网络工程师——VPN
1.VPN基础知识
虚拟专用网络(Virual Private Network,VPN)是在公用网络上建立专用网络的技术。由于整个VPN网络中的任意两个结点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,所以称之为虚拟网。实现VPN的关键技术主要有隧道技术、加/解密技术、密钥管理技术和身份认证技术。
2.VPN隧道技术
实现VPN的最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IP隧道的建立可以在链路层和网络层。
VPN主要隧道协议有PPTP、L2TP、IPSec、SSL VPN、TLS VPN。
(1)PPTP(点到点隧道协议)
PPTP足一种用于让远程用户拨号连接到本地的lSP,是通过Internet安全访问内网资源的技术。它能将PPP帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP使用TCP连接、创建、维护、终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密、压缩或同时被加密与压缩。该协议是第2层隧道协议。
(2)L2TP协议
L2TP是PPTP与L2F(第二层转发)的一种综合,是由思科、微软等公司推出的一种工业标准。该协议是第2层隧道协议。L2TP的封装格式为PPP帧封装L2TP报头,再封装UDP报头,再封装IP头。具体如下:
L2TP 协议和PPTP 协议功能类似,PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持,
(3)IPSec协议
IPSec协议在隧道外面再封装,保证了隧道在传输过程中的安全。该协议是第3层隧道协议。
(4)SSL VPN、TLS VPN
两类VPN使用了SSL和TLS技术,在传输层实现VPN的技术。该协议是第4层隧道协议。由于SSL需要对传输数据加密,因此SSL VPN的速度比IPSec VPN慢。SSL VPN的配置和使用又比其他VPN简单。
3.IPSec
Internet协议安全性(Internet Protocol Security,IPSec)是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇(一些相互关联的协议的集合)。IPSec工作在TCP/IP协议栈的网络层,为TCP/IP通信提供访问控制机密性、数据源验证、抗重放、数据完整性等多种安全服务。
IPSec是一个协议体系,由建立安全分组流的密钥交换协议和保护分组流的协议两个部分构成,前者即为IKE协议,后者则包含AH、ESP协议。
(1)IKE协议
Internet密钥交换协议(lnternet Key Exchange Protocol,IKE)属于一种混合型协议,由Internet安全关联和密钥管理协议(Intermet Security Association and Key Management Protocol,ISAKMP)与两种密钥交换协议(OAKLEY与SKEME)组成,即IKE中ISAKMP框架、OAKLEY密钥交换模式以及SKEME的共享和密钥更新技术组成。IKE定义了白己的密钥交换方式(手工密钥交换和自动IKE)。
注意:ISAKMP只对认证和密钥交换提出了结构框采,但没有具体定义,因此支持多种不同的密钥交换。
TKE使用了两个阶段的ISAKMP:①协商创建一个通信信道(IKE SA)并对该信道进行验证,为双方进一步的IKE通信提供机密性、消息完整性及消息源验证服务;②使用已建立的IKE SA建立IPSec SA。
(2)AH
认证头(AH)是IPSec体系结构中的一种主要协议,它为IP数据报提供完整性检查与数据源认证,并防止重放攻吉。AH不支持数据加密。AH常用摘要算法(单向Hash函数)MDS和SHA1实现摘要和认证,确保数据完整。
(3)ESP
封装安全载荷(ESP)可以同时提供数据完整性确认和数据加密等服务。ESP通常便用DES、3DES、AES等加密算法实现数据加密,使用MDS或SHA-1来实现摘要和认证,确保数据完整。
(4)IPSec VPN应用场景
IPSec VPN应用场景分为站点到站点、端到端、端到站点三种模式。
1)站点到站点(Site-to-Site)。站点到站点又称为网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来。
2)端到端(End-to-End)。端到端又称为PC到 PC,即两个PC之间的通信由 IPSec 完成,
3)端到站点(End-to-Site)。端到站点,两个 PC 之间的通信由网关和异地PC之间的 IPSec 会话完成。
(5)IPSec 工作模式
IPSec的两种工作模式分别是传输模式和隧道模式。具体如图所示。
传输模式下的AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头。AH只作摘要,因此只能验证数据完整性和合法性;而ESP既做摘要,也做加密,因此除了验证数据完整性和合法性之外,还能进行数据加密。
4. MPLS
多协议标记交换(Multi-Protocol Label Switching,MPLS)是核心路由器利用含有边缘路由器在IP分组内提供的前向信息的标签(Label)或标记(Tag),实现网络层交换的一种交换方式。
MPLS技术主要是为了提高路由器转发速率而提出的,其核心思想是利用标签交换取代复杂的路由运算和路由交换。该技术实现的核心就是把IP数据报封装在MPLS数据包中。MPLS将IP地址映射为简单、固定长度的标签,这和 IP 中的包转发、包交换不同。
MPLS根据标记对分组进行交换。以以太网为例,MPLS包头的位置应插入在以太帧头与IP头之间,是属于二层和三层之间的协议,也称为2.5层协议。
注意:考试中应填2.5层。
MPLS标签结构与具体承载结构如图所示。
(1)MPLS 流程
当分组进入MPLS网络时,由边缘路由器(Label Edge Router,LER)划分为不同的转发等价类(FEC)并打上不同标记,该标记定长且包含了目标地址、源地址、传输层端口号、服务质量、带宽、延长等信息。分类建立,分组被转发到标记交换通路(Label Switch Path,LSP)中,由标签交换路由器(Label Switch Router,LSR)根据标记作转发,在出口 LER 上去除标记,使用IP路由机制将分组向目的地转发。
(2)MPLS VPN
MPLS VPN承载平台由 P 路由器、PE 路由器和 CE 路由器组成,
1)P(Provider)落由器。P 路由器是 MPLS 核心网中的路由器,在运营商网络中,这种路由器只负责依据MPLS标签完成数据包的高速转发,P 路由器只维护到 PE 路由器的路由信息,而不维护 VPN 相关的路由信点。P 路由器是不连接任何 CE 路由器的骨干网路由设备,相当于标签交换路由器(LSR)。
2)PE (Provider Edge)路由器。PE 路由器是MPLS边缘路由器,负责待传送数据包的MPLS标签的生成和去除,还负责发起根据路由建立交换标签的动作,相当于标签边缘路由器(LER)。PE路由器连接CE路由器和P路由器,是最重要的网络结点。用户的流量通过PE路由器流入用户网络,或者通过PE路由器流到MPLS骨干网。
3)CE(Customer Edge)路由器。CE路由器是用户边缘设备,是直接与电信运营商相连的用户端路由器,该设备上不存在任何带有标签的数据包。CE路由器通过连接一个或多个PE路由器为用户提供服务接入。CE路由器通常是一台IP路由器,它与连接的PE路由器建立邻接关系。