第二章 IPSec VPN技术
2.1 VPN隧道技术概述
隧道的基本要素:
隧道开通器,有路由能力的 公共网络
一个或多个隧道终止器,必要时增加一个隧道交换机以增加灵活性
2.1.2VPN隧道的类型:
自愿隧道,强制隧道,
2.2 PPTP协议
隧道技术的核心是隧道协议。由3COM和MICROSOFT公司合作开发的PPTP协议(Piont-to-point Tunneling Protocol)是第一个广泛用于VPN的协议。
PPP(Point to Protocol)已经作为工业标准
PPTP是对PPP协议的扩展,MICOSOFT在WIN NT中已经支持这个协议。
PPTP协议主要增强了PPP协议的认证压缩和加密功能。
PPTP协议在PPP协议的基础增加了一个新的安全等级。并且可以通过INTERNET进行多协议通信,它支持通过公网建立按需的,多协议的,虚拟专用网络。
PPTP协议数据传输过程
PPTP协议VPN连接的思路
2.2.3 PPTP协议数据传输过程
1 首先由客户通过PPP协议拨号联接到ISP。
2 然后PPTP协议在客户端与目的VPN中心网络服务器之间开通一个专用的VPN隧道。
2.3 L2F/L2TP协议
1996年,cisco提出L2F(Layer 2 Forward,第二层转发)隧道协议。支持多种协议的连接,但是主要用于CISCO公司的路由器和拨号访问服务器之间的通信。L2F提供虚拟拨号服务,可以支持LAN-TO-LAN型的VPN连接。
L2F协议不支持CLIENT-TO-LAN类型的VPN应用连接。
2.3.1 L2TP协议基础
L2TP也是PPP协议的扩展,它集合了L2F和PPP的优点,既支持CLIENT-TO-LAN的连接也支持LAN-TO-LAN的VPN连接。
L2TP 主要由LAC(L2TP ACCESS CONCENTRATOR,第二层隧道接入集线器)和LNS(L2TP NETWORK SERVER,第二层隧道协议网络服务器)构成
2.3.2 L2TP VPN的建立步骤
2.3.3 L2TP协议的数据封装和加密
见图2.4
IPSec 协议
通过上面对PP2P和L2TP两种VPN连接协议方式可以看出,安全的远程访问通信是由第二层隧道协议(L2TP)和IPSec结合在一起实现的。二者彼此分工协作,L2TP专用来建立数据传输的隧道,IPSec协议专用来保护数据。
IPSec(Internet Protocol Security,网际协议安全)是一个标准的第三层协议,它不是一个独立的安全协议,而是一个数据包。
IPSec的主要功能:数据验证,数据完整和数据信任。
IPSec在IPv6中强制使用,在IPv4中选择使用
2.4.2 IPSec协议的优点
IPSec在传输层之下,对于应用程序来说是透明的。
IPSec对终端用户是透明的,因此不用对用户进行安全机制的培训
IPSec可以对个体用户提供安全保障,可以保护企业内部的敏感信息。
?透明,是说对用户完全保密,对用户的正常操作不产生影响。
2.4.3 IPSec协议的安全体系结构如图2.6所示
IPSec安全体系的基本协议
身份验证报头协议(常用的:MD5,SHA-1)
安全加载封装(ESP)协议
密钥管理
人工手动管理方式
自动管理方式
IPSec的自动管理密钥协议(ISAKMP/Oakley)
IPSec提供三种保护VPN的形式
认证,数据完整,机密性
2.4.4 AH协议的加密原理
2.4.5 ESP协议的加密原理
2.4.6 基于IPSec VPN的优缺点
优点: 1 快速完成配置
2 安全性高
3 Qos服务
4 方便拨号用户使用
不足: 1 网络不能觉察到VPN隧道的存在
2 Qos选项的局限
3 组建及维护成本较高。
IPSec协议的主要技术
IKE(internet key exchange)技术 主要用来动态建立SA
安全策略
2.4.8 IPSec 协议的应用现状
硬件产品不是很成熟。
2.5 GRE技术
GRE(Generic Routing Encapsulation,通用路由封装)是由NetSmiths 和Cisco等公司1994年十月提交IETF,RFC1701,RFC1702