VPN基础知识Word文件下载.doc
《VPN基础知识Word文件下载.doc》由会员分享,可在线阅读,更多相关《VPN基础知识Word文件下载.doc(6页珍藏版)》请在冰豆网上搜索。
●高安全性
●没有地区限制
VPN出现以前,如果用户要建立从住处到企业的安全通道,那么往往会向当地的ISP租用一条专用ISDN或者T1信道,这笔线路的租费是相当昂贵的。
而VPN技术并不需要专门的通讯线路,只要借助公共网络就可以完成同样的功能,而且价格低廉。
虽然VPN网络的数据要经过公共网络传输,不像以往租用线路那样是一种点到点的连接,所有的数据直接在个人和企业之间传输而不用担心被人截取。
但是VPN通过加密和隧道这两个技术,同样为数据传输提供了高度的安全性。
3.最常用的VPN协议有哪些?
目前VPN最常用到的协议有PPTP,L2TP和IPSec。
4.PPTP协议
PPTP(PointtoPointTunnelingProtocol)即点到点隧道协议。
该协议由美国微软设计,用于将PPP分组通过IP网络封装传输。
PPTP协议使用了基本的PPP协议来封装数据,它通过使用扩展的GRE封装,将PPP分组在IP网上进行传输。
PPTP使用微软的MPPE协议(点到点加密协议)进行加密;
使用MS-CHAP,MS-CHAPv2或者EAP协议对双方的身份进行授权和验证。
如果使用MS-CHAP这类协议,那么用户在连接的过程中,就要输入相应的用户名和密码;
如果使用EAP协议,那么就要使用相应数字证书或者SmartCard这类设备。
一旦数据加密完毕,那么PPTP协议会把加密的数据包封装在GRE数据包中,然后提供必要的PPP信息进行发送。
5.L2TP协议
L2TP(LayerTwo
(2)TunnelingProtocol)即第二层隧道协议。
它结合了微软的PPTP以及Cisco的L2F协议。
L2TP将PPP分组进行隧道封装并在不同的传输媒体上传输。
PPTP要求互联网络为IP网络。
L2TP只要求隧道媒介提供面向数据包的点对点的连接。
L2TP可以在IP(使用UDP),帧中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATMVCs网络上使用。
L2TP本身不提供数据加密,它依赖于IPSec对数据进行加密。
6.IPsec协议
IPsec(IPSecurity)是IETFIPsec工作组为了在IP层提供通信安全而制定的一套协议族。
它包括安全协议部分和密钥协商部分。
安全协议部分定义了对通信的安全保护机制;
密钥协商部分定义了如何为安全协商保护参数,以及如何对通信实体的身份进行鉴别。
IPsec安全协议给出了封装安全载荷(EncapsulatedSecurityPayload,以下简称ESP)和鉴别头(AuthenticationHeader,以下简称AH)两种通信保护机制。
其中ESP机制为通信提供机密性和完整性保护;
AH机制为通信提供完整性保护。
IPsec协议使用IKE协议实现安全协议的自动安全参数协商。
IKE协商的安全参数包括加密及鉴别算法、加密及鉴别密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。
IKE将这些安全参数构成的安全参数集合称为SA。
7.IPsec完整性协议
完整性验证指的是用散列算法对接收到的信息进行验证,判断其是否与发送的信息完全相同。
一个散列算法主要是对发送方和接收方的数据进行加密校验以确保数据未被改变。
如果信息在传输过程中有变化,散列值就会不同,此时就拒绝该数据包。
在进行IPSec完整性配置时,有两个选项:
MD5(MessageDigest5)和SHA1(SecureHashAlgorithm1)。
后者的安全度更高,但需要更多的CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。
8.IPsec认证协议
当两个系统互相交换加密数据之前,需要相互对加密的数据包进行安全协定。
这个安全协定称为安全关联(securityassociation,简称SA)。
为了进行通信,两个系统必须协商使用相同的SA。
因特网密钥交换协议(InternetKeyExchange,简称IKE)管理着用于IPSec连接的SA协商过程。
IKE是因特网工程任务组(InternetEngineeringTaskForce,简称IETF)制定的关于安全关联和密钥交换的标准方法。
IKE的操作分两阶段:
第一阶段建立ISAKMPSA,确保通信信道的安全;
第二阶段协商所使用的IPSecSA。
为了建立IPSec通信,两台主机在SA协商发生之前必须互相认证,有三种认证方法:
●Kerberos-Kerberosv5常用于WindowsServer2003,是其缺省认证方式。
Kerberos能在域内进行安全协议认证,使用时,它既对用户的身份也对网络服务进行验证。
Kerberos的优点是可以在用户和服务器之间相互认证,也具有互操作性。
Kerberos可以在Server2003的域和使用Kerberos认证的UNix环境系统之间提供认证服务。
