计算机网络安全-沈鑫剡-第6章资料.ppt

《计算机网络安全-沈鑫剡-第6章资料.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全-沈鑫剡-第6章资料.ppt（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全计算机网络安全-沈鑫剡-第6章虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全6.1 虚拟专用网络概述虚拟专用网络概述nVPN发展过程；发展过程；nVPN安全机制。安全机制。一个大型企业的企业内部网络往往由物理一个大型企业的企业内部网络往往由物理上分散的多个子网组成，实现各个子网互上分散的多个子网组成，实现各个子网互连的基本原则是安全、方便和节省，虚拟连的基本原则是安全、方便和节省，虚拟专用网络（专用网络（VPN）技术就是一种安全、方）

2、技术就是一种安全、方便和节省地实现物理上分散的多个子网互便和节省地实现物理上分散的多个子网互连的技术。连的技术。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全VPN发展过程发展过程n使用本地地址；使用本地地址；n专用点对点链路互连；专用点对点链路互连；n数据在内部网络内传输；数据在内部网络内传输；n分组交换结点完全属于内部网络；分组交换结点完全属于内部网络；n网络资源由单一单位管理。网络资源由单一单位管理。专用网用网络结构构缺点：互缺点：互连子网的子网的专用点用点对点物理点物理链路的低效率、路的低效率、高高费用和不方便。用和不方便。虚拟

3、专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n由于虚电路经过分组交换结点，数据传输的安全性无法保证；由于虚电路经过分组交换结点，数据传输的安全性无法保证；n建立虚电路时，可以为虚电路预留资源，如物理链路带宽，因此，子网间传输带宽建立虚电路时，可以为虚电路预留资源，如物理链路带宽，因此，子网间传输带宽有基本保证；有基本保证；n由于虚电路采用分组交换方式，每一条虚电路的通信费用比点对点专用链路便宜；由于虚电路采用分组交换方式，每一条虚电路的通信费用比点对点专用链路便宜；n对于对于IP网络，虚电路属于链路层，因此，不影响使用本地地址；网络，虚电

4、路属于链路层，因此，不影响使用本地地址；n提供虚电路服务的城市受到限制，因此，子网所在地域也受到限制，方便性受到影提供虚电路服务的城市受到限制，因此，子网所在地域也受到限制，方便性受到影响。响。VPN发展过程发展过程基于虚基于虚电路的路的VPN结构构虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全nIP隧道是基于隧道是基于IP网络的虚拟点对点链路，用于传输用本地地址封装的网络的虚拟点对点链路，用于传输用本地地址封装的IP分组；分组；n由于由于IP隧道和其他端到端传输路径共享分组交换结点和物理链路，因此，传输安隧道和其他端到端传输路径共享分

5、组交换结点和物理链路，因此，传输安全性不能保证；全性不能保证；nIP网络是尽力而为网络，不能保证子网间传输质量（带宽、传输时延、时延抖动网络是尽力而为网络，不能保证子网间传输质量（带宽、传输时延、时延抖动等不能确定）；等不能确定）；nIP网络的广泛性使得子网间互连不仅便宜，而且方便。网络的广泛性使得子网间互连不仅便宜，而且方便。VPN发展过程发展过程用用IP隧道互隧道互连子网的子网的VPN结构构虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n正常的拨号接入需要建立远程接入用户和路由器之间的点对点语音信道，如果两者正常的拨号接入需要建立远

6、程接入用户和路由器之间的点对点语音信道，如果两者相距甚远，通信费用很贵；相距甚远，通信费用很贵；n终端接入终端接入Internet，路由器也接入，路由器也接入Internet，终端和路由器之间建立基于，终端和路由器之间建立基于IP网络的网络的第第2层隧道，该隧道等同于语音信道这样的点对点链路；层隧道，该隧道等同于语音信道这样的点对点链路；n由于远程接入用户接入内部网络时，需要由路由器通过由于远程接入用户接入内部网络时，需要由路由器通过PPP完成远程接入用户身份完成远程接入用户身份认证、内部网络本地地址分配等接入控制功能，第认证、内部网络本地地址分配等接入控制功能，第2层隧道提供层隧道提供PPP

