410 likes | 571 Views
VPN (Virtual Private Network). 7.1 VPN 概述 7.2 隧道技术 7.3 IPSec VPN 7.4 MPLS VPN. VPN (Virtual Private Network). 7.1 VPN 概述 7.2 隧道技术 7.3 IPSec VPN 7.4 MPLS VPN. 7.1 VPN 概述. 虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用 Internet 或其它公共互联网络的基础设施为用户创建 隧道 ,并提供与专用网络一样的安全和功能保障。
E N D
VPN (Virtual Private Network) • 7.1 VPN概述 • 7.2 隧道技术 • 7.3 IPSec VPN • 7.4 MPLS VPN
VPN (Virtual Private Network) • 7.1 VPN概述 • 7.2 隧道技术 • 7.3 IPSec VPN • 7.4 MPLS VPN
7.1 VPN概述 • 虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。 • 在虚拟专网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。 • 是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。
VPN概述 • 虚拟“Virtual” 指没有物理的连接存在于2个网络间;事实上,连接是通过Internet的路由完成的; • 专用“Private” 指传输的数据是保密的 (通过加密和安全隧道); • 网络“Network” 指利用各种网络(私有、公用、有线、无线等等)构成的通信手段
为什么需要VPN • 资源访问限制于某些特定的IP地址 • 通过防火墙不能访问某些资源 • 内部人员或者在外地的雇员需要访问内部网络 • 架设物理专有网太贵 • 外地的雇员也可能不是定点的
对VPN的需求 • 安全保障 • VPN应保证通过公用网络平台传输数据的专用性和安全性,这是目前公共Internet所无法提供的功能 • 服务质量(QoS)保证 • 对不同的用户提供不同的服务质量,如带宽、延时等保证,这取决于广域网上是否提供QoS保证 • 可扩充性和灵活性 • 便于增加新的节点,支持多种类型的传输媒体 • 可管理性 • 易于维护和管理:安全管理、设备管理、配置管理、访问控制列表管理等等
VPN的优势 • 不受地理位置的限制 • 可扩展性强 • 节省大量费用
建立VPN所需的安全技术 • VPN主要采用五项技术来保证安全和提供所需要功能,这五项技术分别为 • 隧道技术(Tunneling) • 加解密技术(Encryption & Decryption) • 密钥管理技术(Key Management) • 认证技术(Authentication) • 访问控制(Access Control)
隧道协议和VPN类型 • 按隧道协议技术分类 • 基于第二层隧道技术的VPN • IPSec VPN • GRE VPN • MPLS VPN • SSL VPN • 按应用类型分类 • 远程访问型 • LAN间互连 层2发送协议(L2F) 层2隧道协议(L2TP) 点到点隧道协议(PPTP)
VPN • Two main kinds Applications • Lan-to-Lan VPN(LAN间VPN) • Firewall-To-Laptop VPN(远程访问型VPN)
基于服务器的认证方式-RADIUS • RADIUS(Remote Authentication Dial In User Service)由朗讯开发,1997年1月公布在RFC2058,用于AAA(Authentication、Authorization and Accounting)认证,基于客户/服务器方式
VPN (Virtual Private Network) • 7.1 VPN概述 • 7.2 隧道技术 • 7.3 IPSec VPN • 7.4 MPLS VPN
7.2 隧道技术 • 隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术,隧道协议通常有第2层、第3层和第四层(SSL)隧道协议 • 第2层隧道协议 • 第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。 • 第二层隧道协议有L2F、PPTP、L2TP等。L2F(Layer 2 Forwarding)/ PPTP(Point-to-Point Tunneling Protocol )/ L2TP(Layer 2 Tunneling Protocol) 都是远程访问VPN的协议, L2TP协议是目前IETF的标准, 是在L2F和PPTP基础上进行综合,其格式是基于L2F,信令是基于PPTP。 • 第3层隧道协议 • IPSEC:隧道模式可以用于VPN构建,其提供的认证、加密功能适用于建立VPN安全环境,它既能提供LAN间VPN,也能提供远程访问型VPN • MPLS VPN,提供QoS保障,需要核心网络支持MPLS。 • 第4层隧道协议 • SSL VPN:无需专门的客户端,只要支持web访问即可,与操作系统无关,穿越防火墙和NAT
第2层隧道协议 • L2F(Layer 2 Forwarding):1998年标准化的远程访问VPN的协议。它是基于ISP的由若干远程接入服务器(remote access server)提供VPN功能的协议。 • PPTP(Point to Point Tunneling Protocol)也是为实现基于ISP的远程访问VPN而制订的协议。在分组和封装化头标中采用了扩展GRE(Generic Routing Encapsulation:通用寻路封装)。在Windows中将GRE作为标准功能提供,这是当前最易于使用的VPN协议。 • L2TP(Layer 2 Tunneling Protocol)是远程访问型VPN今后的标准协议。它将PPTP和L2F综合,以便扩展功能。其格式基于L2F,信令(signaling)基于PPTP。
VPN (Virtual Private Network) • 7.1 VPN概述 • 7.2 隧道技术 • 7.3 IPSec VPN • 7.4 MPLS VPN
7.3 IPSec VPN • IPSec 不是一个单独的协议,而是一套协议包,包括三个基本协议 • AH 协议提供信息源验证和完整性保证; • ESP 协议提供信息源验证、机密性和完整性保证; • 密钥管理协议( ISAKMP)提供双方交流时的共享安全信息。
