收藏
下载资源

网络安全概述_08保密通信讲义

上传人:我** 文档编号:116001264 上传时间:2019-11-15 格式:PPT 页数:76 大小:2.76MB
返回 下载 相关 举报
网络安全概述_08保密通信讲义_第1页
第1页 / 共76页
网络安全概述_08保密通信讲义_第2页
第2页 / 共76页
网络安全概述_08保密通信讲义_第3页
第3页 / 共76页
网络安全概述_08保密通信讲义_第4页
第4页 / 共76页
网络安全概述_08保密通信讲义_第5页
第5页 / 共76页
点击查看更多>>
资源描述

《网络安全概述_08保密通信讲义》由会员分享,可在线阅读,更多相关《网络安全概述_08保密通信讲义(76页珍藏版)》请在金锄头文库上搜索。

1、第8讲 保密通信(二) L2TP、GRE、MPLS 网络安全 第8讲 保密通信(二) 1 RFC2764的VPN分类 概述 VPDN VPRN VPLS VLL 网络安全 第8讲 保密通信(二) 概述 RFC2764的VPN分类 拨号VPN(VPDN) 利用公共网络的拨号及接入网实现, 节省了在接入设备上的投资 适合于地点或人员分散、对线路保密性和可用性有一定要求的用户 虚拟租用线(VLL) 最简单的VPN技术,为用户提供数据链路层的点到点链路 利用ATM VCC、FR VCC、MPLS链路封装来提供 虚拟专用路由网(VPRN) 使用传统的VPN协议,如IPSec、GRE等实现 MPLS方式的

2、VPN 虚拟专用LAN网段 (VPLS) A VPLS can be most easily modeled as being essentially equivalent to a VPRN, except that each VPLS edge node implements link layer bridging rather than network layer forwarding 网络安全 第8讲 保密通信(二) 网络安全 第8讲 保密通信(二) VPDN VPDN (Virtual Private Dial Network) 虚拟拨号专网 是指利用公共网络(如ISDN 和PSTN

3、) 的拨号功能及接入网来 实现虚拟专用网,从而为企业、小型ISP、 移动办公人员提供 接入服务。 除VPN的总部网络中心采用专线接入VPN服务提供商的网络外 ,其余的VPN用户通过PSTN或ISDN拨号线路接入网络。 虽然拨号用户是通过PSTN或ISDN公网拨入VPN的,但是VPN 所属用户仍与外界隔离,有较好的安全保证。 VPDN也可以使用IP专用地址等VPN所特有的一些特性,接入 范围可遍及PSTN、ISDN的覆盖区域,网络建设投资少、周期 短,网络运行费用低。 VPDN 隧道协议可分为PPTP、L2F 和L2TP三种。目前最广泛 使用的是L2TP。 网络安全 第8讲 保密通信(二) 网络

4、安全 第8讲 保密通信(二) VPRN VPRN(Virtual Private Routed Networks) 虚拟专用路由网络 用IP设施仿真出一个专用多站点广域路由网 是在IP公用网络(如Internet)基础上实施的 像VPN结构一样,VPRN也可以分为基于网 络的VPRN及基于CE的VPRN。 网络安全 第8讲 保密通信(二) 网络安全 第8讲 保密通信(二) VPLS VPLS(Virtual Private LAN Segment)虚拟专用 LAN网段 VPLS是用Internet设施仿真LAN网段。VPLS可用于 提供所谓的透明LAN服务(TLS)。TLS可用于以协议 透明方

5、式互连多个支干CE节点(如桥或路由器)。 VPLS在IP上仿真LAN网段,类似于LANE在ATM上仿 真LAN网段。它的主要优点是协议完全透明,这在 多协议传送和传送管理上是很重要的。VPLS的样例 如图所示。 网络安全 第8讲 保密通信(二) 网络安全 第8讲 保密通信(二) VLL VLL(Virtual Leased Lines) 虚拟租用线 VLL是VPN中最简单的网络类型,可以说它是VPN中的一个特 例 VLL是服务提供商在IP网上为用户提供的点到点的链路业务, 例如提供ATM VCC或帧中继电路等租用电路业务。发展VLL的 主要原因是由于VPN服务提供商的基础网络是IP网,但有些用