7、要求的点对点要求的点对点传输服务。传输服务。VPN发展过程发展过程虚虚拟接入网接入网络（）自愿隧道（）自愿隧道虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n自愿隧道是终端先接入自愿隧道是终端先接入Internet，然后建立基于，然后建立基于IP网络的终端和内部网络路由器网络的终端和内部网络路由器之间的第之间的第2层隧道，最后，通过第层隧道，最后，通过第2层隧道提供的等同于语音信道的传输服务，层隧道提供的等同于语音信道的传输服务，路由器通过路由器通过PPP完成终端接入内部网络所要求的接入控制过程；完成终端接入内部网络所要求的接入控制过程

8、；n当终端建立和当终端建立和LAC之间的语音信道，并确定远程接入用户要求接入内部网络，之间的语音信道，并确定远程接入用户要求接入内部网络，由由LAC建立和路由器之间的第建立和路由器之间的第2层隧道，并在远程接入用户和路由器之间完成层隧道，并在远程接入用户和路由器之间完成PPP帧的中继过程，对于帧的中继过程，对于LAC和路由器之间的第和路由器之间的第2层隧道，远程接入用户是透明层隧道，远程接入用户是透明的。的。VPN发展过程发展过程虚虚拟接入网接入网络（）（）强制隧道制隧道虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n多个以太网通过边缘

9、路由器（多个以太网通过边缘路由器（CE）接入）接入Internet，但这几个以太网不是由路由器互，但这几个以太网不是由路由器互连的独立的网络，而是能够提供单个以太网服务的虚拟专用局域网；连的独立的网络，而是能够提供单个以太网服务的虚拟专用局域网；n这里的关键点是这里的关键点是CE和和CE之间的第之间的第2层隧道，对于层隧道，对于IP网络，网络，CE是路由器，用于转发是路由器，用于转发第第2层隧道格式的层隧道格式的IP分组，对于物理上分散的多个以太网，分组，对于物理上分散的多个以太网，CE是网桥，一端连接本是网桥，一端连接本地以太网，另一端通过等同于虚拟线路的第地以太网，另一端通过等同于虚拟线路

10、的第2层隧道连接其他以太网；层隧道连接其他以太网；n终端终端A、B和和C是连接在同一个以太网上三个终端，分配网络地址相同的是连接在同一个以太网上三个终端，分配网络地址相同的IP地址。地址。VPN发展过程发展过程VPLS网网络结构构虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全VPN安全机制安全机制n用用IP网络实现互连的网络实现互连的VPN一般采用隧道机一般采用隧道机制；制；n建立隧道时，对隧道两端进行认证，并约建立隧道时，对隧道两端进行认证，并约定类似加密算法、完整性检测算法、密钥定类似加密算法、完整性检测算法、密钥等安全参数；等安全

11、参数；n经过隧道传输的数据进行加密运算，接收经过隧道传输的数据进行加密运算，接收端进行完整性检测和发送端认证。端进行完整性检测和发送端认证。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全6.2 点对点点对点IP隧道隧道n网络结构；网络结构；nIP分组传输机制；分组传输机制；n安全机制。安全机制。多个子网通过点对点多个子网通过点对点IP隧道实现互连，由于这些子隧道实现互连，由于这些子网使用本地地址，因此，必须先封装成以隧道两端网使用本地地址，因此，必须先封装成以隧道两端全球全球IP地址为源和目的地址的隧道格式，为了安全地址为源和目的地址的

12、隧道格式，为了安全传输，隧道两端建立双向的安全关联，经过隧道传传输，隧道两端建立双向的安全关联，经过隧道传输的数据，采用输的数据，采用IPSec隧道模式，通过加密和完整隧道模式，通过加密和完整性检测实现数据经过隧道的安全传输。性检测实现数据经过隧道的安全传输。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全网络结构网络结构n三个子网三个子网LAN1、LAN2和和LAN3使用本地地址；使用本地地址；n路由器路由器R1、R2和和R3是边缘路由器，一端连接本地子网，一端连接是边缘路由器，一端连接本地子网，一端连接Internet；n建立边缘路由

13、器之间的建立边缘路由器之间的IP隧道，隧道两端是边缘路由器连接隧道，隧道两端是边缘路由器连接Internet端口；端口；n边缘路由器其中一个子网是直接连接，另两个子网通过隧道连接下一跳，由于隧道边缘路由器其中一个子网是直接连接，另两个子网通过隧道连接下一跳，由于隧道等同于点对点链路，无需给出下一跳等同于点对点链路，无需给出下一跳IP地址。对于隧道格式，目的地址对应的下一地址。对于隧道格式，目的地址对应的下一跳是跳是Internet中连接边缘路由器的路由器。中连接边缘路由器的路由器。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全IP分组传

