《网络测试与故障诊断》一体化教案——VPN安全技术.doc

《《网络测试与故障诊断》一体化教案——VPN安全技术.doc》由会员分享，可在线阅读，更多相关《《网络测试与故障诊断》一体化教案——VPN安全技术.doc（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、如有侵权，请联系网站删除，仅供学习与交流网络测试与故障诊断一体化教案VPN安全技术【精品文档】第 19 页广东新里程旅游技工学校教案首页课程名称网络测试与故障诊断项 目课题VPN安全技术课型讲座授课班级12计算机授课时间2015.3.21课时2小时30分授课教师学习目标知识目标理解VPN的安全性；熟悉路由器端连接VPN,防火墙端连接VPN,专业设备连接VPN；掌握构建虚拟专用网VPN技能目标通过学习，学生学会构建虚拟专用网VPN。情感目标通过学习培养学生计算机网络的兴趣。教学重点构建虚拟专用网VPN教学难点路由器端连接VPN,防火墙端连接VPN,专业设备连接VPN教学场景多媒体教学系统教学方法

2、教授法，课文引导、结合实例分析、习题练习，讲解教学教学回顾教案内页 教学环节及时间分配教学过程（教学内容和教学方法）教学设计：让同学讨论回答，并抽取同学回答教师点评并归纳出答案，最后简单分析。通过设疑，吸引学生的注意力，激发学习兴趣。学生回答操作方法【组织教学】(约3分钟)：整顿纪律，考勤，填写教学日志，检查课本与练习本的准备情况【复习旧课】（约5分钟）1 复习提问：在一台交换机上划分两个Vlan（Vlan2，Vlan3）2参考答案给两台交换机划分vlan，步骤如下：【新课导入】（约2分钟）导入企业构建安全局域网后，如何才能实现在互联网中也能安全联网？ “VPN安全技术”教案内页 教学环节及时

3、间分配教学过程（教学内容和教学方法）课件演示，讲解VPN技术的概念【讲授新课】一、VPN技术（约15分钟）（一）VPN技术的介绍：在网络互联世界中，企业为了各站点之间能够安全地传输数据，往往选择从通信厂商处租用昂贵的专有链路来进行传送。为了降低成本，我们可以在现有的Internet结构基础和其他用户共享通信链路上进行数据传输，但同时如何保证数据传输的安全就成了最重要的问题。其中一种有效的解决方案就是构建虚拟专用网VPN。（二）VPN概述VPN是将不同物理位置的组织和个人通过已有的公共网络建立一条点到点的虚拟链路，模拟专用网进行安全数据通信的网络技术，其基本原理是通过一定的技术将互联网上每个VP

4、N用户的数据与其他数据加以区别，避免未经授权的访问，从而确保数据的安全。通过利用共享的公共网络设施实现VPN，能够以极低的费用为远程用户提供性能和专用网络相媲美的保密通信服务。隧道技术 隧道技术是目前构建VPN的基本方式。隧道技术是指把一种类型的报文封装在另一种报文中在网络上进行传输，如图所示。两个网络通过VPN接入设备的一个端口，即一个VPN端点，建立的虚拟链路就叫隧道。发送给远程网络的数据要进行一定的封装处理，从发送方网络的一个VPN端点进入VPN，经相关隧道穿越VPN(物理上穿越不安全的互联网)，到达接收方.教案内页 教学环节及时间分配教学过程（教学内容和教学方法）详细分析VPN隧道模式

5、，来突出VPN技术的重要作用网络的另一个VPN端点，再经过解封装处理，便得到原始数据，并且把加密后的原始数据发给目的主机。封装的数据在传送中，不仅遵循指定的路径，避免经过不信任的节点而到达未授权接收方，而且封装处理使得传送的中间节点不必也不会解析原始数据，这在一定程度上防止了数据泄密。对主机来说，不管是发送主机还是接收主机，都不知道数据曾经被封装过，也不知道数据是在Internet网络上进行传输的， 它只需要提供要传输的数据，而不需要特殊的软件或配置，所有传送过程都由VPN设备来处理。 仅仅通过隧道技术还不能建立适合所有安全要求的VPN，因为一般的隧道技术只能够满足在单个运营商网络上进行数据安

