首页 VPN技术描述

VPN技术描述

VPN技术描述VPN技术描述VPN技术描述隧道协议中最为典型的有IPSEC、L2TP、GRE、PPTP、L2F等。其中GRE、IPSEC属于第三层隧道协议，L2TP、PPTP、L2F属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在何种数据包中在隧道里传输的。目前，在虚拟专网的诸多协议中，最引人注目的两个协议是L2TP与IPSEC。其中 IPSEC已基本完成了标准化的工作。L2TP可以让拨号用户支持多种协议，如IP、IPX、AppleTalk，且可以使用保留网络地址，包括保留IP地址。利用L2TP...

VPN技术描述VPN技术描述隧道协议中最为典型的有IPSEC、L2TP、GRE、 ppt P、L2F等。其中GRE、IPSEC属于第三层隧道协议，L2TP、PPTP、L2F属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在何种数据包中在隧道里传输的。目前，在虚拟专网的诸多协议中，最引人注目的两个协议是L2TP与IPSEC。其中 IPSEC已基本完成了标准化的工作。L2TP可以让拨号用户支持多种协议，如IP、IPX、AppleTalk，且可以使用保留网络地址，包括保留IP地址。利用L2TP提供的拨号VPN服务对最终用户、企业和服务提供商都很有意义，它能够让更多的用户群共享拨号接入和骨干IP网络设施，为拨号用户节省长途通信费用。同时，由于L2TP支持多种网络协议，企业在非IP网络和应用上的投资不至于浪费。L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。IPSec是在传输层(TCP,UDP)之下，因此对应用透明。不必改变用户或服务器系统上的软件。IPSec可以对最终用户透明。无须训练用户。IPSEC定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性，它规定了如何加密数据包，并将几种安全技术结合形成一个完整的体系。IPSEC使用的安全技术包括：密钥交换技术、非对称加密算法；大数据量加密算法；带密钥的安全算法；用于身份认证和密钥发放的CA技术等。IPSEC定义了两个新的数据包头增加到IP包中，这些数据包头用于保证IP数据包的安全性。这两个数据包头是AH和ESP。AH插到标准IP包头后面，它保证数据包的完整性和真实性，防止黑客截断数据包或向网络中插入伪造的数据包。ESP将需要保护的用户数据进行加密后再封装到IP包中，ESP也可以保证数据的完整性、真实性和私有性。IPSEC有隧道和传送两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算ESP头，且被加密，ESP头和加密用户数据被封装在一个新的IP数据包中；在传送方式中，只是传输层数据被用来计算ESP头，ESP头和被加密的传输层数据被放置在原IP包头后面。 IP_SECURITY协议(IPSec)，是INTERNET工程任务组(IETF)为IP安全推荐的一个协议。通过相应的隧道技术，可实现VPN。IPSec有两种模式：隧道模式和传输模式。IPSec协议组还包括支持网络层安全性密钥管理要求的密码技术。ISAKMP(InternetSecurityAssociationKeyManagementProtocolInternet安全协定密钥管理协议)为Internet密钥管理提供框架结构，为安全属性的协商提供协议支持。它本身不能建立会话密钥；然而它可与各种会话密钥建立协议一起使用，如Qakley,为Internet密钥管理提供完整的解决方案。Oakley密钥确定协议使用一种混合的Diffie-Hellman技术，在Internet主机及路由器上建立会话密钥。Onkley提供重要的完美的前向保密安全特性，它基于经过大量公众审查的密码技术。完善的前向保密确保在任何单个密钥受损时只有用此密钥加密的数据受损。而用后续的会话密钥加密的数据不会受损。ISAKMP及Qakley协议已结合到一种混合协议中。用Qakley分解ISAKMP使用ISAKMP框架来支持Qakley密钥交换模式的子集。这种新的密钥交换协议提供可选的完美前向保密、全安全关联特性协商以及提供否认、非否认的鉴别方法。例如，这种协议的实施可用于建立虚拟专用网络(VPN)并允许远程用户从远程站址（有动态分配的IP地址）接入安全网络。IPSec工作时，首先两端的网络设备必须就SA(securityassociation)达成一致，这是两者之间的一项安全策略协定。SA包括：加密算法鉴别算法共享会话密钥密钥使用期限SA是单向的，故欲进行双向通信需建立两个SA（各为一个方向）。这些SA通过ISAKMP协商或可人工定义。SA商定之后，然后确定是使用鉴别、保密和完整性或仅仅只用鉴别。IPSec有两种模式：隧道模式和传输模式；在隧道模式中，整个IP数据报、IP报头和数据都封装在ESP报头中。在传输模式中，只有数据部分是封装，而IP报头则不封装即被传送。目前，标准规定必须实施密码块链接(CBC)模式中的DES。IPSec接收端的网络设备根据接收端的SA数据库对使用IPSec加密的数据进行相应的解密并接收，这样就达到了传送数据的私有性和完整性。CTRL+A全选可调整字体属性及字体大小-CAL-FENGHAI.NetworkInformationTechnologyCompany.2020YEAR

                    本文档为【VPN技术描述】，请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑，
                    图片更改请在作品中右键图片并更换，文字修改请直接点击文字进行修改，也可以新增和删除文档中的内容。 
 该文档来自用户分享，如有侵权行为请发邮件ishare@vip.sina.com联系网站客服，我们会及时删除。

                    [版权声明] 本站所有资料为用户分享产生，若发现您的权利被侵害，请联系客服邮件isharekefu@iask.cn，我们尽快处理。

                    本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权，请谨慎使用。

                    网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传，仅限个人学习分享使用，禁止用于任何广告和商用目的。
                

下载需要：￥11.0 已有0 人下载

立即下载

VPN技术描述

你可能还喜欢