14、输机制分组传输机制n当终端当终端A向服务器向服务器B发送发送IP分组时，终端分组时，终端A构建以终端构建以终端A和服务器和服务器B本地地址为源本地地址为源和目的和目的IP地址的地址的IP分组，根据终端分组，根据终端A配置默认网关，将配置默认网关，将IP分组发送给分组发送给R1；nR1根据服务器根据服务器BIP地址确定通过隧道地址确定通过隧道1将将IP分组传输给下一跳；分组传输给下一跳；nIP分组被封装为以隧道分组被封装为以隧道1两端全球两端全球IP地址为源和目的地址的隧道格式，经过地址为源和目的地址的隧道格式，经过IP网网络，将隧道格式传输给络，将隧道格式传输给R2；nR2从隧道格式中分离出从

15、隧道格式中分离出IP分组，根据服务器分组，根据服务器B地址，确定服务器地址，确定服务器B直接连接直接连接R2端口端口2连接的本地网络上，通过端口连接的本地网络上，通过端口2转发转发IP分组。分组。目的网目的网络输出端口下一跳出端口下一跳192.1.2.0/24 隧道隧道1200.1.2.1/32 2 200.1.1.2目的网目的网络输出端口下一跳出端口下一跳192.1.2.0/24 1 直接直接R1R2隧道隧道1虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全安全机制安全机制n认证发送端身份的过程如下：用证书证明用户名认证发送端身份的过程

16、如下：用证书证明用户名R1和公钥和公钥PKR1的绑定，然的绑定，然后，证实自己拥有公钥后，证实自己拥有公钥PKR1和对应的私钥和对应的私钥SKR1，以此证实自己就是，以此证实自己就是R1；n发送者将明文发送者将明文P的报文摘要用私钥解密运算后生成数字签名；的报文摘要用私钥解密运算后生成数字签名；n如果接收者用公钥如果接收者用公钥PKR1加密数字签名后得到的结果和接收者对明文加密数字签名后得到的结果和接收者对明文P报文报文摘要运算后得到的结果相同，针织证实发送者就是摘要运算后得到的结果相同，针织证实发送者就是R1。数字数字签名名认证身份身份过程程虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计

17、算机网络安全计算机网络安全计算机网络安全计算机网络安全n为了安全传输建立安全关联时相互交换的信息，需要事先建立安全传输通道，为了安全传输建立安全关联时相互交换的信息，需要事先建立安全传输通道，建立安全传输通道的过程就是双方约定安全参数的过程；建立安全传输通道的过程就是双方约定安全参数的过程；n这里，双方约定用这里，双方约定用DESDES作为加密解密算法，用数字签名技术实现发送者身份作为加密解密算法，用数字签名技术实现发送者身份认证和消息完整性检测，认证和消息完整性检测，通过通过Diffie-HellmanDiffie-Hellman密钥交换算法生成密钥，交密钥交换算法生成密钥，交换公钥时，用数

18、字签名技术进行发送者身份认证和消息完整性检测。换公钥时，用数字签名技术进行发送者身份认证和消息完整性检测。安全机制安全机制双方双方协商加密算法、商加密算法、认证机制和完整性机制和完整性检测机机制。制。双方根据双方根据Diffie-Hellman密密钥交交换算法算法生成密生成密钥，用数字，用数字签名名技技术实现发送者身份送者身份认证和消息完整性和消息完整性检测。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n建立安全关联过程就是完成双方身份认证、约定安全传输数据相关的安建立安全关联过程就是完成双方身份认证、约定安全传输数据相关的安全参数的

19、过程；全参数的过程；n由于建立安全传输通道时已经完成了双方身份认证，并且可以对经过安由于建立安全传输通道时已经完成了双方身份认证，并且可以对经过安全传输通道传输的数据进行加密、发送者身份认证和完整性检测；全传输通道传输的数据进行加密、发送者身份认证和完整性检测；n为建立的安全关联约定的安全参数是：为建立的安全关联约定的安全参数是：AES加密解密算法、加密解密算法、HMAC-MD5-96完整性检测机制、完整性检测机制、ESP安全协议和目的端选择的安全协议和目的端选择的SPI。安全机制安全机制双方双方协商加密算法、商加密算法、完整性完整性检测机制、机制、安全安全协议和目的端和目的端选择的的SPI。

