計(jì)算機(jī)通信與網(wǎng)絡(luò)課件ch

1、計(jì)算機(jī)網(wǎng)絡(luò)Computer Networks南京郵電大學(xué)計(jì)算機(jī)學(xué)院計(jì)算機(jī)通信教研室第七章 虛擬專用網(wǎng) VPN虛擬專用網(wǎng) VPNInternet 由許多通過路由器相互連接的網(wǎng)絡(luò)組成，這種網(wǎng)絡(luò)的缺點(diǎn)是缺乏保密性。要保證各個(gè)單位內(nèi)計(jì)算機(jī)之間的保密性，較容易的辦法是建立一個(gè)“專用網(wǎng)絡(luò)”，但成本較高。虛擬專用網(wǎng)技術(shù)保證了VPN中任何一對(duì)計(jì)算機(jī)之間的通信對(duì)外界是隱藏的。虛擬專用網(wǎng) VPN虛擬專用網(wǎng)綜合了專用和公用網(wǎng)絡(luò)的優(yōu)點(diǎn)，允許有多個(gè)站點(diǎn)的公司擁有一個(gè)假想的完全專有的網(wǎng)絡(luò)，而使用公用網(wǎng)絡(luò)作為其站點(diǎn)之間交流的線路。將VPN定義為虛信道，該信道：可用來連接兩個(gè)專用網(wǎng)通過可靠的加密技術(shù)保證其安全性作為一個(gè)公共網(wǎng)

2、絡(luò)系統(tǒng)的一部分存在虛擬專用網(wǎng)的定義RFC2848的定義：通過在公共或物理網(wǎng)絡(luò)（如Internet）系統(tǒng)資源基礎(chǔ)上構(gòu)建的（使用位于主機(jī)或網(wǎng)關(guān)上的加密和隧道技術(shù)）一個(gè)使用受到一定限制的邏輯計(jì)算機(jī)網(wǎng)絡(luò)。VPN是一個(gè)構(gòu)建在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的，同時(shí)具有安全特性的網(wǎng)絡(luò)或網(wǎng)絡(luò)環(huán)境。虛擬專用網(wǎng)的概念在VPN領(lǐng)域中，有兩個(gè)網(wǎng)絡(luò)存在： 物理網(wǎng)絡(luò)和邏輯網(wǎng)絡(luò)。物理網(wǎng)絡(luò)表現(xiàn)為實(shí)際的通信節(jié)點(diǎn)，通過TCP/IP協(xié)議在物理鏈路上的互聯(lián)。邏輯網(wǎng)絡(luò)定義了一組安全通信的網(wǎng)絡(luò)節(jié)點(diǎn)集合。邏輯網(wǎng)絡(luò)是建立在物理網(wǎng)絡(luò)基礎(chǔ)之上的。有關(guān)虛擬專用網(wǎng)的標(biāo)準(zhǔn)虛擬專用網(wǎng)VPN的核心技術(shù)：配置管理技術(shù)隧道技術(shù)（協(xié)議封裝技術(shù)）密碼技術(shù)VPN行業(yè)使用4個(gè)標(biāo)

3、準(zhǔn)：層2發(fā)送協(xié)議（L2F）層2隧道協(xié)議（L2TP）點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）IP安全性（IPSec）虛擬專用網(wǎng)協(xié)議由于傳輸?shù)氖撬接行畔?，因此VPN用戶對(duì)數(shù)據(jù)的安全性比較關(guān)心。VPN技術(shù)保證數(shù)據(jù)安全性主要包括3個(gè)方面：身份認(rèn)證保證數(shù)據(jù)是從正確的發(fā)送方所發(fā)送的；數(shù)據(jù)保密性確保數(shù)據(jù)傳輸時(shí)外人無法看到或獲得數(shù)據(jù)；數(shù)據(jù)完整性確保數(shù)據(jù)在傳輸過程中沒有被非法改動(dòng)過。虛擬專用網(wǎng)協(xié)議VPN采用的與安全相關(guān)的技術(shù)主要有4項(xiàng)：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)到點(diǎn)連接技術(shù)，在公用網(wǎng)建立一條數(shù)據(jù)通道 (隧道)后就可以讓數(shù)據(jù)報(bào)通過這條隧道安全地傳輸。隧道通

