虚拟专网
本章目标
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
能够配置×××,使企业办事处能够通过×××远程接入企业网络中心。
l
了解×××的基本概念
l
熟悉×××的工作原理
l
了解×××的加密算法
l
熟悉IPsec ×××技术
l
能够在Cisco路由器上配置IPsec ×××
前面讲述过,当企业两个分支机构需要连接的时候,可以租用电信运营商的DDN或帧
中继等链路来实现各企业的分支机构的连接,但是,DDN、帧中继的价格却是用户不愿意接受的。
目前,一种流行的网络互联技术——虚拟专网(virtual private network,×××)它能够因特网的基础设施为用户创建一条专用的虚拟通道,并提供专用网络一样的安全和功能的保障。
一、×××的概述
在公用网络中,按照相同的策略和安全规则, 建立的私有网络连接
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
二、×××(Virtual Private Network)与专线相比其特点如下:
其专线连接具有以下特点:
u
费用高
n
灵活性差
n
广域网的管理
n
复杂的拓扑结构
×××方式的特点:
n
费用低
n
灵活性好
n
简单的网络管理
n
隧道的拓扑结构
三、×××的结构和分类
站点到站点的
×××
|
远程访问的
×××
|
|
1、
远程访问×××
1)移动用户或远程小办公室通过Internet访问网络中心
2)连接单一的网络设备
3)客户通常需要安装×××客户端软件
2、
站点到站点的×××
1)公司总部和其分支机构、办公室之间建立的×××
2)替代了传统的专线或分组交换WAN连接
3)它们形成了一个企业的内部互联网络
四、×××的工作原理
×××技术主要包括以下4个关键的技术
1)
安全隧道技术(secure tunneling technology)
2)
信息加密技术(encryption technology)
3)
用户认证技术(user authentication technology)
4)
访问控制技术(access control technology)
1、
安全隧道技术(secure tunneling technology)
1)
为了在公网上传输私有数据而发展出来的“信息封装”(Encapsulation)方式
2)
在Internet上传输的加密数据包中,只有×××端口或网关的IP地址暴露在外面
3)隧道的协议有:
二层隧道×××
L2TP: Layer 2 Tunnel Protocol
PPTP: Point To Point Tunnel Protocol
L2F: Layer 2 Forwarding
三层隧道×××
GRE : General Routing Encapsulation
IPSEC : IP Security Protocol
第二层隧道协议:
n
建立在点对点协议PPP的基础上
n
先把各种网络协议(IP、IPX等)封装到PPP帧中,再把整个数据帧装入隧道协议
n
适用于通过公共电话交换网或者ISDN线路连接×××
第三层隧道协议:
n
把各种网络协议直接装入隧道协议
n
在可扩充性、安全性、可靠性方面优于第二层隧道协议
2、
信息加密技术(encryption technology)
1)
机密性
对用户数据提供安全保护
2)
数据完整性
确保消息在传送过程中没有被修改
3)
身份验证
确保宣称已经发送了消息的实体是真正发送消息的实体
加密的算法:
1)
对称加密
DES算法
AES算法
IDEA算法、Blowfish算法、Skipjack算法
2)
非对称加密
RSA算法
PGP
对称加密:
n
发送方和接收方使用同一密钥
q
通常加密比较快(可以达到线速)
q
基于简单的数学操作(可借助硬件)
q
需要数据的保密性时,用于大批量加密
q
密钥的管理是最大的问题
非对称加密:
n
每一方有两个密钥
²
公钥,可以公开
²
私钥,必须安全保存
n
已知公钥,不可能推算出私钥
n
一个密钥用于加密,一个用于解密
n
比对称加密算法慢很多倍
公钥加密和私钥签名
3、
用户认证技术(user authentication technology)
4、
访问控制技术(access control technology)
转载于:https://blog.51cto.com/lorna8023/207577