信息安全系统工程VPN和IPSEC.pptx

《信息安全系统工程VPN和IPSEC.pptx》由会员分享，可在线阅读，更多相关《信息安全系统工程VPN和IPSEC.pptx（113页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、一、VPN概述概述(i sh)n nVPNVirtual Private Network，虚拟专用网。n nVPN是将物理上分布在不同地点的网络通过公用骨干网（尤其是Internet）连接而成的逻辑上的虚拟子网。n n为了保障信息安全，VPN技术采用了鉴别、访问控制、保密性、完整性等措施，以防止(fngzh)信息被泄露、篡改和复制。第一页，共113页。Virtual、Private、Networkn nVirtualn n针对传统的“专用网络”而言。n n传统的专用网络往往需要建立自己的物理专用线路（如长途拨号或专线服务），而VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道。n n

2、尽管没有自己的专用线路，但是这个逻辑上的专用通道却可以提供(tgng)和专用网络同样的功能。第二页，共113页。Virtual、Private、Network（续）（续）n nPrivaten n表示VPN是被特定企业或用户私有的，并不是任何公共网络上的用户都能够使用已经建立的VPN通道，而是只有经过授权的用户才能使用。n n在VPN通道内传输的数据经过了加密和认证，从而保证了传输内容的机密性和完整性。n nNetworkn n表示VPN是一种专门的组网技术(jsh)和服务，企业为了建立和使用VPN，必须购买和配备相应的网络设备。第三页，共113页。VPN的类型的类型(lixng)n nVPN

3、主要有三种类型：n nAccess VPN：远程访问VPN；n nIntranet VPN：企业内部(nib)VPN；n nExtranet VPN：企业扩展VPN。第四页，共113页。Access VPNn nAccess VPNAccess VPN即移动即移动VPNVPN，适用于企业内部人员出差或远程，适用于企业内部人员出差或远程办公的情况，对应于传统办公的情况，对应于传统(chuntng)(chuntng)的远程访问网络。的远程访问网络。n n外地员工利用当地的外地员工利用当地的ISPISP（Internet Service ProviderInternet Service Provid

4、er）接入）接入InternetInternet，就可以和企业，就可以和企业VPNVPN网关建立私有的隧道连接。网关建立私有的隧道连接。第五页，共113页。Access VPN（续）（续）n n在传统方式中，在企业网络内部需要架设一个拨号服务器作在传统方式中，在企业网络内部需要架设一个拨号服务器作为为RASRAS（Remote Access ServerRemote Access Server），用户通过拨号到该），用户通过拨号到该RASRAS来访问企业内部网来访问企业内部网n n这种方式需要购买专门的这种方式需要购买专门的RASRAS设备，价格昂贵；用户只能进设备，价格昂贵；用户只能进行拨号

5、，也不能保证通信安全，而且对于远程行拨号，也不能保证通信安全，而且对于远程(yunchng)(yunchng)用户可能要支付昂贵的长途拨号费用。用户可能要支付昂贵的长途拨号费用。n nAccess VPNAccess VPN通过拨入当地的通过拨入当地的ISPISP进入进入InternetInternet再连接企业的再连接企业的VPNVPN网关，在用户和网关，在用户和VPNVPN网关之间建立一个安全的网关之间建立一个安全的“隧道隧道”，通过该隧道安全地访问远程，通过该隧道安全地访问远程(yunchng)(yunchng)的内部网，这样的内部网，这样既节省了通信费用，能保证安全性。既节省了通信费用

6、，能保证安全性。第六页，共113页。Intranet VPNn n如果要进行企业内部异地分支机构之间的互联，可以使用Intranet VPN，即网关对网关VPN。n nIntranet VPN在异地两个网络的网关之间建立了一个加密(ji m)的VPN隧道，两端的内部网络可以通过该VPN隧道安全地进行通信，就好像和本地网络通信一样。n nIntranet VPN利用公共网络（如Internet）连接企业总部、远程办事处和分支机构，企业拥有和专用网络相同的策略，包括安全、服务质量、可管理性和可靠性等。第七页，共113页。Intranet VPN（续）（续）内部内部IP，如：，如：192.168.1

