信息安全系统工程VPN和IPSEC.ppt

《信息安全系统工程VPN和IPSEC.ppt》由会员分享，可在线阅读，更多相关《信息安全系统工程VPN和IPSEC.ppt（113页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、一、VPN概述概述n nVPNVirtual Private Network，虚拟专用网。n nVPN是将物理上分布在不同地点的网络通过公用骨干网（尤其是Internet）连接而成的逻辑上的虚拟子网。n n为了保障信息安全，VPN技术采用了鉴别、访问控制、保密性、完整性等措施，以防止信息被泄露、篡改和复制。2021/9/241Virtual、Private、Networkn nVirtualn n针对传统的针对传统的“专用网络专用网络”而言。而言。n n传统的专用网络往往需要建立自己的物理专用传统的专用网络往往需要建立自己的物理专用线路（如长途拨号或专线服务），而线路（如长途拨号或专线服务

2、），而VPNVPN则是则是利用公共网络资源和设备建立一个利用公共网络资源和设备建立一个逻辑上的专逻辑上的专用通道。用通道。n n尽管没有自己的专用线路，但是这个逻辑上的尽管没有自己的专用线路，但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。专用通道却可以提供和专用网络同样的功能。2021/9/242Virtual、Private、Network（续）（续）n nPrivatePrivaten n表示表示VPNVPN是被特定企业或用户私有的，并不是任何公是被特定企业或用户私有的，并不是任何公共网络上的用户都能够使用已经建立的共网络上的用户都能够使用已经建立的VPNVPN通道，而通道，而是

3、只有经过授权的用户才能使用。是只有经过授权的用户才能使用。n n在在VPNVPN通道内传输的数据经过了加密和认证，从而保通道内传输的数据经过了加密和认证，从而保证了传输内容的机密性和完整性。证了传输内容的机密性和完整性。n nNetworkNetworkn n表示表示VPNVPN是一种专门的组网技术和服务，企业为了建是一种专门的组网技术和服务，企业为了建立和使用立和使用VPNVPN，必须购买和配备相应的网络设备。，必须购买和配备相应的网络设备。2021/9/243VPN的类型的类型n nVPN主要有三种类型：n nAccess VPNAccess VPN：远程访问：远程访问VPNVPN；n n

4、Intranet VPNIntranet VPN：企业内部：企业内部VPNVPN；n nExtranet VPNExtranet VPN：企业扩展：企业扩展VPNVPN。2021/9/244Access VPNn nAccess VPNAccess VPN即移动即移动VPNVPN，适用于企业内部人员出差或远程，适用于企业内部人员出差或远程办公的情况，对应于传统的远程访问网络。办公的情况，对应于传统的远程访问网络。n n外地员工利用当地的外地员工利用当地的ISPISP（Internet Service ProviderInternet Service Provider）接入）接入Internet

5、Internet，就可以和企业，就可以和企业VPNVPN网关建立私有的隧道连接。网关建立私有的隧道连接。2021/9/245Access VPN（续）（续）n n在传统方式中，在企业网络内部需要架设一个在传统方式中，在企业网络内部需要架设一个拨号服务器拨号服务器作为作为RASRAS（Remote Access ServerRemote Access Server），用户通过拨号到该），用户通过拨号到该RASRAS来访问企业内部网来访问企业内部网n n这种方式需要购买专门的这种方式需要购买专门的RASRAS设备，价格昂贵；用户只能进设备，价格昂贵；用户只能进行拨号，也不能保证通信安全，而且对于远

6、程用户可能要支行拨号，也不能保证通信安全，而且对于远程用户可能要支付昂贵的长途拨号费用付昂贵的长途拨号费用。n nAccess VPNAccess VPN通过拨入当地的通过拨入当地的ISPISP进入进入InternetInternet再连接企业再连接企业的的VPNVPN网关，在用户和网关，在用户和VPNVPN网关之间建立一个安全的网关之间建立一个安全的“隧隧道道”，通过该隧道安全地访问远程的内部网，这样既节省，通过该隧道安全地访问远程的内部网，这样既节省了通信费用，能保证安全性。了通信费用，能保证安全性。2021/9/246Intranet VPNn n如果要进行企业内部异地分支机构之间的互联

