版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、IPSECVPN基本原理基本原理IPSEC是一套比較完整成體系的VPN技術(shù),它規(guī)定了一系列的協(xié)議標(biāo)準(zhǔn)。如果不深入探究IPSEC的過于詳細(xì)的內(nèi)容,我們對(duì)于IPSEC大致按照以下幾個(gè)方面理解。1.為什么要導(dǎo)入IPSEC協(xié)議導(dǎo)入IPSEC協(xié)議,原因有2個(gè),一個(gè)是原來的TCPIP體系中間,沒有包括基于安全的設(shè)計(jì),任何人,只要能夠搭入線路,即可分析所有的通訊數(shù)據(jù)。IPSEC引進(jìn)了完整的安全機(jī)制,包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個(gè)原因,是因?yàn)?/p>
2、Inter迅速發(fā)展,接入越來越方便,很多客戶希望能夠利用這種上網(wǎng)的帶寬,實(shí)現(xiàn)異地網(wǎng)絡(luò)的的互連通。IPSEC協(xié)議通過包封裝技術(shù),能夠利用Inter可路由的地址,封裝內(nèi)部網(wǎng)絡(luò)的IP地址,實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通。2.包封裝協(xié)議設(shè)想現(xiàn)實(shí)一種通訊方式。假定發(fā)信和收信需要有身份證(成年人才有),兒童沒有身份證,不能發(fā)信收信。有2個(gè)兒童,小張和小李,他們的老爸是老張和老李?,F(xiàn)在小張和小李要寫信互通,怎么辦?一種合理的實(shí)現(xiàn)方式是:小張寫好一封信,封皮寫上“
3、小張小李“然后給他爸爸,老張寫一個(gè)信封,寫上“老張老李”,把前面的那封信套在里面,發(fā)給老李,老李收到信以后,打開,發(fā)現(xiàn)這封信是給兒子的,就轉(zhuǎn)給小李了。小李回信也一樣,通過他父親的名義發(fā)回給小張。這種通訊實(shí)現(xiàn)方式要依賴以下幾個(gè)因素:老李和老張可以收信發(fā)信小張發(fā)信,把信件交給老張。老張收到兒子的來信以后,能夠正確的處理(寫好另外一個(gè)信封),并且重新包裝過的信封能夠正確送出去。另外一端,老李收到信拆開以后,能夠正確地交割小李。反過來的流程一樣
4、。把信封的收發(fā)人改成Inter上的IP地址,把信件的內(nèi)容改成IP的數(shù)據(jù),這個(gè)模型就是IPsec的包封裝模型。小張小李就是內(nèi)部私網(wǎng)的IP主機(jī),他們的老爸就是VPN網(wǎng)關(guān),本來不能通訊的兩個(gè)異地的局域網(wǎng),通過出口處的IP地址封裝,就可以實(shí)現(xiàn)局域網(wǎng)對(duì)局域網(wǎng)的通訊。引進(jìn)這種包封裝協(xié)議,實(shí)在是有點(diǎn)不得已。理想的組網(wǎng)方式,當(dāng)然是全路由方式。任意節(jié)點(diǎn)之間可達(dá)(就像理想的現(xiàn)實(shí)通訊方式是任何人之間都可以直接寫信互通一樣)。Inter協(xié)議最初設(shè)計(jì)的時(shí)候,IP
5、地址是32位,當(dāng)時(shí)是很足夠了,沒有人能夠預(yù)料到將來Inter能夠發(fā)展到現(xiàn)在的規(guī)模(相同的例子發(fā)生在電信短消息上面,由于160字節(jié)的限制,很大地制約了短消息的發(fā)展)。按照2的32次方計(jì)算,理論上最多能夠容納40億個(gè)左右IP地址。這些IP地址的利用是很不充分的,另外大約有70%左右的IP地址被美國(guó)分配掉了(誰讓人家發(fā)明并且管理Inter呢?)所以對(duì)于中國(guó)來說,可供分配的IP地址資源非不具體展開了,怕有兄弟看了打瞌睡。如果需要,可以找我要更具
6、體的技術(shù)白皮書以及相關(guān)的身份認(rèn)證文檔。如果有身份認(rèn)證機(jī)制,密鑰的經(jīng)常更換就成為了可能。6.其他解決了上述的幾個(gè)問題,基本可以保證VPN通訊模型能夠建立起來了。但是并不完美,這是最簡(jiǎn)單的VPN。即通過對(duì)端兩個(gè)靜態(tài)的IP地址,實(shí)現(xiàn)異地網(wǎng)絡(luò)的互聯(lián)。美國(guó)的很多VPN設(shè)備就作到這一級(jí),因?yàn)槊绹?guó)IP地址充裕,分配靜態(tài)IP地址沒有問題。苦的是我等中國(guó)客戶,2端都需要靜態(tài)IP地址,相當(dāng)于2根Inter專線接入。VPN要在中國(guó)用起來,還要解決一堆的相關(guān)問
7、題。下一個(gè)節(jié)將給大家描述IPSECVPN在中國(guó)應(yīng)用會(huì)遇到的哪些問題。三.VPN安全技術(shù)由于傳輸?shù)氖撬接行畔?,VPN用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。目前VPN主要采用四項(xiàng)技術(shù)來保證安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。1.隧道技術(shù)是VPN的基本技術(shù),類似于點(diǎn)對(duì)點(diǎn)連接技
8、術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的,分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn),由IETF融合PPTP與L2F而形成。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行
9、傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec(IPSecurity)是由一組RFC文檔組成,定義了一個(gè)系統(tǒng)來提供安全協(xié)議選擇、安全算法,確定服務(wù)所使用密鑰等服務(wù),從而在IP層提供安全保障。2.加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。3.密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?,F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMPOAKLEY兩種。SKIP主要是利用DiffieHell
10、man的演算法則,在網(wǎng)絡(luò)上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。4.身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。7.2.2VPN隧道協(xié)議VPN的隧道協(xié)議包含:點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP是點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)的擴(kuò)展,并協(xié)調(diào)使用PPP的身份驗(yàn)證、壓縮和加密機(jī)制。PPTP的客戶端支持內(nèi)置于WindowsXP遠(yuǎn)程訪問客戶端。其是在WindowsNT4.0和Windows98中首次被支持的隧道協(xié)議。PPTP的
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
評(píng)論
0/150
提交評(píng)論