7、.1内部内部IP，如：，如：192.168.1.100好像可好像可直接直接通过通过内部内部IP通信通信公网公网IP公网公网IP采用隧道采用隧道采用隧道采用隧道(sudo)(sudo)协议协议协议协议（如（如（如（如IP over IPIP over IP）进行传输，用进行传输，用进行传输，用进行传输，用公网公网公网公网IPIP报文承载报文承载报文承载报文承载内部内部内部内部IPIP报文报文报文报文第八页，共113页。Extranet VPNn n如果企业希望将客户如果企业希望将客户(k h)(k h)、供应商、合作伙伴连接到企、供应商、合作伙伴连接到企业内部网，可以使用业内部网，可以使用Ext

8、ranet VPNExtranet VPN。n nExtranet VPN Extranet VPN 也是一种网关对网关的也是一种网关对网关的VPNVPN。第九页，共113页。VPN的主要的主要(zhyo)优点优点n n1、降低成本：n nVPN是利用了现有的Internet或其他公共网络的基础设施为用户创建安全隧道，不需要使用专门的线路，如DDN和PSTN，这样就节省了专门线路的租金。n n如果是采用远程拨号进入内部网络，访问(fngwn)内部资源，还需要支付长途话费；而采用VPN技术，只需拨入当地的ISP就可以安全地接入内部网络，这样也节省了线路话费。第十页，共113页。VPN的主要的主要

9、(zhyo)优点（续）优点（续）n n2、易于扩展(kuzhn)：n n如果采用专线连接，实施起来比较困难，在分部增多、内部网络结点越来越多时，网络结构趋于复杂，费用昂贵。n n如果采用VPN，只是在结点处架设VPN设备，就可以利用Internet建立安全连接，如果有新的内部网络想加入安全连接，只需添加一台VPN设备，改变相关配置即可。第十一页，共113页。VPN的主要的主要(zhyo)优点（续）优点（续）n n3、保证安全：n nVPN技术利用可靠的加密认证技术，在内部网络(wnglu)之间建立隧道，能够保证通信数据的机密性和完整性，保证信息不被泄漏或暴露给未授权的实体，保证信息不被未授权的

10、实体改变、删除或替代。n n在现在的网络(wnglu)应用中，除了让外部合法用户通过VPN访问内部资源外，还需要内部用户方便地访问Internet，这样可将VPN设备和防火墙配合，在保证网络(wnglu)畅通的情况下，尽可能的保证访问安全。第十二页，共113页。二、二、VPN技术技术(jsh)n n1、密码(m m)技术n n2、身份认证技术n n3、隧道技术n n4、密钥管理技术第十三页，共113页。1、密码、密码(m m)技术技术n nVPN利用Internet的基础设施传输企业私有的信息，因此传递的数据必须经过加密，从而确保网络上未授权的用户无法读取该信息。n n因此可以(ky)说密码技

11、术是实现VPN的关键核心技术之一。第十四页，共113页。2、身份认证、身份认证(rnzhng)技术技术n nVPNVPN需要解决的首要问题就是需要解决的首要问题就是(jish)(jish)网络上用户与设备的网络上用户与设备的身份认证。身份认证。n n从技术上说，身份认证基本上可以分成两类：非从技术上说，身份认证基本上可以分成两类：非PKIPKI体系体系和和PKIPKI体系的身份认证。体系的身份认证。n n非非PKIPKI体系的身份认证协议主要有：体系的身份认证协议主要有：n nPAPPassword Authentication ProtocolPAPPassword Authenticati

12、on Protocoln nCHAPChallenge-Handshake Authentication ProtocolCHAPChallenge-Handshake Authentication Protocoln nMS-CHAPMicrosoft CHAPMS-CHAPMicrosoft CHAPn nRADIUSRemote Authentication Dial In User ServiceRADIUSRemote Authentication Dial In User Servicen nPKIPKI体系的身份认证主要依赖体系的身份认证主要依赖CACA（Certificate

13、AuthorityCertificate Authority）签发的符合签发的符合 X.509 X.509 规范的数字证书。规范的数字证书。第十五页，共113页。CHAPn nCHAPCHAP是一种基于散列函数是一种基于散列函数(hnsh)(hnsh)的认证协议，见的认证协议，见 RFC1994 RFC1994。n nCHAPCHAP协议流程：协议流程：用户 U认证服务器AS1 1）提出认证请求（）提出认证请求（N N）2 2）发送）发送“挑战挑战”（R R）3 3）应答挑战）应答挑战H(PW|R)H(PW|R)1 1）提出认证请求（）提出认证请求（N N）4 4）认证通过，登录系统）认证通过