7、，如果要进行企业内部异地分支机构之间的互联，可以使用可以使用Intranet VPNIntranet VPN，即，即网关对网关网关对网关VPNVPN。n nIntranet VPNIntranet VPN在异地两个网络的网关之间建立了在异地两个网络的网关之间建立了一个加密的一个加密的VPNVPN隧道，两端的内部网络可以通过隧道，两端的内部网络可以通过该该VPNVPN隧道安全地进行通信，就隧道安全地进行通信，就好像和本地网络好像和本地网络通信一样通信一样。n nIntranet VPNIntranet VPN利用公共网络（如利用公共网络（如InternetInternet）连接企）连接企业总部、

8、远程办事处和分支机构，企业拥有和专业总部、远程办事处和分支机构，企业拥有和专用网络相同的策略，包括安全、服务质量、可管用网络相同的策略，包括安全、服务质量、可管理性和可靠性等。理性和可靠性等。2021/9/247Intranet VPN（续）（续）内部内部IP，如：，如：192.168.1.1内部内部IP，如：，如：192.168.1.100好像可直接通好像可直接通过内部过内部IP通信通信公网公网IP公网公网IP采用隧道协议采用隧道协议采用隧道协议采用隧道协议（如（如（如（如IP over IPIP over IP）进行传输，用进行传输，用进行传输，用进行传输，用公网公网公网公网IPIP报文承

9、载报文承载报文承载报文承载内部内部内部内部IPIP报文报文报文报文2021/9/248Extranet VPNn n如果企业希望将客户、供应商、合作伙伴连接到企业内部如果企业希望将客户、供应商、合作伙伴连接到企业内部网，可以使用网，可以使用Extranet VPNExtranet VPN。n nExtranet VPN Extranet VPN 也是一种网关对网关的也是一种网关对网关的VPNVPN。2021/9/249VPN的主要优点的主要优点n n1、降低成本：n nVPNVPN是利用了现有的是利用了现有的InternetInternet或其他公共网络的或其他公共网络的基础设施为用户创建安全

10、隧道，不需要使用专基础设施为用户创建安全隧道，不需要使用专门的线路，如门的线路，如DDNDDN和和PSTNPSTN，这样就节省了专，这样就节省了专门线路的租金。门线路的租金。n n如果是采用远程拨号进入内部网络，访问内部如果是采用远程拨号进入内部网络，访问内部资源，还需要支付长途话费；而采用资源，还需要支付长途话费；而采用VPNVPN技术，技术，只需拨入当地的只需拨入当地的ISPISP就可以安全地接入内部网就可以安全地接入内部网络，这样也节省了线路话费。络，这样也节省了线路话费。2021/9/2410VPN的主要优点（续）的主要优点（续）n n2、易于扩展：n n如果采用专线连接，实施起来比较

11、困难，在分如果采用专线连接，实施起来比较困难，在分部增多、内部网络结点越来越多时，网络结构部增多、内部网络结点越来越多时，网络结构趋于复杂，费用昂贵。趋于复杂，费用昂贵。n n如果采用如果采用VPNVPN，只是在结点处架设，只是在结点处架设VPNVPN设备，设备，就可以利用就可以利用InternetInternet建立安全连接，如果有新的建立安全连接，如果有新的内部网络想加入安全连接，只需添加一台内部网络想加入安全连接，只需添加一台VPNVPN设备，改变相关配置即可。设备，改变相关配置即可。2021/9/2411VPN的主要优点（续）的主要优点（续）n n3、保证安全：n nVPNVPN技术利

12、用可靠的加密认证技术，在内部网络之间技术利用可靠的加密认证技术，在内部网络之间建立隧道，能够保证通信数据的机密性和完整性，保建立隧道，能够保证通信数据的机密性和完整性，保证信息不被泄漏或暴露给未授权的实体，保证信息不证信息不被泄漏或暴露给未授权的实体，保证信息不被未授权的实体改变、删除或替代。被未授权的实体改变、删除或替代。n n在现在的网络应用中，除了让外部合法用户通过在现在的网络应用中，除了让外部合法用户通过VPNVPN访问内部资源外，还需要内部用户方便地访问访问内部资源外，还需要内部用户方便地访问InternetInternet，这样可将，这样可将VPNVPN设备和防火墙配合，在保证网络