20、双方根据双方根据Diffie-Hellman密密钥交交换算法生成密算法生成密钥。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n建立建立R1至至R2的安全关联的安全关联后，后，R1传输给传输给R2的数据的数据进行安全处理；进行安全处理；n由于由于R1至至R2的安全关联的安全关联采用隧道模式，整个内采用隧道模式，整个内层层IP分组作为分组作为ESP净荷；净荷；n根据根据ESP操作过程，先操作过程，先对对ESP净荷和尾部进行净荷和尾部进行加密，然后对加密，然后对ESP首部首部和成为密文的和成为密文的ESP净荷净荷和尾部计算消息认证码；和尾部

21、计算消息认证码；n整个整个ESP报文作为隧道报文作为隧道格式的净荷，外层格式的净荷，外层IP首首部中的源和目的部中的源和目的IP地址地址是隧道两端的是隧道两端的IP地址。地址。安全机制安全机制虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全6.3 虚拟接入网络虚拟接入网络n网络结构；网络结构；n第第2层隧道和第层隧道和第2层隧道协议；层隧道协议；n远程接入用户接入内部网络过程；远程接入用户接入内部网络过程；n数据传输过程；数据传输过程；n安全机制；安全机制；n虚拟接入网络自愿隧道。虚拟接入网络自愿隧道。虚拟接入网络是指实现用户通过虚拟接入

22、网络是指实现用户通过IP网络网络远程接入内部网络远程接入内部网络的网络结构，访问内部网络必须分配本地地址、实现数据的网络结构，访问内部网络必须分配本地地址、实现数据的安全传输、对接入用户进行身份认证，但由于远程接入的安全传输、对接入用户进行身份认证，但由于远程接入用户和内部网络之间存在经过用户和内部网络之间存在经过IP网络网络的传输路径，对实现的传输路径，对实现上述功能带来了一定的困难。上述功能带来了一定的困难。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全网络结构网络结构n远程用户拨号接入内部网络的机制如下：首先建立远程接入用户和路由

23、器之间的远程用户拨号接入内部网络的机制如下：首先建立远程接入用户和路由器之间的语音信道；然后由路由器通过语音信道；然后由路由器通过PPP完成远程接入用户的身份认证、本地完成远程接入用户的身份认证、本地IP地址分地址分配；最后将配；最后将IP分组封装成分组封装成PPP帧实现远程接入用户和路由器之间的通信；帧实现远程接入用户和路由器之间的通信；n虚拟接入网络和拨号接入网络最大不同在于远程接入用户和路由器之间传输路径虚拟接入网络和拨号接入网络最大不同在于远程接入用户和路由器之间传输路径并非是单一的语音信道，包含着并非是单一的语音信道，包含着IP网络传输路径，而且为了使路由器可以用基于网络传输路径，而

24、且为了使路由器可以用基于点对点物理链路的点对点物理链路的PPP完成对远程接入用户的身份认证和本地完成对远程接入用户的身份认证和本地IP地址分配，必须地址分配，必须使远程接入用户和路由器之间的传输通路提供使远程接入用户和路由器之间的传输通路提供PPP帧的传输服务。帧的传输服务。虚虚拟接入网接入网络结构构虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全第第2层隧道和第层隧道和第2层隧道协议层隧道协议n第第2层隧道的含义是传输第层隧道的含义是传输第2层帧的隧道，由于直接用物层帧的隧道，由于直接用物理层提供的服务实现第理层提供的服务实现第2层帧的

25、传输，因此，第层帧的传输，因此，第2层隧道层隧道呈现物理层的服务特性；呈现物理层的服务特性；n第第2层帧作为净荷可以封装成任何一层的层帧作为净荷可以封装成任何一层的PDU，只是按照，只是按照网络体系结构，第网络体系结构，第2层帧用于传输网际层层帧用于传输网际层PDU，如果第，如果第2层帧又作为层帧又作为IP分组的净荷的话，封装过程中增加的控制分组的净荷的话，封装过程中增加的控制信息开销会变得很大，违背了层次结构单向调用的原则；信息开销会变得很大，违背了层次结构单向调用的原则；n第第2层隧道实际上就是用层隧道实际上就是用IP分组的封装形式传输第分组的封装形式传输第2层帧，层帧，这是无法或者不愿建

