1. vpn概述
●定義:
vpn(虛擬專用網路,
virtual private network
)是指將物理上分布在不同地點的網路通過公用網路連線成邏輯上的虛擬子網,並採用認證、訪問控制、保密性、資料完整性等在公用網路上構建專用網路的技術,使得資料通過安全的「加密管道」在公用網路中傳輸。(公用網通常指
internet)
●特點:
vpn使得企業通過網際網路既安全又經濟地傳輸私有的機密資訊成為可能。 (
1)安全保障:在非面向連線的公用
ip網路上建立乙個邏輯的、點對點的連線,稱為建立乙個隧道。可以利用加密技術對經過隧道傳輸的資料進行加密,以保證資料只被指定的傳送者和接受者了解,從而保證資料的私有性和安全性。 (
2)費用低 (
3)服務質量保證(
qos): -
vpn應當為企業資料提供不同等級的服務質量保證。(連線、覆蓋性、穩定性、網路時延、誤位元速率等)
-網路優化:充分有效地利用有限的廣域網資源,為重要資料提供可靠的頻寬。通過流量**與流量控制策略實現頻寬管理。 (
4)可擴充性和靈活性 (
5)可管理性:安全管理、裝置管理、配置管理、訪問控制列表管理和
qos管理等。
●系統組成
vpn伺服器:接受來自
vpn客戶機的連線請求;
vpn客戶機:可以是終端計算機,也可以是路由器;
隧道:資料傳輸通道,在其中傳輸的資料必須經過封裝;
vpn連線:在
vpn連線中,資料必須經過加密;
隧道協議:封裝資料、管理隧道的通訊標準;
傳輸資料:經過封裝、加密後在隧道上傳輸的資料;
公共網路:如
internet
,也可以是其他共享型網路。
2. vpn
關鍵技術 (
1)隧道技術-隧道由隧道協議形成,常用的有第2、
3層隧道協議。 (
2)密碼技術:加解密技術;身份認證技術;金鑰管理技術。 (
3)qos技術
3. 隧道技術
對通過隧道的資料進行處理的兩個基本過程:加密和封裝。
-第二層隧道協議:首先把各種網路協議封裝到資料鏈路層的
ppp幀中,再把整個
ppp幀裝入隧道協議中。這種雙層封裝方法形成的資料報依靠第二層協議進行傳輸。(如:
pptp[
點到點隧道協議];
l2f[
第二層**協議];
l2tp[
第二層隧道協議])
-第三層隧道協議:把各種網路協議直接裝入隧道協議中,封裝的是網路層協議資料報。(如:
gre[
通用路由封裝協議]和
ipsec[ip
層安全協議]。
ipsec
的應用最為廣泛,是事實上的網路層安全標準。)
4. qos技術
網路管理員通常基於一定的策略機制(策略資料、策略決定點、策略加強點以及策略協議)進行
qos配置。
snmp
(簡單網路管理協議,
****** network management protocol
):常用的策略協議。
5. vpn
的分類(
access vpn
和閘道器-
閘道器的vpn
連線) (1
)遠端訪問
/移動使用者的
vpn連線
/access vpn
實現使用者安全的遠端訪問(企業內部人員的移動、遠端辦公需要,或商家提供
b2c的安全訪問服務)
核心技術:第二層隧道技術(優缺點:簡單、易行,但是可擴充套件性不好。) (
2)閘道器
-閘道器的
vpn連線
組建安全的內聯網(
intranet vpn
,企業內部各個分支機構的互連)或企業外聯網(
extranet vpn
,企業合作者之間的互連)
核心技術:主要使用
ipsec
協議(第三層隧道技術)來建立加密傳輸資料的隧道。
思考題:對「
intranet
與extranet
的區別在於後者往往結合
pki使用」的理解。
答:由於登陸到
vpn伺服器上的使用者可以直接訪問企業內部的資源,所以許多
vpn系統不但對使用者許可權加以限定,並對登陸的使用者增加了嚴格的身份認證,防止不法人員侵入系統。基於
pki的證書技術,可以保證伺服器端和使用者端的雙向認證。所以企業內部互聯(
intranet
)的話還可以使用一般的認證技術,企業外部互聯(
extranet
)的話,就要使用到
pki了。
6. ipsec架構
●ipsec
基本概念
ipsec
是提供網路層通訊安全的一套協議簇;
ipsec
只是乙個開放的結構,通過在主
