VPN 设计 一、VPN 产生背景 常见的 WAN 技术: (1)专线 Lesead line 接入:E1、DDN、POS 工作在物理层 优点:带宽高、持续、易管理。我国 WAN 接入中非常主流的接入方式。 缺点:贵、链路利用率底 (2)分组交换:FR 工作在数据链路层 优点:带宽高、多条 PVC 缺点:贵、少用(北美多用) (3)电路交换:PSTN、ISDN 老技术 优点:按需拨号连接、成本低(按时间算) 缺点:带宽小、非持续、难配置管理 (4)信元交换:ATM 异步传输模式 优点:分组长度固定(53 字节),转发快、带宽大 缺点:贵、少用 早期用于局域网,如 ATM 交换机、ATM 网卡等,现已被以太网技术替代。 Internet 接入: 优点:成本低、带宽高、实现方式多 缺点:安全性低 二、什么是 VPN ? VPN (Virtual Private Netw ork) 是通过 internet 公共网络在局域网络之间或单点之间安全地传递数据的技术。 功能:虚拟出的企业 内部 专线 ① 私网连通性:如,跨公网时在 VPN 网关打/去壳新 IP 头; ② 安全性 三、VPN 体系安全性: 链路层加密 如,WAN:加密机 窃听攻击: PPTP、L2TP 明文传输 加密性 网络层加密 如,IPSec 应用层加密 如,SSL/TLS 篡改攻击: 校验和 检测数据是否被修改 数据完整性/数据认证 Hash 算法 中间人攻击: 身份认证/数字签名/不可否认性 重放攻击(重复发大量的报文): 序号 SN 四、VPN 分类 按平台分:软件 VPN;Win OS 的 PPTP、L2PT 硬件 VPN;联想网御、ADT 安达通、SANGFOR 深信服、冰峰 按协议分:国标;IPSec 、GRE、PPTP、L2TP 私有;MPLS/VPN (两端对等体网关设备要出自同一厂商) 按保护层次分: 物理层;E1、DDN、ISDN 数据链路层;PPTP、L2TP、FR、VPLS、Trunk 线路 网络层;IPSec、GRE、MPLS/VPN 应用层;SSL/TLS 按触发 VPN 方式分: 基于策略的 VPN(创建流量策略,提交给 VPN 进程); 基于路由的 VPN(一条细化路由将流量引入到 VPN 口) 五、VPN 的应用场景: IPSec VPN 概述 一、安全协议:数据包的封装形式 (一)IPSec VPN 使用两种安全封装协议: ESP(Encapsu lating Secu rity Pay load)封装安全有效负载,协议号50(0×32); AH(Au thentication Header)认证报头,协议号51(0×33)。 (二)每种安全协议的工作模式:传输模式Transparent、隧道模式Tu nnel 1) 传输模式Transpa...