6、全传输的需求。用户数据要跨越多个运营商网络时，在两个独立网络节点的封装数据要先解封处理后再封装，可能在此过程中造成信息泄漏，因此，必须结合加密技术和密钥管理等教案内页 教学环节及时间分配教学过程（教学内容和教学方法）具体分析VPN的优点技术保证数据传输的机密性。同时，身份认证及访问控制等技术可以支持远程接入或动态建立隧道的VPN，通过对访问者身份的确认及对其访问资源的控制来保证信息安全。所以VPN通信具有与专用网同等的通信安全性。VPN的简单通信过程如下：(1)客户机向VPN服务器发出请求。(2)VPN服务器响应请求，并要求客户进行身份认证。(3)客户机将机密的用户身份认证响应信息发给服务器。

7、(4)VPN服务器收到客户的认证响应信息，确认该帐户是否有效，是否具有远程访问权限。如果有访问权限，则接收此连接。(5)VPN服务器利用在认证过程中产生的客户机和服务器的公有密钥对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。总之，VPN可以通过隧道技术、密码技术、身份认证及访问控制技术等在共享的互联网上实现低成本的安全数据传输。二、VPN的优点（约10分钟）VPN的优点如下：1)费用低廉 这是使用VPN的最主要的好处。通过使用VPN，我们可以在公共网络上尽可能安全地传输数据，而不需要再租用专线来组网。并且，多数VPN都可以提供可靠的远程拨号服务，如此便减少了管理、维

8、护和操作拨号网络的人力成本，节约了相关费用。2)安全可靠 VPN为数据安全传输提供了许多安全保证，可以保证传输数据的机密性、完整性和对发送/接收者的认证。教案内页教学环节及时间分配教学过程（教学内容和教学方法）具体分析VPN的缺点3) 部署简单 VPN使用的是已有的基础设施，因此可以利用现有的基础设施快速建立VPN，从而降低工作量，节省时间，减少施工费用三、 VPN的缺点（约10分钟）VPN有如上所述的许多优点，但同时也有一些缺点：1)增加了处理开销 为了保证数据传输安全，通常对传输的每一个报文都进行加密，如此便增加了VPN处理压力。虽然可以采取硬件技术来解决，但同时也增加了构建VPN的成本。

9、同时，由于VPN对发送的报文进行了封装，或者在原始报文上增加额外报文信息，这些都增加了处理开销，对网络性能构成一定的影响。2)实现问题 由于现有的网络基础情况一般比较复杂，因此VPN在设计的时候必须考虑到实现的问题，包括VPN通过、网络地址转换最大传输单元大小等问题。3)故障诊断和控制问题由于VPN上传输的数据都进行了封装处理，真实数据只能等解封后才能看见，因此一旦发生故障，很难进行诊断。同时，如果远程用户通过VPN接入的话，必须要考虑对其实施控制。因为此时的远程接入客户作为进入网络的入口，由于其自身主机的安全问题，可能会带来安全隐患。并且，VPN毕竟是构建在公共基础设施上，而一旦这些基础设施

10、出现问题则会导致Internet服务故障，从而使VPN的通信出现问题。教案内页教学环节及时间分配教学过程（教学内容和教学方法）详细分析VPN隧道协议四、VPN隧道协议（约50分钟）（一）按照用户数据是在网络协议栈的第几层被封装，即隧道协议是工作在第二层数据链路层、第三层网络层，还是第四层应 用层，可以将VPN协议划分成第二层隧道协议、第三层隧道协议和第四层隧道协议。1） 第二层隧道协议：主要包括点到点隧道协议(PPTP)、第二层转发协议(L2F)，第二层隧道协议(L2TP)、多协议标记交换(MPLS)等，主要应用于构建接入VPN。2） 第三层隧道协议：主要包括通用路由封装协议(GRE)和IPS

