8.2 虚拟专用网技术 8.2.2 VPN的应用类型 通常根据VPN采用的隧道协议将它分为三种应用类型远程访问虚拟网、企业内部虚拟网和企业扩展虚拟网。
1.远程访问虚拟网 互联网加密信道远程用户移动用户防火墙VPN服务器公共服务器总部局域网图8-16 Access VPN组成示意图 29 8.2 虚拟专用网技术 8.2.2 VPN的应用类型 2.企业内部虚拟网 互联网加密信道路由器VPN服务器VPN服务器总部局域网路由器分支机构局域网图8-17 Intranet VPN组成示意图 30 8.2 虚拟专用网技术 8.2.2 VPN的应用类型 3.企业扩展虚拟网 互联网加密信道路由器1VPN服务器VPN服务器总部局域网路由器2分支机构局域网公共服务器合作伙伴局域网路由器3VPN服务器加密信道移动用户图8-18 Extranet VPN组成示意图 31 8.2 虚拟专用网技术 8.2.3 VPN的实现及其隧道协议 有多种方式可实现VPN。
按照VPN在TCP/IP协议体系中的实现方式可将它分为链路层VPN、网络层VPN和传输层VPN。
因此目前常见的VPN 实现方案有三种基于2 层的VPN实现方案如PPTP、L2F、2TP基于3 层的VPN 实现方案如IPSec介于第四层和第五层之间的VPN 实现方案即传输层VPN如SSL VPN 等。
无论何种隧道协议其数据包报文格式通常包含3个部分①乘客协议即用户所要传输的数据也就是被封装的数据它们可以是IP、PPP、SLIP等。
②封装协议负责隧道的建立、维持和断开如即将讨论的PPTP、L2FP、L2TP、GRE、IPSec等都是封装协议。
③传输协议即传输经过封装之后的数据包的协议如IP和ATM等。
32 8.2 虚拟专用网技术 8.2.3 VPN的实现及其隧道协议 1.实现Access VPN的第二层隧道协议 第二层隧道协议是在数据链路层进行的用于构建Access VPN。
第二层隧道协议主要有PPTP、L2FP、L2TP。
1PPTP协议Point-to-Point Tunneling Protocol PPTP PPTP是由Microsoft、Ascend、3COM等公司支持的隧道技术Windows NT4.0以上版本支持此协议RFC 2637。
该协议将PPP数据包封装在IP数据报内通过IP网络进行传送。
PPTP的建立过程如下 1用户通过串口以拨号IP访问方式与NAS建立连接获得网络服务 2用户通过路由信息定位PPTP接入服务器 3用户形成一个PPTP虚拟接口 4用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道 5用户通过该隧道获得VPN服务。
33 8.2 虚拟专用网技术 8.2.3 VPN的实现及其隧道协议 1.实现Access VPN的第二层隧道协议 2L2FP协议 2层转发Layer 2 Forwarding ProtocolL2FP协议是由Cisco、Nortel等公司提出的一种隧道技术可以支持多种传输协议RFC 2341如IP、ATM、帧中继。
首先远程用户通过任意拨号方式接入公共IP网络例如按常规方式拨号到ISP的NAS建立PPP连接然后NAS根据用户名等信息进行二次连接通向企业的本地L2FP网关服务器这个L2FP服务器把数据包解密后发送到企业内部网络。
34 8.2 虚拟专用网技术 8.2.3 VPN的实现及其隧道协议 1.实现Access VPN的第二层隧道协议 3L2TP协议 2层隧道协议Layer Two Tunneling Protocol L2TP是由IETF起草并由Microsoft、Ascend、Cisco、3COM等公司参与制订的一种隧道技术它综合了L2FP和PPTP两个协议的优点已成为二层隧道协议的工业标准RFC 2661。
它支持IP、X.25、帧中继或ATM等作为承载协议但目前仅定义了基于IP网络的L2TP。
L2TP隧道协议可用于互联网也可用于其它企业专用网。
35 8.2 虚拟专用网技术 8.2.3 VPN的实现及其隧道协议 2.实现Intranet VPN和Extranet VPN的第三层隧道协议 构建Intranet VPN和Extranet VPN需要使用第三层隧道协议。
第三层隧道协议是在网络层进行的它把各种网络协议直接装入隧道协议中形成的数据包依靠第三层协议进行封装。
IPSec就是一个典型的第三层隧道协议也是目前最常用的VPN实现方案。
