一、虚拟专用网络技术概述
虚拟专用网络技术(Virtual Private Network) 虚拟专用网是在公网中形成的企业专用链路,采用“隧道”技术,可以模仿点对点连接技术,依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”,让数据包通过这条隧道传输。
隧道技术是通过一种协议传送另外一种协议的技术,隧道协议利用附加的报头封装帧,附加的报头提供了路由信息,因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。
Ø 虚拟专用网络技术主要采用以下四项技术来保证安全:
1. 隧道技术
2. 加解密技术
3. 密钥管理技术
4. 使用者与设备身份认证技术
Ø 虚拟专用网络技术的基本功能至少应包括:
1. 加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。
2. 信息验证和身份识别。保证信息的完整性、合理性,并能鉴别用户的身份。
3. 提供访问控制。不同的用户有不同的访问权限。
4. 地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。
5. 密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。
6. 多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协议,包括IP、IPX等。
Ø 虚拟专用网络技术隧道技术
} PPTP协议:主要由链路控制协议(LCP)、网络控制协议族(NCPs)和用于网络安全方面的验证协议族(PAP和CHAP)组成。利用MPPE加密法来加密
} L2TP协议:允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,具有身份认证、加密、数据压缩的功能。
} IPSec隧道模式:允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet
VPN的隧道协议
} NSRC、NDST是隧道端点设备的IP地址
} 公网上路由时仅仅考虑NSRC、NDST
} 原始数据包的DST、SRC对公网透明
二、虚拟专用网络技术的服务类型
1. Intra虚拟专用网络技术(内部网虚拟专用网络技术)
Intra虚拟专用网络技术(内部网虚拟专用网络技术)。即企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小,因为公司通常认为他们的分支机构是可信的,并将它作为公司网络的扩展。内部网虚拟专用网络技术的安全性取决于两个VPN服务器之间加密和验证手段上。
2.Access虚拟专用网络技术(远程访问虚拟专用网络技术)
又称为拨号虚拟专用网络技术(即VPDN),是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。典型的远程访问虚拟专用网络技术是用户通过本地的信息服务提供商(ISP)登录到因特网上,并在现在的办公室和公司内部网之间建立一条加密信道。