網(wǎng)絡(luò)測試及故障診斷一體化教案-VPN安全技術(shù)

1、-. z.新里程旅游技工學(xué)校教案首頁課程名稱網(wǎng)絡(luò)測試與故障診斷項(xiàng) 目課題VPN平安技術(shù)課型講座授課班級12計(jì)算機(jī)授課時(shí)間課時(shí)2小時(shí)30分授課教師學(xué)習(xí)目標(biāo)知識目標(biāo)理解VPN的平安性；熟悉路由器端連接VPN,防火墻端連接VPN,專業(yè)設(shè)備連接VPN；掌握構(gòu)建虛擬專用網(wǎng)VPN技能目標(biāo)通過學(xué)習(xí)，學(xué)生學(xué)會構(gòu)建虛擬專用網(wǎng)VPN。情感目標(biāo)通過學(xué)習(xí)培養(yǎng)學(xué)生計(jì)算機(jī)網(wǎng)絡(luò)的興趣。教學(xué)重點(diǎn)構(gòu)建虛擬專用網(wǎng)VPN教學(xué)難點(diǎn)路由器端連接VPN,防火墻端連接VPN,專業(yè)設(shè)備連接VPN教學(xué)場景多媒體教學(xué)系統(tǒng)教學(xué)方法教授法，課文引導(dǎo)、結(jié)合實(shí)例分析、習(xí)題練習(xí)，講解教學(xué)教學(xué)回憶教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法教學(xué)設(shè)計(jì)：讓

2、同學(xué)討論答復(fù)，并抽取同學(xué)答復(fù)教師點(diǎn)評并歸納出答案，最后簡單分析。通過設(shè)疑，吸引學(xué)生的注意力，激發(fā)學(xué)習(xí)興趣。學(xué)生答復(fù)操作方法【組織教學(xué)】(約3分鐘)：整頓紀(jì)律，考勤，填寫教學(xué)日志，檢查課本與練習(xí)本的準(zhǔn)備情況【復(fù)習(xí)舊課】約5分鐘復(fù)習(xí)提問：在一臺交換機(jī)上劃分兩個(gè)VlanVlan2，Vlan32參考答案給兩臺交換機(jī)劃分vlan，步驟如下：【新課導(dǎo)入】約2分鐘導(dǎo)入企業(yè)構(gòu)建平安局域網(wǎng)后，如何才能實(shí)現(xiàn)在互聯(lián)網(wǎng)中也能平安聯(lián)網(wǎng)？VPN平安技術(shù)教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法課件演示，講解VPN技術(shù)的概念【講授新課】一、VPN技術(shù)約15分鐘一VPN技術(shù)的介紹：在網(wǎng)絡(luò)互聯(lián)世界中，企業(yè)為了各站點(diǎn)之間能

3、夠平安地傳輸數(shù)據(jù)，往往選擇從通信廠商處租用昂貴的專有鏈路來進(jìn)展傳送。為了降低本錢，我們可以在現(xiàn)有的Internet構(gòu)造根底和其他用戶共享通信鏈路上進(jìn)展數(shù)據(jù)傳輸，但同時(shí)如何保證數(shù)據(jù)傳輸?shù)钠桨簿统闪俗钪匾膯栴}。其中一種有效的解決方案就是構(gòu)建虛擬專用網(wǎng)VPN。二VPN概述VPN是將不同物理位置的組織和個(gè)人通過已有的公共網(wǎng)絡(luò)建立一條點(diǎn)到點(diǎn)的虛擬鏈路，模擬專用網(wǎng)進(jìn)展平安數(shù)據(jù)通信的網(wǎng)絡(luò)技術(shù)，其根本原理是通過一定的技術(shù)將互聯(lián)網(wǎng)上每個(gè)VPN用戶的數(shù)據(jù)與其他數(shù)據(jù)加以區(qū)別，防止未經(jīng)授權(quán)的訪問，從而確保數(shù)據(jù)的平安。通過利用共享的公共網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)VPN，能夠以極低的費(fèi)用為遠(yuǎn)程用戶提供性能和專用網(wǎng)絡(luò)相媲美的通信效勞。