通用路由封装协议GRE也是一个第三层隧道协议。
GREGeneral Routing Encapsulation由Cisco和Net Smiths公司于1994年提交给IETF标号为RFC 1701和RFC 1702。
2000年Cisco等公司对GRE协议进行了修订称为GRE V2标号为RFC 2784。
36 8.2 虚拟专用网技术 8.2.4 基于IPSec的VPN应用实例 1.IPSec VPN方案设计 一个IPSec VPN方案一般包括以下几项内容。
1总部接入方案 2分支机构及合作伙伴接入方案。
3移动用户的远程安全接入方案。
37 8.2 虚拟专用网技术 8.2.4 基于IPSec的VPN应用实例 互联网加密信道路由器1VPN服务器VPN服务器总部局域网路由器2分支机构局域网公共服务器合作伙伴局域网路由器3VPN服务器加密信道移动用户表 8-1 路由器端口及IP地址设置 路由器 IP地址 以太网口及端口地址 串口及端口地址 router 1 202.119.167.1 ES0 202.119.128.1 S0/0 202.119.1.2 router 2 192.168.99.30 ES0 192.168.99.2 S0/0 192.168.2.2 router 3 172.16.255.149 ES0 172.16.255.3 S0/0 172.16.3.2 38 8.2 虚拟专用网技术 8.2.4 基于IPSec的VPN应用实例 2.路由器到路由器的IPSec配置 1确定ISAKMPIKE阶段1策略 2定义IPSecIKE阶段2策略 3查看VPN的配置 39 8.2 虚拟专用网技术 8.2.4 基于IPSec的VPN应用实例 3.Windows 2003 下VPN 的配置与实现 1配置VPN服务器使之能够接受VPN接入。
完成VPN服务器的配置后还需要创建用户、为用户设置拨入权限让远程计算机可以通过VPN服务器访问机构内部网络。
2配置VPN客户端如Windows XP并建立客户端与服务器间的VPN连接。
通常在客户端使用PPTP拨号联入VPN服务器。
当VPN客户机通过PPTP拨号与VPN服务器连接成功后VPN 客户机就成了VPN服务器所在局域网的一个组成部分。
在该局域网内任意一台计算机均可以按照权限访问其它计算机上的软硬件共享资源操作方法也与普通局域网完全一样。
40 8.3 安全电子邮件 随着电子邮件用户及电子邮件使用范围的迅速扩大电子邮件的安全性不但成为使用者和开发者关心的问题而且也成为互联网标准委员会的研究重点为此发布了许多相应的协议和解决方案包括服务器和客户机解决方案。
例如在服务器端提供验证和过滤机制、邮件病毒扫描、加密等功能以保证邮件传递数据链路的安全性。
在服务器端提供加密虽然能提高安全性能但邮件的内容仍然以明文形式存放在传输链路中间的服务器中还是不能防止攻击者包括网络管理员的非法访问因此就电子邮件的机密性而言端到端的加密要比链路加密更为有效。
所以当前应用最为广泛的还是在客户机端提高电子邮件的安全性其中较好的方案有PGP、S/MIME等。
下面将主要介绍这两方面的内容以及如何应用它们提高电子邮件的安全性。
41 8.3 安全电子邮件 8.3.1 电子邮件系统的工作原理 1.电子邮件系统的组成 MUAMUAMTAMTA中继MTA用户A用户B互联网图8-20 电子邮件系统结构示意图 是用户代理Mail User AgentMUA 邮件传输代理Mail Transport AgentMTA 42 8.3 安全电子邮件 8.3.1 电子邮件系统的工作原理 2.电子邮件报文传输过程 SMTP客户机用户A用户B互联网邮箱存储SMTP服务器SMTP服务器邮件存取服务器用户读取邮件第一阶段SMTP第二阶段SMTP第三阶段POP3/IMAP4图8-21 电子邮件报文交付过程示意图 43 8.3 安全电子邮件 8.3.1 电子邮件系统的工作原理 3.安全电子邮件的工作模式 邮件认证邮件签名邮件解密邮件加密发送安全电子邮件原始邮件互联网接收安全电子邮件原始邮件图8-22 安全电子邮件的工作模式 44 8.3 安全电子邮件 8.3.2 安全电子邮件技术及协议 解决电子邮件安全问题需要从端到端的安全电子邮件技术、传输层的安全电子邮件技术以及邮件服务器安全技术等多个方面进行探讨。
1.端到端的安全电子邮件协议 端到端的安全电子邮
上一篇:
下载
下一篇:
行走梵净山之(三)一世一遇,即是懂得