《网络测试与故障诊断》一体化教案_VPN安全技术32737.pdf

《《网络测试与故障诊断》一体化教案_VPN安全技术32737.pdf》由会员分享，可在线阅读，更多相关《《网络测试与故障诊断》一体化教案_VPN安全技术32737.pdf（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、.新里程旅游技工学校 教 案 首 页 课程 名称 网络测试与故障诊断 项 目 课题 VPN 安全技术 课型 讲座 授课 班级 12 计算机 授课 时间 2015.3.21 课 时 2小时30分 授课教师 学习 目标 知识 目标 理解 VPN 的安全性；熟悉路由器端连接 VPN,防火墙端连接 VPN,专业设备连接 VPN；掌握构建虚拟专用网VPN 技能 目标 通过学习，学生学会构建虚拟专用网VPN。情感 目标 通过学习培养学生计算机网络的兴趣。教学 重点 构建虚拟专用网VPN 教学 难点 路由器端连接 VPN,防火墙端连接VPN,专业设备连接 VPN 教学 场景 多媒体教学系统 教学 方法 教授

2、法，课文引导、结合实例分析、习题练习，讲解教学 教学 回顾 .教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）教 学 设计：让同学讨论回答，并抽取同学回答 教师点评并归 纳 出 答案，最后简单分析。通过设疑，吸引学生的注意力，激发 学 习 兴趣。学生回答操作方法 【组织教学】(约 3 分钟)：整顿纪律，考勤，填写教学日志，检查课本与练习本的准备情况 【复习旧课】（约 5 分钟）1 复习提问：在一台交换机上划分两个 Vlan（Vlan2，Vlan3）2参考答案 给两台交换机划分 vlan，步骤如下：【新课导入】（约 2 分钟）企业构建安全局域网后，如何才能实现在互联网中也能安全联

3、网？“VPN 安全技术”导入.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）课件演示，讲解 VPN 技术的概念【讲授新课】一、VPN 技术（约 15 分钟）（一）VPN 技术的介绍：在网络互联世界中，企业为了各站点之间能够安全地传输数据，往往选择从通信厂商处租用昂贵的专有链路来进行传送。为了降低成本，我们可以在现有的Internet 结构基础和其他用户共享通信链路上进行数据传输，但同时如何保证数据传输的安全就成了最重要的问题。其中一种有效的解决方案就是构建虚拟专用网 VPN。（二）VPN概述 VPN 是将不同物理位置的组织和个人通过已有的公共网络建立一条点到点的虚拟链路，模拟

4、专用网进行安全数据通信的网络技术，其基本原理是通过一定的技术将互联网上每个 VPN 用户的数据与其他数据加以区别，避免未经授权的访问，从而确保数据的安全。通过利用共享的公共网络设施实现VPN，能够以极低的费用为远程用户提供性能和专用网络相媲美的通信服务。隧道技术 隧道技术是目前构建 VPN 的基本方式。隧道技术是指把一种类型的报文封装在另一种报文中在网络上进行传输，如图所示。两个网络通过VPN 接入设备的一个端口，即一个 VPN 端点，建立的虚拟链路就叫隧道。发送给远程网络的数据要进行一定的封装处理，从发送方网络的一个VPN 端点进入 VPN，经相关隧道穿越VPN(物理上穿越不安全的互联网)，

5、到达接收方.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）详细分析 VPN隧道模式，来突出VPN技术的重要作用 网络的另一个 VPN 端点，再经过解封装处理，便得到原始数据，并且把加密后的原始数据发给目的主机。封装的数据在传送中，不仅遵循指定的路径，避免经过不信任的节点而到达未授权接收方，而且封装处理使得传送的中间节点不必也不会解析原始数据，这在一定程度上防止了数据泄密。对主机来说，不管是发送主机还是接收主机，都不知道数据曾经被封装过，也不知道数据是在 Internet 网络上进行传输的，它只需要提供要传输的数据，而不需要特殊的软件或配置，所有传送过程都由 VPN 设备来处理