11、ec，它主要应用于构建内联网VPN和外联网VPN。3） 第四层隧道协议：如SSL VPN。SSL VPN与IPSec VPN都是实现VPN的两大实现技术。其中，IPSec VPN工作在网络层，因此与上层的应用程序无关。采用隧道运行模式的IPSec对原始的IP数据包进行封装，从而隐藏了所有的应用协议信息因此可以实现各种应用类型的一对多的连接，如Web、电子邮 件、文件传输、VoIP等连接。与SSL相比，IPSec只在一个客户程序和远程VPN网关或主机之间建立一条连接，所有应用程序的流量都通过该连接建立的隧道进行传输。而SSL VPN工作在应用层，对每一个附加的应用程序都不得不建立额外的连接和隧道

12、。不过，SSL除了具备与IPSec VPN相当的安全性外，还增加了访问控制机制。而且客户端只需要拥有支持SSL的浏览器即可，配置方便，使用简单，非常适合远程用户访问企业内部网。因此，现在第四层隧道协议最著名的便是SSL。教案内页教学环节及时间分配教学过程（教学内容和教学方法）（二）PPTP在了解点到点隧道协议(PPTP)协议之前，必须先要了解PPP和GRE两个协议。1) 点到点协议(PPP)PPP协议主要是为通过拨号或专线方式建立点对点连接的同等单元之间传输数据包而设计的链路层协议。PPP协议将IP、IPX和NETBEUI包封装在PPP帧内通过点对点的链路发送，主要应用于拨号连接用户和NAS。

13、2)GRE协议 GRE协议由Cisco和NetSmiths等公司提交给IETF的数据封装协议，它规定了如何用一种网络协议去封装另一种网络协议的方法，由RFC1701和RFC1702详细定义。目前多数厂商的网络设备均支持GRE隧道协议。GRE协议允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议(如RIP2、OSPF等)。不过，GRE协议只提供了数据包封装功能而没有加密功能，所以在实际环境中为了保证用户数据安全，GRE协议经常与IPSec结合使用，由IPSec提供用户数据的加密。 PPTP是由微软、Ascend、3COM等公司支持的基于IP的点对点隧道协议，它采用隧道

14、技术，使用IP数据包通过Internet传送PPP数据帧，在RFC2367中有详细定义。该协议使用两种不同类型的数据包来管理隧道和发送数据包。PPTP通过TCP端口1723建立TCP连接并发送和接收所有控制命令。对于数据传输，PPTP先使用PPP封装，再将PPP封装到一个IP类型为47的GRE数据包中，最后GRE数据包再被封装到一个IP数据包中通过隧道传输。如图所示。 PPTP协议的实现由PPTP接入集中器(PAC)和PPTP网络服务器(PNS)来分别执行，从而实现因特网上的VPN。其中，ISP的NAS将执行PPTP协议中指定的PAC的功能，企业VPN中心服务器将执行PNS的功能。教案内页教学

15、环节及时间分配教学过程（教学内容和教学方法）如图所示，远程拨号用户(如远程用户1)首先采用拨号方式接入到ISPNAS(PAC)建立PPP连接，然后接入Internet通过企业VPN服务器(PNS)访问企业的网络和应用，而不再直接拨号至企业的网络。这样，由GRE将PPP报文封装成的IP报文就可以在PAC-PNS之间经由因特网传递，即在PAC和PNS之间为用户的PPP会话建立了一条PPTP隧道(如PPTP隧道1)。由于所有的通信都将在IP包内通过隧道，因此PAC只起着通过PPP连接进因特网的入口点的作用。对于直接连接到Internet上的客户(如远程用户2)，可以直接与企业VPN服务器建立虚拟通道

16、(如PPTP隧道2)而不需要与ISP建立PPP连接。教案内页教学环节及时间分配教学过程（教学内容和教学方法）3）PPTP具有两种不同的工作模式，即被动模式和主动模式。 被动模式的PPTP：ISP为用户提供其拨号连接到ISP过程中所有的服务和帮助，而客户端则不需要安装任何与PPTP相关的软件。此模式的好处是降低了对客户的要求，缺点是限制了客户对因特网其他部分的访问。主动模式的PPTP：由客户建立一个与企业网络服务器直接连接的PPTP隧道，ISP只提供透明的传输通道而并不参与隧道的建立。此模式的优点是客户拥有对PPTP的绝对控制，缺点是对用户的要求较高，并需要在客户端安装支持PPTP的相应软件。如

