中国科学技术大学：《网络信息安全 NETWORK SECURITY》课程教学资源（PPT课件讲稿）VPN技术及应用

2VPN关键技术 网络安全 NETWORK SECURITY 在一个完整的VPN技术方案中，所涉及到的关 键技术包括隧道技术、密码技术和服务质量保 证技术 RFC (Request For Comments) ：“请求注 解”，包含了关于Internet的几乎所有重要的 文字资料。RFC享有网络知识圣经之美誉。 ■RFC2194:第一个VPN RFC,1997年9月14日 发布 ■自1999年4月17日之后，有10个RFC直接涉及 VPN. ■有80多个RFC涉及隧道。 17

17 17 2 VPN关键技术 •在一个完整的VPN技术方案中，所涉及到的关 键技术包括隧道技术、密码技术和服务质量保 证技术 •RFC（Request For Comments）：“请求注 解”，包含了关于Internet的几乎所有重要的 文字资料。RFC享有网络知识圣经之美誉。 ◼ RFC 2194：第一个VPN RFC，1997年9月14日 发布。 ◼ 自1999年4月17日之后，有10个RFC直接涉及 VPN。 ◼ 有80多个RFC涉及隧道

隧道技术 网络安全 NETWORK SECURITY 隧道技术，实质上是一种数据封装技术， 即将一种协 议封装在另一种协议中传输，从而实现被封装协议对 封装协议的透明性，保持被封装协议的安全特性。使 用IP协议作为封装协议的隧道协议称为IP隧道协议。 ● 为了透明传输多种不同网络层协议的数据包，可采取 两种方法： ■一种是先把各种网络层协议（如IP、IPX和AppleTalk等）封 装到数据链路层的点到点协议(PPP)帧里，再把整个PPP帧 装入隧道协议里。这种方法封装的是网络协议栈数据链路层 的数据包，称为“第二层隧道”。 ■另一种方法是把各种网络层协议直接装入隧道协议中，由于 封装的是网络协议栈第三层网络层协议数据包，所以称为 “第三层隧道” 18

18 18 隧道技术 • 隧道技术，实质上是一种数据封装技术，即将一种协 议封装在另一种协议中传输，从而实现被封装协议对 封装协议的透明性，保持被封装协议的安全特性。使 用IP协议作为封装协议的隧道协议称为IP隧道协议。 • 为了透明传输多种不同网络层协议的数据包，可采取 两种方法： ◼ 一种是先把各种网络层协议(如IP、IPX和AppleTalk等)封 装到数据链路层的点到点协议(PPP)帧里，再把整个PPP帧 装入隧道协议里。这种方法封装的是网络协议栈数据链路层 的数据包，称为“第二层隧道” 。 ◼ 另一种方法是把各种网络层协议直接装入隧道协议中，由于 封装的是网络协议栈第三层网络层协议数据包，所以称为 “第三层隧道

隧道技术 网络安全 NETWORK SECURITY 第二层隧道 ■Microsoft、3Com和Ascend公司在PPP基础上开发的点到点隧道协议 (PPTP,Point-to-Point Tunnel Protocol)较为典型，主要用于端到端 的VPN解决方案。 ■Cisco公司提出的第二层转发协议(L2F,Layer2 Forwarding)和第二 层隧道协议(L2TP,Layer2 Tunneling Protocol)主要用于基于路由器 的虚拟专网组网方案中。它优于PPTP的一个特点是可以建立多点隧道。 使用户可以开通多个VPN,以便同时访问Interneti和企业网络。 ■L2TP、PPTP(集成在windows中，所以最常用) ·第三层隧道 ■第三层隧道协议主要有IP层安全协议(IPSec,IP Security)、移动IP协 议和虚拟隧道协议VTP,Virtual Tunnel Protocol) ■ IPsec应该最为广泛，事实上的网络层安全标准，不但符合现有的IPv4 环境，同时也是IPV6的安全标准 ●利用隧道技术，理论上任何协议的数据都可以透过工P网络传输 19