IPSec VPN • 提供安全的网络传输服务 • 主要适用于LAN间VPN(隧道模式) • IKE支持动态密钥交换,采用预共享密钥或公钥机制认证身份,协商加密、认证密钥 • 具有数据传输的完整性认证、加密功能 • 实现方式 • VPN专用设备 • 将IPSec嵌入到防火墙软件 • 将IPSec嵌入到路由器软件 • 动态IP地址的IPSec VPN(利用动态域名服务器)
VPN (Virtual Private Network) • 7.1 VPN概述 • 7.2 隧道技术 • 7.3 IPSec VPN • 7.4 MPLS VPN
7.4 MPLS VPN • 什么是MPLS? • MPLS基本原理 • MPLS VPN
什么是MPLS? • MPLS(Multi Protocol Label Switching):多协议标记(标签)交换 • 起源于Cisco的Tag Switching(1996),后由IETF标准化,并改为多协议标记交换。是一种支持多种网络层协议的快速转发技术,它就象一个垫片(shim),处于OSI的第2、3层之间。 • MPLS吸收了ATM网络的交换思想,集成了IP路由技术的灵活性和第2层交换的简捷性,将第二层的基础设施和第三层的路由进行有机结合,路由功能在网络边缘,MPLS核心网络采用MPLS交换。为IP网络提供了面向连接的交换。
IP #L1 IP #L2 IP #L3 MPLS基本原理 • ROUTE AT EDGE, SWITCH IN CORE IP IP IP Forwarding IP Forwarding LABEL SWITCHING
MPLS Terminology • LDP: Label Distribution Protocol 标记分发协议 • LSP: Label Switched Path标记交换路径 • FEC: Forwarding Equivalence Class转发等价类 • LSR: Label Switching Router标记交换路由器 • LER: Label Edge Router 标记边缘路由器 标记分发协议 标记交换路由器 标记边缘路由器 标记边缘路由器
IP1 IP1 IP1 IP2 IP1 IP2 IP1 IP2 #L1 #L2 #L1 #L3 #L3 #L2 IP2 IP2 转发等价类 Forwarding Equivalence Classes • 转发等价类(FEC):所有在MPLS网络中需要做相同转发处理、相同路由处理的分组。 LER LER LSR LSR LSP Packets are destined for different address prefixes, but can be mapped to common path • FEC = “A subset of packets that are all treated the same way by a router” • The concept of FECs provides for a great deal of flexibility and scalability • In conventional routing, a packet is assigned to a FEC at each hop (i.e. L3 look-up), in MPLS it is only done once at the network ingress
Label Distribution - Methods Label Distribution can take place using one of two possible methods Downstream Label Distribution Downstream-on-Demand Label Distribution LSR2 LSR1 LSR2 LSR1 Label-FEC Binding Request for Binding • LSR2 and LSR1 are said to have an “LDP adjacency” (LSR2 being the downstream LSR) • LSR2 discovers a ‘next hop’ for a particular FEC • LSR2 generates a label for the FEC and communicates the binding to LSR1 • LSR1 inserts the binding into its forwarding tables • If LSR2 is the next hop for the FEC, LSR1 can use that label knowing that its meaning is understood Label-FEC Binding • LSR1 recognizes LSR2 as its next-hop for an FEC • A request is made to LSR2 for a binding between the FEC and a label • If LSR2 recognizes the FEC and has a next hop for it, it creates a binding and replies to LSR1 • Both LSRs then have a common understanding
#14 #311 #216 #99 #311 #963 #311 D #963 #14 #612 D #462 D D D #311 #99 #5 D D D DOWNSTREAM MODE
#14 #311 #216 #99 #311 #963 #311 D D? D? #963 #14 D? D? #612 D D? #462 D D? D D #311 #99 #5 D D D D? D? DOWNSTREAM ON DEMAND
MPLS VPN • 利用标记通道为用户提供有安全的、有服务质量保证的虚拟专网服务。 • 利用MPLS构建VPN时,只需对不同的企业集团分配不同的标记通道,企业网使用的内部地址也仍可以原封不动使用(即企业网网关可以不用NAT)。 • 利用标记堆叠来实现VPN,在一个IP分组上叠加两个MPLS标记头标进行转发,外侧标记用于转发,内侧标记用于VPN接入(FEC标识+VPN标识)。
MPLS VPN与IPSec VPN • MPLS VPN的安全性与帧中继、ATM类似,即租用了一条虚连接(局部)。 • MPLS VPN不涉及认证、加密功能。 • IPSec VPN提供认证、加密功能,能保证数据的机密性、完整性 • 对安全需求强的业务可以将IPSec和MPLS VPN结合使用
本章小结 • VPN的分类,从网络层次分和从应用类型分 • 复习IPSec工作原理,及其隧道模式用于构建IPsec VPN • MPLS原理及其用于构建MPLS VPN。 • IPsec VPN/ MPLS VPN/ SSL VPN比较