17、图从安全性上来说，对于加密，PPTP使用Microsoft点对点加密算法(MPPE)，采用RC4加密程序。对于认证，PPTP使用Microsoft挑战握手认证协议(MS-CHAP)、口令认证协议(PAP)、挑战握手认证协议(CHAP)或扩展认证协议(EAP)来实现用户认证功能。但是，由于MS-CHAP是不安全的，因此大都认为PPTP不安全。后来，Microsoft在PPTP实现中采用了MS-CHAP V2，解决了其存在的安全问题。教案内页教学环节及时间分配教学过程（教学内容和教学方法）详细介绍第二层隧道协议（L2TP）四、 L2TP（约20分钟）第二层隧道协议(L2TP)是IETF起草，微软、

18、Cisco、3COM等公司参与的协议，在RFC 2661中对其进行了详细定义。该协议由PPTP与二层转发协议(L2F)的融合而形成，结合了两个协议的优点，是目前IETF的标准。其中，L2F是由Cisco公司提出的，可以在多种传输网络(如ATM、帧中继、IP网)上建立多协议的安全虚拟专用网的通信方式，主要用于Cisco的路由器和拨号访问服务器，能够将链路层的协议(HDLC、PPP等)封装起来传送。 和PPTP一样，L2TP通过对数据加密和对目的地址加密隐藏，在Internet网络上建立隧道，从而创建一种安全的连接来传送信息。L2TP消息可以分为两种类型，一种是控制信息，另一种是数据信息。控制信息

19、用于隧道和呼叫的建立、维护与清除。数据信息用于封装隧道传输的PPP数据帧。控制信息利用L2TP内部可靠的控制通道来保证传输，而数据信息一旦数据包丢失则不再重传。如图所示。L2TP在IP网络上的隧道控制信息以及数据使用相类似，通过UDP的1701端口承载于TCP/IP之上进行传输。教案内页教学环节及时间分配教学过程（教学内容和教学方法）教案内页教学环节及时间分配教学过程（教学内容和教学方法）叙述L2TP的建立过程分析L2TP协议的特性与PPTP类似，L2TP协议的实现也由两个设备来执行：一个是L2TP访问集中器(LAC)，另一个是L2TP网络服务器(LNS)。L2TP将隧道连接定义为一个LNS和

20、LAC对，其中LAC用于发起呼叫、接收呼叫和建立隧道，而LNS是远程系统通过L2TP建立的隧道传送PPP会话的逻辑终点。如图所示。1. L2TP的建立过程(1)远程用户通过PSTN或ISDN拨号至本地接入服务器LAC(LAC是连接的终点)；(2)LAC接收呼叫，认证用户是否合法，通过Internet、帧中继或ATM网络建立一个通向内部网(Home LAN)LNS的VPN隧道；(3)在隧道上传输PPP数据到达内部网络。在以上过程中，内部网提供地址分配、认证、计费等管理。 LAC客户端(运行L2TP的主机)可以直接接入内部网而不需要另外的LAC。在这种情况下，包含LAC客户端软件的主机必须已经连接

21、到公网上，然后建立一个“虚拟”PPP连接，使主机L2TP LAC客户端与LNS之间建立一个隧道。其地址分配、认证、授权和计费都由目标网络的管理域提供。LAC和LNS功能一般由为用户通过PSTN/ISDN拨入网络提供服务的网络接入服务器NAS提供。2. L2TP协议的特性(1)扩展性。为了在互通的基础上具有最大化扩展性，L2TP使用了统一的格式来对消息类型和主体进行编码，用AVP值对来表示。(2)可靠性。L2TP在控制信息的传输过程中，应用消息丢失重传和定时检测通道连通性等机制来保证传输的可靠性。而其数据消息的传输由于不采用重传机制，所以它无法保证传输的可靠性，但这一点可以通过上层协议如TCP等