6、。仅仅通过隧道技术还不能建立适合所有安全要求的 VPN，因为一般的隧道技术只能够满足在单个运营商网络上进行数据安全传输的需求。用户数据要跨越多个运营商网络时，在两个独立网络节点的封装数据要先解封处理后再封装，可能在此过程中造成信息泄漏，因此，必须结合加密技术和密钥管理等 .教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）具体分析 VPN的优点 技术保证数据传输的性。同时，身份认证及访问控制等技术可以支持远程接入或动态建立隧道的 VPN，通过对访问者身份的确认及对其访问资源的控制来保证信息安全。所以 VPN 通信具有与专用网同等的通信安全性。VPN 的简单通信 过程如下：(1)客

7、户机向 VPN 服务器发出请求。(2)VPN 服务器响应请求，并要求客户进行身份认证。(3)客户机将的用户身份认证响应信息发给服务器。(4)VPN 服务器收到客户的认证响应信息，确认该是否有效，是否具有远程访问权限。如果有访问权限，则接收此连接。(5)VPN 服务器利用在认证过程中产生的客户机和服务器的公有密钥对数据进行加密，然后通过 VPN 隧道技术进行封装、加密、传输到目的部网络。总之，VPN 可以通过隧道技术、密码技术、身份认证及访问控制技术等在共享的互联网上实现低成本的安全数据传输。二、VPN 的优点（约 10 分钟）VPN 的优点如下：1)费用低廉 这是使用 VPN 的最主要的好处。

8、通过使用 VPN，我们可以 在公共网络上尽可能安全地传输数据，而不需要再租用专线来 组网。并且，多数 VPN 都可以提供可靠的远程拨号服务，如此 便减少了管理、维护和操作拨号网络的人力成本，节约了相关 费用。2)安全可靠 VPN 为数据安全传输提供了许多安全保证，可以保证传输数 据的性、完整性和对发送/接收者的认证。.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）具体分析 VPN的缺点 3)部署简单 VPN 使用的是已有的基础设施，因此可以利用现有的基础设施快速建立 VPN，从而降低工作量，节省时间，减少施工费用 三、VPN 的缺点（约 10 分钟）VPN 有如上所述的许多优

9、点，但同时也有一些缺点：1)增加了处理开销 为了保证数据传输安全，通常对传输的每一个报文都进行加密，如此便增加了 VPN 处理压力。虽然可以采取硬件技术来解决，但同时也增加了构建VPN的成本。同时，由于VPN 对发送的报文进行了封装，或者在原始报文上增加额外报文信息，这些都增加了处理开销，对网络性能构成一定的影响。2)实现问题 由于现有的网络基础情况一般比较复杂，因此 VPN 在设计的时候必须考虑到实现的问题，包括VPN 通过、网络地址转换 最大传输单元大小等问题。3)故障诊断和控制问题 由于 VPN 上传输的数据都进行了封装处理，真实数据只能等解封后才能看见，因此一旦发生故障，很难进行诊断。

10、同时，如果远程用户通过VPN 接入的话，必须要考虑对其实施控制。因为此时的远程接入客户作为进入网络的入口，由于其自身主机的安全问题，可能会带来安全隐患。并且，VPN 毕竟是构建在公共基础设施上，而一旦这些基础设施出现问题则会导致 Internet 服务故障，从而使 VPN 的通信出现问题。.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）.详细分析 VPN隧道协议 四、VPN 隧道协议（约 50 分钟）（一）按照用户数据是在网络协议栈的第几层被封装，即隧道协议是工作在第二层数据链路层、第三层网络层，还是第四层应 用层，可以将 VPN 协议划分成第二层隧道协议、第三层隧道协议和第

11、四层隧道协议。1）第二层隧道协议：主要包括点到点隧道协议(PPTP)、第二层转发协议(L2F)，第二层隧道协议(L2TP)、多协议标记交换(MPLS)等，主要应用于构建接入 VPN。2）第三层隧道协议：主要包括通用路由封装协议(GRE)和 IPSec，它主要应用于构建联网 VPN 和外联网 VPN。3）第四层隧道协议：如 SSL VPN。SSL VPN 与 IPSec VPN 都是实现 VPN 的两大实现技术。其中，IPSec VPN 工作在网络层，因此与上层的应用程序无关。采用隧道运行模式的 IPSec对原始的 IP 数据包进行封装，从而隐藏了所有的应用协议信息因此可以实现各种应用类型的一对