●公钥证书(PKI)-PKI用来对非受信域的成员,非Windows客户,或者没有运行Kerberosv5认证协议的计算机进行认证,认证证书由一个作为证书机构(CA)的系统颁布。
●预共享密钥(Presharedkey)-在预共享密钥认证中,双方必须为IPsec策略协商使用一个相同的共享密钥。
9.IPsec加密协议
IPsec提供三种主要的加密方法。
选择什么加密方法取决于您公司的安全需要。
●DES-1977年美国国家标准局公布了DES算法,它可以在通信过程中频繁生成密钥,对密码分析有很强的抵抗力。
DES的问题不在于它的设计,而在于它的密钥长度。
它使用一个56bit的密钥来对一个64bit的明文块进行加密。
目前已经有专门的硬件可以破译DES。
●3DES–是DES的一个更安全的变形。
它使用三个互不相同的密钥,本质上相当于用一个长为168bit的密钥进行加密。
与DES相比,它加密数据的速度要慢得多。
但是,使用硬件加速器,可以极大地提高它的运行速度。
●AES–用来取代DES的高级加密标准。
它支持至少128bit的分组,密钥长度支持128、192和256bit。
10.IPsec加密模式
IPSec可以在两种不同的模式下运作:
传输(transport)模式和隧道(tunnel)模式。
这些模式指的是数据在网络中是如何发送和加密的。
在传输模式下,IPSec的保护贯穿全程:
从源头到目的地,被称为提供终端到终端的传输安全性。
隧道模式仅仅在隧道点或者网关之间加密数据。
隧道模式提供了网关到网关的传输安全性。
当数据在客户和服务器之间传输时,仅当数据到达网关时才得到加密,其余路径不受保护。
一旦到达网关,就采用IPSec进行加密,等到达目的网关之后,数据包被解密和验证,之后数据发送到不受保护的目的主机。
隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围,且在诸如互联网这样的公共网络中传输的场合。
02-DraytekVPN解決方案
DrayTekVPN分成两个种类。
a.局域网到局域网(LAN-to-LAN)
LAN-to-LANVPN连接是由两台路由器将两个不同的私有网络连接起来的VPN连接方式。
Vigor路由器为这种类型的连接支持以下协议。
IPSectunnel,PPTP,L2TP和L2TPoverIPsec。
b.远端用户拨入(RemoteDial-in)
远端拨入VPN连接是由远端拨入客户端或单独一台用户电脑连接入一个私有网络的VPN连接方式。
我是否需要花钱购买VPN客户端软件
建立远端用户拨入VPN时,你需要在客户端电脑上安装VPN客户端软件。
但是你不需要额外的花费来购买VPN客户端软件,因为我们支持的IPsectunnel,PPTP,L2TP和L2TPoverIPsec都已经内建在大多数的Microsoft操作系统里了。
对于Win98/Me用户来说,你可以使用"
Dial-upNetworking"
来创建PPTP连接到Vigor路由器。
对于Win2000/XP用户,你可以使用"
NetworkandDial-upconnections"
或"
SmartVPNClient"
VPN工具来建立IPsectunnel,PPTP,L2TP和L2TPoverIPsec连接到Vigor路由器。
具体设置请参考01.HosttoLANVPN(TeleworkertoVigor)
04-SmartVPNClient是什么工具
SmartVPNClient是本公司提供的一个VPN工具,它可以帮您轻易地建立到Vigor路由器的VPN连接。
SmartVPNClient通过一个容易使用的用户界面,极大地简化了设置拨号网络和IPsec安全策略的步骤,特别是L2TPoverIPsec连接。
05-Vigor路由器支持多少条VPN连接
所支持的最大同时VPN连接数取决于路由器的型号。
注:
这里的VPN连接是指Vigor使用内建的VPN工具建立的VPN连接,包括拨入和拨出。
与VPNpassthrough的数目无关。
Vigor2500系列(Vigor2500/We)和Vigor2600Ge支持2条(仅拨出)隧道。
Vigor2510V系列支持2条隧道。
Vigor2200系列,Vigor2200V系列和Vigor2600系列(Vigor2600/W/X/We)支持8条隧道。
Vigor2300,Vigor2200Eplus,Vigor2600G系列(Vigor2600G/Gi/plus/i)和Vigor2600V系列(Vigor2600V/VG/VGi/Vi)支持16条隧道。
Vigor2900系列(Vigor2900/G/Gi/i)和Vigor2900V系列(Vigor2900V/VG/VGi/Vi)支持32条隧道。
Vigor2910系列(Vigor2910/V/G/i/VG/VGi)支持32条隧道。
Vigor2950系列支持200条隧道。
VigorPro100系列(VigorPro100/G/i/Gi)支持32条隧道。
Vigor3100系列(Vigor3100/G/i