计算机网络安全 沈鑫剡 第6章PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机网络安全
第六章
© 2006工程兵工程学院 计算机教研室
虚拟专用网络
第六章 虚拟专用网络
虚拟专用网络概述; 点对点IP隧道; 虚拟接入网络; 虚拟专用局域网服务。 专用网络指由专用点对点链路互连物理上分散的多个 子网的内部网络,它的特点是使用本地地址、独占网 络资源,信息在封闭的内部网络内传输。虚拟专用网 络指由公共分组交换网络互连物理上分散的多个子网 的内部网络,但和采用专用点对点链路互连的专用网 络具有相同安全和使用本地地址的特性。
当终端建立和LAC之间的语音信道,并确定远程接入用户要求接入内部网络, 由LAC建立和路由器之间的第2层隧道,并在远程接入用户和路由器之间完成 PPP帧的中继过程,对于LAC和路由器之间的第2层隧道,远程接入用户是透 明的。
计算机网络安全
VPN发展过程
虚拟专用网络
终端 B
S1 CE1
终端 A
第 2 层隧道
虚拟接入网络(1)-自愿隧道
正常的拨号接入需要建立远程接入用户和路由器之间的点对点语音信道,如果两 者相距甚远,通信费用很贵;
终端接入Internet,路由器也接入Internet,终端和路由器之间建立基于IP网络的 第2层隧道,该隧道等同于语音信道这样的点对点链路;
由于远程接入用户接入内部网络时,需要由路由器通过PPP完成远程接入用户身 份认证、内部网络本地地址分配等接入控制功能,第2层隧道提供PPP要求的点对 点传输服务。
终端A、B和C是连接在同一个以太网上三个终端,分配网络地址相同的IP地址。
计算机网络安全
VPN安全机制
虚拟专用网络
用IP网络实现互连的VPN一般采用隧道机 制;
建立隧道时,对隧道两端进行认证,并约 定类似加密算法、完整性检测算法、密钥 等安全参数;
经过隧道传输的数据进行加密运算,接收 端进行完整性检测和发送端认证。
计算机网络安全
LAN 1
VPN发展过程
LAN 2 R2
VC
R1
ATM 或帧中继 VC
VC
LAN 3
虚拟专用网络
基于虚电路的VPN结构 R3
由于虚电路经过分组交换结点,数据传输的安全性无法保证; 建立虚电路时,可以为虚电路预留资源,如物理链路带宽,因此,子网间传输带宽
有基本保证; 由于虚电路采用分组交换方式,每一条虚电路的通信费用比点对点专用链路便宜; 对于IP网络,虚电路属于链路层,因此,不影响使用本地地址; 提供虚电路服务的城市受到限制,因此,子网所在地域也受到限制,方便性受到影
响。
计算机网络安全
VPN发展过程
虚拟专用网络
LAN 1 R1
隧道
LAN 2 R2
IP 网络
隧道
隧道
LAN 3
R3
用IP隧道互连子网的VPN结构
IP隧道是基于IP网络的虚拟点对点链路,用于传输用本地地址封装的IP分组; 由于IP隧道和其他端到端传输路径共享分组交换结点和物理链路,因此,传输安
全性不能保证; IP网络是尽力而为网络,不能保证子网间传输质量(带宽、传输时延、时延抖动
计算机网络安全
网络结构
虚拟专用网络
LAN 1 193.1.1.0/24
200.1.1.1 R1
12
193.1.1.254
终端 A 193.1.1.1
隧道 200.1.1.2
200.1.2.1 R2 21
LAN 2 193.1.2.0/24
193.1.2.254 200.1.2.2
服务器 B 193.1.2.5
Internet
200.1.3.2
计算机网Leabharlann Baidu安全
6.2 点对点IP隧道
虚拟专用网络
网络结构;
IP分组传输机制;
安全机制。
多个子网通过点对点IP隧道实现互连,由于这些子 网使用本地地址,因此,必须先封装成以隧道两端 全球IP地址为源和目的地址的隧道格式,为了安全 传输,隧道两端建立双向的安全关联,经过隧道传 输的数据,采用IPSec隧道模式,通过加密和完整 性检测实现数据经过隧道的安全传输。
等不能确定); IP网络的广泛性使得子网间互连不仅便宜,而且方便。
计算机网络安全
VPN发展过程
虚拟专用网络
远程接入用户
ISP 接入服务器
