道PPTP 4.PPTP使用GRE的扩展版本来传输用户PPP包
18
ppt课件.
L2TP
功能: 1.L2TP是用来整合多协议拨号服务至现有的
Internet服务提供商点 2.L2TP扩展了PPP模型,允许第二层和PPP终点处于
不同的由包交换网络相互连接的设备 3.第二层连接可以在一个本地电路及中期上终止 4.L2TP使用以下两种信息类型,即控制信息和数据
L2F: Layer 2 Forwarding -- 第二层转发协议 L2TP: Layer 2 Tunneling Protocol --第二层隧道协议 GRE:VPN的第三层隧道协议 OpenVPN:OpenVPN使用OpenSSL库加密数据与控制信息:它使用了 OpenSSL的加密以及验证功能,意味着,它能够使用任何OpenSSL支持的算法。 它提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬件 加速也能提高它的性能。 MPLS VPN:集隧道技术和路由技术于一身,吸取基于虚电路的VPN的 QoS保证的优点,并克服了它们未能解决的缺点。MPLS组网具有极好的灵活性、 扩展性,用户只需一条线路接入MPLS网,便可以实现任何节点之间的直接通 信,可实现用户节点之间的星型、全网状以及其他任何形式的逻辑拓扑
13
ppt课件.
VPN常用协议
第14章 虚拟专用网
5. 方便灵活的 VPN 系统 (1) 接入服务、对移动IP的全面实现 • 一般 VPN 部署都需要改变网络结构,SINFOR IPSEC VPN 提供远程接入模块,可以充当远程接入服务器。当仅
• 在虚拟拨号服务中,上述负担直接转嫁到公司的远程用户身上。由于 远程用户和公司网关之间建立了端到端连接,所以,授权认证过程直 接在远程用户和公司网关之间进行,从而将ISP从维护巨大的用户授 权数据中解放出来。同时,由于上述方法使得公司能对远程用户的变 化做出更快的反应,因此,虚拟拨号服务增强了公司内部网络的安全 性。
第14章 虚拟专用网 黎连业
教材
《计算机网络工程基础教程》 第1 版
清华大学出版社 ( 2016.1 )
不同学校可以根据各自的教学 要求和计划学时数对本章的 教学内容进行取舍。
• 虚拟专用网(VPN,Virtual Private Network)指的是在公用网络上建立专 用网络的技术。虚拟专用网(VPN)被定义为通过公用网络服务商(ISP (Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建 立专用的数据通信网络的技术。网络服务商所提供的网络平台之上的逻辑网 络,用户数据在逻辑链路中建立一个临时的、安全的连接。虚拟专用网可以 帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信 的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上, 一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网 络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和 网站。
6. 地址分配 • 对于传统Internet服务,用户从服务提供者地址簿中接收动态分配的IP
地址,这个模型通常用于远程用户很少或不访问其公司网络资源的情 况,因为防火墙和安全策略可阻止外部IP地址访问公司网络。 • 对于虚拟拨号服务,公司网关位于公司防火墙之后并分配了内部地址 (事实上是RFC1597地址或非IP地址)。由于L2F隧道在帧层独立地 操作,这种地址管理方式对校正虚拟拨号服务是不适当,经过PPP协 议处理,拨入用户已连接到公司网关上。 7. 计账 • NAS和公司网关提供的计账数据应包括数据包数、8位位组及连接的 始末时间。
虚拟专用网VPN
远程访问VPN具有以下特点: –远端用户用本地拨号接入功能取代远距离拨 号接入,降低了通信费用。 –企业内部网可对拨入用户进行鉴别,确保连 接的安全。 –适用于公司流动人员的移动远程办公。 –适用于商家要提供B2C的安全访问服务。 –具有很好的扩展性,接入方式和地点非常灵 活。
2) 内部网VPN • 内部网VPN通过Internet这一公用网络将企业在
Return
2 隧道协议
为了在公用网上构建连接企业网络的安全通 道 , VPN 采 用 了 隧 道 (Tunneling) 技 术 。 隧 道技术的实现是通过隧道协议完成的。 隧道技术的基本方法是在企业的源局域网与 公用网的接口处将数据作为负载封装在可 以在公用网上传输的数据格式中,在目的 局域网与公网的接口处将数据解封装,取 出负载。被封装的数据包在互联网上传递 时所经过的逻辑路径被称为隧道。
虚拟专用网VPN
1 VPN概述 ★ 2 隧道协议 ★ 3 通用路由封装协议GRE 4 IP安全协议IPSec ★ 5 点到点隧道协议PPTP 6 第二层转发协议L2F 7 第二层隧道协议L2TP ★
1 VPN概述
• 一个大型企业往往在全国甚至全世界都存在分 支机构,其业务范围覆盖广阔的地理区域,销 售人员在各地流动。传统上,这种企业组建自 己的数据通信网络的办法是利用增值网(VAN) 技术在电信运营的公用网络上租用专线来组成 专用网络。这样构造的网络成本高,而且不灵 活,不能满足日益增加的移动办公和家庭办公 的需求。一种新的技术——虚拟专用网(Virtual Private Network,VPN)技术诞生了。VPN依托 全球范围的Internet,为企业提供了一种构筑安 全可靠、灵活方便、廉价快捷和覆盖面广的企 业专用网络的途径。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 整体性能较差,管理复杂,且推广使用较晚。
2019/10/30
南京邮电大学信息安全系
14
14.3.6 SSH技术