19 19 隧道技术 • 第二层隧道 ◼ Microsoft、3Com和Ascend公司在PPP基础上开发的点到点隧道协议 (PPTP, Point-to-Point Tunnel Protocol)较为典型，主要用于端到端 的VPN解决方案。 ◼ Cisco公司提出的第二层转发协议(L2F, Layer 2 Forwarding)和第二 层隧道协议(L2TP, Layer 2 Tunneling Protocol)主要用于基于路由器 的虚拟专网组网方案中。它优于PPTP的一个特点是可以建立多点隧道。 使用户可以开通多个VPN，以便同时访问Internet和企业网络。 ◼ L2TP、PPTP（集成在windows中，所以最常用） • 第三层隧道 ◼ 第三层隧道协议主要有IP层安全协议(IPSec, IP Security)、移动IP协 议和虚拟隧道协议(VTP, Virtual Tunnel Protocol) ◼ IPsec应该最为广泛，事实上的网络层安全标准，不但符合现有的IPv4 环境，同时也是IPv6的安全标准 • 利用隧道技术，理论上任何协议的数据都可以透过IP网络传输

第二层隧道技术-PPTP 网络安全 NETWORK SECURITY ·PPTP特点 PPTP由微软公司设计，用于将PPP分组通过IP网络封装传 输，属于数据链路层的封装技术。 ■ PPTP协议定义了一种PPP分组的封装机制，它通过使用扩 展的通用路由封装协议GRE(Generic Routing Encapsu- lation,GRE是采用第47号IP协议的客户端协议，为在IP 网络上进行数据封装提供了一种简单、轻巧的通用机制)进 行封装，使PPP分组在IP网络上进行传输。 ■PPTP的优势是微软公司的支持，NT4.O起就包含了PPTP客 户机和服务器的功能；另一个优势是支持流量控制，可保证 客户机与服务器间不拥塞，改善通信性能，最大限度地减少 包丢失和重发现象。 ■ PPTP仅工作于IP层，不具有隧道终点的验证功能，需要依 赖用户的验证。 20

20 20 第二层隧道技术-PPTP • PPTP特点 ◼ PPTP由微软公司设计，用于将PPP分组通过IP网络封装传 输，属于数据链路层的封装技术。 ◼ PPTP协议定义了一种PPP分组的封装机制，它通过使用扩 展的通用路由封装协议GRE(Generic Routing Encapsu￾lation， GRE是采用第47号IP协议的客户端协议，为在IP 网络上进行数据封装提供了一种简单、轻巧的通用机制)进 行封装，使PPP分组在IP网络上进行传输。 ◼ PPTP的优势是微软公司的支持，NT4.0起就包含了PPTP客 户机和服务器的功能；另一个优势是支持流量控制，可保证 客户机与服务器间不拥塞，改善通信性能，最大限度地减少 包丢失和重发现象。 ◼ PPTP仅工作于IP层，不具有隧道终点的验证功能，需要依 赖用户的验证

第二层隧道技术-PPTP 网络安全 NETWORK SECURITY PPTP将PPP帧封装进IP数据报中，通过IP网络发送， 数据的隧道化过程采用多层封装的方法： ■PPP帧的封装：初始PPP有效载荷（如IP数据报、IPX数据 报等)经过加密后，添加PPP报头，封装成PPP帧。PPP帧 再进一步添加GRE报头，经过第二层封装形成GRE报文。 ■ GRE报文的封装：PPP有效载荷的第三层封装是在GRE报文 外再添加IP报头。IP报头包含数据包源端及目的端IP地址 ■ 数据链路层封装：数据链路层封装是IP数据报多层封装的最 后一层，依据不同的外发物理网络再添加相应的数据链路层 报头和报尾。如，如果P数据报在以太网上传输，则用以太 网报头和报尾对IP数据报进行数据链路层封装；如果在点 点WAN上传输，则用PPP报头和报尾进行数据链路层封装 21

21 21 第二层隧道技术-PPTP • PPTP将PPP帧封装进IP数据报中，通过IP网络发送， 数据的隧道化过程采用多层封装的方法： ◼ PPP帧的封装：初始PPP有效载荷(如IP数据报、IPX数据 报等)经过加密后，添加PPP报头，封装成PPP帧。PPP帧 再进一步添加GRE报头，经过第二层封装形成GRE报文。 ◼ GRE报文的封装：PPP有效载荷的第三层封装是在GRE报文 外再添加IP报头。IP报头包含数据包源端及目的端IP地址。 ◼ 数据链路层封装：数据链路层封装是IP数据报多层封装的最 后一层，依据不同的外发物理网络再添加相应的数据链路层 报头和报尾。如，如果IP数据报在以太网上传输，则用以太 网报头和报尾对IP数据报进行数据链路层封装；如果在点- 点WAN上传输，则用PPP报头和报尾进行数据链路层封装