黛蓝公司VPN网络方案设计与分析
图4-3 外联网VPN拓扑类型 Extranet VPN优点:
(1)能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。
(2)主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络。
4.2.2 按VPN的实现技术划分
目前,主流的VPN技术有IPSec VPN、SSL VPN、MPLS VPN。
4.2.2.1 IPSEC VPN的种类:
1.无缝连接两个私有网络 2.允许远程用户接入 3.点到点 VPN 4.客户端工具接入
4.2.2.2 IPSEC 概述
IPSec VPN是一个应用广泛、开放的VPN安全协议技术,它提供了如何让保密性强的数据在开放的网络中传输的安全机制。它工作在网络层,为数据传输过程提
11
洛阳师范学院2013届本科生毕业设计
供安全保护,主要手段是对数据进行加密和对数据收发方进行身份认证。IPSec VPN技术可以设置成在两种模式下运行,一种是隧道模式,把IPv4数据包封装在安全的IP帧中进行传输,但这种方式系统开销比较大;另一种模式是传输模式,隐藏路由信息,提供端到端的安全保护。特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段,来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication),防重放(protection against replays)等。
IPSEC协议簇包含以下协议。
图4-4 IPSec 协议簇
IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议
新增加的IP头 IPSEC头 被封装的原始IP包 IPSec数据包格式 必须是IP协议 必须是IP协议 图4-5 IP协议图
1.加密保证数据的私密性
通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性
12
黛蓝公司VPN网络方案设计与分析
图4-6 数据私密性描述
2.保证数据完整性(hash,sha)
图4-7 数据完整性描述
3.通过身份认证保证数据的真实性
4.通过身份认证可以保证数据的真实性。常用的身份认证方式包括: (1)Pre-shared key ,预共享密钥 (2)RSA Signature ,数字签名
4.2.2.3 IPSEC框架结构
13
洛阳师范学院2013届本科生毕业设计
图4-8 IPSEC框架
我们可以看到框架中包括IPSEC协议簇,数据加密,散列算法,以及密钥交换体系。
4.2.2.4 IPSEC 封装模式
IPSec支持以下两种封装模式:传输模式,隧道模式。
下面的两幅图可以很好的描述两种模式的区别。
1.传输模式:不改变原有的IP包头,通常用于主机与主机之间。
图4-9 传输模式封装图
2.隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。
图4-10 隧道模式封装图
4.2.2.5 Internet Key Exchange
IKE是用来协商IPSEC安全参数,如: 协商参数,交换公共密钥,密钥刷新,认证对等体,以及密钥管理。
IKE包含三个协议:
1.SKEME— 提供公共密钥更新技术。
14
黛蓝公司VPN网络方案设计与分析
2.Oakley— 提供IPSEC对等体之间提供密钥交换模式 3.ISAKMP— 提供安全关联和密钥管理协议 IKE工作原理:
IKE包含两个过程,phase1和phase2 。Phase1主要对通信双方进行身份认证,并在两端之间建立一条安全的通道,主要有主模式和积极模式。Phase2在上述安全通道上协商IPSec参数,主要有快速模式。
图4-11 IKE阶段1
图4-12 IKE阶段2
IKE阶段2协商IPSEC 安全关联(SA),SA由SPD (security policy database)和SAD(SA database)组成
15