4、隧道技術(shù) 隧道技術(shù)是目前構(gòu)建VPN的根本方式。隧道技術(shù)是指把一種類型的報(bào)文封裝在另一種報(bào)文中在網(wǎng)絡(luò)上進(jìn)展傳輸，如下圖。兩個(gè)網(wǎng)絡(luò)通過VPN接入設(shè)備的一個(gè)端口，即一個(gè)VPN端點(diǎn)，建立的虛擬鏈路就叫隧道。發(fā)送給遠(yuǎn)程網(wǎng)絡(luò)的數(shù)據(jù)要進(jìn)展一定的封裝處理，從發(fā)送方網(wǎng)絡(luò)的一個(gè)VPN端點(diǎn)進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN(物理上穿越不平安的互聯(lián)網(wǎng))，到達(dá)接收方.教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法詳細(xì)分析VPN隧道模式，來突出VPN技術(shù)的重要作用網(wǎng)絡(luò)的另一個(gè)VPN端點(diǎn)，再經(jīng)過解封裝處理，便得到原始數(shù)據(jù)，并且把加密后的原始數(shù)據(jù)發(fā)給目的主機(jī)。封裝的數(shù)據(jù)在傳送中，不僅遵循指定的路徑，防止經(jīng)過不信任的節(jié)點(diǎn)而到達(dá)

5、未授權(quán)接收方，而且封裝處理使得傳送的中間節(jié)點(diǎn)不必也不會解析原始數(shù)據(jù)，這在一定程度上防止了數(shù)據(jù)泄密。對主機(jī)來說，不管是發(fā)送主機(jī)還是接收主機(jī)，都不知道數(shù)據(jù)曾經(jīng)被封裝過，也不知道數(shù)據(jù)是在Internet網(wǎng)絡(luò)上進(jìn)展傳輸?shù)模?它只需要提供要傳輸?shù)臄?shù)據(jù)，而不需要特殊的軟件或配置，所有傳送過程都由VPN設(shè)備來處理。 僅僅通過隧道技術(shù)還不能建立適合所有平安要求的VPN，因?yàn)橐话愕乃淼兰夹g(shù)只能夠滿足在單個(gè)運(yùn)營商網(wǎng)絡(luò)上進(jìn)展數(shù)據(jù)平安傳輸?shù)男枨蟆Ｓ脩魯?shù)據(jù)要跨越多個(gè)運(yùn)營商網(wǎng)絡(luò)時(shí)，在兩個(gè)獨(dú)立網(wǎng)絡(luò)節(jié)點(diǎn)的封裝數(shù)據(jù)要先解封處理后再封裝，可能在此過程中造成信息泄漏，因此，必須結(jié)合加密技術(shù)和密鑰管理等教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過

6、程教學(xué)容和教學(xué)方法具體分析VPN的優(yōu)點(diǎn)技術(shù)保證數(shù)據(jù)傳輸?shù)男浴Ｍ瑫r(shí)，身份認(rèn)證及訪問控制等技術(shù)可以支持遠(yuǎn)程接入或動態(tài)建立隧道的VPN，通過對訪問者身份確實(shí)認(rèn)及對其訪問資源的控制來保證信息平安。所以VPN通信具有與專用網(wǎng)同等的通信平安性。VPN的簡單通信過程如下：(1)客戶機(jī)向VPN效勞器發(fā)出請求。(2)VPN效勞器響應(yīng)請求，并要求客戶進(jìn)展身份認(rèn)證。(3)客戶機(jī)將的用戶身份認(rèn)證響應(yīng)信息發(fā)給效勞器。(4)VPN效勞器收到客戶的認(rèn)證響應(yīng)信息，確認(rèn)該是否有效，是否具有遠(yuǎn)程訪問權(quán)限。如果有訪問權(quán)限，則接收此連接。(5)VPN效勞器利用在認(rèn)證過程中產(chǎn)生的客戶機(jī)和效勞器的公有密鑰對數(shù)據(jù)進(jìn)展加密，然后通過VPN隧