4、過隧道協(xié)議建立，隧道協(xié)議按網(wǎng)絡(luò)層次可以分為第二、第三層隧道協(xié)議。虛擬專用網(wǎng)協(xié)議L2F協(xié)議 Layer 2 Forwarding，第二層轉(zhuǎn)發(fā)協(xié)議L2F協(xié)議是Cisco公司于1996年開發(fā)的，用于適應(yīng)日益增長的撥號(hào)服務(wù)和非IP協(xié)議信息的應(yīng)用，在Internet上開辟一條傳輸該類信息的虛擬通道，使IPX和SNA等非IP信息也能分享Internet這種公共網(wǎng)絡(luò)所提供的利益。虛擬專用網(wǎng)協(xié)議網(wǎng)絡(luò)用戶首先利用PPP或SLIP連接到ISP的NAS，NAS使用L2F軟件與用戶的目的網(wǎng)關(guān)協(xié)商建立一條虛擬信息傳輸通道，目的網(wǎng)關(guān)要求用戶提供密碼并進(jìn)行身份認(rèn)證，然后分配給用戶一個(gè)IP地址。這樣，在NAS與用戶的目的網(wǎng)關(guān)

5、之間傳輸?shù)男畔⒕涂梢允褂肔2F進(jìn)行封裝通信了。L2F隧道協(xié)議使封裝的信息和下層物理傳輸介質(zhì)相互獨(dú)立，實(shí)現(xiàn)用戶身份認(rèn)證，以及動(dòng)態(tài)的IP地址管理和用戶管理。虛擬專用網(wǎng)協(xié)議PPTP協(xié)議 (Point to Point Tunneling Protocol，點(diǎn)到點(diǎn)隧道協(xié)議)PPTP協(xié)議是PPP協(xié)議與TCPIP協(xié)議的結(jié)合，它吸取了PPP的多協(xié)議、用戶身份認(rèn)證及數(shù)據(jù)報(bào)壓縮等優(yōu)點(diǎn)以及TCPIP通過 Internet路由數(shù)據(jù)報(bào)的能力。PPTP協(xié)議包含兩種類型的通信：用于發(fā)送狀態(tài)、信號(hào)等的控制包和發(fā)送載荷的數(shù)據(jù)報(bào)。虛擬專用網(wǎng)協(xié)議數(shù)據(jù)報(bào)采用Internet通用路由封裝協(xié)議GREv2封裝，GRE是一個(gè)通用路由封裝協(xié)

6、議，允許一種網(wǎng)絡(luò)協(xié)議封裝另一種網(wǎng)絡(luò)協(xié)議。GREv2則制定了IP協(xié)議封裝PPP協(xié)議的規(guī)則，采用GREv2封裝，從層次上將數(shù)據(jù)鏈路層的PPP包提升到傳輸層協(xié)議數(shù)據(jù)，成為IP協(xié)議可識(shí)別的數(shù)據(jù)。同時(shí)，利用GRE頭部中的系列號(hào)和確認(rèn)號(hào)，可以對(duì)用戶會(huì)話進(jìn)行傳輸層流量控制，從而為用戶會(huì)話提供面向連接的服務(wù)。在PPTP隧道建立初始期間，通信雙方就需要有一個(gè)握手的過程，用于協(xié)商通信所采用的壓縮方案和封裝方式等。虛擬專用網(wǎng)協(xié)議L2TP協(xié)議1998年，IETF將Cisco的L2F和PPTP技術(shù)融合草擬了L2TP第二層隧道協(xié)議標(biāo)準(zhǔn)。L2TP (Layer 2 Tunneling Protocol，第二層隧道協(xié)議)與P

