虛擬專網
本章目標
能夠配置***,使企業辦事處能夠通過***遠程接入企業網絡中心。
l瞭解***的基本概念
l熟悉***的工作原理
l瞭解***的加密算法
l熟悉IPsec ***技術
l能夠在Cisco路由器上配置IPsec ***
前面講述過,當企業兩個分支機構需要連接的時候,可以租用電信運營商的DDN或幀
中繼等鏈路來實現各企業的分支機構的連接,但是,DDN、幀中繼的價格卻是用戶不願意接受的。
目前,一種流行的網絡互聯技術——虛擬專網(virtual private network,***)它能夠因特網的基礎設施爲用戶創建一條專用的虛擬通道,並提供專用網絡一樣的安全和功能的保障。
一、***的概述
在公用網絡中,按照相同的策略和安全規則, 建立的私有網絡連接
二、***(Virtual Private Network)與專線相比其特點如下:
其專線連接具有以下特點:
u 費用高
n 靈活性差
n 廣域網的管理
n 複雜的拓撲結構
***方式的特點:
n 費用低
n 靈活性好
n 簡單的網絡管理
n 隧道的拓撲結構
三、***的結構和分類
站點到站點的***
|
遠程訪問的***
|
|
1、 遠程訪問***
1)移動用戶或遠程小辦公室通過Internet訪問網絡中心
2)連接單一的網絡設備
3)客戶通常需要安裝***客戶端軟件
2、 站點到站點的***
1)公司總部和其分支機構、辦公室之間建立的***
2)替代了傳統的專線或分組交換WAN連接
3)它們形成了一個企業的內部互聯網絡
四、***的工作原理
***技術主要包括以下4個關鍵的技術
1) 安全隧道技術(secure tunneling technology)
2) 信息加密技術(encryption technology)
3) 用戶認證技術(user authentication technology)
4) 訪問控制技術(access control technology)
1、 安全隧道技術(secure tunneling technology)
1) 爲了在公網上傳輸私有數據而發展出來的“信息封裝”(Encapsulation)方式
2) 在Internet上傳輸的加密數據包中,只有***端口或網關的IP地址暴露在外面
3)隧道的協議有:
二層隧道***
L2TP: Layer 2 Tunnel Protocol
PPTP: Point To Point Tunnel Protocol
L2F: Layer 2 Forwarding
三層隧道***
GRE : General Routing Encapsulation
IPSEC : IP Security Protocol
第二層隧道協議:
n建立在點對點協議PPP的基礎上
n先把各種網絡協議(IP、IPX等)封裝到PPP幀中,再把整個數據幀裝入隧道協議
n適用於通過公共電話交換網或者ISDN線路連接***
第三層隧道協議:
n把各種網絡協議直接裝入隧道協議
n在可擴充性、安全性、可靠性方面優於第二層隧道協議
2、 信息加密技術(encryption technology)
1) 機密性
對用戶數據提供安全保護
2) 數據完整性
確保消息在傳送過程中沒有被修改
3) 身份驗證
確保宣稱已經發送了消息的實體是真正發送消息的實體
加密的算法:
1) 對稱加密
DES算法
AES算法
IDEA算法、Blowfish算法、Skipjack算法
2) 非對稱加密
RSA算法
PGP
對稱加密:
n 發送方和接收方使用同一密鑰
q 通常加密比較快(可以達到線速)
q 基於簡單的數學操作(可藉助硬件)
q 需要數據的保密性時,用於大批量加密
q 密鑰的管理是最大的問題
非對稱加密:
n 每一方有兩個密鑰
² 公鑰,可以公開
² 私鑰,必須安全保存
n 已知公鑰,不可能推算出私鑰
n 一個密鑰用於加密,一個用於解密
n 比對稱加密算法慢很多倍
公鑰加密和私鑰簽名
3、 用戶認證技術(user authentication technology)
4、 訪問控制技術(access control technology)