22、得到保证。另外，L2TP在所有的控制信息中都采用序号来保证可靠传输，而数据信息可用序号来进行数据包的重排或用来检测丢失的数据包。(3)身份认证及保密性。L2TP继承了PPP的所有安全特性，不仅可以选择多种身份认证机制(CHAP、PAP等)，还可以对隧道端点进行认证。L2TP定义了控制包的加密传输，对每个隧道生成一个独一无二的随机密钥，以抵御欺骗性的攻击，但是它对传输中的数据不加密。根据特定的网络安全要求可以方便地在L2TP之上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。教案内页教学环节及时间分配教学过程（教学内容和教学方法）通过比较L2TP与PPTP的区别，让同学更加

23、了解VPN技术五、L2TP与PPTP的区别（约30分钟） 虽然L2TP是由PPTP发展起来的，都使用PPP协议对数据进行封装，然后添加附加报头用于数据在互联网络上的传输，但两者间仍有一定的区别：(1)从网络运行环境上来看，PPTP要求互联网络为IP网络，而L2TP可以在IP、帧中继、ATM等网络上使用。(2)从建立隧道的模式来看，PPTP只能在两端点间建立单一隧道，而L2TP支持在两端点间使用多隧道。因此，用户可以针对不同的服务质量使用L2TP创建不同的隧道。(3)从认证方式来看，L2TP可以提供隧道认证，而PPTP则不支持隧道认证。但是当L2TP或PPTP与IPSec共同使用时，可以由IPS

24、ec提供隧道验证，而不需要在第二层协议上验证隧道。(4)从数据包传输效率来看，L2TP合并了控制通道和数据通道，使用UDP协议来传输所有信息，因此，相对采用TCP协议传输数据的PPTP来说，效率更高，更容易通过防火墙。另一方面，PPTP支持通过NAT防火墙的操作，而L2TP则不能支持1.MPLS 多协议标记交换(MPLS)吸收了ATM的VPI/VCI交换思想，无缝集成了IP路由技术的灵活性和两层交换的简捷性，在面向无连接的IP网络中增加了MPLS这种面向连接的属性。通过采用MPLS建立“虚连接”的方法，为IP网增加了一些管理和运营的手段。随着网络技术的迅速发展，MPLS应用也逐步转向MPLS流

25、量工程和MPLS VPN等应用。MPLS的主要原理是为每个IP数据包提供一个标记，并由此标记决定数据包的路径以及优先级，使与MPLS兼容的路由器在将数据包转送到其路径之前，只需读取数据包标记，而无需读取每个数据包的IP地址和标头，然后将所传送的数据包置于帧中继或ATM的虚拟电路上，从而将数据包快速传送至终点路由器，减少了数据包的延迟，增加了网络传输的速度。同时由帧中继及ATM交换器所提供的服务质量(QoS)对所传送的数据包加以分级，因而大幅提升网络服务品质及提供更多样化的服务。因此，MPLS技术适合用于远程互联的大中型企业专用网络等对QoS、服务级别(CoS)、网络带宽、可靠性等要求高的VPN

26、业务。教案内页教学环节及时间分配教学过程（教学内容和教学方法）详细分析VPN的集成路由器集成VPN2.VPN集成 VPN在网络中的集成有很多方式，最常见的有路由器集成VPN、防火墙集成VPN和专用VPN设备在三种方式 。1）路由器集成VPN 现在一些路由器中已经配备了VPN模块，即路由器集成VPN，如下图所示。边缘路由器上集成VPN，访问过程如下：远程用户建立VPN到路由器。路由器将请求转发给NAS。NAS认证远程用户是否合法，若合法，则授权用户访问外部网。路由器集成VPN的设备仅适合小型网络而不适合大型网络，因为路由器本身的性能有限，若再加上加密/解密VPN信息带来的负担，则会使路由器超负荷