7、道技術(shù)進(jìn)展封裝、加密、傳輸?shù)侥康牟烤W(wǎng)絡(luò)?？傊?，VPN可以通過隧道技術(shù)、密碼技術(shù)、身份認(rèn)證及訪問控制技術(shù)等在共享的互聯(lián)網(wǎng)上實(shí)現(xiàn)低本錢的平安數(shù)據(jù)傳輸。二、VPN的優(yōu)點(diǎn)約10分鐘VPN的優(yōu)點(diǎn)如下：1)費(fèi)用低廉 這是使用VPN的最主要的好處。通過使用VPN，我們可以在公共網(wǎng)絡(luò)上盡可能平安地傳輸數(shù)據(jù)，而不需要再租用專線來組網(wǎng)。并且，多數(shù)VPN都可以提供可靠的遠(yuǎn)程撥號效勞，如此便減少了管理、維護(hù)和操作撥號網(wǎng)絡(luò)的人力本錢，節(jié)約了相關(guān)費(fèi)用。2)平安可靠 VPN為數(shù)據(jù)平安傳輸提供了許多平安保證，可以保證傳輸數(shù)據(jù)的性、完整性和對發(fā)送/接收者的認(rèn)證。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法具體分析VPN的缺

8、點(diǎn)3) 部署簡單 VPN使用的是已有的根底設(shè)施，因此可以利用現(xiàn)有的根底設(shè)施快速建立VPN，從而降低工作量，節(jié)省時(shí)間，減少施工費(fèi)用三、 VPN的缺點(diǎn)約10分鐘VPN有如上所述的許多優(yōu)點(diǎn)，但同時(shí)也有一些缺點(diǎn)：1)增加了處理開銷 為了保證數(shù)據(jù)傳輸平安，通常對傳輸?shù)拿恳粋€(gè)報(bào)文都進(jìn)展加密，如此便增加了VPN處理壓力。雖然可以采取硬件技術(shù)來解決，但同時(shí)也增加了構(gòu)建VPN的本錢。同時(shí)，由于VPN對發(fā)送的報(bào)文進(jìn)展了封裝，或者在原始報(bào)文上增加額外報(bào)文信息，這些都增加了處理開銷，對網(wǎng)絡(luò)性能構(gòu)成一定的影響。2)實(shí)現(xiàn)問題 由于現(xiàn)有的網(wǎng)絡(luò)根底情況一般比擬復(fù)雜，因此VPN在設(shè)計(jì)的時(shí)候必須考慮到實(shí)現(xiàn)的問題，包括VPN通過、

9、網(wǎng)絡(luò)地址轉(zhuǎn)換最大傳輸單元大小等問題。3)故障診斷和控制問題由于VPN上傳輸?shù)臄?shù)據(jù)都進(jìn)展了封裝處理，真實(shí)數(shù)據(jù)只能等解封后才能看見，因此一旦發(fā)生故障，很難進(jìn)展診斷。同時(shí)，如果遠(yuǎn)程用戶通過VPN接入的話，必須要考慮對其實(shí)施控制。因?yàn)榇藭r(shí)的遠(yuǎn)程接入客戶作為進(jìn)入網(wǎng)絡(luò)的入口，由于其自身主機(jī)的平安問題，可能會帶來平安隱患。并且，VPN畢竟是構(gòu)建在公共根底設(shè)施上，而一旦這些根底設(shè)施出現(xiàn)問題則會導(dǎo)致Internet效勞故障，從而使VPN的通信出現(xiàn)問題。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法詳細(xì)分析VPN隧道協(xié)議四、VPN隧道協(xié)議約50分鐘一按照用戶數(shù)據(jù)是在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，即隧道協(xié)議是工作在第