14、，登录系统第十六页，共113页。CHAP协议协议(xiy)流程流程1、UAS：N 用户输入用户名N，向认证服务器发出认证请求(qngqi)。2、ASU：R 认证服务器首先检索数据库，若无与之匹配的用户名 N，则拒绝用户的认证请求(qngqi)；否则选择随机数 R 作为挑战信息传给用户，同时提示用户输入口令。3、UAS：H(PW|R)用户输入口令 PW 并计算 H(PW|R)，然后将H(PW|R)作为应答信息传给认证服务器。第十七页，共113页。CHAP协议协议(xiy)流程（续）流程（续）4 4、ASASU U：验证用户，确定是否允许登录。：验证用户，确定是否允许登录。认证服务器根据自己存储的

15、用户口令认证服务器根据自己存储的用户口令 PW PW 计算计算 H(PW|H(PW|R)R)，然后与接收到的应答信息，然后与接收到的应答信息(xnx)(xnx)进行比较。进行比较。如果二者相等，则通过对用户的身份认证，登录成功；如果二者相等，则通过对用户的身份认证，登录成功；否则认证用户身份非法，拒绝登录请求。否则认证用户身份非法，拒绝登录请求。5 5、登录成功后的周期性验证、登录成功后的周期性验证 在随后的通信过程中，认证服务器周期性地发送新的挑在随后的通信过程中，认证服务器周期性地发送新的挑战信息战信息(xnx)(xnx)给用户，重复步骤给用户，重复步骤(2)(2)(4)(4)，以便随时验

16、，以便随时验证用户身份的合法性，防止入侵者进行插入信道攻击，证用户身份的合法性，防止入侵者进行插入信道攻击，接管会话过程。接管会话过程。第十八页，共113页。3、隧道、隧道(sudo)技术技术n n隧道n n所谓“隧道”就是一种封装技术，它利用一种网络传输协议(xiy)，将其他协议(xiy)产生的数据报文封装在它自己的报文中在网络中传输。n n生成隧道的协议(xiy)有两种：n n第二层隧道协议(xiy)，典型包括n nL2F：Layer 2 Forwarding，RFC2341；n nPPTP：Point to Point Tunneling Protocol，RFC2637；n nL2TP

17、：Layer Two Tunneling Protocol，RFC2661。n n第三层隧道协议(xiy)，典型包括n nIPSec：IP Security，目前最常用的VPN解决方案；n nGRE：General Routing Encapsulation，RFC2784。第十九页，共113页。隧道隧道(sudo)协议协议n n任何隧道协议的数据包格式都是由乘客协议、封装协议和传输协议三部分组成。n n例如(lr)，L2TP协议的格式如下：PPPPPP（数据）（数据）L2TPL2TPUDPUDPIPIP传输协议传输协议封装协议封装协议乘客协议乘客协议第二十页，共113页。隧道隧道(sudo)

18、协议（续）协议（续）n n乘客协议乘客协议n n指用户指用户(yngh)(yngh)要传输的数据，也就是被封装的数据，可要传输的数据，也就是被封装的数据，可以是以是IPIP、PPPPPP、SLIPSLIP等，这是用户等，这是用户(yngh)(yngh)真正要传输真正要传输的数据。的数据。n n如果是如果是IPIP协议，其中包含的地址有可能是保留协议，其中包含的地址有可能是保留IPIP地址。地址。n n封装协议封装协议n n封装协议用于建立、保持和拆卸隧道，如封装协议用于建立、保持和拆卸隧道，如 PPTP PPTP、L2TPL2TP、GRE GRE 就属于封装协议。就属于封装协议。n n传输协议

19、传输协议n n乘客协议被封装后应用传输协议实际进行传输。乘客协议被封装后应用传输协议实际进行传输。n n典型的传输协议仍然是典型的传输协议仍然是IPIP。第二十一页，共113页。隧道隧道(sudo)协议（续）协议（续）n n为了理解隧道，可以用邮政系统做比较：为了理解隧道，可以用邮政系统做比较：n n乘客协议就是乘客协议就是(jish)(jish)写的信，信的语言可以是汉语、写的信，信的语言可以是汉语、英语、法语等，具体如何解释由写信人、读信人自己负英语、法语等，具体如何解释由写信人、读信人自己负责。这就对应于多种乘客协议，对乘客协议数据的解释责。这就对应于多种乘客协议，对乘客协议数据的解释由