12、多的连接，如 Web、电子邮 件、文件传输、VoIP 等连接。与SSL 相比，IPSec 只在一个客户程序和远程 VPN 网关或主机之间建立一条连接，所有应用程序的流量都通过该连接建立的隧道进行传输。而 SSL VPN 工作在应用层，对每一个附加的应用程序都不得不建立额外的连接和隧道。不过，SSL除了具备与 IPSec VPN 相当的安全性外，还增加了访问控制机制。而且客户端只需要拥有支持 SSL 的浏览器即可，配置方便，使用简单，非常适合远程用户访问企业部网。因此，现在第四层隧道协议最著名的便是 SSL。教 案 页 .教学环节 及 时间分配 教学过程（教学容和教学方法）（二）PPTP 在了解

13、点到点隧道协议(PPTP)协议之前，必须先要了解PPP 和 GRE 两个协议。1)点到点协议(PPP)PPP 协议主要是为通过拨号或专线方式建立点对点连接的同等单元之间传输数据包而设计的链路层协议。PPP 协议将 IP、IPX 和 NETBEUI包封装在 PPP 帧通过点对点的链路发送，主要应用于拨号连接用户和NAS。2)GRE 协议 GRE协议由 Cisco 和 NetSmiths等公司提交给 IETF 的数据封装协议，它规定了如何用一种网络协议去封装另一种网络协议的方法，由 RFC1701和 RFC1702详细定义。目前多数厂商的网络设备均支持GRE 隧道协议。GRE 协议允许用户使 用

14、IP 包封装 IP、IPX、AppleTalk包，并支持全部的路由协议(如 RIP2、OSPF等)。不过，GRE 协议只提供了数据包封装功能而没有加密功能，所以在实际环境中为了保证用户数据安全，GRE 协议经常与 IPSec 结合使用，由 IPSec 提供用户数据的加密。PPTP是由微软、Ascend、3COM 等公司支持的基于IP 的点对点隧道协议，它采用隧道技术，使用IP 数据包通过 Internet传送 PPP 数据帧，在 RFC2367中有详细定义。该协议使用两种不同类型的数据包来管理隧道和发送数据包。PPTP 通过 TCP 端口 1723 建立 TCP 连接并发送和接收所有控制命令。

15、对于数据传输，PPTP 先使用 PPP 封装，再将 PPP 封装到一个 IP 类型为 47 的 GRE 数据包中，最后 GRE 数据包再被封装到一个IP 数据包过隧道传输。如图所示。PPTP协议的实现由 PPTP 接入集中器(PAC)和 PPTP 网络服务器(PNS)来分别执行，从而实现因特网上的VPN。其中，ISP 的 NAS 将执行 PPTP 协议中指定的PAC 的功能，企业 VPN 中心服务器将执行PNS 的功能。.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）如图所示，远程拨号用户(如远程用户 1)首先采用拨号方式接入到 ISPNAS(PAC)建立 PPP 连接，然后

16、接入 Internet 通过企业 VPN 服务器(PNS)访问企业的网络和应用，而不再直接拨号至企业的网络。这样，由GRE 将 PPP 报文封装成的 IP报文就可以在 PAC-PNS 之间经由因特网传递，即在 PAC 和 PNS 之间为用户的 PPP 会话建立了一条 PPTP 隧道(如 PPTP 隧道 1)。由于所有的通信都将在 IP 包通过隧道，因此 PAC 只起着通过 PPP 连接进因特网的入口点的作用。对于直接连接到 Internet 上的客户(如远程用户 2)，可以直接与企业 VPN 服务器建立虚拟通道(如 PPTP 隧道 2)而不需要与 ISP 建立 PPP 连接。.教 案 页 教学

17、环节 及 时间分配 教学过程（教学容和教学方法）.3）PPTP 具有两种不同的工作模式，即被动模式和主动模式。被动模式的 PPTP：ISP 为用户提供其拨号连接到 ISP 过程中所有的服务和帮助，而客户端则不需要安装任何与 PPTP 相关的软件。此模式的好处是降低了对客户的要求，缺点是限制了客户对因特网其他部分的访问。主动模式的 PPTP：由客户建立一个与企业网络服务器直接连接的 PPTP 隧道，ISP 只提供透明的传输通道而并不参与隧道的建立。此模式的优点是客户拥有对 PPTP 的绝对控制，缺点是对用户的要求较高，并需要在客户端安装支持PPTP 的相应软件。如图 从安全性上来说，对于加密，P