10、二層數(shù)據(jù)鏈路層、第三層網(wǎng)絡(luò)層，還是第四層應(yīng) 用層，可以將VPN協(xié)議劃分成第二層隧道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。第二層隧道協(xié)議：主要包括點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)、第二層轉(zhuǎn)發(fā)協(xié)議(L2F)，第二層隧道協(xié)議(L2TP)、多協(xié)議標(biāo)記交換(MPLS)等，主要應(yīng)用于構(gòu)建接入VPN。第三層隧道協(xié)議：主要包括通用路由封裝協(xié)議(GRE)和IPSec，它主要應(yīng)用于構(gòu)建聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。第四層隧道協(xié)議：如SSL VPN。SSL VPN與IPSec VPN都是實(shí)現(xiàn)VPN的兩大實(shí)現(xiàn)技術(shù)。其中，IPSec VPN工作在網(wǎng)絡(luò)層，因此與上層的應(yīng)用程序無關(guān)。采用隧道運(yùn)行模式的IPSec對原始的IP數(shù)據(jù)包進(jìn)展

11、封裝，從而隱藏了所有的應(yīng)用協(xié)議信息因此可以實(shí)現(xiàn)各種應(yīng)用類型的一對多的連接，如Web、電子郵 件、文件傳輸、VoIP等連接。與SSL相比，IPSec只在一個(gè)客戶程序和遠(yuǎn)程VPN網(wǎng)關(guān)或主機(jī)之間建立一條連接，所有應(yīng)用程序的流量都通過該連接建立的隧道進(jìn)展傳輸。而SSL VPN工作在應(yīng)用層，對每一個(gè)附加的應(yīng)用程序都不得不建立額外的連接和隧道。不過，SSL除了具備與IPSec VPN相當(dāng)?shù)钠桨残酝猓€增加了訪問控制機(jī)制。而且客戶端只需要擁有支持SSL的瀏覽器即可，配置方便，使用簡單，非常適合遠(yuǎn)程用戶訪問企業(yè)部網(wǎng)。因此，現(xiàn)在第四層隧道協(xié)議最著名的便是SSL。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法二

12、PPTP在了解點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)協(xié)議之前，必須先要了解PPP和GRE兩個(gè)協(xié)議。點(diǎn)到點(diǎn)協(xié)議(PPP)PPP協(xié)議主要是為通過撥號或?qū)＞€方式建立點(diǎn)對點(diǎn)連接的同等單元之間傳輸數(shù)據(jù)包而設(shè)計(jì)的鏈路層協(xié)議。PPP協(xié)議將IP、IP*和NETBEUI包封裝在PPP幀通過點(diǎn)對點(diǎn)的鏈路發(fā)送，主要應(yīng)用于撥號連接用戶和NAS。2)GRE協(xié)議 GRE協(xié)議由Cisco和NetSmiths等公司提交給IETF的數(shù)據(jù)封裝協(xié)議，它規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法，由RFC1701和RFC1702詳細(xì)定義。目前多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持GRE隧道協(xié)議。GRE協(xié)議允許用戶使用IP包封裝IP、IP*、Apple

13、Talk包，并支持全部的路由協(xié)議(如RIP2、OSPF等)。不過，GRE協(xié)議只提供了數(shù)據(jù)包封裝功能而沒有加密功能，所以在實(shí)際環(huán)境中為了保證用戶數(shù)據(jù)平安，GRE協(xié)議經(jīng)常與IPSec結(jié)合使用，由IPSec提供用戶數(shù)據(jù)的加密。 PPTP是由微軟、Ascend、3等公司支持的基于IP的點(diǎn)對點(diǎn)隧道協(xié)議，它采用隧道技術(shù)，使用IP數(shù)據(jù)包通過Internet傳送PPP數(shù)據(jù)幀，在RFC2367中有詳細(xì)定義。該協(xié)議使用兩種不同類型的數(shù)據(jù)包來管理隧道和發(fā)送數(shù)據(jù)包。PPTP通過TCP端口1723建立TCP連接并發(fā)送和接收所有控制命令。對于數(shù)據(jù)傳輸，PPTP先使用PPP封裝，再將PPP封裝到一個(gè)IP類型為47的GRE數(shù)