7、PTP協(xié)議均采用兩條通道(控制和信息通道)連接，提供數(shù)據(jù)的軟件壓縮，并外加了一層加密。另外，L2TP沿用于L2F協(xié)議的兩個(gè)功能模塊：運(yùn)行于客戶端的LAC和運(yùn)行于服務(wù)端的LNS。虛擬專用網(wǎng)協(xié)議當(dāng)一個(gè)客戶使用PPP撥號(hào)訪問其ISP時(shí)，ISP上的LAC功能模塊將初始化并建立與LNS的隧道。L2TP使用控制信息來優(yōu)化隧道。隧道建立后，LAC在PPP載荷中添加上各種頭部信息進(jìn)行封裝來構(gòu)建L2TP包，并通過信息通道傳輸。虛擬專用網(wǎng)協(xié)議IPSec (互聯(lián)網(wǎng)安全協(xié)議) 是由IETF的一個(gè)負(fù)責(zé)制定互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)和協(xié)議的工作組定義的，提供了Internet第三層IP層上的安全措施，也被用于通過Internet傳輸

8、的VPN封裝技術(shù)中。在通信之前，兩個(gè)VPN節(jié)點(diǎn)必須首先協(xié)商一個(gè)安全關(guān)聯(lián)(SA，安全服務(wù)與所服務(wù)的載體之間的一種聯(lián)系)、身份認(rèn)證和加密所要使用的算法等。虛擬專用網(wǎng)協(xié)議IPSec有兩種操作模式：傳輸模式和隧道模式。傳輸模式中認(rèn)證和加密位于原IP頭部之后，保護(hù)上層載荷。隧道模式中認(rèn)證和加密位于原IP頭部之前，并生成新的頭部。IPSec還為數(shù)據(jù)的傳送提供兩種類型的安全服務(wù)：認(rèn)證報(bào)頭(AH)和載荷安全封裝(ESP)。虛擬專用網(wǎng)協(xié)議第三層隧道與第二層隧道相比，優(yōu)點(diǎn)在于它具有更好的安全性、可擴(kuò)展性及可靠性。從安全的角度來看，由于第二層隧道一般終止在用戶網(wǎng)設(shè)備（CPE上），會(huì)對(duì)用戶網(wǎng)的安全及防火墻技術(shù)提出較嚴(yán)

9、峻的挑戰(zhàn)。第三層的隧道一般終止在ISP的邊緣路由器上，不會(huì)對(duì)用戶網(wǎng)的安全構(gòu)成威脅。從可擴(kuò)展性來看，第二層IP隧道將整個(gè)PPP幀封裝在報(bào)文內(nèi)，有可能會(huì)產(chǎn)生傳輸效率問題。其次，PPP會(huì)話會(huì)貫穿于整個(gè)隧道，并終止在用戶網(wǎng)的網(wǎng)關(guān)或服務(wù)器上。虛擬專用網(wǎng)協(xié)議由于用戶網(wǎng)內(nèi)的網(wǎng)關(guān)要保存大量的PPP對(duì)話狀態(tài)及信息，這會(huì)對(duì)系統(tǒng)負(fù)荷產(chǎn)生較大的影響，當(dāng)然也會(huì)影響系統(tǒng)的擴(kuò)展性。第三層隧道技術(shù)對(duì)于公司網(wǎng)絡(luò)還有一些其他優(yōu)點(diǎn)，例如不必在遠(yuǎn)程節(jié)點(diǎn)或CPE上安裝特殊軟件；第三層隧道技術(shù)可采用任意廠家的CPE（用戶網(wǎng)設(shè)備）。使用第三層隧道技術(shù)的公司網(wǎng)絡(luò)不需要IP地址，也具有安全性；服務(wù)提供商網(wǎng)絡(luò)能夠隱藏公司網(wǎng)絡(luò)和遠(yuǎn)端節(jié)點(diǎn)地址。VP

