计算机网络安全管理王群第8章课件教学.pptVIP

8.1 VPN概述 VPN不是一种独立的组网技术，它只是一组通信协议，其目的是在Internet等公共网络中虚拟出一条专用通道，供通道的两个端节点之间安全地传输信息。 8.1.1 VPN的概念 ? VPN（Virtual Private Network，虚拟专用网）是建立在实际物理网络基础上的一种功能性网络，或者说是一种专用网的组网方式。 VPN技术出现的较早，早已应用在ATM（异步传输模式）、FR（帧中继）等广域网以及IPX/SPX局域网中，但受当时用户需求所限，VPN并未引起用户的普遍重视。IP VPN是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能的安全数据通道，实现不同网络之间以及用户与网络之间的相互连接。 从VPN的定义来看，其中“虚拟”是指用户不需要建立自己专用的物理线路，而是利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道，并实现与专用数据通道相同的通信功能 从实现方法来看，VPN是指依靠ISP（Internet Service Provider，Internet服务提供商）和NSP（Network Service Provider，网络服务提供商）的网络基础设施，在公共网络中建立专用的数据通信通道。如图8-1（a）所示的是VPN的物理拓扑，其功能等价于图8-1（b）所示的逻辑拓扑。 8.1.2 VPN的特点 作为一项正在快速发展的实用技术，VPN具有以下的技术特点 1． 费用低 2． 安全保障 3．服务质量（QoS）保证 4．可扩充性和灵活性 5． 可管理性 8.2 VPN的基本类型 根据应用环境的不同，VPN主要分为三种典型的应用方式：内联网VPN、外联网VPN和远程接入VPN。 8.2.1内联网VPN VPN（Intranet VPN）的组网方式如图?8-2所示。这是一种最常使用的VPN连接方式，它将位于不同地址位置的两个内部网络（LAN1和LAN2）通过公共网络（主要为Internet）连接起来，形成一个逻辑上的局域网。位于不同物理网络中的用户在通信时，内联网就像在同一局域网中一样。 图8-2 内联网VPN连接 在内联网VPN未使用之前，如果要实现两个异地网络之间的互联，就必须直接铺设网络线路，或租用运营商的专线。不管采用那一种方式，使用和维护成本都很高，而且不便于网络的扩展。在使用了内联网VPN后，可以很方便实现两个局域网之间的互联，其条件是分别在每一个局域网中设置一台VPN网关，同时每一个VPN网关都需要分配一个公用IP地址，以实现VPN网关的远程连接。而局域网中的所有主机都可以使用私有IP地址进行通信。图8-2所示的是两个局域网之间通过VPN的远程互联方式，根据用户需求也可以实现多个局域网之间的远程互联。 8.2.2 外联网VPN 外联网VPN（Extranet VPN）的组网方式如图8-3所示。与内联网VPN相似，外联网VPN也是一种网关对网关的结构。在内联网VPN中位于LAN1和LAN2中的主机是平等的，可以实现彼此之间的通信。但在外联网VPN中，位于不同内部网络（LAN1、LAN2和LAN3）的主机在功能上是不平等的。 外联网VPN是随着企业经营方式的发展而出现的一种网络连接方式。现代企业需要在企业与银行、供应商、销售商以及客户之间建立一种联系（即电子商务活动），但是在这种联系过程中，企业需要根据不同的用户身份（如供应商、销售商等）进行授权访问，建立相应的身份认证机制和访问控制机制。 8.2.3 远程接入VPN 远程接入VPN（Access VPN）的组网方式如图8-4所示。远程接入VPN也称为移动VPN，即为移动用户提供一种访问单位内部网络资源的方式，主要应用于单位内部人员在外（非内部网络）访问单位内部网络资源的情况下，或为家庭办公的用户提供远程接入单位内部网络的服务。 图8-4 远程接入VPN连接示意图 8.3 VPN的实现技术 VPN是在Internet等公共网络基础上，综合利用隧道技术、加密技术和身份认证技术来实现的。 8.3.1 隧道技术 隧道（Tunneling）是建立在Internet等公共网络上的一条加密的数据通道。隧道技术是VPN的核心技术，它是利用Internet等公共网络已有的数据通信方式，在隧道的一端将数据进行封装，然后通过已建立的虚拟通道（隧道）进行传