26、立远距离点对点物理连接，但又需这是无法或者不愿建立远距离点对点物理连接，但又需要远距离传输要远距离传输PPP帧的情况下采取的折中措施；帧的情况下采取的折中措施；n相同的两端可能需要建立多条第相同的两端可能需要建立多条第2层隧道，因此，无法仅层隧道，因此，无法仅仅用第仅用第2层隧道两端的层隧道两端的IP地址唯一标识第地址唯一标识第2层隧道。层隧道。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n第第2层隧道报文就是将层隧道报文就是将PPP帧作为净荷的帧作为净荷的IP分组；分组；n隧道两端的源和目的隧道两端的源和目的IP地址无法唯一标识隧道

27、，需要增加隧道标识符地址无法唯一标识隧道，需要增加隧道标识符会话标识符，会话标识符，Cookie是可选的隧道标识符（会话标识符的补充）；是可选的隧道标识符（会话标识符的补充）；n为了呈现点对点物理链路特性，接收端可以只接收按序到达的第为了呈现点对点物理链路特性，接收端可以只接收按序到达的第2层隧道层隧道报文，序号就用于鉴别按序到达或者重复的第报文，序号就用于鉴别按序到达或者重复的第2层隧道报文，标志字段用层隧道报文，标志字段用于表明是否需要序号字段。于表明是否需要序号字段。第第2层隧道和第层隧道和第2层隧道协议层隧道协议PPP帧封装成第封装成第2层隧道隧道报文文过程程虚拟专用网络虚拟专用网络虚

28、拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n建立控制连接的目的一是可靠传输建建立控制连接的目的一是可靠传输建立第立第2层隧道所需要的控制消息，二是层隧道所需要的控制消息，二是协商双方支持的虚拟线路类型，三是协商双方支持的虚拟线路类型，三是认证双方身份，认证双方身份的机制认证双方身份，认证双方身份的机制是双方配置共享密钥，用共享密钥计是双方配置共享密钥，用共享密钥计算消息认证码（算消息认证码（HAMC），即报文摘），即报文摘要；要；n可靠传输采用确认应答和重传机制，可靠传输采用确认应答和重传机制，发送序号（发送序号（NS）和接收序号（）和接收序号（NR）用于签

29、别重复接收的控制消息和对正用于签别重复接收的控制消息和对正确接收的控制消息进行确认应答；确接收的控制消息进行确认应答；n连接标识符只有本地意义，通过控制连接标识符只有本地意义，通过控制连接传输的控制消息必须携带对应的连接传输的控制消息必须携带对应的连接标识符。连接标识符。第第2层隧道和第层隧道和第2层隧道协议层隧道协议虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n建立第建立第2层隧道过程就是双方层隧道过程就是双方协商虚拟线路类型和会话标协商虚拟线路类型和会话标识符（如果需要，包含识符（如果需要，包含Cookie）的过程；）的过程；n传

30、输控制消息过程中可以通传输控制消息过程中可以通过消息认证码认证发送者身过消息认证码认证发送者身份，对控制消息进行完整性份，对控制消息进行完整性检测。检测。第第2层隧道和第层隧道和第2层隧道协议层隧道协议虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全远程接入用户接入内部网络过程远程接入用户接入内部网络过程虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n这是虚拟接入网络强制隧道，当这是虚拟接入网络强制隧道，当LAC确定用户名和口令后，确定确定用户名和口令后，确定远程接入用户需要和内部

31、网络路由器进行接入过程；远程接入用户需要和内部网络路由器进行接入过程；nLAC建立和路由器之间的第建立和路由器之间的第2层隧道，将第层隧道，将第2层隧道与连接远程接入层隧道与连接远程接入用户的语音信道交接在一起，通过第用户的语音信道交接在一起，通过第2层隧道发送来自远程接入用户层隧道发送来自远程接入用户的的PPP帧；帧；n路由器完成接入控制过程后，为远程接入用户分配本地路由器完成接入控制过程后，为远程接入用户分配本地IP地址，建地址，建立路由项，路由项指明路由器直接通过点对点链路和远程接入用户立路由项，路由项指明路由器直接通过点对点链路和远程接入用户相连，只是点对点链路是第相连，只是点对点链路