10、N的編址VPN所提供的編址選擇與專用網(wǎng)絡(luò)所提供的是一樣的，可以根據(jù)需要選擇：本地地址僅在機(jī)構(gòu)內(nèi)部使用的 IP 地址，可以由本機(jī)構(gòu)自行分配，而不需要向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。全球地址全球惟一的IP地址，必須向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。 RFC 1918指明的專用地址(private address) 10.0.0.0 到 10.255.255.255172.16.0.0 到 172.31.255.255192.168.0.0 到 192.168.255.255這些地址只能用于一個(gè)機(jī)構(gòu)的內(nèi)部通信，而不能用于和因特網(wǎng)上的主機(jī)通信。專用地址只能用作本地地址而不能用作全球地址。在因特網(wǎng)中的所有路由器對(duì)目的地址

11、是專用地址的數(shù)據(jù)報(bào)一律不進(jìn)行轉(zhuǎn)發(fā)。VPN的實(shí)現(xiàn)VPN的實(shí)現(xiàn)主要使用了兩種基本技術(shù)：隧道傳輸和加密技術(shù)。VPN定義了兩個(gè)網(wǎng)絡(luò)的路由器之間通過Internet的一個(gè)隧道，并使用IPinIP封裝通過隧道轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)。為了保證保密性，VPN把外發(fā)的數(shù)據(jù)報(bào)加密，然后封裝在另一個(gè)數(shù)據(jù)報(bào)中傳輸。隧道接收路由器將數(shù)據(jù)報(bào)解密，還原出內(nèi)層數(shù)據(jù)報(bào)，然后轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)。VPN的隧道技術(shù)隧道表示VPN網(wǎng)絡(luò)中，兩點(diǎn)之間的虛擬數(shù)據(jù)通道，它是利用公共網(wǎng)絡(luò)設(shè)施傳輸數(shù)據(jù)的一種方法。根據(jù)隧道技術(shù)，被傳輸?shù)臄?shù)據(jù)（數(shù)據(jù)包或幀）進(jìn)入公共網(wǎng)絡(luò)設(shè)施前，先進(jìn)行封裝處理，添加新的協(xié)議頭（新的協(xié)議頭填入的是由被傳輸數(shù)據(jù)的地址獲取的公用網(wǎng)絡(luò)上的地址），

12、被封裝的數(shù)據(jù)包或幀在離開公共網(wǎng)絡(luò)設(shè)施前，要進(jìn)行解封，還原數(shù)據(jù)的原始模式。VPN的隧道技術(shù)一條隧道的建立，要求隧道客戶雙方必須遵循相同的隧道協(xié)議。對(duì)應(yīng)數(shù)據(jù)鏈路層的隧道協(xié)議有PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）、L2F（層2發(fā)送協(xié)議）、L2TF（層2隧道協(xié)議），它們都是用于對(duì)PPP的數(shù)據(jù)幀進(jìn)行封裝。對(duì)應(yīng)網(wǎng)絡(luò)層典型的隧道協(xié)議是IPSec。VPN的隧道技術(shù)隧道技術(shù)具有下列特性： 數(shù)據(jù)安全。支持多標(biāo)準(zhǔn)的加密、簽名、認(rèn)證、 鑒別算法等。 數(shù)據(jù)壓縮。第二層中的PPTP、L2TP支持MPPC （Microsoft Point-to-point Compression）； 第三層中的建議壓縮算法 p （IP Payloa

13、d Compression Protocol)。 用戶鑒別。由于第三層通常不具備用戶鑒別 能力，所以多種用戶鑒別方法主要由第二層 隧道產(chǎn)生。如EAP（Extensible Authentication Protocol)協(xié)議等。 VPN的隧道技術(shù)隧道技術(shù)具有下列特性： 密鑰管理。第二層隧道協(xié)議在用戶鑒別期間 產(chǎn)生，交換密鑰；第三層隧道協(xié)議IPSec的 密鑰管理協(xié)議由IKE負(fù)責(zé)。 多協(xié)議支持。對(duì)應(yīng)第二層支持IP、IPX、 ATM 等協(xié)議；對(duì)應(yīng)第三層IPSec支持IP 協(xié)議。 動(dòng)態(tài)地址分配。主要是第二層支持基于NCP （Network Control Protocol)協(xié)商機(jī)制的客戶 地址動(dòng)態(tài)分配