ip報頭後面接續擴充套件報頭,為目前流行的資料加密或認證演算法的實現提供統一的資料結構。 ●
ipsec
的內容:
協議部分,分為:-
ah(認證頭,
authentication header
):提供完整性保護和抗重放攻擊; -
esp(封裝安全載荷,
encapsulating security payload
):提供機密性、完整性保護和抗重放攻擊;
金鑰管理(
key management):-
sa(security association)
-isakmp
定義了金鑰管理框架 -
ike(
internet key exchange
,網際網路金鑰交換協議)是目前正式確定用於
ipsec
的金鑰交換協議
7. esp
機制esp
機制通過將整個
ip分組
或上層協議部分(即傳輸層協議資料)封裝到乙個
esp載荷
之中,然後對此載荷進行相應的安全處理,如加密處理、認證處理等,實現對通訊的機密性或
/和完整性保護。
加密演算法和認證演算法由
sa指定。 根據
esp封裝的載荷內容不同,將
esp分為兩種模式: (
1)傳輸(
transport
)模式:將上層協議部分封裝到
esp載荷之中;(端到端之間,也就是兩個主機之間建立的模式)
優點:①內網的其他使用者也不能理解通訊主機之間的通訊內容。
②分擔了
ipsec
處理負荷。
缺點:①不具備對端使用者的透明性,使用者為獲得
esp提供的安全服務,必須付出記憶體、處理時間等代價。 ②
不能使用私有
ip位址。③
暴露了子網的內部拓撲。
(2)隧道(
tunnel
)模式:將整個
ip分組
封裝到esp
載荷之中。(閘道器和閘道器之間)
優點:①保護子網中的所有使用者都可以透明地享受由安全閘道器提供的安全保護。 ②
子網內部可以使用私有
ip位址。
③子網內部的拓撲結構受到保護。
缺點:①增大了安全閘道器的處理負荷,容易形成通訊瓶頸。
②對內部的諸多安全問題將不可控。
8. ah
為ip包提供資料完整性、資料來源身份認證和抗重放攻擊服務。與
esp的區別:不提供資料的機密性的保護
認證演算法由
sa指定。認證的範圍:整個包
兩種認證模式: (
1)傳輸模式:不改變
ip位址,插入乙個
ah (2
)隧道模式:生成乙個新的
ip頭,把
ah和原來的整個
ip包放到新
ip包的淨荷資料中
9. sa
通過安全聯盟(sa,
security association
)描述ipsec
資料封裝的安全引數。
乙個關聯就是傳送與接收者之間的乙個單向關係,是與給定的乙個網路連線或一組網路連線相關聯的安全資訊引數集合。如果需要乙個對等關係,即雙向安全交換,則需要兩個sa。
作用:在
ipsec
通訊雙方之間通過協商建立起共享安全引數及驗證過的金鑰,
ike代表
ipsec對sa
進行協商,並對
sadb
進行填充。
10. ike
基於isakmp
框架。ike
協商的最終結果:乙個通過驗證的金鑰,以及建立雙方共享的安全服務引數集合(產生
ipsec的sa
)。 --本資料由
heki
總結整理
實驗九 ENSP虛擬專用網路分析
實驗拓撲圖 實驗步驟 ar4和ar5訪問2.2.2.2 1.0 0.0.0.25 寫這一條的具體原因後面講解 ar2 gigabitethernet0 0 1 nat outbound 3002 最後ar4和ar6就可以訪問2.2.2.2了,ar5用同樣的方法,測試圖如下 第二步,建立乙個ipsec...
在區域網內開發 虛擬專用網路
眾所周知,為了防止伺服器被攻擊以及資料和 丟失,很多公司都只有內網,不開放外網的。我們公司就是這樣,所有的系統開發都只能在內網中開發,包括所有的 資料和工具統統都是放在內網中的,以及還有開發機 測試伺服器和生產伺服器也都在內網中。然而,對我們程式設計師而言,這卻是個噩夢。第乙個噩夢是,系統一旦出現故...
L2L虛擬專用網路專案實踐
1 根據拓撲配置 ip 位址,保證直連聯通 2 r2 和 r4 配置 nat,r1 和 r5 配置預設路由,要求 r1 和 r5 能夠訪問網際網路 r3 3.3.3.3 32 r2 ip access list extended nat permit ip 10.1.12.0 0.0.0.255 a...