20、隧道双方负责。由隧道双方负责。n n封装协议就是封装协议就是(jish)(jish)信封，可能是平信、挂号或者是信封，可能是平信、挂号或者是EMSEMS。这对应于多种封装协议，每种封装协议的功能。这对应于多种封装协议，每种封装协议的功能和安全级别有所不同。和安全级别有所不同。n n传输协议就是传输协议就是(jish)(jish)信的运输方式，可以是陆运、海信的运输方式，可以是陆运、海运或者空运，这对应于不同的传输协议。运或者空运，这对应于不同的传输协议。第二十二页，共113页。隧道隧道(sudo)分类分类n n根据隧道的端点是用户计算机还是拨号接入服务器（或网根据隧道的端点是用户计算机还是拨号

21、接入服务器（或网关），隧道可以分成两种：自愿关），隧道可以分成两种：自愿(zyun)(zyun)隧道和强制隧道。隧道和强制隧道。n n自愿自愿(zyun)(zyun)隧道（隧道（Voluntary TunnelVoluntary Tunnel）n n客户计算机可以通过发送客户计算机可以通过发送VPNVPN请求来配置和创建一条自愿请求来配置和创建一条自愿(zyun)(zyun)隧道，此时用户端计算机作为隧道的客户方成为隧道，此时用户端计算机作为隧道的客户方成为隧道的一个端点。隧道的一个端点。n n客户计算机上必须安装有隧道客户软件。客户计算机上必须安装有隧道客户软件。n n强制隧道（强制隧道（C

22、ompulsory TunnelCompulsory Tunnel）n n强制隧道由支持强制隧道由支持VPNVPN的拨号接入服务器（或网关）来配置的拨号接入服务器（或网关）来配置和创建。和创建。n n在强制隧道中，客户端的计算机不作为隧道端点，而是由在强制隧道中，客户端的计算机不作为隧道端点，而是由位于客户计算机和服务器之间的拨号接入服务器（或网关）位于客户计算机和服务器之间的拨号接入服务器（或网关）作为隧道客户端，成为隧道的端点。作为隧道客户端，成为隧道的端点。第二十三页，共113页。（强制（强制(qingzh)）隧道例子）隧道例子内部头内部头内部头内部头通信终点通信终点通信终点通信终点内部

23、头内部头内部头内部头通信终点通信终点通信终点通信终点外部头外部头外部头外部头（IPIP）终点）终点）终点）终点外部头外部头外部头外部头（IPIP）终点）终点）终点）终点隧道端点隧道端点隧道端点隧道端点访问主机访问主机21源源IP:11.143.1.1目的目的IP:63.168.2.1封装隧道封装隧道内部源内部源IP:11.143.1.1内部目的内部目的IP:63.168.2.1外部源外部源IP:22.13.2.59外部目的外部目的IP:27.168.3.60解封解封源源IP:11.143.1.1目的目的IP:63.168.2.1第二十四页，共113页。4、密钥管理、密钥管理(gunl)技术技术

24、n n在在VPNVPN应用中密钥分发与管理非常重要，常用的密钥分发有应用中密钥分发与管理非常重要，常用的密钥分发有两种方法：两种方法：n n1 1）通过手工）通过手工(shugng)(shugng)配置方式。配置方式。n n2 2）采用密钥交换协议动态分发。）采用密钥交换协议动态分发。n n手工手工(shugng)(shugng)配置方式：只适合于简单网络情况，密钥更配置方式：只适合于简单网络情况，密钥更新不能太频繁。新不能太频繁。n n自动化的密钥交换协议：自动化的密钥交换协议：n n采用软件方式动态生成密钥，保证密钥在公网上安全地传输采用软件方式动态生成密钥，保证密钥在公网上安全地传输而不

25、被窃取，适合于复杂网络情况，而且密钥可快速更新。而不被窃取，适合于复杂网络情况，而且密钥可快速更新。n n目前主要的协议有：目前主要的协议有：n nSKIPSKIP：Simple Key Management for IPSimple Key Management for IP；n nISAKMPISAKMP：Internet Security Association and Key Internet Security Association and Key Management ProtocolManagement Protocol（RFC2408RFC2408）/Oakley/Oakley

