当前位置:文档之家 › VPN 拨号过程

VPN 拨号过程

  • 格式:doc
  • 大小:401.00 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

网络安全VPN技术PPT课件

网络安全VPN技术PPT课件
2. 数据到了目的主机,基于网络层的安全技术就无法继续提供 保护,因此在目的主机的高层协议栈中很容易受到攻击
3. 应用层的安全技术可以保护堆栈高层的数据,但在传递过程 中,无法抵抗常用的网络层攻击手段,如源地址、目的地址 欺骗
4. 应用层安全几乎更加智能,但更复杂且效率低
5. 因此可以在具体应用中采用多种安全技术,取长补短
VPN概述 VPN功能 VPN工作原理 VPN具体应用
TCP/IP 协议栈与对应的VPN协议
Application
TCP/UDP
(Transport)
IP
(Internetwork)
Network Interface
(Data Link)
S—MIME Kerberos Proxies SET IPSec (ISAKMP)
2. 数据完整性:证实数据报文的内容在传输过程中没被修改过,无论是 被故意改动或是由于发生了随机的传输错误。
3. 数据保密:隐藏明文的消息,通常靠加密来实现。
4. 重放攻击保护:保证攻击者不能截获数据报文,且稍后某个时间再发 放数据报文,而不会被检测到。
5. 自动的密钥管理和安全关联管理:保证只需少量或根本不需要手工配 置,就可以在扩展的网络上方便精确地实现公司的虚拟使用网络方针
6. 不可否认性:证明发送者的确发送过某个消息,如果使用了“ 不可否认性”算法,一旦因消息发生纠纷,发送者就无法否认 他曾经发送过该消息
§3.1.2 对称密钥算法
VPN概述 VPN功能
加密密钥 加密密钥
两者相等 可相互推导
解密密钥 解密密钥
VPN工作原理 VPN具体应用
❖ 分组密码算法:操作单位是固定长度的明文比特串 DES算法:Data Encryption Standard (老算法) ,密钥=56位 CDMA算法:Commercial Data Masking Facility,密钥=40位 3DES算法:Triple Data Encryption Standard IDEA算法:International Data Encryption Algorithm(新算法) ,密钥=128位

(5.2)运营商的VPDN服务【全业务组网砖家指引】

(5.2)运营商的VPDN服务【全业务组网砖家指引】

【全业务组网砖家指引】由 91 导购网编辑 http://www.91tell.me 91 告诉我第二节运营商的 VPDN 服务在 Network-based VPN 模式下,VPN 的构建、管理和维护由运营商控制,允许用户在 一定程度上进行业务管理和控制。

功能特性集中在网络侧设备处实现, 用户网络设备只需要 支持网络互联,无需特殊的 VPN 功能,因此客户使用运营商的 VPN 业务,可以沿用原来的 不支持 VPN 功能的路由器等设备,保护原有的投资。

Network-based VPN 包括 MPLS VPN 等业务;MLPS VPN 在组网业务里面已经有介绍。

在介绍一下目前广泛应用的运营商 VPDN 服务。

大家指导,目前的宽带接入大多数使用 PPPOE 拨号接入互联网。

类似的,使用 VPDN 拨号可以接入运营商的内网。

VPDN(Virtual Private Dialup Network)即虚拟专用拨号网络,是 VPN 技术的一种,主 要应用于拨号(电话、ADSL)接入的用户组建虚拟专网的场合。

VPDN 具有投资小见效快、 实现简单等优点,因此各运营商都在大力发掘客户的 VPDN 组网需求。

目前运营商提供的 VPDN 业务一般采用 L2TP 技术。

VPDN 组网业务是运营商在互联网基础上开放的,基于窄带或宽带拨号方式,以二层 隧道技术为主而组建企业虚拟专用网络的一种业务。

以 L2TP/L2F 技术在两端建立安全隧道 (Tunnel) ,通过虚拟专用的通道来传输信息,防止来自 Internet 的恶意攻击,确保用户通信 数据的安全。

L2TP(Layer 2 Tunnel Protocol)第二层隧道协议,是为在用户和企业的服务器之间透明 传输 PPP 报文而设置的隧道协议。

支持内部地址分配.。

主要组成有 LAC、LNS 等。

LAC(L2TP Access Concentrator)L2TP 访问集中器,附属在交换网络上的具有 PPP 端 系统和 L2TP 协议处理能力的设备,LAC 一般就是一个网络接入服务器(NAS,Network Access Server) ,它通过 PSTN/Internet 为用户提供网络接入服务。

VPN工作原理

VPN工作原理

• RADIUS是为了接入服务器开发的认证系统,
它具有集中管理远程访问“拨号用户”的数
据库功能。换句话说, RADIUS是存放使用
者的“用户名”及“口令”的数据库。接受
远程用户访问请求的接入服务器向RADIUS
服务器查询该用户是否为合法用户。
最新课件
28
NAS
拨号用户
电话网
认证数据库 权限认可数据库
封装化。对封装化的数据分组是否加密取决于隧道协议。例 如IPSec的ESP是加密封装化的协议,L2TP则不对分组加密, 保持原样地进行封装。
• 现有的封装协议主要包括两类:
– 一类是二层隧道协议,由于隧道协议封装的是数据链路层 的数据包,即OSI开放系统互联模型中的第2层的数据包, 所以称之为第2层隧道协议,如PPTP,L2F,L2TP主要用 于构建远程访问型的VPN;
网络2
VPN设备2
主机B
INTERNET
原分组 A B 用户数据
A B 用户数据
VPN设备2拆 封后的分组
VPN设备1封
装后的分组 V1 V2
A B 用户数据
新增头部
V1 V2 A B 用户数据
新增头部
VPN设备2拆 封前的分组
VPN基最本新课原件理示意图
12
• (1)主机A建立分组,将其IP地址作为源地址, 将主机B的IP地址作为目标地址,将分组发送到 VPN设备1,通常是网关。
被认证者 (peer)
A=fmd5 (S,口令)
挑战 生成挑战码(S) 应答 计算出应答值(A)
认证者 (Authenticator)
B=fmd5 (S,口令)
成功/失败
最新课件
比较A和B

VPN详解

VPN详解

VPN详解虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。

虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。

(图1)虚拟专用网络允许远程通讯方,销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。

虚拟专用网络对用户端透明,用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。

虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接,进行安全的通讯。

这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。

虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通讯,所以得名虚拟专用网络。

使用VPN技术可以解决在当今远程通讯量日益增大,企业全球运作广泛分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的通讯的问题。

如果希望企业员工无论身处何地都能够与企业计算资源建立连接,企业必须采用一个可靠性高、扩展性强的远程访问解决方案。

一般的,企业有如下选择:管理信息系统(MIS)部门驱动方案。

建立一个内部的MIS部门专门负责购买,安装和维护企业modem池和专用网络基础设施。

增值网络(V AN)方案。

企业雇佣一个外部公司负责购买,安装和维护modem池和远程通讯网络基础设施。

从费用,可靠性,管理和便于连接等几方面来看,这两种方案都不能最大程度的满足企业对网络安全性或扩展性的要求。

因此,选择一种基于Internet技术的廉价方案取代企业花费在modem池和专用网络基础设施上的投资就显得极为重要。

二、虚拟专用网络的基本用途通过Internet实现远程用户访问虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。

与使用专线拨打长途或(1-800)电话连接企业的网络接入服务器(NAS)不同,虚拟专用网络用户首先拨通本地ISP的NAS,然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。