13、畅通设备和防火墙配合，在保证网络畅通的情况下，尽可能的保证访问安全。的情况下，尽可能的保证访问安全。2021/9/2412二、二、VPN技术技术n n1、密码技术n n2、身份认证技术n n3、隧道技术n n4、密钥管理技术2021/9/24131、密码技术、密码技术n nVPN利用Internet的基础设施传输企业私有的信息，因此传递的数据必须经过加密，从而确保网络上未授权的用户无法读取该信息。n n因此可以说密码技术是实现VPN的关键核心技术之一。2021/9/24142、身份认证技术、身份认证技术n nVPNVPN需要解决的首要问题就是网络上用户与设备的身份认需要解决的首要问题就是网络上

14、用户与设备的身份认证。证。n n从技术上说，身份认证基本上可以分成两类：非从技术上说，身份认证基本上可以分成两类：非PKIPKI体系体系和和PKIPKI体系的身份认证。体系的身份认证。n n非非PKIPKI体系的身份认证协议主要有：体系的身份认证协议主要有：n nPAPPassword Authentication ProtocolPAPPassword Authentication Protocoln nCHAPChallenge-Handshake Authentication ProtocolCHAPChallenge-Handshake Authentication Protocoln

15、 nMS-CHAPMicrosoft CHAPMS-CHAPMicrosoft CHAPn nRADIUSRemote Authentication Dial In User ServiceRADIUSRemote Authentication Dial In User Servicen nPKIPKI体系的身份认证主要依赖体系的身份认证主要依赖CACA（Certificate AuthorityCertificate Authority）签发的符合签发的符合 X.509 X.509 规范的数字证书。规范的数字证书。2021/9/2415CHAPn nCHAPCHAP是一种基于散列函数的认证协

16、议，见是一种基于散列函数的认证协议，见 RFC1994RFC1994。n nCHAPCHAP协议流程：协议流程：用用户户 U U认证认证服务器服务器ASAS1 1）提出认证请求（）提出认证请求（N N）2 2）发送）发送“挑战挑战”（R R）3 3）应答挑战）应答挑战H(PW|R)H(PW|R)1 1）提出认证请求（）提出认证请求（N N）4 4）认证通过，登录系统）认证通过，登录系统2021/9/2416CHAP协议流程协议流程1 1、UUASAS：N N 用户输入用户输入用户名用户名N N，向认证服务器发出认证请求。，向认证服务器发出认证请求。2 2、ASASU U：R R 认证服务器首先

17、检索数据库，若无与之匹配的用户名认证服务器首先检索数据库，若无与之匹配的用户名 N N，则拒绝用户的认证请求；，则拒绝用户的认证请求；否则选择否则选择随机数随机数 R R 作为挑战信息传给用户，同时提示作为挑战信息传给用户，同时提示用户输入口令。用户输入口令。3 3、UUASAS：H(PW|R)H(PW|R)用户输入用户输入口令口令 PWPW 并计算并计算 H(PW|R)H(PW|R)，然后将，然后将H(PW H(PW|R)|R)作为应答信息传给认证服务器。作为应答信息传给认证服务器。2021/9/2417CHAP协议流程（续）协议流程（续）4 4、ASASU U：验证用户，确定是否允许登录。

18、：验证用户，确定是否允许登录。认证服务器根据认证服务器根据自己存储的用户口令自己存储的用户口令 PWPW 计算计算 H(PW H(PW|R)|R)，然后与，然后与接收到的应答信息接收到的应答信息进行比较。进行比较。如果二者相等，则通过对用户的身份认证，登录成功；如果二者相等，则通过对用户的身份认证，登录成功；否则认证用户身份非法，拒绝登录请求。否则认证用户身份非法，拒绝登录请求。5 5、登录成功后的周期性验证、登录成功后的周期性验证 在随后的通信过程中，认证服务器周期性地发送新的挑在随后的通信过程中，认证服务器周期性地发送新的挑战信息给用户，重复步骤战信息给用户，重复步骤(2)(2)(4)(4

19、)，以便随时验证用户，以便随时验证用户身份的合法性，身份的合法性，防止入侵者进行插入信道攻击，接管防止入侵者进行插入信道攻击，接管会话过程会话过程。2021/9/24183、隧道技术、隧道技术n n隧道隧道n n所谓所谓“隧道隧道”就是一种就是一种封装技术封装技术，它利用一种网络传，它利用一种网络传输协议，将输协议，将其他协议其他协议产生的数据报文封装在它自己的产生的数据报文封装在它自己的报文中在网络中传输。报文中在网络中传输。n n生成隧道的协议有两种：生成隧道的协议有两种：n n第二层隧道协议，典型包括第二层隧道协议，典型包括n nL2FL2F：Layer 2 ForwardingLaye