• 在主机和远程服务器之、Telnet、POP3、X11应用程序
• 提供主机/用户认证、数据压缩、机密性和完整性
• 相对于其他VPN和专业防火墙,SSH尤其适合中 小企业部署VPN应用。
缺点: 1)没有加密功能,所以经常与IPSec一起使用; 2)同样具有基于隧道的实现方式的缺点; 3)手工配置和维护费用较高。 适用小型点对点的网络互联、实时性要求不高场合
2019/10/30
南京邮电大学信息安全系
11
14.3.4 SSL技术
SSL VPN:使用支持SSL的Web浏览器,就可以建 立安全通道访问远程应用。
2019/10/30
南京邮电大学信息安全系
13
14.3.5 SOCKS技术
• SOCKS v5纠正了以前版本错误,提供认证、加密、 数据完整性。
• 对认证、加密、密钥管理提供插件式支持,使得 SOCKS数据包能安全透明地通过防火墙。
• 充分屏蔽底层技术差别并实现与应用层防火墙的 互操作,最适合构造Extranet VPN。
2019/10/30
南京邮电大学信息安全系
2019/10/30
南京邮电大学信息安全系
15
14.3.7 PPTP和L2TP技术
1)自愿隧道:客户端计算机安装隧道客户软件(作 为隧道端点),发送VPN请求配置一条自愿隧道 ——为每个客户独立创建一条自愿隧道
2)强制隧道:由支持VPN的拨号接入服务器(作 为隧道端点)来配置和创建 ——它和隧道服务器之间建立的隧道可以被多个 拨号客户共享
第14章 虚拟专用网
南京邮电大学信息安全系 《网络信息安全》教研组
2019/10/30
南京邮电大学信息安全系
1
主要内容
14.1 VPN概述 14.2 VPN的分类 14.3 各种VPN技术分析
14.4 PPTP的安全问题 14.5 VPN的使用现状
14.3.1 MPLS技术 14.3.2 IPSec技术 14.3.3 GRE技术 14.3.4 SSL技术 14.3.5 SOCKS技术 14.3.6 SSH技术 14.5.7 PPTP和L2TP技术
5
14.2 VPN的分类
VPN
Non-IP VPN
IP VPN
基于拨号 基于X.25/
或专线
FR/ATM
PE-based
site-to-site VPN
CE-based
user-to-site VPN Dial Broadband
L3 VPN
L2 VPN
L1 VPN (OVPN)
IPSec GRE SOCKS SSL SSH L2F Cable/DSL (L3) (L3) (L5) (L5) (L7) PPTP 802.11
• SSL VPN与IPSec VPN的最大不同是无客户端。 (客户/服务器模式 浏览器/服务器模式)
• 容易受到键盘记录软件和特洛伊木马的攻击
以IPSec VPN作为远程接入和点对点连接方案,辅 以SSL VPN作为远程访问Web服务的方案。
2019/10/30
南京邮电大学信息安全系
12
IPSec VPN与SSL VPN的比较
L2TP
MPLS VR VPWS VPLS
2019/10/30
南京邮电大学信息安全系
6
14.3 各种VPN技术分析
14.3.1 MPLS技术
多协议标
网络核心的 交换技术
在多种第二层协议 (主要是ATM) 上进行标签交换
高速、 QoS
签交换 (MPLS) 网络边缘的
IP路由技术
不用改变现有路由 协议的网络技术、
实现第三层交换
灵活
通过逻辑隔离(路由信息隔离)Internet实现VPN, 安全性可达专用网水平。
2019/10/30
南京邮电大学信息安全系
7
MPLS VPN网络结构
CE
VPN 用户站点
LSR LER
LSR
LER LSP
隧道
LSR
核心网络 (MPLS网络)
LER(标签边缘路由器):即PE(提供者边缘路由器) LSR(标签交换路由器):即P(提供者路由器) CE(用户边缘路由器) LSP(标签交换路径)
CE
VPN 用户站点
2019/10/30
南京邮电大学信息安全系
8
14.3.2 IPSec技术
确保主机/安全网关之间IP层通信安全的协议集
鉴别头AH:数据源身份认证、数据
安全协议部分
完整性和抗重放
封装安全载荷ESP:还提供机密性
密钥协商部分IKE:安全协议的自动安全参数协商
2019/10/30
南京邮电大学信息安全系
2019/10/30
南京邮电大学信息安全系
2
14.1 VPN概述
虚拟专用网(Virtual Private Network): • 在两台计算机之间建立一条专用连接 • 通过隧道技术、加密和密钥管理、认证和访问控
制等实现与专用网类似的安全性能 • 从而达到在Internet上安全传输机密数据的目的
9
IPSec的特点
• 对应用层透明,应用程序无需修改就可利用 • 最安全的IP协议,已成为新一代Internet安全标准 • 仅支持TCP/IP协议簇,仅提供包过滤的访问控制 • 仅实现基于IP地址的认证,比用户认证安全性差
2019/10/30
南京邮电大学信息安全系
10
14.3.3 GRE技术
通用(全部)路由封装协议: • 在IP包中封装任何协议(IP/IPX/NetBEUI)数据 • 将使用私有地址的网络互联
2019/10/30
南京邮电大学信息安全系
4
VPN的发展
1)通过拨号和专用的租赁线路互连——功能少,成 本高昂,开通速度缓慢
2)通过X.25的虚电路构造 3)通过FR/ATM的永久虚电路构造
4)具有Internet和专用网两者优点的IP VPN—— 目前意义上的VPN
2019/10/30
南京邮电大学信息安全系
任意两个节点之间没有端到端的物理链路,而是架 构在Internet上的逻辑网络。
2019/10/30
南京邮电大学信息安全系
3
隧道(封装)技术
是构建VPN的核心技术,叠加在IP主干网上运行。
1)通过加密和鉴别以确保安全 2)由VPN封装成IP包的形式 3)通过隧道在Internet上安全传输 4)离开隧道后,进行解封装,数据便不再被保护