18、PTP 使用 Microsoft 点对点加密算法(MPPE)，采用 RC4 加密程序。对于认证，PPTP 使用 Microsoft 挑战握手认证协议(MS-CHAP)、口令认证协议(PAP)、挑战握手认证协议(CHAP)或扩展认证协议(EAP)来实现用户认证功能。但是，由于 MS-CHAP 是不安全的，因此大都认为 PPTP不安全。后来，Microsoft 在 PPTP 实现中采用了 MS-CHAP V2，解决了其存在的安全问题。教 案 页 .教学环节 及 时间分配 教学过程（教学容和教学方法）详 细 介 绍第二 层 隧 道协议（L2TP）四、L2TP（约 20 分钟）第二层隧道协议(L2TP

19、)是 IETF 起草，微软、Cisco、3COM 等公司参与的协议，在 RFC 2661 中对其进行了详细定义。该协议由PPTP 与二层转发协议(L2F)的融合而形成，结合了两个协议的优点，是目前IETF 的标准。其中，L2F 是由Cisco 公司提出的，可以在多种传输网络(如 ATM、帧中继、IP 网)上建立多协议 的安全虚拟专用网的通信方式，主要用于 Cisco 的路由器和拨号访问服务器，能够将链路层的协议(HDLC、PPP 等)封装起来传送。和 PPTP 一样，L2TP 通过对数据加密和对目的地址加密隐藏，在 Internet网络上建立隧道，从而创建一种安全的连接来传送信息。L2TP 消

20、息可以分为两种类型，一种是控制信息，另一种是数据信息。控制信息用于隧道和呼叫的建立、维护与清除。数据信息用于封装隧道传输的 PPP 数据帧。控制信息利用 L2TP部可靠的控制通道来保证传输，而数据信息一旦数据包丢失则不再重传。如图所示。L2TP 在 IP 网络上的隧道控制信息以及数据使用相类似，通过 UDP 的 1701端口承载于 TCP/IP 之上进行传输。.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）.叙述 L2TP 的建立过程 分析 L2TP 协议的特性 与 PPTP 类似，L2TP 协议的实现也由两个

21、设备来执行：一个是 L2TP 访问集中器(LAC)，另一个是 L2TP 网络服务器(LNS)。L2TP 将隧道连接定义为一个 LNS 和LAC 对，其中 LAC 用于发起呼叫、接收呼叫和建立隧道，而 LNS 是远程系统通过L2TP 建立的隧道传送 PPP 会话的逻辑终点。如图所示。1.L2TP 的建立过程(1)远程用户通过 PSTN 或 ISDN 拨号至本地接入服务器 LAC(LAC 是连接的终点)；(2)LAC 接收呼叫，认证用户是否合法，通过 Internet、帧中继或 ATM 网络建立一个通向部网(Home LAN)LNS 的 VPN 隧道；(3)在隧道上传输 PPP 数据到达部网络。在

22、以上过程中，部网提供地址分配、认证、计费等管理。LAC 客户端(运行 L2TP 的主机)可以直接接入部网而不需要另外的 LAC。在这种情况下，包含 LAC 客户端软件的主机必须已经连接到公网上，然后建立一个“虚拟”PPP 连接，使主机 L2TP LAC 客户端与 LNS 之间建立一个隧道。其地址分配、认证、授权和计费都由目标网络的管理域提供。LAC 和 LNS 功能一般由为用户通过 PSTN/ISDN 拨入网络提供服务的网络接入服务器 NAS 提供。2.L2TP 协议的特性(1)扩展性。为了在互通的基础上具有最大化扩展性，L2TP 使用了统一的格式来对消息类型和主体进行编码，用 AVP 值对来

23、表示。(2)可靠性。L2TP 在控制信息的传输过程中，应用消息丢失重传和定时检测通道连通性等机制来保证传输的可靠性。而其数据消息的传输由于不采用重传机制，所以它无法保证传输的可靠性，但这一点可以通过上层协议如 TCP 等得到保证。另外，L2TP 在所有的控制信息中都采用序号来保证可靠传输，而数据信息可用序号来进行数据包的重排或用来检测丢失的数据包。(3)身份认证及性。L2TP 继承了 PPP 的所有安全特性，不仅可以选择多种身份认证机制(CHAP、PAP 等)，还可以对隧道端点进行认证。L2TP 定义了控制包的加密传输，对每个隧道生成一个独一无二的随钥，以抵御欺骗性的 攻击，但是它对传输中的数