20、r 2 Forwarding，RFC2341RFC2341；n nPPTPPPTP：Point to Point Tunneling ProtocolPoint to Point Tunneling Protocol，RFC2637RFC2637；n nL2TPL2TP：Layer Two Tunneling ProtocolLayer Two Tunneling Protocol，RFC2661RFC2661。n n第三层隧道协议，典型包括第三层隧道协议，典型包括n nIPSecIPSec：IP SecurityIP Security，目前最常用的，目前最常用的VPNVPN解决方案；解决方案

21、；n nGREGRE：General Routing EncapsulationGeneral Routing Encapsulation，RFC2784RFC2784。2021/9/2419隧道协议隧道协议n n任何隧道协议的数据包格式都是由乘客协议、封装协议和传输协议三部分组成。n n例如，L2TP协议的格式如下：PPPPPP（数据）（数据）L2TPL2TPUDPUDPIPIP传输协议传输协议封装协议封装协议乘客协议乘客协议2021/9/2420隧道协议（续）隧道协议（续）n n乘客协议乘客协议n n指用户要传输的数据，也就是被封装的数据，可以是指用户要传输的数据，也就是被封装的数据，可以

22、是IPIP、PPPPPP、SLIPSLIP等，这是用户真正要传输的数据。等，这是用户真正要传输的数据。n n如果是如果是IPIP协议，协议，其中包含的地址有可能是保留其中包含的地址有可能是保留IPIP地址地址。n n封装协议封装协议n n封装协议用于建立、保持和拆卸隧道，如封装协议用于建立、保持和拆卸隧道，如 PPTPPPTP、L2TPL2TP、GRE GRE 就属于封装协议。就属于封装协议。n n传输协议传输协议n n乘客协议被封装后应用传输协议实际进行传输。乘客协议被封装后应用传输协议实际进行传输。n n典型的传输协议仍然是典型的传输协议仍然是IPIP。2021/9/2421隧道协议（续）

23、隧道协议（续）n n为了理解隧道，可以用邮政系统做比较：为了理解隧道，可以用邮政系统做比较：n n乘客协议乘客协议就是写的信，信的语言可以是汉语、英语、就是写的信，信的语言可以是汉语、英语、法语等，具体如何解释由写信人、读信人自己负责。法语等，具体如何解释由写信人、读信人自己负责。这就对应于多种乘客协议，对乘客协议数据的解释由这就对应于多种乘客协议，对乘客协议数据的解释由隧道双方负责。隧道双方负责。n n封装协议封装协议就是信封，可能是平信、挂号或者是就是信封，可能是平信、挂号或者是EMSEMS。这对应于多种封装协议，每种封装协议的功能和安全这对应于多种封装协议，每种封装协议的功能和安全级别有

24、所不同。级别有所不同。n n传输协议传输协议就是信的运输方式，可以是陆运、海运或者就是信的运输方式，可以是陆运、海运或者空运，这对应于不同的传输协议。空运，这对应于不同的传输协议。2021/9/2422隧道分类隧道分类n n根据隧道的端点是根据隧道的端点是用户计算机用户计算机还是还是拨号接入服务器（或网拨号接入服务器（或网关）关），隧道可以分成两种：，隧道可以分成两种：自愿隧道自愿隧道和和强制隧道强制隧道。n n自愿隧道（自愿隧道（Voluntary TunnelVoluntary Tunnel）n n客户计算机可以通过发送客户计算机可以通过发送VPNVPN请求来配置和创建一条自愿隧道，请求来

25、配置和创建一条自愿隧道，此时用户端计算机作为隧道的客户方成为隧道的一个端点。此时用户端计算机作为隧道的客户方成为隧道的一个端点。n n客户计算机上必须安装有隧道客户软件。客户计算机上必须安装有隧道客户软件。n n强制隧道（强制隧道（Compulsory TunnelCompulsory Tunnel）n n强制隧道由支持强制隧道由支持VPNVPN的拨号接入服务器（或网关）来配置和创建。的拨号接入服务器（或网关）来配置和创建。n n在强制隧道中，客户端的计算机不作为隧道端点，而是由位于客在强制隧道中，客户端的计算机不作为隧道端点，而是由位于客户计算机和服务器之间的拨号接入服务器（或网关）作为隧道

