vpn原理(5)

2019-04-22 11:37

式，通过非网络传输的其它安全通信方式完成密钥在各安全网关之间的传送。各安全网关的密钥存贮在密数据库中，支持以IP地址为关键字的快速查询获取。

身份认证模块对IP数据包完成数字签名的运算。整个数字签名的过程如图5所示：

图5 数字签名

首先，发送方对数据进行哈希运算h＝H(m)，然后用通信密钥k对h进行加密得到签名Signature＝{ h} key。发送方将签名附在明文之后，一起传送给接收方。接收方收到数据后，首先用密钥k对签名进行解密得到 h，并将其与H(m)进行比较，如果二者一致，则表明数据是完整的。数字签名在保证数据完整性的同时，也起到了身份认证的作用，因为只有在有密钥的情况之下，才能对数据进行正确的签名。

数据加密/解密模块完成对IP数据包的加密和解密操作。可选的加密算法有IDEA算法和DES算法。前者在用软件方式实现时可以获得较快的加密速度。为了进一步提高系统效率，可以采用专用硬件的方式实现数据的加密和解密，这时采用DES算法能得到较快的加密速度。随着当前计算机运算能力的提高，DES算法的安全性开始受到挑战，对于安全性要求更高的网络数据，数据加密/解密模块可以提供TriPle DES加密服务。

数据分组的封装/分解模块实现对IP数据分组进行安全封装或分解。当从安全网关发送IP数据分组时，数据分组封装/分解模块为IP数据分组附加上身份认

证头AH和安全数据封装头ESP。当安全网关接收到IP 数据分组时，数据分组封装/分解模块对AH和ESP进行协议分析，并根据包头信息进行身份验证和数据解密。

加密函数库为上述模块提供统一的加密服务。加密函数库设计的一条基本原则是通过一个统一的函数接口界面与上述模块进行通信。这样可以根据实际的需要，在挂接加密算法和加密强度不同的函数库时，其它模块不需作出改动

4.基于GRE协议的VPN原理及实现

1)GRE协议简介

GRE（Generic Routing Encapsulation）即通用路由封装协议是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE是VPN（Virtual Private Network ）的第三层隧道协议，即在协议层之间采用了一种被称之为Tunnel（隧道）的技术 ⑴ GRE的Tunnel（隧道）工作原理

一个报文要想在Tunnel中传输，必须要经过加封装与解封装两个过程: a) 加封装过程

如下图，连接Novell group1的接口收到IPX数据报后首先交由IPX协议处理，IPX协议检查IPX报头中的目的地址域来确定如何路由此包:

InternetIPXD-òéGroup1Router AtunnelRouter BIPXD-òéGroup2

GRE典型组网图

b) 封装好的报文的形式如下图所示:

(Transport Protocol)GRE Header(Encapsulation Protocol)Payload Packet(Passenger Protocol)封装好的Tunnel报文格式

c) 解封装的过程

解封装过程和加封装的过程相反。从Tunnel接口收到的IP报文，通过检查目的地址，发现目的地就是此路由器时，剥掉IP报头，再交给GRE协议处理后（进行检验密钥、检查校验和或报文的序列号等），剥掉GRE报头后，再交由IPX协议象对待一般数据报一样对此数据报进行处理。系统收到一个需要封装和路由的数据报，称之为净荷(Payload)，这个净荷首先被加上GRE封装，成为GRE报文；再被封装在IP报文中，这样就可完全由IP层负责此报文的向前传输（Forwarded）。这个负责向前传输的IP协议被称为传递（Delivery）协议或传输（Transport）协议. ⑵ GRE应用范围:

① 多协议本地网通过单一协议骨干网传输

Novell IPX-òDéGroup1Novell IPX-òDéGroup2InternetInternettunnelIPD-òéTerm 1Router ARouter BIPD-òéTerm 2

② 扩大包含步跳数受限协议（如IPX）的网络的工作范围

RoutertunnelRouterIP networkRouterPCrrIP networkIP networkRouterPC

③ 将一些不能连续的子网连接起来，组建VPN

Routernovellgroup 1IP networkVLANRouternovellgroup2tunnel

其中，以第一种应用为主.

2基于GRE，以IP封装IPX原理及实现 ⑴ 协议封装

一个封装在IP Tunnel中的IPX传输报文的格式如下：

IPGREIPX乘客协议(Passager Protocol)运载协议或封装协议(Carrier Protocol)(Encapsulation Protocol)运输协议(Transport Protocol)

⑵ IP承载IPX的GRE应用组网图

192.10.1.1202.18.3.2IPXD-òéGroup1tunnelIPXD-òéGroup21eRouter A1fInternet1fRouter B31

⑶ GRE配置

GRE的基本配置包括创建虚拟Tunnel接口

配置Tunnel接口的源端地址配置Tunnel接口的目的地址配置Tunnel接口的网络地址

共5页:

vpn原理(5).doc 将本文的Word文档下载到电脑下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档