24、据不加密。根据特定的网络安全要求可以方便地在L2TP 之上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。教 案 页 .教学环节 及 时间分配 教学过程（教学容和教学方法）通 过 比 较L2TP 与 PPTP的区别，让同学 更 加 了解VPN 技术 五、L2TP 与 PPTP 的区别（约 30 分钟）虽然 L2TP 是由 PPTP 发展起来的，都使用 PPP 协议对数据进行封装，然后添加附加报头用于数据在互联网络上的传输，但两者间仍有一定的区别：(1)从网络运行环境上来看，PPTP 要求互联网络为 IP 网络，而 L2TP 可以在 IP、帧中继、ATM 等网络上使用。(2

25、)从建立隧道的模式来看，PPTP 只能在两端点间建立单一隧道，而 L2TP 支持在两端点间使用多隧道。因此，用户可以针对不同的服务质量使用 L2TP 创建不同的隧道。(3)从认证方式来看，L2TP 可以提供隧道认证，而 PPTP 则不支持隧道认证。但是当 L2TP 或 PPTP 与 IPSec 共同使用时，可以由 IPSec 提供隧道验证，而不需要在第二层协议上验证隧道。(4)从数据包传输效率来看，L2TP 合并了控制通道和数据通道，使用 UDP 协议来传输所有信息，因此，相对采用 TCP 协议传输数据的 PPTP 来说，效率更高，更容易通过防火墙。另一方面，PPTP 支持通过 NAT 防火墙

26、的操作，而 L2TP 则不能支持 1.MPLS 多协议标记交换(MPLS)吸收了 ATM 的 VPI/VCI 交换思想，无缝集成了 IP 路由技术的灵活性和两层交换的简捷性，在面向无连接的 IP 网络中增加了 MPLS这种面向连接的属性。通过采用 MPLS 建立“虚连接”的方法，为 IP 网增加了一些管理和运营的手段。随着网络技术的迅速发展，MPLS 应用也逐步转向 MPLS流量工程和 MPLS VPN 等应用。MPLS 的主要原理是为每个 IP 数据包提供一个标记，并由此标记决定数据包的路径以及优先级，使与 MPLS 兼容的路由器在将数据包转送到其路径之前，只需读取数据包标记，而无需读取每个

27、数据包的 IP 地址和标头，然后将所传送的数据包置于帧中继或 ATM 的虚拟电路上，从而将数据包快速传送至终点路由器，减少了数据包的延迟，增加了网络传输的速度。同时由帧中继及 ATM 交换器所提供的服务质量(QoS)对所传送的数据包加以分级，因而大幅提升网络服务品质及提供更多样化的服务。因此，MPLS 技术适合用于远程互联的大中型企业专用网络等对 QoS、服务级别(CoS)、网络带宽、可靠性等要求高的 VPN 业务。.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）详细分析 VPN的集成 路 由 器 集成VPN 2.VPN 集成 VPN 在网络中的集成有很多方式，最常见的有路由

28、器集成 VPN、防火墙集成 VPN 和专用 VPN 设备在三种方式。1）路由器集成 VPN 现在一些路由器中已经配备了 VPN 模块，即路由器集成 VPN，如下图所示。边缘路由器上集成 VPN，访问过程如下：远程用户建立 VPN到路由器。路由器将请求转发给 NAS。NAS 认证远程用户是否合法，若合法，则授权用户访问外部网。路由器集成 VPN 的设备仅适合小型网络而不适合大型网络，因为路由器本身的性能有限，若再加上加密/解密 VPN 信息带来的负担，则会使路由器超负荷。因此，一般对企业用户来说，路由器集成 VPN 并不是一个很好的选取择。.教 案 页 教学环节 及 时间分配 教学过程（教学容和