26、客户计算机和服务器之间的拨号接入服务器（或网关）作为隧道客户端，成为隧道的端点。户端，成为隧道的端点。2021/9/2423（强制）隧道例子（强制）隧道例子内部头内部头内部头内部头通信终点通信终点通信终点通信终点内部头内部头内部头内部头通信终点通信终点通信终点通信终点外部头外部头外部头外部头（IPIP）终点）终点）终点）终点外部头外部头外部头外部头（IPIP）终点）终点）终点）终点隧道端点隧道端点隧道端点隧道端点访问主机访问主机21源源IP:11.143.1.1目的目的IP:63.168.2.1封装隧道封装隧道内部源内部源IP:11.143.1.1内部目的内部目的IP:63.168.2.1外部

27、源外部源IP:22.13.2.59外部目的外部目的IP:27.168.3.60解封解封源源IP:11.143.1.1目的目的IP:63.168.2.12021/9/24244、密钥管理技术、密钥管理技术n n在在VPNVPN应用中密钥分发与管理非常重要，常用的密钥分发应用中密钥分发与管理非常重要，常用的密钥分发有两种方法：有两种方法：n n1 1）通过手工配置方式。）通过手工配置方式。n n2 2）采用密钥交换协议动态分发。）采用密钥交换协议动态分发。n n手工配置方式：手工配置方式：只适合于简单网络情况，密钥更新不能太只适合于简单网络情况，密钥更新不能太频繁。频繁。n n自动化的密钥交换协议

28、自动化的密钥交换协议：n n采用软件方式动态生成密钥，保证密钥在公网上安全地传输而不采用软件方式动态生成密钥，保证密钥在公网上安全地传输而不被窃取，适合于复杂网络情况，而且密钥可快速更新。被窃取，适合于复杂网络情况，而且密钥可快速更新。n n目前主要的协议有：目前主要的协议有：n nSKIPSKIP：Simple Key Management for IPSimple Key Management for IP；n nISAKMPISAKMP：Internet Security Association and Key Management Internet Security Associati

29、on and Key Management ProtocolProtocol（RFC2408RFC2408）/Oakley/Oakley（RFC2412RFC2412）。）。2021/9/2425三、第二层隧道协议三、第二层隧道协议PP2P和和L2TPn n第二层隧道协议用于传输第二层隧道协议用于传输第二层网络协议第二层网络协议，它主，它主要应用于要应用于构建构建Access VPNAccess VPN。n n第二层隧道协议主要有第二层隧道协议主要有3 3种：种：n n1 1、L2FL2F：由：由CiscoCisco、NortelNortel等公司支持的协议，等公司支持的协议，CiscoCis

30、co路由器中支持此协议；路由器中支持此协议；n n2 2、PPTPPPTP：由由MicrosoftMicrosoft、AscendAscend、3COM3COM等公司支持等公司支持的协议，的协议，Windows NT 4.0Windows NT 4.0以上版本中支持此协议；以上版本中支持此协议；n n3 3、L2TPL2TP：二层隧道协议的工业标准，由二层隧道协议的工业标准，由 IETF IETF 起草并起草并由由MicrosoftMicrosoft、AscendAscend、CiscoCisco、3COM3COM等公司参与制定，等公司参与制定，它结合了上述两个协议的优点。它结合了上述两个协议

31、的优点。2021/9/24261、PPTP协议协议n nPPTPn nPoint to Point Tunneling ProtocolPoint to Point Tunneling Protocol（点到点隧道（点到点隧道协议），在协议），在RFC2637RFC2637中定义。中定义。n n该协议将该协议将 PPP PPP 数据包封装在数据包封装在 IP IP 数据包内，通数据包内，通过过 IPIP网络（如网络（如InternetInternet或或IntranetIntranet）进行传送。）进行传送。n nPPTP可看作是 PPP 协议的一种扩展n n它提供了一种在它提供了一种在Int

32、ernetInternet上建立多协议的上建立多协议的VPNVPN的的通信方式，远端用户能够通过任何支持通信方式，远端用户能够通过任何支持PPTPPPTP的的 ISP ISP 访问公司的专用网络。访问公司的专用网络。2021/9/2427PPTP的协议报文的协议报文n nPPTP客户端和服务器之间的报文有两种：n n1 1、控制报文：、控制报文：负责负责PPTPPPTP隧道的建立、维护和隧道的建立、维护和断开；断开；n n2 2、数据报文：、数据报文：负责传输用户的真正数据。负责传输用户的真正数据。2021/9/2428PPTP的控制报文的控制报文n nPPTPPPTP客户端连接客户端连接PP