14、據(jù)包中，最后GRE數(shù)據(jù)包再被封裝到一個(gè)IP數(shù)據(jù)包過隧道傳輸。如下圖。 PPTP協(xié)議的實(shí)現(xiàn)由PPTP接入集中器(PAC)和PPTP網(wǎng)絡(luò)效勞器(PNS)來分別執(zhí)行，從而實(shí)現(xiàn)因特網(wǎng)上的VPN。其中，ISP的NAS將執(zhí)行PPTP協(xié)議中指定的PAC的功能，企業(yè)VPN中心效勞器將執(zhí)行PNS的功能。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法如下圖，遠(yuǎn)程撥號用戶(如遠(yuǎn)程用戶1)首先采用撥號方式接入到ISPNAS(PAC)建立PPP連接，然后接入Internet通過企業(yè)VPN效勞器(PNS)訪問企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再直接撥號至企業(yè)的網(wǎng)絡(luò)。這樣，由GRE將PPP報(bào)文封裝成的IP報(bào)文就可以在PAC-PNS之

15、間經(jīng)由因特網(wǎng)傳遞，即在PAC和PNS之間為用戶的PPP會話建立了一條PPTP隧道(如PPTP隧道1)。由于所有的通信都將在IP包通過隧道，因此PAC只起著通過PPP連接進(jìn)因特網(wǎng)的入口點(diǎn)的作用。對于直接連接到Internet上的客戶(如遠(yuǎn)程用戶2)，可以直接與企業(yè)VPN效勞器建立虛擬通道(如PPTP隧道2)而不需要與ISP建立PPP連接。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法3PPTP具有兩種不同的工作模式，即被動模式和主動模式。 被動模式的PPTP：ISP為用戶提供其撥號連接到ISP過程中所有的效勞和幫助，而客戶端則不需要安裝任何與PPTP相關(guān)的軟件。此模式的好處是降低了對客戶的要求

16、，缺點(diǎn)是限制了客戶對因特網(wǎng)其他局部的訪問。主動模式的PPTP：由客戶建立一個(gè)與企業(yè)網(wǎng)絡(luò)效勞器直接連接的PPTP隧道，ISP只提供透明的傳輸通道而并不參與隧道的建立。此模式的優(yōu)點(diǎn)是客戶擁有對PPTP的絕對控制，缺點(diǎn)是對用戶的要求較高，并需要在客戶端安裝支持PPTP的相應(yīng)軟件。如圖從平安性上來說，對于加密，PPTP使用Microsoft點(diǎn)對點(diǎn)加密算法(MPPE)，采用RC4加密程序。對于認(rèn)證，PPTP使用Microsoft挑戰(zhàn)握手認(rèn)證協(xié)議(MS-CHAP)、口令認(rèn)證協(xié)議(PAP)、挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP)或擴(kuò)展認(rèn)證協(xié)議(EAP)來實(shí)現(xiàn)用戶認(rèn)證功能。但是，由于MS-CHAP是不平安的，因此大都認(rèn)

17、為PPTP不平安。后來，Microsoft在PPTP實(shí)現(xiàn)中采用了MS-CHAP V2，解決了其存在的平安問題。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法詳細(xì)介紹第二層隧道協(xié)議L2TP四、 L2TP約20分鐘第二層隧道協(xié)議(L2TP)是IETF起草，微軟、Cisco、3等公司參與的協(xié)議，在RFC 2661中對其進(jìn)展了詳細(xì)定義。該協(xié)議由PPTP與二層轉(zhuǎn)發(fā)協(xié)議(L2F)的融合而形成，結(jié)合了兩個(gè)協(xié)議的優(yōu)點(diǎn)，是目前IETF的標(biāo)準(zhǔn)。其中，L2F是由Cisco公司提出的，可以在多種傳輸網(wǎng)絡(luò)(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的平安虛擬專用網(wǎng)的通信方式，主要用于Cisco的路由器和撥號訪問效勞器，能

