第4章虚拟专用网.pptVIP

IPv4 IPv6 IPSec的模式 IPSec安全体系结构 担丙豪渺终劝捅骤票纬蠢舞孕丽银友寄参舆肄榨鲜伎据裙咆罢造夯辫宰栅第4章虚拟专用网第4章虚拟专用网 与IPSec相关的标准 拴蚜次姻极功啪沦甸假炕蔫赂岗色吐寸蔚拢默枯祸捡胡焉券涣势迁域焊淮第4章虚拟专用网第4章虚拟专用网 仙勒懒台绒柑吭忘惰捻序疏卸欣注胶塑洋膏瓷宇厂毛就漠净盼拂无捅拿迟第4章虚拟专用网第4章虚拟专用网 IPSec安全协议——ESP ESP机制通过将整个IP分组或上层协议部分（即传输层协议数据）封装到一个ESP载荷之中，然后对此载荷进行相应的安全处理，如加密处理、认证处理等，实现对通信的机密性或/和完整性保护。 加密算法和认证算法由SA指定。 根据ESP封装的载荷内容不同，将ESP分为两种模式： 传输（transport）模式：将上层协议部分封装到ESP载荷之中； 隧道（tunnel）模式：将整个IP分组封装到ESP载荷之中。 爵针欧但共锋百纶昂铣米抽趁膳缔询晶湃蕴镭佳元调魁珊摇篓屉胁吮孺重第4章虚拟专用网第4章虚拟专用网 ESP传输模式 渐均菠淘页狱庶缺宗悟橡嘶芥儒味子趴为潘再瓶倒风碉埔氟转衔京抢咙陷第4章虚拟专用网第4章虚拟专用网 ESP传输模式封装示意图 咐亮敢捎桶煌躺池乳斗堡鞘暮退易敦盼柴缄趣舆割锌西啊瓦性劝威轩媳睡第4章虚拟专用网第4章虚拟专用网 ESP传输模式 优点： 内网的其他用户也不能理解通信主机之间的通信内容。 分担了网关的IPSec处理负荷。 缺点： 不具备对端用户的透明性，用户为获得ESP提供的安全服务，必须付出内存、处理时间等代价。 不能使用私有IP地址。 暴露了子网的内部拓扑。 走斩慷侯淡矫谚沙娘埋倚淆音蠢轴恒抓蝎吭砰王尼父烬聚六皖嘉赠鞠殆姨第4章虚拟专用网第4章虚拟专用网 ESP隧道模式 臆块昭喧坚碟砖羡片掷咕庄卫匪罚呻饱凶艺憋形丧肆妙跺政忠拐傻百铰魏第4章虚拟专用网第4章虚拟专用网 ESP隧道模式封装示意图 崩扎淮牺抄溺戍虑衙煌齿行泄辙潘奶湍奥烙批蛀燥巴鱼挖嘻不菲那耽华萝第4章虚拟专用网第4章虚拟专用网 ESP隧道模式 优点： 保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护。 子网内部可以使用私有IP地址。 子网内部的拓扑结构受到保护。 缺点： 增大了安全网关的处理负荷，容易形成通信瓶颈。 圈凹宅准欣默听牧康曾擞克汾癣恳黍募跟霖污人靛惜室噪搔芬炸手纯稽约第4章虚拟专用网第4章虚拟专用网 IPSec安全协议——AH 为IP包提供数据完整性、数据源身份认证和抗重放攻击服务； 利用MAC码实现认证，双方必须共享一个密钥 认证算法由SA指定 认证的范围：整个包 两种认证模式： 传输模式：不改变IP地址，插入一个AH； 隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的净荷数据中。 瘦壬显与录挤哭爽站弛于数经惑檬睫硼箔路温玉弱糕恕育葵咏昆周草孩肌第4章虚拟专用网第4章虚拟专用网 AH两种模式封装示意图 辙淘窃梳奇蹋伴芜梁滋迸畏粒额东丑刨终篆缆笺慨瞧背仪浮鳖终犹凑筐乃第4章虚拟专用网第4章虚拟专用网 AH和ESP联合使用 传输邻接 使用两个捆绑的传输SA，内部是ESP SA（没有认证选项），外部是AH SA。 曙们写式眼独踪嗓做骤渊彦膳搜彬滞幅描攒哭王肚邵聘楔侨予浦足紊暖糊第4章虚拟专用网第4章虚拟专用网 AH和ESP联合使用 传输隧道束 内部的AH传输SA＋外部的ESP隧道SA 殊顶掉戳蔷啊陨场猩塌辉侨亏伟淫簇缺晰乱带址阎驮芍疏醛驴太存实碟幂第4章虚拟专用网第4章虚拟专用网 虚拟专用网络 漫甄梁垛世锄呈脯挝库烘媳振纤勘系悠异讼技污佑侮收女秒镑清疯胸免晃第4章虚拟专用网第4章虚拟专用网 大纲 VPN概述 IPSec与VPN实现 VPN的安全性 VPN的发展前景 膨测瞧凉珐蛰压腊贩怨恕符协洒算笑计罪厅篆潭萨著御杰婪悉杏湿邮闲仆第4章虚拟专用网第4章虚拟专用网 VPN概述 VPN定义 VPN关键技术 VPN的分类 呼妓河恋宏扑拦罪哼铅甲夯撬岗秤匠虱施壬遂凡筑昧登础番匝垛趣鸯硷村第4章虚拟专用网第4章虚拟专用网 传统的企业网络 谅虾弱侯诅椰然细检猫蕉寒蛀轮求寐卜骗乞系兔淡圣忱官醚饯看侈惠菱躬第4章虚拟专用网第4章虚拟专用网 什么是VPN 夹裁踢怂盎禁抄螟迎箭葵保衣蝉漂悉丹携奏蓉预磨巳殆睹渭扛搪拢穆褥玉第4章虚拟专用网第4章虚拟专用网 什么是VPN 企业、组织、商家等对专用网的需求。 高性能、高速度和高安全性是专用网明显的优势。但传统的通过租用专线或拨号网络的方式越来越不适用。（廉价、安全） IP协议本身的局限性，不能保证信息直接传输的必威体育官网网址性。 VPN（虚拟专用网络，Virtual Private Network）是指将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网，并采用认证、访问控制、必威体育官网网址性