33、TPPPTP服务器的服务器的TCPTCP端口（默认端口（默认端口号为端口号为17231723）建立控制连接）建立控制连接n nPPTPPPTP控制连接负责隧道的控制连接负责隧道的建立、维护和断开建立、维护和断开。n nPPTPPPTP控制连接控制连接携带携带PPTPPPTP呼叫控制和管理信息呼叫控制和管理信息，用于，用于维护维护PPTPPPTP隧道，其中包括周期性地发送回送请求和回隧道，其中包括周期性地发送回送请求和回送应答报文，以期检测出客户机与服务器之间可能出送应答报文，以期检测出客户机与服务器之间可能出现的连接中断。现的连接中断。n n在创建基于在创建基于PPTPPPTP的的VPNVPN

34、连接过程中，使用的认证机制连接过程中，使用的认证机制与创建与创建PPPPPP连接时相同，主要有连接时相同，主要有EAPEAP、MS-CHAPMS-CHAP、CHAPCHAP、SPAPSPAP和和PAPPAP。2021/9/2429PPTP的控制报文（续）的控制报文（续）n nPPTP控制连接数据包包括三部分：n n1 1、IPIP报头报头n n2 2、TCPTCP报头报头n n3 3、PPTPPPTP控制信息控制信息2021/9/2430PPTP的数据报文的数据报文n nPPTP的数据报文的格式如下：外部的外部的外部的外部的IPIP封装封装封装封装内部实际载荷，可以是内部实际载荷，可以是内部实

35、际载荷，可以是内部实际载荷，可以是另一个另一个另一个另一个IPIP报文报文报文报文2021/9/2431PPTP的数据报文（续）的数据报文（续）n n当隧道建好之后，用户数据当隧道建好之后，用户数据经过加密和经过加密和/或压缩或压缩之之后，再依次经过后，再依次经过PPPPPP、GREGRE、IPIP的封装，的封装，最终得最终得到一个到一个IPIP包，通过包，通过IPIP网络发送到网络发送到PPTPPPTP服务器。服务器。n nPPTPPPTP服务器收到该服务器收到该IPIP后后层层解包层层解包，得到真正的用，得到真正的用户数据，并将户数据，并将用户数据转发到内部网络上用户数据转发到内部网络上。

36、n n用户的数据用户的数据可以是多种协议可以是多种协议，比如，比如IPIP数据包数据包、IPXIPX数据包数据包或者或者NetBEUINetBEUI数据包数据包。n nPPTPPPTP采用采用RSARSA公司的公司的RC4RC4作为数据加密算法作为数据加密算法，保，保证了隧道通信的安全性。证了隧道通信的安全性。2021/9/24322、L2TP协议协议n nL2TPL2TP：n nLayer Two Tunneling ProtocolLayer Two Tunneling Protocol（第二层隧道协议），由（第二层隧道协议），由RFC 2661RFC 2661定义。定义。n n它结合了它

37、结合了L2FL2F和和PPTPPPTP的优点，可以让用户从客户端或访问服务器的优点，可以让用户从客户端或访问服务器端发起端发起VPNVPN连接。连接。n nL2TPL2TP是由是由CiscoCisco、AscendAscend、MicrosoftMicrosoft等公司在等公司在19991999年联年联合制定的，已经成为二层隧道协议的工业标准，并得到了合制定的，已经成为二层隧道协议的工业标准，并得到了众多网络厂商的支持。众多网络厂商的支持。n nL2TPL2TP协议支持协议支持IPIP、X.25X.25、帧中继或、帧中继或ATMATM等作为传输协议，等作为传输协议，但目前仅定义了基于但目前仅定

38、义了基于IPIP网络的网络的L2TPL2TP。n nL2TPL2TP隧道协议可用于隧道协议可用于InternetInternet，也可用于其他企业专用，也可用于其他企业专用IntranetIntranet中。中。2021/9/2433L2TP协议术语协议术语n nL2TPL2TP主要由主要由LACLAC和和LNSLNS构成。构成。n nLACLAC：n nL2TP Access ConcentratorL2TP Access Concentrator（L2TPL2TP访问集中器），是附属在交换网访问集中器），是附属在交换网络上的具有络上的具有PPPPPP端系统和端系统和L2TPL2TP协议处理