6、 户需要一条或多条ATM VCC或帧中继电路的专线,由此诞生 了VLL业务。 VLL的工作原理是,用户的CE设备通过本地专线接入网络边缘 设备PE,在PE之间建立专用隧道,PE实施IP与ATM或帧中继 协议转换,使PE的CE侧提供ATM或帧中继接口,从而建立两 个CE之间的ATM VCC或帧中继电路通路,供用户使用。 网络安全 第8讲 保密通信(二) 网络安全 第8讲 保密通信(二) 2 L2TP 2.1 PPTP、L2F 2.2 L2TP概述 2.3 L2TP原理 2.4 L2TP隧道会话建立过程 2.5 L2TP协议特点 网络安全 第8讲 保密通信(二) PPTP(Point to Poi

7、nt Tunneling Protocol,点 对点通道协议) PPTP 提 供PPTP 客 户 机 和PPTP 服 务 器 之 间 的 加 密 通 信。 PPTP 客 户 机 是 指 运 行 了 该 协 议 的PC 机, 如 启 动 该 协 议 的Windows95/98; PPTP 服 务 器 是 指 运 行 该 协 议 的 服 务 器, 如 启 动 该 协 议 的WindowsNT 服 务 器。 PPTP 采 用 了 基 于RSA 公 司RC4 的 数 据 加 密 方 法 , 保 证 了 虚 拟 连 接 通 道 的 安 全 性。 PPTP 可 看 作 是PPP 协 议 的 一 种 扩 展

8、。 网络安全 第8讲 保密通信(二) 通 过PPTP, 客 户 可 采 用 拨 号 方 式 接 入 公 共IP 网 络 Internet 拨 号 客 户 首 先 按 常 规 方 式 拨 号 到ISP 的 接 入 服 务 器 (NAS), 建 立PPP 连 接;在 此 基 础 上, 客 户 进 行 二 次 拨 号 建 立 到 PPTP 服 务 器 的 连 接, 该 连 接 称 为PPTP 隧 道, 实 质 上 是 基 于IP 协 议 上 的 另 一 个PPP 连 接, 其 中 的IP 包 可 以 封 装 多 种 协 议 数 据, 包 括 TCP IP、IPX 和 NetBEUI。 对 于 直 接

9、 连 到Internet 上 的 客 户 则 不 需 要 第 一 重PPP 的 拨 号 连 接, 可 以 直 接 与PPTP 服 务 器 建 立 虚 拟 通 道 。PPTP 把 建 立 隧 道 的 主 动 权 交 给 了 用 户, 但 用 户 需 要 在 其PC 机 上 配 置PPTP, 这 样 做 既 增 加 了 用 户 的 工 作 量 又 会 造 成 网 络 安 全 隐 患。 另 外PPTP 只 支 持IP 作 为 传 输 协 议。 网络安全 第8讲 保密通信(二) L2F(Layer 2 Forwarding,二层转发协议) L2F 是 由Cisco 公 司 提 出 的 可 以 在 多

10、种 介 质 如ATM、 帧 中 继、IP 网 上 建 立 多 协 议 的 安 全 虚 拟 专 用 网( VPN) 的 通 信 方 式。 远 端 用 户 能 够 透 过 任 何 拨 号 方 式 接 入 公 共IP 网 络 首 先 按 常 规 方 式 拨 号 到ISP 的 接 入 服 务 器(NAS), 建 立PPP 连 接;NAS 根 据 用 户 名 等 信 息, 发 起 第 二 重 连 接, 通 向HGW (家庭网关)服 务 器。 在 这 种 情 况 下 隧 道 的 配 置 和 建 立 对 用 户 是 完 全 透 明 的。(优点!) 网络安全 第8讲 保密通信(二) L2TP(Layer 2

11、Tunneling Protocol,二层 通道协议) L2TP 结 合 了L2F 和PPTP 的 优 点, 可 以 让 用 户 从 客 户 端 或 访 问 服 务 器 端 发 起VPN 连 接。L2TP 是 把 链 路 层PPP 帧 封 装 在 公 共 网 络 设 施 如IP、ATM、 帧 中 继 中 进 行 隧 道 传 输 的 封 装 协 议。 Cisco、Ascend、Microsoft 和RedBack 公 司 的 专 家 们 在 修 改 了 十 几 个 版 本 后, 终 于 在 1999 年8 月 公 布 了L2TP 的 标 准 RFC2661。 网络安全 第8讲 保密通信(二) L