32、是第2层隧道，路由表中需要给出用于指明通层隧道，路由表中需要给出用于指明通往隧道另一端的传输路径的路由项；往隧道另一端的传输路径的路由项；n同样。同样。LAC也需要在路由表中给出用于指明通往隧道另一端的传输也需要在路由表中给出用于指明通往隧道另一端的传输路径的路由项；路径的路由项；nLAC的双层功能：对于远程接入用户和路由器之间用于传输的双层功能：对于远程接入用户和路由器之间用于传输PPP帧帧的点对点链路，的点对点链路，LAC是物理层中继设备，用于实现语音信道和第是物理层中继设备，用于实现语音信道和第2层层隧道的交接和转换。对于第隧道的交接和转换。对于第2层隧道，它是层隧道，它是IP终端设备，

33、一是需要给终端设备，一是需要给出用于指明通往隧道另一端的传输路径的路由项，二是需要完成出用于指明通往隧道另一端的传输路径的路由项，二是需要完成PPP帧隧道格式的封装过程。帧隧道格式的封装过程。远程接入用户接入内部网络过程远程接入用户接入内部网络过程虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全数据传输过程数据传输过程n远程接入用户远程接入用户A生成发送给服务器的生成发送给服务器的IP分组，由于连接下一跳是点对点物理链路，因分组，由于连接下一跳是点对点物理链路，因而将而将IP分组封装成分组封装成PPP帧；帧；nPPP帧在帧在LAC被封装成

34、第被封装成第2层隧道报文，通过基于层隧道报文，通过基于IP网络的第网络的第2层隧道传输给路由器；层隧道传输给路由器；n路由器从第路由器从第2层隧道报文中分离出层隧道报文中分离出PPP帧，从帧，从PPP帧中分离出帧中分离出IP分组，将分组，将IP分组转发分组转发给服务器。给服务器。InternetPPP帧193.1.2.5193.1.1.1100.1.1.1100.1.2.1PPP帧193.1.2.5193.1.1.1远程接入用程接入用户ALAC路由器路由器服服务器器虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全安全机制安全机制nESP封

35、装过程与点对点封装过程与点对点IP隧道基本相同；隧道基本相同；n第第2层隧道格式首先被封装成层隧道格式首先被封装成UDP报文，报文，由于由于UDP报文作为报文作为ESP报文净荷，这种封报文净荷，这种封装形式是运输模式。装形式是运输模式。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全虚拟接入网络自愿隧道虚拟接入网络自愿隧道虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n自愿隧道方式下，远程接入用户接入自愿隧道方式下，远程接入用户接入Internet的的方式不限，可以采用各种接入网络

36、如方式不限，可以采用各种接入网络如ADSL、以、以太网等接入太网等接入Internet，这里采用拨号接入方式；，这里采用拨号接入方式；n远程接入用户和路由器是第远程接入用户和路由器是第2层隧道的两端，层隧道的两端，LAC的作用一是远程接入用户接入的作用一是远程接入用户接入Internet的接的接入控制设备，二是远程接入用户至路由器入控制设备，二是远程接入用户至路由器IP网络网络传输路径上的一个路由器，用于转发双方交换的传输路径上的一个路由器，用于转发双方交换的数据；数据；n对于对于LNS，远程接入用户是其直接用点对点链路，远程接入用户是其直接用点对点链路连接的终端，另一方面，连接的终端，另一方

37、面，LNS必须给出用于指明必须给出用于指明通往第通往第2层隧道另一端的传输路径的路由项。层隧道另一端的传输路径的路由项。虚拟接入网络自愿隧道虚拟接入网络自愿隧道虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n远程接入用户第一次将远程接入用户第一次将IP分组封装成分组封装成PPP帧的原因是远程接入用户通过点对点链帧的原因是远程接入用户通过点对点链路（第路（第2层隧道）直接连接下一跳；层隧道）直接连接下一跳；nPPP帧经过第帧经过第2层隧道传输时，需要封装成第层隧道传输时，需要封装成第2层隧道报文；层隧道报文；n第第2层隧道报文经过层隧道报