26、（RFC2412RFC2412）。）。第二十五页，共113页。三、第二层隧道三、第二层隧道(sudo)协议协议PP2P和和L2TPn n第二层隧道协议用于传输第二层网络协议，它主要应用于构建Access VPN。n n第二层隧道协议主要有3种：n n1、L2F：由Cisco、Nortel等公司支持的协议，Cisco路由器中支持此协议；n n2、PPTP：由Microsoft、Ascend、3COM等公司支持的协议，以上版本中支持此协议；n n3、L2TP：二层隧道协议的工业标准，由 IETF 起草并由Microsoft、Ascend、Cisco、3COM等公司参与制定(zhdng)，它结合了上

27、述两个协议的优点。第二十六页，共113页。1、PPTP协议协议(xiy)n nPPTPn nPoint to Point Tunneling Protocol（点到点隧道协议），在RFC2637中定义。n n该协议将 PPP 数据包封装在 IP 数据包内，通过 IP网络（如Internet或Intranet）进行传送。n nPPTP可看作是 PPP 协议的一种扩展n n它提供了一种在Internet上建立多协议的VPN的通信方式，远端用户能够通过任何(rnh)支持PPTP的 ISP 访问公司的专用网络。第二十七页，共113页。PPTP的协议的协议(xiy)报文报文n nPPTP客户端和服务器之

28、间的报文有两种：n n1、控制报文：负责(fz)PPTP隧道的建立、维护和断开；n n2、数据报文：负责(fz)传输用户的真正数据。第二十八页，共113页。PPTP的控制的控制(kngzh)报文报文n nPPTP客户端连接PPTP服务器的TCP端口（默认端口号为1723）建立控制连接n nPPTP控制连接负责隧道的建立、维护和断开。n nPPTP控制连接携带(xidi)PPTP呼叫控制和管理信息，用于维护PPTP隧道，其中包括周期性地发送回送请求和回送应答报文，以期检测出客户机与服务器之间可能出现的连接中断。n n在创建基于PPTP的VPN连接过程中，使用的认证机制与创建PPP连接时相同，主要

29、有EAP、MS-CHAP、CHAP、SPAP和PAP。第二十九页，共113页。PPTP的控制的控制(kngzh)报文（续）报文（续）n nPPTP控制连接数据包包括三部分：n n1、IP报头(botu)n n2、TCP报头(botu)n n3、PPTP控制信息第三十页，共113页。PPTP的数据的数据(shj)报文报文n nPPTP的数据(shj)报文的格式如下：外部外部外部外部(wib)(wib)的的的的IPIP封装封装封装封装内部实际载荷，可以是内部实际载荷，可以是内部实际载荷，可以是内部实际载荷，可以是另一另一另一另一个个个个IPIP报文报文报文报文第三十一页，共113页。PPTP的数据

30、的数据(shj)报文（续）报文（续）n n当隧道建好之后，用户数据经过加密和/或压缩之后，再依次经过PPP、GRE、IP的封装，最终得到一个IP包，通过IP网络(wnglu)发送到PPTP服务器。n nPPTP服务器收到该IP后层层解包，得到真正的用户数据，并将用户数据转发到内部网络(wnglu)上。n n用户的数据可以是多种协议，比如IP数据包、IPX数据包或者NetBEUI数据包。n nPPTP采用RSA公司的RC4作为数据加密算法，保证了隧道通信的安全性。第三十二页，共113页。2、L2TP协议协议(xiy)n nL2TPL2TP：n nLayer Two Tunneling Proto

31、colLayer Two Tunneling Protocol（第二层隧道协议），由（第二层隧道协议），由RFC RFC 26612661定义。定义。n n它结合了它结合了L2FL2F和和PPTPPPTP的优点，可以让用户从客户端或访问服务器的优点，可以让用户从客户端或访问服务器端发起端发起VPNVPN连接。连接。n nL2TPL2TP是由是由CiscoCisco、AscendAscend、MicrosoftMicrosoft等公司在等公司在19991999年联合制定的，年联合制定的，已经成为已经成为(chngwi)(chngwi)二层隧道协议的工业标准，并得到了众多网二层隧道协议的工业标准，

32、并得到了众多网络厂商的支持。络厂商的支持。n nL2TPL2TP协议支持协议支持IPIP、帧中继或、帧中继或ATMATM等作为传输协议，但目前仅定等作为传输协议，但目前仅定义了基于义了基于IPIP网络的网络的L2TPL2TP。n nL2TPL2TP隧道协议可用于隧道协议可用于InternetInternet，也可用于其他企业专用，也可用于其他企业专用IntranetIntranet中。中。第三十三页，共113页。L2TP协议协议(xiy)术语术语n nL2TPL2TP主要由主要由LACLAC和和LNSLNS构成。构成。n nLACLAC：n nL2TP Access ConcentratorL