12、2TP组成 LAC(L2TP Access Concentrator,L2TP访问集中器) 是附属在交换网络上的具有PPP端系统和L2TP协议 处理能力的设备,支持客户端的L2TP,他用于发起 呼叫、接收呼叫和建立隧道,LAC一般是一个网络 接入服务器NAS,主要用于通过PSTN/ISDN网络为 用户提供接入服务。 LNS(L2TPNetworkServer,L2TP网络服务器)是所有 隧 道的终点。是PPP端系统上用于处理L2TP协议服 务器端部分的设备。 网络安全 第8讲 保密通信(二) L2TP结构 LAC位于LNS和远端系统(远地用户和远地分支机 构)之间,用于在LNS和远端系统之间传

13、递信息包 ,把从远端系统收到的信息包按照L2TP协议进行封 装并送往LNS,将从LNS收到的信息包进行解封装 并送往远端系统。 LAC与远端系统之间可以采用本地连接或PPP链路 ,VPDN应用中通常为PPP链路。LNS作为L2TP隧道 的另一侧端点,是LAC的对端设备,是被LAC进行 隧道传输的PPP会话的逻辑终止端点。 在传统的PPP连接中,用户拨号连接的终点是LAC ,L2TP使得PPP协议的终点延伸到LNS。 网络安全 第8讲 保密通信(二) 网络安全 第8讲 保密通信(二) 2.3 L2TP原理 L2TP隧道和会话的概念 隧道(Tunnel)连接定义了一个LNS和LAC对; 会话(Se

14、ssion)连接复用在隧道连接之上,用于 表示承载在隧道连接中的每个PPP会话过程。 两者关系 在同一对LAC和LNS之间只可建立一个L2TP隧道,该隧道 由一个控制连接和一个或多个会话(Session)组成。 会话连接必须在隧道建立(包括身份保护、L2TP版本、 帧类型、硬件传输类型等信息的交换)成功之后进行,每 个会话连接对应于LAC和LNS之间的一个PPP数据流。控制 消息和PPP数据报文都在隧道上传输。 L2TP使用Hello报文来检测隧道的连通性。当隧道空闲一 定时间后,LAC和LNS开始向对端发送Hello报文,若在一 段时间内未收到Hello报文的应答,该会话将被清除。 网络安全

15、 第8讲 保密通信(二) L2TP控制消息和数据消息 控制消息用于隧道和会话连接的建立、维护以及传输控制; 控制消息的传输是可靠传输,并且支持对控制消息的流量控 制和拥塞控制; 数据消息用于封装PPP帧并在隧道上传输。数据消息的传输是 不可靠传输,若数据报文丢失,不予重传,不支持对数据消 息的流量控制和拥塞控制。 控制消息和数据消息共享相同的报文头。 L2TP报文头中包含隧道标识符(Tunnel ID)和会话标识符( Session ID)信息,用来标识不同的隧道和会话。隧道标识相同 、会话标识不同的报文将被复用在一个隧道上,隧道标识符与会 话标识符由对端分配。 网络安全 第8讲 保密通信(二

16、) L2TP数据封装 PPP帧首先被封装L2TP头部并在不可靠数据 通道上进行传输,然后进行UDP、Frame Relay、ATM等包传输过程。控制消息在可 靠的L2TP控制通道内传输。 通常L2TP以UDP报文的形式发送。 网络安全 第8讲 保密通信(二) 封装过程 L2TP封装:初始PPP有效载荷如IP数据报、IPX数据报或 NetBEUI帧等首先经过PPP报头和L2TP报头的封装。 UDP封装 :L2TP帧进一步添加UDP报头进行UDP封装,在UDP报 头中,源端和目的端端口号均设置为1701。 IPSec封装:基于IPSec安全策略,UDP消息通过添加IPSec封装 安全负载ESP报头、报尾和IPSec认证报尾(Auth trailer), 进行IPSec加密封装。 IP封装:在IPSec数

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号