39、能力的设备，它为用户通协议处理能力的设备，它为用户通过过 PSTN/ISDN PSTN/ISDN 提供网络接入服务。提供网络接入服务。n nLACLAC支持客户端的支持客户端的L2TPL2TP，它用于发起呼叫，接收呼叫和建立隧道。，它用于发起呼叫，接收呼叫和建立隧道。n nLNSLNS：n nL2TP Network ServerL2TP Network Server（L2TPL2TP网络服务器），是网络服务器），是PPPPPP端系统上用于端系统上用于处理处理L2TPL2TP协议服务器端部分的软件。协议服务器端部分的软件。n nLNSLNS是所有隧道的终点。在传统的是所有隧道的终点。在传统的P

40、PPPPP连接中，用户拨号连接的终连接中，用户拨号连接的终点是点是LACLAC，L2TPL2TP使得使得PPPPPP协议的终点延伸到协议的终点延伸到LNSLNS。2021/9/2434L2TP隧道的建立过程隧道的建立过程2021/9/2435L2TP协议报文协议报文n nL2TP客户端和服务器之间的报文也有两种：控制报文和数据报文，这两种报文均采用UDP协议封装和传送PPP帧。n nPPP帧的有效载荷即用户传输数据，可以经过加密和/或压缩n n需要指出的是，与需要指出的是，与PPTPPPTP不同，在不同，在Windows Windows 20002000中，中，L2TPL2TP客户机不采用客户

41、机不采用MPPEMPPE对对L2TPL2TP连连接进行加密，接进行加密，L2TPL2TP连接的加密连接的加密由由IPSec ESPIPSec ESP提提供。供。2021/9/2436L2TP协议控制报文协议控制报文n n控制报文：n n用于隧道的建立与维护。与用于隧道的建立与维护。与PPTPPPTP不同，不同，L2TPL2TP不是通过不是通过TCPTCP协议来进行隧道维护，而是采用协议来进行隧道维护，而是采用UDPUDP协议。协议。n n在在Windows 2000Windows 2000中，中，L2TPL2TP客户端和服务器都客户端和服务器都使用使用UDP 1701UDP 1701端口，不过

42、端口，不过Windows 2000 Windows 2000 L2TPL2TP服务器也支持客户端使用非服务器也支持客户端使用非1701 UDP1701 UDP端端口。口。2021/9/2437L2TP协议控制报文（续）协议控制报文（续）2021/9/2438L2TP协议数据报文协议数据报文n nL2TPL2TP隧道维护控制报文和隧道化用户传输数据具隧道维护控制报文和隧道化用户传输数据具有相同的包格式。有相同的包格式。n nL2TPL2TP用户传输数据的隧道化过程采用多层封装的用户传输数据的隧道化过程采用多层封装的方法。方法。2021/9/2439L2TP数据发送端的发送处理过程数据发送端的发送

43、处理过程n n1 1）L2TPL2TP封装封装：初始：初始PPPPPP有效载荷如有效载荷如IPIP数据报、数据报、IPXIPX数据报或数据报或NetBEUINetBEUI帧等首先经过帧等首先经过PPPPPP报头和报头和L2TPL2TP报头的封装。报头的封装。n n2 2）UDPUDP封装封装：L2TPL2TP帧进一步添加帧进一步添加UDPUDP报头进行报头进行UDPUDP封装，在封装，在UDPUDP报头中，源端和目的端端口号均为报头中，源端和目的端端口号均为17011701。n n3 3）IPSecIPSec封装封装：基于：基于IPSecIPSec安全策略，安全策略，UDPUDP报文通过添加报

44、文通过添加IPSecIPSec封装安全负载封装安全负载ESPESP报头、报尾和报头、报尾和IPSecIPSec认证报尾，进行认证报尾，进行IPSecIPSec加密封装。加密封装。n n4 4）IPIP封装封装：在：在IPSecIPSec数据报外再添加数据报外再添加IPIP报头进行报头进行IPIP封装，封装，IPIP报报头中包含头中包含VPNVPN客户机和服务器的源端和目的端客户机和服务器的源端和目的端IPIP地址。地址。n n5 5）数据链路层封装）数据链路层封装：数据链路层封装是：数据链路层封装是L2TPL2TP帧多层封装的最帧多层封装的最后一层，依据不同的物理网络再添加相应的数据链路层报头