33、2TP Access Concentrator（L2TPL2TP访问集中器），是附属在访问集中器），是附属在交换网络上的具有交换网络上的具有PPPPPP端系统和端系统和L2TPL2TP协议协议(xiy)(xiy)处理能力的处理能力的设备，它为用户通过设备，它为用户通过 PSTN/ISDN PSTN/ISDN 提供网络接入服务。提供网络接入服务。n nLACLAC支持客户端的支持客户端的L2TPL2TP，它用于发起呼叫，接收呼叫和建立，它用于发起呼叫，接收呼叫和建立隧道。隧道。n nLNSLNS：n nL2TP Network ServerL2TP Network Server（L2TPL2TP

34、网络服务器），是网络服务器），是PPPPPP端系统端系统上用于处理上用于处理L2TPL2TP协议协议(xiy)(xiy)服务器端部分的软件。服务器端部分的软件。n nLNSLNS是所有隧道的终点。在传统的是所有隧道的终点。在传统的PPPPPP连接中，用户拨号连连接中，用户拨号连接的终点是接的终点是LACLAC，L2TPL2TP使得使得PPPPPP协议协议(xiy)(xiy)的终点延伸到的终点延伸到LNSLNS。第三十四页，共113页。L2TP隧道的建立隧道的建立(jinl)过程过程第三十五页，共113页。L2TP协议协议(xiy)报文报文n nL2TP客户端和服务器之间的报文也有两种：控制报文

35、和数据报文，这两种报文均采用UDP协议封装和传送PPP帧。n nPPP帧的有效载荷即用户传输数据，可以经过加密和/或压缩n n需要指出的是，与PPTP不同，在Windows 2000中，L2TP客户机不采用MPPE对L2TP连接(linji)进行加密，L2TP连接(linji)的加密由IPSec ESP提供。第三十六页，共113页。L2TP协议协议(xiy)控制报文控制报文n n控制报文：n n用于隧道的建立与维护。与PPTP不同，L2TP不是(b shi)通过TCP协议来进行隧道维护，而是采用UDP协议。n n在Windows 2000中，L2TP客户端和服务器都使用UDP 1701端口，不

36、过Windows 2000 L2TP服务器也支持客户端使用非1701 UDP端口。第三十七页，共113页。L2TP协议协议(xiy)控制报文（续）控制报文（续）第三十八页，共113页。L2TP协议协议(xiy)数据报文数据报文n nL2TP隧道维护控制报文和隧道化用户传输数据具有相同的包格式(g shi)。n nL2TP用户传输数据的隧道化过程采用多层封装的方法。第三十九页，共113页。L2TP数据数据(shj)发送端的发送处理发送端的发送处理过程过程n n1 1）L2TPL2TP封装：初始封装：初始PPPPPP有效载荷如有效载荷如IPIP数据报、数据报、IPXIPX数据报或数据报或NetBE

37、UINetBEUI帧等首先经过帧等首先经过PPPPPP报头和报头和L2TPL2TP报头的封装。报头的封装。n n2 2）UDPUDP封装：封装：L2TPL2TP帧进一步添加帧进一步添加UDPUDP报头进行报头进行UDPUDP封装，在封装，在UDPUDP报头中，源端和目的端端口号均为报头中，源端和目的端端口号均为17011701。n n3 3）IPSecIPSec封装：基于封装：基于IPSecIPSec安全策略，安全策略，UDPUDP报文通过添加报文通过添加IPSecIPSec封装封装安全负载安全负载ESPESP报头、报尾和报头、报尾和IPSecIPSec认证报尾，进行认证报尾，进行IPSecI

38、PSec加密封装。加密封装。n n4 4）IPIP封装：在封装：在IPSecIPSec数据报外再添加数据报外再添加IPIP报头进行报头进行IPIP封装，封装，IPIP报头中包报头中包含含VPNVPN客户机和服务器的源端和目的端客户机和服务器的源端和目的端IPIP地址。地址。n n5 5）数据链路层封装：数据链路层封装是）数据链路层封装：数据链路层封装是L2TPL2TP帧多层封装的最后帧多层封装的最后(zuhu)(zuhu)一层，依据不同的物理网络再添加相应的数据链路层报头和一层，依据不同的物理网络再添加相应的数据链路层报头和报尾。报尾。第四十页，共113页。L2TP数据数据(shj)接收端的处