18、夠?qū)㈡溌穼拥膮f(xié)議(HDLC、PPP等)封裝起來傳送。 和PPTP一樣，L2TP通過對數(shù)據(jù)加密和對目的地址加密隱藏，在Internet網(wǎng)絡(luò)上建立隧道，從而創(chuàng)立一種平安的連接來傳送信息。L2TP消息可以分為兩種類型，一種是控制信息，另一種是數(shù)據(jù)信息。控制信息用于隧道和呼叫的建立、維護(hù)與去除。數(shù)據(jù)信息用于封裝隧道傳輸?shù)腜PP數(shù)據(jù)幀。控制信息利用L2TP部可靠的控制通道來保證傳輸，而數(shù)據(jù)信息一旦數(shù)據(jù)包喪失則不再重傳。如下圖。L2TP在IP網(wǎng)絡(luò)上的隧道控制信息以及數(shù)據(jù)使用相類似，通過UDP的1701端口承載于TCP/IP之上進(jìn)展傳輸。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法教案頁教學(xué)環(huán)節(jié)及時(shí)間分

19、配教學(xué)過程教學(xué)容和教學(xué)方法表達(dá)L2TP的建立過程分析L2TP協(xié)議的特性與PPTP類似，L2TP協(xié)議的實(shí)現(xiàn)也由兩個(gè)設(shè)備來執(zhí)行：一個(gè)是L2TP訪問集中器(LAC)，另一個(gè)是L2TP網(wǎng)絡(luò)效勞器(LNS)。L2TP將隧道連接定義為一個(gè)LNS和LAC對，其中LAC用于發(fā)起呼叫、接收呼叫和建立隧道，而LNS是遠(yuǎn)程系統(tǒng)通過L2TP建立的隧道傳送PPP會話的邏輯終點(diǎn)。如下圖。1. L2TP的建立過程(1)遠(yuǎn)程用戶通過PSTN或ISDN撥號至本地接入效勞器LAC(LAC是連接的終點(diǎn))；(2)LAC接收呼叫，認(rèn)證用戶是否合法，通過Internet、幀中繼或ATM網(wǎng)絡(luò)建立一個(gè)通向部網(wǎng)(Home LAN)LNS的VP

20、N隧道；(3)在隧道上傳輸PPP數(shù)據(jù)到達(dá)部網(wǎng)絡(luò)。在以上過程中，部網(wǎng)提供地址分配、認(rèn)證、計(jì)費(fèi)等管理。 LAC客戶端(運(yùn)行L2TP的主機(jī))可以直接接入部網(wǎng)而不需要另外的LAC。在這種情況下，包含LAC客戶端軟件的主機(jī)必須已經(jīng)連接到公網(wǎng)上，然后建立一個(gè)虛擬PPP連接，使主機(jī)L2TP LAC客戶端與LNS之間建立一個(gè)隧道。其地址分配、認(rèn)證、授權(quán)和計(jì)費(fèi)都由目標(biāo)網(wǎng)絡(luò)的管理域提供。LAC和LNS功能一般由為用戶通過PSTN/ISDN撥入網(wǎng)絡(luò)提供效勞的網(wǎng)絡(luò)接入效勞器NAS提供。2. L2TP協(xié)議的特性(1)擴(kuò)展性。為了在互通的根底上具有最大化擴(kuò)展性，L2TP使用了統(tǒng)一的格式來對消息類型和主體進(jìn)展編碼，用AVP