PSTN Modem
Internet
PPP 连接 认证接入用户、分配全球 IP 地址
第 2 层隧道
路由器 LNS
企业内部网 内部网络
PPP 连接 认证远程接入用户、分配内部网络本地 IP 地址
VPN发展过程
虚拟专用网络
LAN 1
R2 SDH STM-4 R1
SDH STM-4
SDH STM-4
LAN 2 LAN 3
R3
专用网络结构
使用本地地址; 专用点对点链路互连; 数据在内部网络内传输; 分组交换结点完全属于内部网络; 网络资源由单一单位管理。
缺点:互连子网的专用点
对点物理链路的低效率、 高费用和不方便。
PE1
IP 网络 PE2
PE3
第 2 层隧道
VPLS网络结构
CE2 S2
S3 CE3
终端 C
多个以太网通过边缘路由器(CE)接入Internet,但这几个以太网不是由路由器互 连的独立的网络,而是能够提供单个以太网服务的虚拟专用局域网;
这里的关键点是CE和CE之间的第2层隧道,对于IP网络,CE是路由器,用于转发 第2层隧道格式的IP分组,对于物理上分散的多个以太网,CE是网桥,一端连接本 地以太网,另一端通过等同于虚拟线路的第2层隧道连接其他以太网;
计算机网络安全
VPN发展过程
虚拟专用网络
远程接入用户 Modem
ISP 接入服务器 LAC
PSTN
Internet
路由器 LNS
企业内部网 内部网络
PPP 连接
第 2 层隧道
PPP 连接 认证远程接入用户、分配本地 IP 地址
虚拟接入网络(1)-强制隧道
自愿隧道是终端先接入Internet,然后建立基于IP网络的终端和内部网络路由 器之间的第2层隧道,最后,通过第2层隧道提供的等同于语音信道的传输服务, 路由器通过PPP完成终端接入内部网络所要求的接入控制过程;
计算机网络安全
虚拟专用网络
6.1 虚拟专用网络概述
VPN发展过程; VPN安全机制。 一个大型企业的企业内部网络往往由物理 上分散的多个子网组成,实现各个子网互 连的基本原则是安全、方便和节省,虚拟 专用网络(VPN)技术就是一种安全、方 便和节省地实现物理上分散的多个子网互 连的技术。
计算机网络安全
第六章
© 2006工程兵工程学院 计算机教研室
虚拟专用网络
第六章 虚拟专用网络
虚拟专用网络概述; 点对点IP隧道; 虚拟接入网络; 虚拟专用局域网服务。 专用网络指由专用点对点链路互连物理上分散的多个 子网的内部网络,它的特点是使用本地地址、独占网 络资源,信息在封闭的内部网络内传输。虚拟专用网 络指由公共分组交换网络互连物理上分散的多个子网 的内部网络,但和采用专用点对点链路互连的专用网 络具有相同安全和使用本地地址的特性。
当终端建立和LAC之间的语音信道,并确定远程接入用户要求接入内部网络, 由LAC建立和路由器之间的第2层隧道,并在远程接入用户和路由器之间完成 PPP帧的中继过程,对于LAC和路由器之间的第2层隧道,远程接入用户是透 明的。
计算机网络安全
VPN发展过程
虚拟专用网络
终端 B
S1 CE1
终端 A
第 2 层隧道
虚拟接入网络(1)-自愿隧道
正常的拨号接入需要建立远程接入用户和路由器之间的点对点语音信道,如果两 者相距甚远,通信费用很贵;
终端接入Internet,路由器也接入Internet,终端和路由器之间建立基于IP网络的 第2层隧道,该隧道等同于语音信道这样的点对点链路;
由于远程接入用户接入内部网络时,需要由路由器通过PPP完成远程接入用户身 份认证、内部网络本地地址分配等接入控制功能,第2层隧道提供PPP要求的点对 点传输服务。
终端A、B和C是连接在同一个以太网上三个终端,分配网络地址相同的IP地址。
计算机网络安全
VPN安全机制
虚拟专用网络
用IP网络实现互连的VPN一般采用隧道机 制;
建立隧道时,对隧道两端进行认证,并约 定类似加密算法、完整性检测算法、密钥 等安全参数;
经过隧道传输的数据进行加密运算,接收 端进行完整性检测和发送端认证。
计算机网络安全
LAN 1
VPN发展过程
LAN 2 R2
VC
R1
ATM 或帧中继 VC
VC
LAN 3
虚拟专用网络
基于虚电路的VPN结构 R3