38、文经过IP网络传输时，就是以远程接入用户和路由器全球网络传输时，就是以远程接入用户和路由器全球IP地址为地址为源和目的源和目的IP地址的地址的IP分组，该分组，该IP分组由于经过语音信道传输给分组由于经过语音信道传输给LAC，需要封装成，需要封装成PPP帧。帧。InternetPPP帧193.1.2.5193.1.1.1100.1.1.1100.1.2.1PPP帧193.1.2.5193.1.1.1远程接入用程接入用户ALAC路由器路由器服服务器器PPP帧100.1.1.1100.1.2.1虚拟接入网络自愿隧道虚拟接入网络自愿隧道数据数据传输过程程虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网

39、络计算机网络安全计算机网络安全计算机网络安全计算机网络安全6.4 虚拟专用局域网服务虚拟专用局域网服务n网络结构；网络结构；n数据传输过程。数据传输过程。虚拟专用局域网服务是指多个物理上分散的虚拟专用局域网服务是指多个物理上分散的以太网通过以太网通过IP网络互连，这些以太网所提供网络互连，这些以太网所提供的服务就像单一以太网所提供的服务。的服务就像单一以太网所提供的服务。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全网络结构网络结构虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n

40、终端终端A和终端和终端E虽然连接在通过虽然连接在通过IP网络互连的两个不同的网络互连的两个不同的以太网上，但它们可以像连接在同一个以太网一样直接以太网上，但它们可以像连接在同一个以太网一样直接通信，即可以直接传输以通信，即可以直接传输以MAC A和和MAC E为源和目的为源和目的MAC地址的地址的MAC帧；帧；n对于以太网对于以太网CE1和和CE2就像是用线缆（电缆或光缆）直就像是用线缆（电缆或光缆）直接连接的两个网桥，第接连接的两个网桥，第2层隧道就是线缆，实现层隧道就是线缆，实现MAC帧帧两个网桥之间的通信；两个网桥之间的通信；n对于第对于第2层隧道，层隧道，CE1和和CE2是两个是两个I

41、P网络终端设备，需网络终端设备，需要指出通往隧道另一端的传输路径的路由项，需要将经要指出通往隧道另一端的传输路径的路由项，需要将经过第过第2层隧道传输的层隧道传输的MAC帧封装成以隧道两端帧封装成以隧道两端IP地址为源地址为源和目的和目的IP地址第地址第2层隧道报文。层隧道报文。网络结构网络结构虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n为每一个为每一个VALN单独建立第单独建立第2层隧道，层隧道，因此，第因此，第2层隧道就像是一个非标记端层隧道就像是一个非标记端口。口。网络结构网络结构将将VLAN标识符：符：1和会和会话标识符：符

42、：678 789绑定在一定在一起。起。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全数据传输过程数据传输过程n终端终端A构建以构建以MAC A为源为源MAC地址，地址，MAC B为目的为目的MAC地址的地址的MAC帧，将帧，将MAC帧发送给交换机帧发送给交换机S1，S1根据接收端口确认根据接收端口确认MAC帧属于帧属于VLAN 1，从标记端口端，从标记端口端口口5转发该转发该MAC帧时，带上帧时，带上VLAN标识符：标识符：1；nCE1通过端口通过端口1接收到接收到MAC帧，根据帧，根据MAC帧携带的帧携带的VLAN标识符：标识符：1确

43、定该确定该MAC帧帧属于属于VLAN 1，由于连接转发端口的是第，由于连接转发端口的是第2层隧道，因此，层隧道，因此，MAC帧被封装成第帧被封装成第2层隧层隧道报文，建立第道报文，建立第2层隧道报文时已经将层隧道报文时已经将VLAN 1和会话标识符：和会话标识符：789绑定在一起，因绑定在一起，因此，第此，第2层隧道报文的会话标识符是层隧道报文的会话标识符是789；nCE2接收到第接收到第2层隧道报文，从中分离出层隧道报文，从中分离出MAC帧，根据会话标识符帧，根据会话标识符789确定该确定该MAC帧属于帧属于VLAN 1，由于，由于MAC帧的帧的VLAN 标识符为标识符为1，将，将MAC帧从端口帧从端口2转发出去，转发出去，MAC帧经过交换机帧经过交换机S2转发，到达终端转发，到达终端B。Internet1MAC A MAC B100.1.1.1100.1.2.17891MAC A MAC B终端端A终端端BCE1VLAN 1789789 VLAN 1CE2虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全此课件下载可自行编辑修改，仅供参考！此课件下载可自行编辑修改，仅供参考！感谢您的支持，我们努力做得更好！谢谢感谢您的支持，我们努力做得更好！谢谢