21、值對來表示。(2)可靠性。L2TP在控制信息的傳輸過程中，應(yīng)用消息喪失重傳和定時(shí)檢測通道連通性等機(jī)制來保證傳輸?shù)目煽啃?。而其?shù)據(jù)消息的傳輸由于不采用重傳機(jī)制，所以它無法保證傳輸?shù)目煽啃?，但這一點(diǎn)可以通過上層協(xié)議如TCP等得到保證。另外，L2TP在所有的控制信息中都采用序號來保證可靠傳輸，而數(shù)據(jù)信息可用序號來進(jìn)展數(shù)據(jù)包的重排或用來檢測喪失的數(shù)據(jù)包。(3)身份認(rèn)證及性。L2TP繼承了PPP的所有平安特性，不僅可以選擇多種身份認(rèn)證機(jī)制(CHAP、PAP等)，還可以對隧道端點(diǎn)進(jìn)展認(rèn)證。L2TP定義了控制包的加密傳輸，對每個(gè)隧道生成一個(gè)獨(dú)一無二的隨鑰，以抵御欺騙性的攻擊，但是它對傳輸中的數(shù)據(jù)不加密。根據(jù)

22、特定的網(wǎng)絡(luò)平安要求可以方便地在L2TP之上采用隧道加密、端對端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的平安性。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法通過比擬L2TP與PPTP的區(qū)別，讓同學(xué)更加了解VPN技術(shù)五、L2TP與PPTP的區(qū)別約30分鐘 雖然L2TP是由PPTP開展起來的，都使用PPP協(xié)議對數(shù)據(jù)進(jìn)展封裝，然后添加附加報(bào)頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸，但兩者間仍有一定的區(qū)別：(1)從網(wǎng)絡(luò)運(yùn)行環(huán)境上來看，PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，而L2TP可以在IP、幀中繼、ATM等網(wǎng)絡(luò)上使用。(2)從建立隧道的模式來看，PPTP只能在兩端點(diǎn)間建立單一隧道，而L2TP支持在兩端點(diǎn)間使用多隧

23、道。因此，用戶可以針對不同的效勞質(zhì)量使用L2TP創(chuàng)立不同的隧道。(3)從認(rèn)證方式來看，L2TP可以提供隧道認(rèn)證，而PPTP則不支持隧道認(rèn)證。但是當(dāng)L2TP或PPTP與IPSec共同使用時(shí)，可以由IPSec提供隧道驗(yàn)證，而不需要在第二層協(xié)議上驗(yàn)證隧道。(4)從數(shù)據(jù)包傳輸效率來看，L2TP合并了控制通道和數(shù)據(jù)通道，使用UDP協(xié)議來傳輸所有信息，因此，相對采用TCP協(xié)議傳輸數(shù)據(jù)的PPTP來說，效率更高，更容易通過防火墻。另一方面，PPTP支持通過NAT防火墻的操作，而L2TP則不能支持1.MPLS 多協(xié)議標(biāo)記交換(MPLS)吸收了ATM的VPI/VCI交換思想，無縫集成了IP路由技術(shù)的靈活性和兩層交

24、換的簡捷性，在面向無連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。通過采用MPLS建立虛連接的方法，為IP網(wǎng)增加了一些管理和運(yùn)營的手段。隨著網(wǎng)絡(luò)技術(shù)的迅速開展，MPLS應(yīng)用也逐步轉(zhuǎn)向MPLS流量工程和MPLS VPN等應(yīng)用。MPLS的主要原理是為每個(gè)IP數(shù)據(jù)包提供一個(gè)標(biāo)記，并由此標(biāo)記決定數(shù)據(jù)包的路徑以及優(yōu)先級，使與MPLS兼容的路由器在將數(shù)據(jù)包轉(zhuǎn)送到其路徑之前，只需讀取數(shù)據(jù)包標(biāo)記，而無需讀取每個(gè)數(shù)據(jù)包的IP地址和標(biāo)頭，然后將所傳送的數(shù)據(jù)包置于幀中繼或ATM的虛擬電路上，從而將數(shù)據(jù)包快速傳送至終點(diǎn)路由器，減少了數(shù)據(jù)包的延遲，增加了網(wǎng)絡(luò)傳輸?shù)乃俣?。同時(shí)由幀中繼及ATM交換器所提供的效勞質(zhì)量(Q

