、VPN产生背景常见的WAN技术:(1)专线Leseadline接入:E1、DDN、POS工作在物理层优点:带宽高、持续、易管理。我国WAN接入中非常主流的接入方式。缺点:贵、链路利用率底(2)分组交换:FR工作在数据链路层优点:带宽高、多条PVC缺点:贵、少用(北美多用)(3)电路交换:PSTN、ISDN老技术优点:按需拨号连接、成本低(按时间算)缺点:带宽小、非持续、难配置管理(4)信元交换:ATM异步传输模式优点:分组长度固定(53字节),转发快、带宽大缺点:贵、少用早期用于局域网,如ATM交换机、ATM网卡等,现已被以太网技术替代。Internet接入:优点:成本低、带宽高、实现方式多缺点:安全性低二、什么是VPN?VPN(VirtualPrivateNetwork)是通过internet公共网络在局域网络之间或单点之间安全地传递数据的技术。功能:虚拟出的企业内部专线①私网连通性:如,跨公网时在VPN网关打/去壳新IP头;②安全性远程局域分支机构网络■VPN^■Gateway单个用户■ISPLModemsVPN设计总部网络三、VPN体系安全性:"链路层加密J如,WAN:加密机(窃听攻击:\PPTP、L2TP明文传输加密性V网络层加密如,IPSec〔应用层加密如,SSL/TLS篡改攻击:[校验和检测数据是否被修改数据完整性/数据认证〔Hash算法中间人攻击:身份认证/数字签名/不可否认性'、重放攻击(重复发大量的报文):序号SN四、VPN分类按平台分:软件VPN;WinOS的PPTP、L2PT[硬件VPN;联想网御、ADT安达通、SANGFOR深信服、冰峰按协议分:国标;IPSec、GRE、PPTP、L2TP私有;MPLS/VPN(两端对等体网关设备要出自同一厂商)按保护层次分:「物理层;E1、DDN、ISDN数据链路层;PPTP、L2TP、FR、VPLS、Trunk线路"网络层;IPSec、GRE、MPLS/VPNI.应用层;SSL/TLS按触发VPN方式分:J基于策略的VPN(创建流量策略,提交给VPN进程);1基于路由的VPN(一条细化路由将流量引入到VPN口)五、VPN的应用场景:用户到用户VPN;I闹用专线连通性+VPN安全性)IHotel:总部E1SDH备粉■VPNIIPSecIPSecGRE站点到站点—IPSecVPN概述、安全协议:数据包的封装形式(一)IPSecVPN使用两种安全封装协议:ESP(EncapsulatingSecurityPayload)封装安全有效负载,协议号50(0X32);AH(AuthenticationHeader)认证报头,协议号51(0X33)。(二)每种安全协议的工作模式:传输模式Transparent、隧道模式Tunnel1)传输模式Transparent利用IPSec安全特性,不需要加新IP头。应用场景:私网连通性解决的情况下如:原IP头上层协议数据Data原IP头(协议号51)AH上层协议数据Data数据认证/完整性:除可变字段(如TTL值)都被验证;无机密性;AH中的SN反重放攻击AH中有Hash散列值,供数据认证用原IP头(协议号50)ESP头上层协议数据DataESP尾ESP验证------------数据认证/完整*------------►1数据加密提供数据完整性;机密性;ESP中的SN反重放攻击ESP验证中Hash散列值,供数据认证用。2)隧道模式Tunnel如:利用私网连通性+IPSec安全特性,需要加新IP头打壳。应用场景:私网连通性没解决,私网间需穿过公网安全通信E已t口已已:raccess-list站点到站点—业务数据报文封装:2.0业务数据报文封装:原IP头上层协议数据Data新IP头(协议号51)AH原IP头上层协议数据Datai新IP头(协议号50)ESP头原IP头上层协议数据DataESP尾ESP验证出处理:YN查路由——?_map中的ACL---------------->明文发出YVY查IPSecSA-----------------封装密文发出查ISAKMPSA____I______协商IPSecSA4A协商ISAKMPSA----------¥---------收到报文:查看新IP头的目的IP是自己;协议号50/51,提交给VPN进程;数据完整性检测;去ESP头/尾,解密数据得原始IP报文。二、密钥管理:IKE(因特网密钥交换)、ISAKMP(因特网安全关联管理协议)DH密钥交换:1.交互公钥盘接收AB公A私A弋—gg一公E私E公E公AD瞭法D瞬法KDH2.生成对称密钥公E+私A自己的私钥对方的公钥公混私EKDH3.利用来安全传递对称密钥k已F+KDH对称密钥keyA加密算法解密算法V密文传递■>密S+KDH对称密钥体制的密钥分发:使用非对称密钥体制来传递对称密钥。实际中只有1和2即可达到目的。DH组:决定长度即算法种类(要使’,DH组必须要同。)DH组长度算法...