45、和后一层，依据不同的物理网络再添加相应的数据链路层报头和报尾。报尾。2021/9/2440L2TP数据接收端的处理过程数据接收端的处理过程n n接收端的处理过程是发送处理过程的逆过程，包括：接收端的处理过程是发送处理过程的逆过程，包括：n n1 1）处理并去除数据链路层报头和报尾。）处理并去除数据链路层报头和报尾。n n2 2）处理并去除）处理并去除IPIP报头。报头。n n3 3）用）用IPSec ESPIPSec ESP认证报尾对认证报尾对IPIP有效载荷和有效载荷和IPSec ESPIPSec ESP报头报头进行认证。进行认证。n n4 4）用）用IPSec ESPIPSec ESP报头

46、对数据报的加密部分进行解密。报头对数据报的加密部分进行解密。n n5 5）处理）处理UDPUDP报头并将数据报提交给报头并将数据报提交给L2TPL2TP协议。协议。n n6 6）L2TPL2TP协议依据协议依据L2TPL2TP报头中报头中Tunnel IDTunnel ID和和Call IDCall ID分解出某分解出某条特定的条特定的L2TPL2TP隧道。隧道。n n7 7）依据）依据PPPPPP报头分解出报头分解出PPPPPP有效载荷，并将它转发至相关有效载荷，并将它转发至相关的协议驱动程序做进一步处理。的协议驱动程序做进一步处理。2021/9/2441PPTP与与L2TP的比较的比较n

47、n1 1）PPTPPPTP要求互联网络为要求互联网络为IPIP网络，网络，L2TPL2TP只要求隧道媒介只要求隧道媒介提供面向数据包的点对点的连接提供面向数据包的点对点的连接n nL2TPL2TP可以在可以在IPIP（使用（使用UDPUDP）、帧中继永久虚拟电路（）、帧中继永久虚拟电路（PVCsPVCs）、）、X.25X.25虚拟电路（虚拟电路（VCsVCs）或）或ATM VCsATM VCs网络上使用。网络上使用。n n2 2）PPTPPPTP只能在两端点间建立单一隧道，只能在两端点间建立单一隧道，L2TPL2TP支持在两支持在两端点间使用多隧道端点间使用多隧道n n使用使用L2TPL2TP

48、，用户可以针对不同的服务质量创建不同的隧道。，用户可以针对不同的服务质量创建不同的隧道。n n3 3）L2TPL2TP可以提供包头压缩可以提供包头压缩n n当压缩包头时，系统开销占用当压缩包头时，系统开销占用4 4个字节，而个字节，而PPTPPPTP协议下要占用协议下要占用6 6个个字节。字节。n n4 4）L2TPL2TP可以提供隧道验证，而可以提供隧道验证，而PPTPPPTP不支持隧道验证。不支持隧道验证。2021/9/2442四、第三层隧道协议四、第三层隧道协议GREn nGREGeneric Routing EncapsulationGREGeneric Routing Encapsu

49、lation（通用路由封装协（通用路由封装协议）议）n n由由CiscoCisco和和NetSmithsNetSmiths公司于公司于19941994年提交给年提交给IETFIETF，标号为，标号为RFC RFC 17011701和和RFC 1702RFC 1702。n n在在20002000年，年，CiscoCisco等公司又对等公司又对GREGRE协议进行了修订（协议进行了修订（GRE V2GRE V2），），标号为标号为RFC 2784RFC 2784。n nGREGRE支持全部的路由协议（如支持全部的路由协议（如RIP2RIP2、OSPFOSPF等），等），用于在用于在IPIP包中封装

50、任何协议的数据包包中封装任何协议的数据包，包括，包括IPIP、IPXIPX、NetBEUINetBEUI、AppleTalkAppleTalk、Banyan VINESBanyan VINES、DECnetDECnet等。等。n n在在GREGRE中，中，乘客协议就是上面这些被封装的协议乘客协议就是上面这些被封装的协议，封装协封装协议就是议就是GREGRE，传输协议就是传输协议就是IPIP。2021/9/2443GRE报文报文2021/9/2444利用利用GRE实现实现VPN2021/9/2445GRE协议的优点协议的优点n n1 1）通过）通过GREGRE，用户，用户可以利用公共可以利用公共