27、。因此，一般对企业用户来说，路由器集成VPN并不是一个很好的选取择。教案内页教学环节及时间分配教学过程（教学内容和教学方法）防火墙集成VPN 2）防火墙集成VPN防火墙集成VPN是应用广泛的模式，许多厂家的防火墙产品都具有VPN功能。由于防火墙本身具备较完善的记录功能，因此，在此基础上增加VPN记录不会给防火墙带来太大的额外负担。另外，防火墙也是网络的入口点，在此增加VPN功能将使用户能够访问网络而不用开放防火墙规则，以免增加安全漏洞。防火墙集成VPN如图所示。防火墙集成VPN访问过程与路由器集成VPN类似：远程用户建立VPN到防火墙防火墙将认证请求转发给NAS。NAS认证远程用户是否合法，若

28、合法，则防火墙授权用户访问内部网。防火墙集成VPN的模式可以获得设备中由防火墙部件提供的健壮的访问控制功能，给网络管理员提供了更多的控制权，使用户能够访问的网络资源部分被限定。但与路由器集成VPN一样，处理VPN加密/解密信息需要占用大量系统资源，如果防火墙本身负荷已经很重，则不适合选择此种模式。而且，防火墙集成VPN方案还有一个缺陷，就是在优化配置虚拟网和防火墙部件方面，选择余地非常小，因为最适合业务需要的防火墙产品可能与虚拟专用网不匹配。同时，集成方案还会使VPN和防火墙部件限制在一套系统上，使得配置方案不灵活。教案内页教学环节及时间分配教学过程（教学内容和教学方法）专业VPN设备 3）专

29、用VPN设备专用VPN设备最主要的优点就是减轻了路由器和防火墙管理VPN的负担，即使有再多的连接甚至过载，也不会影响网络的其他部分。专用VPN设备的另一个优点是增强了VPN访问的安全性，即使VPN被攻破，也可以使攻击者引起的破坏降低到最低，相比路由器和防火墙集成VPN而言，增强了网络安全性。专用VPN设备如图所示。专用VPN设备访问过程如下： 远程用户建立VPN到专用设备。 专用设备处理用户认证请求，或将请求转发给NAS 如果认证成功，则授权用户访问内部网，并且管理员还能够限定用户访问网络的哪部分资源。专用VPN设备与防火墙的组合主要有三种结构： 1)VPN设备在非军事区内，位于防火墙和路由器

30、之间此种模式最大的问题就是网络地址转换(NAT)。例如，用户发出的报文使用了IPSec的AH进行认证，在报文到达目标网络虚拟网设备时，由于还没通过防火墙进行地址转换，教案内页教学环节及时间分配教学过程（教学内容和教学方法）与学生一起回顾知识点。因此不能通过目标网络VPN的完整性校验。这是因为在发送端的NAT设备在对报文处理时修改了报文的源地址，从而导致接收端的VPN连接不能通过消息摘要认证。2)VPN设备在防火墙之后，位于屏蔽子网或网络内部此种模式的问题是地址管理，有些虚拟专用网规范要求给虚拟专用网设备配置一个合法的IP地址，如果IP地址被NAT地址改定后，可能会引起IPSec的IKE阶段失败

31、。3)VPN设备在防火墙之前，更靠近Internet一些，此种模式要以避免潜在的网络地址转换和地址管理上出现的问题，但由于不能得到防火墙的保护，如果VPN端点的系统受到损害，可能使攻击者访问到应该受VPN保护的信息。总之，专用VPN设备为稳固和可升级方案的实现提供了很好的解决方法，而且不影响网络的其他部分，具备许多优点。但是专用VPN也有一些缺点，因为它是额外的网络设备，所以也需要对它进行管理和监控。另外，VPN设备及软件的管理和漏洞也要加强防范，同时还要防止由于在防火墙中要通过VPN而创建的连接可能引起的安全问题。最后，专用VPN设备的使用也会使网络成本提高。因此，选择哪一种VPN端接方式需要对所有的方案及网络潜在流量进行彻底的评估，才能找到最适合的解决方案。【教学小结】（约3分钟）1. 构建虚拟专用网VPN ；2. 路由器端连接VPN； 3. 防火墙端连接VPN；4. 专业设备连接VPN；【作业布置】（约2分钟）1构建一个路由器端连接VPN。2预习下次课的内容。审核： 年 月 日