VPN虚拟专用网
VPN基本原理
VPN的组成部分
由客户机、传输介质(采用“隧道”技术)和服务器组成。
企业内部网中必须配置一台VPN服务器,一方连接企业内部专用网络,另一方面连接Internet。
VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
实现远程的两个环境之间的安全传输,保证传输过程中的完整性和不可否认性。
点对点隧道协议(PPTP)
PPTP协议
将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装在GRE协议中,用于在标准IP包中封装任何形式的数据包。
第2层隧道协议(L2TP)
L2TP协议
主要由LAC和LNS构成。LAC支持客户端的L2TP,发起呼叫,接收呼叫和建立隧道;而LNS是所有隧道的终点。
主要服务是“封装”和“加密”。
IP安全协议(IPSec):数据验证、数据完整和信任
传输模式:不改变原有的IP包头,通常用于主机与主机之间
IP安全协议(IPSec)
隧道模式:增加新的IP头,通常用于私网之间通过公网进行通信。
AH放在IP头和数据前,新加了一个新IP头。既能保护数据又能保护IP头
三种主要VPN隧道协议比较
|
协议选择 |
PPTP |
L2TP |
IPSec |
|
网络模式 |
C/S |
C/S |
主机对主机的对等模式 |
|
使用方式 |
通过隧道进行远程操作 |
通过隧道进行远程操作 |
Internet、Extranet和通过隧道进行远程操作 |
|
OSI层 |
数据链路层 |
数据链路层 |
网络层 |
|
上层协议支持 |
IP、IPX等 |
IP、IPX等 |
IP |
|
安全加密 |
MPPE加密技术 |
无标准(通常与IPSec一起组建VPN,所采用的加密技术也是由IPSec协议提供的,参考IPSec的加密技术) |
DES和3DES |
|
用户认证 |
采用PPP协议中的CHAP、MS-CHAP、MS-CHAPv2等验证方法 |
无标准(通常与IPSec一起组建VPN,所采用的加密技术也是由IPSec协议提供的,参考IPSec的加密技术) |
AH |
|
包认证 |
需特殊解决 |
无标准 |
ESP |
|
包加密 |
无标准 |
无标准 |
ISAKMP/Oakley,SKIP |
|
密钥管理 |
无标准 |
无标准 |
IKM |
|
隧道服务 |
单个点对点隧道,不能同时访问公用网 |
比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。 |
多点隧道,同时访问VPN和公用网 |
练习:
以下关于IPSec协议的叙述中,正确的是()
A. IPSec协议是解决IP协议安全问题的一种方案
B. IPSec协议不能提供完整性
C. IPSec协议不能提供机密性保护
D. IPSec协议不能提供认证功能
答案:A。
以下关天VPN的叙述中,正确的是()
A. VPN指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路
B. VPN指的是用户通过公用网络建立的临时的、安全的连接
C. VPN不能做到信息验证和身份认证
D. VPN只能提供身份认证,不能提供加密数据的功能
答案:B。
IPSec协议是开放的VPN协议,对它的描述有误的是()
A. 适应于向IPV6迁移
B. 提供在网络层上的数据加密保护
C. 可以适应设备动太IP地址的情况
D. 支持除TCP/IP外的其它协议
答案:D。
以下关于隧道技术说法不正确的是()
A. 隧道技术可以用来解决TCP/IP协议的某些安全威胁问题
B. 隧道技术的本质是用一种协议来传输另一种协议
C. IPSec协议中不会使用隧道技术
D. 虚拟专用网中可以采用隧道技术
答案:C。