14、。VPN的加密技術(shù)VPN中的另一核心技術(shù)特點(diǎn)是密碼技術(shù)的應(yīng)用。一般的VPN技術(shù)的安全保密主要具有數(shù)據(jù)加密、數(shù)據(jù)源鑒別、安全性控制等功能。還有確保數(shù)據(jù)在通過公共網(wǎng)絡(luò)時(shí)具有防火墻、檢測(cè)、安全審計(jì)等功能。而更多的加密技術(shù)體現(xiàn)在軟件協(xié)議的功能中。VPN管理技術(shù) VPN的管理技術(shù)主要包括兩個(gè)方面：一是VPN有關(guān)的功能性策略管理（如配置、運(yùn)行和系統(tǒng)維護(hù)等），以及與QoS有關(guān)的性能策略管理；二是與VPN實(shí)現(xiàn)中涉及密碼技術(shù)的策略管理。前者用來解決VPN技術(shù)和產(chǎn)品是否可用問題；后者用來解決VPN技術(shù)中的加密技術(shù)政策管理及準(zhǔn)用性問題。X10.1.0.1用隧道技術(shù)實(shí)現(xiàn)虛擬專用網(wǎng) 部門 A因特網(wǎng)部門 BR1R2隧道1

15、25.1.2.3194.4.5.6Y10.2.0.3使用隧道技術(shù)本地地址本地地址全球地址X10.1.0.1用隧道技術(shù)實(shí)現(xiàn)虛擬專用網(wǎng) 部門 A因特網(wǎng)部門 BR1R2隧道125.1.2.3194.4.5.6Y10.2.0.3使用隧道技術(shù)加密的從 X 到 Y 的內(nèi)部數(shù)據(jù)報(bào)外部數(shù)據(jù)報(bào)的數(shù)據(jù)部分源地址：125.1.2.3目的地址：194.4.5.6數(shù)據(jù)報(bào)首部部門 A部門 BXYR1R2125.1.2.3194.4.5.610.1.0.110.2.0.3虛擬專用網(wǎng) VPN網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT (Network Address Translation)網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 方法于1994年提出。需要在專用網(wǎng)

16、連接到因特網(wǎng)的路由器上安裝 NAT 軟件。裝有 NAT 軟件的路由器叫做 NAT路由器，它至少有一個(gè)有效的外部全球地址 IPG。所有使用本地地址的主機(jī)在和外界通信時(shí)都要在 NAT 路由器上將其本地地址轉(zhuǎn)換成 IPG 才能和因特網(wǎng)連接。 網(wǎng)絡(luò)地址轉(zhuǎn)換的實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換有兩種實(shí)現(xiàn)方法：NAT路由器有多個(gè)全球IP地址，每個(gè)內(nèi)部主機(jī) X 的本地地址 IPX ，轉(zhuǎn)換為一個(gè)不同的全球IP地址 IPG 與因特網(wǎng)上主機(jī) Y 通信。NAT路由器只有一個(gè)全球IP地址 IPG，使用不同的端口號(hào)對(duì)應(yīng)不同的內(nèi)部主機(jī)X與外部因特網(wǎng)上主機(jī) Y 通信。網(wǎng)絡(luò)地址轉(zhuǎn)換方式一NAT 路由器收到一個(gè)請(qǐng)求，則從地址池中取出一個(gè)有效地址，將數(shù)據(jù)報(bào)的源地址 IPX 轉(zhuǎn)換成全球地址 IPG，但端口號(hào)、目的地址 IPY 保持不變，然后發(fā)送到因特網(wǎng)。NAT 路由器收