由于虚电路经过分组交换结点,数据传输的安全性无法保证; 建立虚电路时,可以为虚电路预留资源,如物理链路带宽,因此,子网间传输带宽
有基本保证; 由于虚电路采用分组交换方式,每一条虚电路的通信费用比点对点专用链路便宜; 对于IP网络,虚电路属于链路层,因此,不影响使用本地地址; 提供虚电路服务的城市受到限制,因此,子网所在地域也受到限制,方便性受到影
响。
计算机网络安全
VPN发展过程
虚拟专用网络
LAN 1 R1
隧道
LAN 2 R2
IP 网络
隧道
隧道
LAN 3
R3
用IP隧道互连子网的VPN结构
IP隧道是基于IP网络的虚拟点对点链路,用于传输用本地地址封装的IP分组; 由于IP隧道和其他端到端传输路径共享分组交换结点和物理链路,因此,传输安
全性不能保证; IP网络是尽力而为网络,不能保证子网间传输质量(带宽、传输时延、时延抖动
计算机网络安全
网络结构
虚拟专用网络
LAN 1 193.1.1.0/24
200.1.1.1 R1
12
193.1.1.254
终端 A 193.1.1.1
隧道 200.1.1.2
200.1.2.1 R2 21
LAN 2 193.1.2.0/24
193.1.2.254 200.1.2.2
服务器 B 193.1.2.5
Internet
200.1.3.2
计算机网Leabharlann Baidu安全
6.2 点对点IP隧道
虚拟专用网络
网络结构;
IP分组传输机制;
安全机制。
多个子网通过点对点IP隧道实现互连,由于这些子 网使用本地地址,因此,必须先封装成以隧道两端 全球IP地址为源和目的地址的隧道格式,为了安全 传输,隧道两端建立双向的安全关联,经过隧道传 输的数据,采用IPSec隧道模式,通过加密和完整 性检测实现数据经过隧道的安全传输。
等不能确定); IP网络的广泛性使得子网间互连不仅便宜,而且方便。
计算机网络安全
VPN发展过程
虚拟专用网络
远程接入用户
ISP 接入服务器
PSTN Modem
Internet
PPP 连接 认证接入用户、分配全球 IP 地址
第 2 层隧道
路由器 LNS
企业内部网 内部网络
PPP 连接 认证远程接入用户、分配内部网络本地 IP 地址
VPN发展过程
虚拟专用网络
LAN 1
R2 SDH STM-4 R1
SDH STM-4
SDH STM-4
LAN 2 LAN 3
R3
专用网络结构
使用本地地址; 专用点对点链路互连; 数据在内部网络内传输; 分组交换结点完全属于内部网络; 网络资源由单一单位管理。
缺点:互连子网的专用点
对点物理链路的低效率、 高费用和不方便。
PE1
IP 网络 PE2
PE3
第 2 层隧道
VPLS网络结构
CE2 S2
S3 CE3
终端 C
多个以太网通过边缘路由器(CE)接入Internet,但这几个以太网不是由路由器互 连的独立的网络,而是能够提供单个以太网服务的虚拟专用局域网;
这里的关键点是CE和CE之间的第2层隧道,对于IP网络,CE是路由器,用于转发 第2层隧道格式的IP分组,对于物理上分散的多个以太网,CE是网桥,一端连接本 地以太网,另一端通过等同于虚拟线路的第2层隧道连接其他以太网;
计算机网络安全
VPN发展过程
虚拟专用网络
远程接入用户 Modem
ISP 接入服务器 LAC
PSTN
Internet
路由器 LNS
企业内部网 内部网络
PPP 连接
第 2 层隧道
PPP 连接 认证远程接入用户、分配本地 IP 地址
虚拟接入网络(1)-强制隧道
自愿隧道是终端先接入Internet,然后建立基于IP网络的终端和内部网络路由 器之间的第2层隧道,最后,通过第2层隧道提供的等同于语音信道的传输服务, 路由器通过PPP完成终端接入内部网络所要求的接入控制过程;
计算机网络安全
虚拟专用网络
6.1 虚拟专用网络概述
VPN发展过程; VPN安全机制。 一个大型企业的企业内部网络往往由物理 上分散的多个子网组成,实现各个子网互 连的基本原则是安全、方便和节省,虚拟 专用网络(VPN)技术就是一种安全、方 便和节省地实现物理上分散的多个子网互 连的技术。
计算机网络安全