25、oS)對所傳送的數(shù)據(jù)包加以分級，因而大幅提升網(wǎng)絡(luò)效勞品質(zhì)及提供更多樣化的效勞。因此，MPLS技術(shù)適合用于遠(yuǎn)程互聯(lián)的大中型企業(yè)專用網(wǎng)絡(luò)等對QoS、效勞級別(CoS)、網(wǎng)絡(luò)帶寬、可靠性等要求高的VPN業(yè)務(wù)。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法詳細(xì)分析VPN的集成路由器集成VPN2.VPN集成 VPN在網(wǎng)絡(luò)中的集成有很多方式，最常見的有路由器集成VPN、防火墻集成VPN和專用VPN設(shè)備在三種方式 。1路由器集成VPN 現(xiàn)在一些路由器中已經(jīng)配備了VPN模塊，即路由器集成VPN，如下列圖所示。邊緣路由器上集成VPN，訪問過程如下：遠(yuǎn)程用戶建立VPN到路由器。路由器將請求轉(zhuǎn)發(fā)給NAS。NAS認(rèn)

26、證遠(yuǎn)程用戶是否合法，假設(shè)合法，則授權(quán)用戶訪問外部網(wǎng)。路由器集成VPN的設(shè)備僅適合小型網(wǎng)絡(luò)而不適合大型網(wǎng)絡(luò)，因?yàn)槁酚善鞅旧淼男阅苡邢?，假設(shè)再加上加密/解密VPN信息帶來的負(fù)擔(dān)，則會使路由器超負(fù)荷。因此，一般對企業(yè)用戶來說，路由器集成VPN并不是一個(gè)很好的選取擇。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法防火墻集成VPN 2防火墻集成VPN防火墻集成VPN是應(yīng)用廣泛的模式，許多廠家的防火墻產(chǎn)品都具有VPN功能。由于防火墻本身具備較完善的記錄功能，因此，在此根底上增加VPN記錄不會給防火墻帶來太大的額外負(fù)擔(dān)。另外，防火墻也是網(wǎng)絡(luò)的入口點(diǎn)，在此增加VPN功能將使用戶能夠訪問網(wǎng)絡(luò)而不用開放防火墻規(guī)

27、則，以免增加平安漏洞。防火墻集成VPN如下圖。防火墻集成VPN訪問過程與路由器集成VPN類似：遠(yuǎn)程用戶建立VPN到防火墻防火墻將認(rèn)證請求轉(zhuǎn)發(fā)給NAS。NAS認(rèn)證遠(yuǎn)程用戶是否合法，假設(shè)合法，則防火墻授權(quán)用戶訪問部網(wǎng)。防火墻集成VPN的模式可以獲得設(shè)備中由防火墻部件提供的強(qiáng)健的訪問控制功能，給網(wǎng)絡(luò)管理員提供了更多的控制權(quán)，使用戶能夠訪問的網(wǎng)絡(luò)資源局部被限定。但與路由器集成VPN一樣，處理VPN加密/解密信息需要占用大量系統(tǒng)資源，如果防火墻本身負(fù)荷已經(jīng)很重，則不適合選擇此種模式。而且，防火墻集成VPN方案還有一個(gè)缺陷，就是在優(yōu)化配置虛擬網(wǎng)和防火墻部件方面，選擇余地非常小，因?yàn)樽钸m合業(yè)務(wù)需要的防火墻產(chǎn)品可能與虛擬專用網(wǎng)不匹配。同時(shí)，集成方案還會使VPN和防火墻部件限制在一套系統(tǒng)上，使得配置方案不靈活。教案頁教學(xué)環(huán)節(jié)及時(shí)間分配教學(xué)過程教學(xué)容和教學(xué)方法專業(yè)VPN設(shè)備3專用VPN設(shè)備專用VPN設(shè)備最主要的優(yōu)點(diǎn)就是減輕了路由器和防火墻管理VPN的負(fù)擔(dān)，即使有再多的連接甚至過載，也不會影響網(wǎng)絡(luò)的其他局部。專用VPN設(shè)備的另一個(gè)優(yōu)點(diǎn)是增強(qiáng)了VPN訪問的平安性，即使VPN被攻破，