29、教学方法）.防 火 墙 集成VPN 2）防火墙集成 VPN 防火墙集成 VPN 是应用广泛的模式，许多厂家的防火墙产品都具有 VPN 功能。由于防火墙本身具备较完善的记录功能，因此，在此基础上增加 VPN 记录不会给防火墙带来太大的额外负担。另外，防火墙也是网络的入口点，在此增加 VPN 功能将使用户能够访问网络而不用开放防火墙规则，以免增加安全漏洞。防火墙集成 VPN 如图所示。防火墙集成 VPN 访问过程与路由器集成 VPN 类似：远程用户建立 VPN 到防火墙 防火墙将认证请求转发给 NAS。NAS 认证远程用户是否合法，若合法，则防火墙授权用户访问部网。防火墙集成 VPN 的模式可以获

30、得设备中由防火墙部件提供的健壮的访问控制功能，给网络管理员提供了更多的控制权，使用户能够访问的网络资源部分被限定。但与路由器集成 VPN 一样，处理 VPN 加密/解密信息需要占用大量系统资源，如果防火墙本身负荷已经很重，则不适合选择此种模式。而且，防火墙集成 VPN 方案还有一个缺陷，就是在优化配置虚拟网和防火墙部件方面，选择余地非常小，因为最适合业务需要的防火墙产品可能与虚拟专用网不匹配。同时，集成方案还会使 VPN 和防火墙部件限制在一套系统上，使得配置方案不灵活。.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）专业VPN设备 3）专用 VPN 设备 专用 VPN 设备

31、最主要的优点就是减轻了路由器和防火墙管理 VPN 的负担，即使有再多的连接甚至过载，也不会影响网络的其他部分。专用 VPN 设备的另一个优点是增强了 VPN 访问的安全性，即使 VPN 被攻破，也可以使攻击者引起的破坏降低到最低，相比路由器和防火墙集成 VPN 而言，增强了网络安全性。专用 VPN 设备如图所示。专用 VPN 设备访问过程如下：远程用户建立 VPN 到专用设备。专用设备处理用户认证请求，或将请求转发给 NAS 如果认证成功，则授权用户访问部网，并且管理员还能够限定用户访问网络的哪部分资源。专用 VPN 设备与防火墙的组合主要有三种结构：1)VPN 设备在非军事区，位于防火墙和路

32、由器之间此种模式最大的问题就是网络地址转换(NAT)。例如，用户发出的报文使用了IPSec 的 AH 进行认证，在报文到达目标网络虚拟网设备时，由于还没通过防火墙进行地址转换，.教 案 页 教学环节 及 时间分配 教学过程（教学容和教学方法）与 学 生 一起回顾知识点。因此不能通过目标网络 VPN 的完整性校验。这是因为在发送端的 NAT 设备在对报文处理时修改了报文的源地址，从而导致接收端的 VPN 连接不能通过消息摘要认证。2)VPN 设备在防火墙之后，位于屏蔽子网或网络部 此种模式的问题是地址管理，有些虚拟专用网规要求给虚拟专用网设备配置一个合法的 IP 地址，如果 IP 地址被 NAT

33、 地址改定后，可能会引起 IPSec 的 IKE阶段失败。3)VPN 设备在防火墙之前，更靠近 Internet 一些，此种模式要以避免潜在的网络地址转换和地址管理上出现的问题，但由于不能得到防火墙的保护，如果 VPN端点的系统受到损害，可能使攻击者访问到应该受 VPN 保护的信息。总之，专用 VPN 设备为稳固和可升级方案的实现提供了很好的解决方法，而且不影响网络的其他部分，具备许多优点。但是专用 VPN 也有一些缺点，因为它是额外的网络设备，所以也需要对它进行管理和监控。另外，VPN 设备及软件的管理和漏洞也要加强防，同时还要防止由于在防火墙中要通过 VPN 而创建的连接可能引起的安全问题。最后，专用 VPN 设备的使用也会使网络成本提高。因此，选择哪一种 VPN 端接方式需要对所有的方案及网络潜在流量进行彻底的评估，才能找到最适合的解决方案。【教学小结】（约 3 分钟）1.构建虚拟专用网 VPN；2.路由器端连接 VPN；3.防火墙端连接 VPN；4.专业设备连接 VPN；【作业布置】（约 2 分钟）1构建一个路由器端连接 VPN。2预习下次课的容。审核：年 月 日