VPN虛擬專用網
VPN基本原理
VPN的組成部分
由客戶機、傳輸介質(採用「隧道」技術)和伺服器組成。
企業內部網中必須配置一台VPN伺服器,一方連接企業內部專用網絡,另一方面連接Internet。
VPN主要採用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
實現遠程的兩個環境之間的安全傳輸,保證傳輸過程中的完整性和不可否認性。
點對點隧道協議(PPTP)
PPTP協議
將控制包與數據包分開,控制包採用TCP控制,用於嚴格的狀態查詢以及信令信息;數據包部分先封裝在PPP協議中,然後封裝在GRE協議中,用於在標準IP包中封裝任何形式的數據包。
第2層隧道協議(L2TP)
L2TP協議
主要由LAC和LNS構成。LAC支持客戶端的L2TP,發起呼叫,接收呼叫和建立隧道;而LNS是所有隧道的終點。
主要服務是「封裝」和「加密」。
IP安全協議(IPSec):數據驗證、數據完整和信任
傳輸模式:不改變原有的IP包頭,通常用於主機與主機之間
IP安全協議(IPSec)
隧道模式:增加新的IP頭,通常用於私網之間通過公網進行通信。
AH放在IP頭和數據前,新加了一個新IP頭。既能保護數據又能保護IP頭
三種主要VPN隧道協議比較
協議選擇 |
PPTP |
L2TP |
IPSec |
網絡模式 |
C/S |
C/S |
主機對主機的對等模式 |
使用方式 |
通過隧道進行遠程操作 |
通過隧道進行遠程操作 |
Internet、Extranet和通過隧道進行遠程操作 |
OSI層 |
數據鏈路層 |
數據鏈路層 |
網絡層 |
上層協議支持 |
IP、IPX等 |
IP、IPX等 |
IP |
安全加密 |
MPPE加密技術 |
無標準(通常與IPSec一起組建VPN,所採用的加密技術也是由IPSec協議提供的,參考IPSec的加密技術) |
DES和3DES |
用戶認證 |
採用PPP協議中的CHAP、MS-CHAP、MS-CHAPv2等驗證方法 |
無標準(通常與IPSec一起組建VPN,所採用的加密技術也是由IPSec協議提供的,參考IPSec的加密技術) |
AH |
包認證 |
需特殊解決 |
無標準 |
ESP |
包加密 |
無標準 |
無標準 |
ISAKMP/Oakley,SKIP |
密鑰管理 |
無標準 |
無標準 |
IKM |
隧道服務 |
單個點對點隧道,不能同時訪問公用網 |
比如PPTP要求網絡為IP網絡,L2TP要求面向數據包的點對點連接;PPTP使用單一隧道,L2TP使用多隧道;L2TP提供包頭壓縮、隧道驗證,而PPTP不支持。 |
多點隧道,同時訪問VPN和公用網 |
練習:
以下關於IPSec協議的敘述中,正確的是()
A. IPSec協議是解決IP協議安全問題的一種方案
B. IPSec協議不能提供完整性
C. IPSec協議不能提供機密性保護
D. IPSec協議不能提供認證功能
答案:A。
以下關天VPN的敘述中,正確的是()
A. VPN指的是用戶自己租用線路,和公共網絡物理上完全隔離的、安全的線路
B. VPN指的是用戶通過公用網絡建立的臨時的、安全的連接
C. VPN不能做到信息驗證和身份認證
D. VPN只能提供身份認證,不能提供加密數據的功能
答案:B。
IPSec協議是開放的VPN協議,對它的描述有誤的是()
A. 適應於向IPV6遷移
B. 提供在網絡層上的數據加密保護
C. 可以適應設備動太IP位址的情況
D. 支持除TCP/IP外的其它協議
答案:D。
以下關於隧道技術說法不正確的是()
A. 隧道技術可以用來解決TCP/IP協議的某些安全威脅問題
B. 隧道技術的本質是用一種協議來傳輸另一種協議
C. IPSec協議中不會使用隧道技術
D. 虛擬專用網中可以採用隧道技術
答案:C。