第十四章 虚拟专网(VPN).PPT
《第十四章 虚拟专网(VPN).PPT》由会员分享,可在线阅读,更多相关《第十四章 虚拟专网(VPN).PPT(45页珍藏版)》请在三一文库上搜索。
1、Page 1/44,第13章内容回顾,什么是NAT? NAT中的几个地址 内部局部地址、外部局部地址、内部全局地址、外部全局地址 NAT的应用 转换内部地址、LAN地址复用、TCP负载均衡 NAT的配置 静态NAT 动态NAT PAT TCP负载均衡,虚拟专网(VPN),第14章,Page 3/44,CCIE是Cisco最高等级的考试,全称是Cisco认证互联网专家,不仅全球获得该认证殊荣的人很少,只有1万多名,并且考试也相当的困难(需要参加笔试和实验室考试),考试费也非常昂贵( 笔试350美元,折合人民币2800元, 实验考试1400美元,折合人民币10584元),所以说CCIE考试是目前最
2、难的最高端的认证考试之一。 CCIE分为五类分别是:CCIE-路由和交换、CCIE-通信和服务、CCIE-安全、CCIE-语音、CCIE-网络存储。其中CCIE-路由和交换,是Cisco最普及的认证,多数CCIE是通过的CCIE-路由和交换的这一项技术认证。 目前Cisco公司将会改动CCIE Security的一些考点和相关设备版本号,目前已经公布的改动有去除VPN 3000 Concentrator和PIX Firewall的内容,版本方面的改动有3560s on 12.2(x)SE、3800s on 12.4T、ASA 8.x、IPS 6.x,IPS 4215替换IPS 4240,还有可
3、能会加入MARS和NAC。,Page 4/44,本章目标,能够配置VPN,使企业办事处能够通过VPN远程接入企业网络中心 了解VPN的基本概念 熟悉VPN的工作原理 了解VPN的加密算法 熟悉IPsec VPN技术 能够在Cisco路由器上配置IPsec VPN,Page 5/44,隧道和加密技术,本章结构,虚拟专网VPN,IPsec的安全协议,IPsec基本概念,VPN概述,IPsec技术,IPsec的传送方式,IPsec的密钥交换,IPsec VPN的配置,VPN的结构和分类,VPN的定义,VPN的工作原理,IPsec的运行,Page 6/44,什么是VPN,VPN(Virtual Pri
4、vate Network) 在公用网络中,按照相同的策略和安全规则, 建立的私有网络连接,Internet,北京总部,广州分公司,虚拟专用网络,Page 7/44,VPN的优点,Internet,专线,中心站点,分支机构,专线方式,VPN方式,费用高 灵活性差 广域网的管理 复杂的拓扑结构,费用低 灵活性好 简单的网络管理 隧道的拓扑结构,Page 8/44,VPN的结构和分类,总部,Internet,远程访问的VPN 站点到站点的VPN,Page 9/44,远程访问的VPN,移动用户或远程小办公室通过Internet访问网络中心 连接单一的网络设备 客户通常需要安装VPN客户端软件,Page
5、 10/44,站点到站点的VPN,公司总部和其分支机构、办公室之间建立的VPN 替代了传统的专线或分组交换WAN连接 它们形成了一个企业的内部互联网络,总部,Internet,Page 11/44,VPN的工作原理,VPN=加密隧道,明文,明文,访问控制,报文加密,报文认证,IP封装,IP解封,报文认证,报文解密,访问控制,公共IP网络,Page 12/44,VPN的关键技术,安全隧道技术 信息加密技术 用户认证技术 访问控制技术,Page 13/44,安全隧道技术,为了在公网上传输私有数据而发展出来的“信息封装”(Encapsulation)方式 在Internet上传输的加密数据包中,只有
6、VPN端口或网关的IP地址暴露在外面,Internet,安全隧道,Page 14/44,隧道协议,二层隧道VPN L2TP: Layer 2 Tunnel Protocol PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 三层隧道VPN GRE : General Routing Encapsulation IPSEC : IP Security Protocol,Page 15/44,第二层隧道协议,建立在点对点协议PPP的基础上 先把各种网络协议(IP、IPX等)封装到PPP帧中,再把整个数据帧装入隧道协议 适用于通
7、过公共电话交换网或者ISDN线路连接VPN,Internet,内部网络,移动用户,访问集中器,网络服务器,PPP链接,Page 16/44,第三层隧道协议,把各种网络协议直接装入隧道协议 在可扩充性、安全性、可靠性方面优于第二层隧道协议,Internet,IP连接,Page 17/44,信息加密技术,机密性 对用户数据提供安全保护 数据完整性 确保消息在传送过程中没有被修改 身份验证 确保宣称已经发送了消息的实体是真正发送消息的实体,明文,加密,密文,解密,明文,Page 18/44,加密算法,对称加密 DES算法 AES算法 IDEA算法、Blowfish算法、Skipjack算法 非对称加
8、密 RSA算法 PGP,Page 19/44,对称密钥,明文,密文,明文,发送方和接收方使用同一密钥 通常加密比较快(可以达到线速) 基于简单的数学操作(可借助硬件) 需要数据的保密性时,用于大批量加密 密钥的管理是最大的问题,双方使用相同的密钥,Page 20/44,非对称密钥,每一方有两个密钥 公钥,可以公开 私钥,必须安全保存 已知公钥,不可能推算出私钥 一个密钥用于加密,一个用于解密 比对称加密算法慢很多倍,Page 21/44,公钥加密和私钥签名,用于数据保密; 利用公钥加密数据,私钥解密数据,用于数字签名; 发送者使用私钥加密数据,接收者用公钥解密数据,Page 22/44,阶段总
9、结,VPN的基本概念 VPN的结构和类型 VPN的原理 安全隧道技术 信息加密技术,Page 23/44,什么是IPsec,IPSec(IP Security)是 IETF为保证在Internet上传送数据的安全保密性,而制定的框架协议 应用在网络层,保护和认证用IP数据包 是开放的框架式协议,各算法之间相互独立 提供了信息的机密性、数据的完整性、用户的验证和防重放保护 支持隧道模式和传输模式,Page 24/44,隧道模式和传输模式,隧道模式 IPsec对整个IP数据包进行封装和加密,隐蔽了源和目的IP地址 从外部看不到数据包的路由过程 传输模式 IPsec只对IP有效数据载荷进行封装和加密
10、,IP源和目的IP地址不加密传送 安全程度相对较低,Page 25/44,IPsec的组成,IPSec 提供两个安全协议 AH (Authentication Header) 认证头协议 ESP (Encapsulation Security Payload)封装安全载荷协议 密钥管理协议 IKE(Internet Key Exchange)因特网密钥交换协议,IPsec不是单独的一个协议,而是一整套体系结构,Page 26/44,AH协议 隧道中报文的数据源鉴别 数据的完整性保护 对每组IP包进行认证,防止黑客利用IP进行攻击,AH认证头协议,Page 27/44,AH的隧道模式封装,AH验
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第十四章 虚拟专网VPN 第十四 虚拟 VPN
链接地址:https://www.31doc.com/p-4995543.html