39、理接收端的处理过程过程n n接收端的处理过程是发送处理过程的逆过程，包括：接收端的处理过程是发送处理过程的逆过程，包括：n n1 1）处理并去除数据链路层报头和报尾。）处理并去除数据链路层报头和报尾。n n2 2）处理并去除）处理并去除IPIP报头。报头。n n3 3）用）用IPSec ESPIPSec ESP认证报尾对认证报尾对IPIP有效载荷和有效载荷和IPSec ESPIPSec ESP报头进行认报头进行认证。证。n n4 4）用）用IPSec ESPIPSec ESP报头对数据报的加密部分进行解密。报头对数据报的加密部分进行解密。n n5 5）处理）处理UDPUDP报头并将数据报提交给

40、报头并将数据报提交给L2TPL2TP协议。协议。n n6 6）L2TPL2TP协议依据协议依据L2TPL2TP报头中报头中Tunnel IDTunnel ID和和Call IDCall ID分解出某条特定分解出某条特定的的L2TPL2TP隧道隧道(sudo)(sudo)。n n7 7）依据）依据PPPPPP报头分解出报头分解出PPPPPP有效载荷，并将它转发至相关的协议有效载荷，并将它转发至相关的协议驱动程序做进一步处理。驱动程序做进一步处理。第四十一页，共113页。PPTP与与L2TP的比较的比较(bjio)n n1 1）PPTPPPTP要求互联网络为要求互联网络为IPIP网络，网络，L2T

41、PL2TP只要求隧道媒介提供面向只要求隧道媒介提供面向数据包的点对点的连接数据包的点对点的连接n nL2TPL2TP可以在可以在IPIP（使用（使用UDPUDP）、帧中继永久虚拟电路（）、帧中继永久虚拟电路（PVCsPVCs）、）、虚拟电路（虚拟电路（VCsVCs）或）或ATM VCsATM VCs网络上使用。网络上使用。n n2 2）PPTP PPTP只能在两端点间建立单一只能在两端点间建立单一(dny)(dny)隧道，隧道，L2TPL2TP支持在两支持在两端点间使用多隧道端点间使用多隧道n n使用使用L2TPL2TP，用户可以针对不同的服务质量创建不同的隧道。，用户可以针对不同的服务质量创

42、建不同的隧道。n n3 3）L2TP L2TP可以提供包头压缩可以提供包头压缩n n当压缩包头时，系统开销占用当压缩包头时，系统开销占用4 4个字节，而个字节，而PPTPPPTP协议下要占用协议下要占用6 6个字节。个字节。n n4 4）L2TP L2TP可以提供隧道验证，而可以提供隧道验证，而PPTPPPTP不支持隧道验证。不支持隧道验证。第四十二页，共113页。四、第三层隧道四、第三层隧道(sudo)协议协议GREn nGREGeneric Routing EncapsulationGREGeneric Routing Encapsulation（通用路由封装协议）（通用路由封装协议）n

43、n由由CiscoCisco和和NetSmithsNetSmiths公司于公司于19941994年提交年提交(tjio)(tjio)给给IETFIETF，标号为，标号为RFC 1701RFC 1701和和RFC 1702RFC 1702。n n在在20002000年，年，CiscoCisco等公司又对等公司又对GREGRE协议进行了修订（协议进行了修订（GRE V2GRE V2），），标号为标号为RFC 2784RFC 2784。n nGREGRE支持全部的路由协议（如支持全部的路由协议（如RIP2RIP2、OSPFOSPF等），用于在等），用于在IPIP包中包中封装任何协议的数据包，包括封装任

44、何协议的数据包，包括IPIP、IPXIPX、NetBEUINetBEUI、AppleTalkAppleTalk、Banyan VINESBanyan VINES、DECnetDECnet等。等。n n在在GREGRE中，乘客协议就是上面这些被封装的协议，封装协议就是中，乘客协议就是上面这些被封装的协议，封装协议就是GREGRE，传输协议就是，传输协议就是IPIP。第四十三页，共113页。GRE报文报文第四十四页，共113页。利用利用(lyng)GRE实现实现VPN第四十五页，共113页。GRE协议协议(xiy)的优点的优点n n1 1）通过）通过GREGRE，用户可以利用公共，用户可以利用公共

45、IPIP网络连接非网络连接非IPIP网络，如网络，如IPXIPX网络、网络、AppleTalkAppleTalk网络等。网络等。n n2 2）通过）通过GREGRE，可以使用保留地址进行网络互联，或者对公网，可以使用保留地址进行网络互联，或者对公网隐藏企业网的隐藏企业网的IPIP地址。地址。n n3 3）GREGRE扩大了网络的工作范围，包括那些路由网关次数有限扩大了网络的工作范围，包括那些路由网关次数有限(yuxin)(yuxin)的协议的协议n n如如IPXIPX包最多可以转发包最多可以转发1616次（即经过次（即经过1616个路由器），而在一个个路由器），而在一个隧道连接中看上去只经过一

46、个路由器。隧道连接中看上去只经过一个路由器。n n4 4）GREGRE只提供封装，不提供加密，对路由器的性能影响较小，只提供封装，不提供加密，对路由器的性能影响较小，设备档次要求相对较低。设备档次要求相对较低。第四十六页，共113页。GRE协议协议(xiy)的缺点的缺点n n1）GRE只提供了数据包的封装，而没有加密(ji m)功能来防止网络监听和攻击，所以在实际环境中经常与IPSec一起使用。n n由IPSec提供用户数据的加密(ji m)，从而给用户提供更好的安全性。n n2）由于GRE与IPSec采用的是同样的基于隧道的VPN实现方式，所以IPSec VPN在管理、组网上的缺陷，GRE

47、VPN也同样具有。n n3）由于对原有IP报文进行了重新封装，所以无法实施IP QoS策略。第四十七页，共113页。五、五、IPSECn n1、IPSec协议(xiy)概述n n2、IPSec协议(xiy)重要概念n n3、IPSec安全协议(xiy)AHn n4、IPSec安全协议(xiy)ESPn n5、ISAKMP协议(xiy)和IKE协议(xiy)第四十八页，共113页。1、IPSec协议协议(xiy)概述概述n nIPSecIPSec（IP SecurityIP Security）是一种由）是一种由IETFIETF设计的端到端的确设计的端到端的确保保IPIP层通信安全的机制。层通信安

48、全的机制。n nIPSecIPSec不是一个单独不是一个单独(dnd)(dnd)的协议，而是一组协议的协议，而是一组协议n n其定义文件包括了其定义文件包括了1212个个RFCRFC文件和几十个文件和几十个InternetInternet草案，草案，已经成为工业标准的网络安全协议。已经成为工业标准的网络安全协议。n nIPSecIPSec是随着是随着IPv6IPv6的制定而产生的，鉴于的制定而产生的，鉴于IPv4IPv4的应用仍的应用仍然很广泛，所以后来在然很广泛，所以后来在IPSecIPSec的制定中也增加了对的制定中也增加了对IPv4IPv4的支持的支持n nIPSecIPSec在在IPv

49、6IPv6中是必须支持的，而在中是必须支持的，而在IPv4IPv4中是可选的。中是可选的。第四十九页，共113页。IPSec要解决的主要要解决的主要(zhyo)安全安全问题问题n nIPv4IPv4协议在当初设计时并没有过多地考虑安全问题，而协议在当初设计时并没有过多地考虑安全问题，而只是为了能够使网络方便地进行互联互通，因此只是为了能够使网络方便地进行互联互通，因此IPIP协议协议从本质上就是不安全的。从本质上就是不安全的。n nIPV4 IPV4 的主要安全问题有：的主要安全问题有：n n1 1）窃听：窃听：n n一般情况下一般情况下IPIP通信是明文形式的，第三方可以很容易地通信是明文形

50、式的，第三方可以很容易地窃听到窃听到IPIP数据包并提取出其中的应用层数据；数据包并提取出其中的应用层数据；n n“窃听窃听”虽然不破坏数据，却造成虽然不破坏数据，却造成(zo chn)(zo chn)了通信内容了通信内容外泄，甚至危及敏感数据的安全。外泄，甚至危及敏感数据的安全。第五十页，共113页。IPSec要解决的主要要解决的主要(zhyo)安全问题安全问题（续）（续）n n2 2）篡改：篡改：n n攻击者可以在通信线路上非法窃取到攻击者可以在通信线路上非法窃取到IPIP数据包，修改其内数据包，修改其内容并重新计算校验和，数据包的接收方一般不可能察觉出容并重新计算校验和，数据包的接收方一