2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩8頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、IPSECVPN基本原理基本原理IPSEC是一套比較完整成體系的VPN技術(shù),它規(guī)定了一系列的協(xié)議標(biāo)準(zhǔn)。如果不深入探究IPSEC的過于詳細的內(nèi)容,我們對于IPSEC大致按照以下幾個方面理解。1.為什么要導(dǎo)入IPSEC協(xié)議導(dǎo)入IPSEC協(xié)議,原因有2個,一個是原來的TCPIP體系中間,沒有包括基于安全的設(shè)計,任何人,只要能夠搭入線路,即可分析所有的通訊數(shù)據(jù)。IPSEC引進了完整的安全機制,包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個原因,是因為

2、Inter迅速發(fā)展,接入越來越方便,很多客戶希望能夠利用這種上網(wǎng)的帶寬,實現(xiàn)異地網(wǎng)絡(luò)的的互連通。IPSEC協(xié)議通過包封裝技術(shù),能夠利用Inter可路由的地址,封裝內(nèi)部網(wǎng)絡(luò)的IP地址,實現(xiàn)異地網(wǎng)絡(luò)的互通。2.包封裝協(xié)議設(shè)想現(xiàn)實一種通訊方式。假定發(fā)信和收信需要有身份證(成年人才有),兒童沒有身份證,不能發(fā)信收信。有2個兒童,小張和小李,他們的老爸是老張和老李?,F(xiàn)在小張和小李要寫信互通,怎么辦?一種合理的實現(xiàn)方式是:小張寫好一封信,封皮寫上“

3、小張小李“然后給他爸爸,老張寫一個信封,寫上“老張老李”,把前面的那封信套在里面,發(fā)給老李,老李收到信以后,打開,發(fā)現(xiàn)這封信是給兒子的,就轉(zhuǎn)給小李了。小李回信也一樣,通過他父親的名義發(fā)回給小張。這種通訊實現(xiàn)方式要依賴以下幾個因素:老李和老張可以收信發(fā)信小張發(fā)信,把信件交給老張。老張收到兒子的來信以后,能夠正確的處理(寫好另外一個信封),并且重新包裝過的信封能夠正確送出去。另外一端,老李收到信拆開以后,能夠正確地交割小李。反過來的流程一樣

4、。把信封的收發(fā)人改成Inter上的IP地址,把信件的內(nèi)容改成IP的數(shù)據(jù),這個模型就是IPsec的包封裝模型。小張小李就是內(nèi)部私網(wǎng)的IP主機,他們的老爸就是VPN網(wǎng)關(guān),本來不能通訊的兩個異地的局域網(wǎng),通過出口處的IP地址封裝,就可以實現(xiàn)局域網(wǎng)對局域網(wǎng)的通訊。引進這種包封裝協(xié)議,實在是有點不得已。理想的組網(wǎng)方式,當(dāng)然是全路由方式。任意節(jié)點之間可達(就像理想的現(xiàn)實通訊方式是任何人之間都可以直接寫信互通一樣)。Inter協(xié)議最初設(shè)計的時候,IP

5、地址是32位,當(dāng)時是很足夠了,沒有人能夠預(yù)料到將來Inter能夠發(fā)展到現(xiàn)在的規(guī)模(相同的例子發(fā)生在電信短消息上面,由于160字節(jié)的限制,很大地制約了短消息的發(fā)展)。按照2的32次方計算,理論上最多能夠容納40億個左右IP地址。這些IP地址的利用是很不充分的,另外大約有70%左右的IP地址被美國分配掉了(誰讓人家發(fā)明并且管理Inter呢?)所以對于中國來說,可供分配的IP地址資源非不具體展開了,怕有兄弟看了打瞌睡。如果需要,可以找我要更具

6、體的技術(shù)白皮書以及相關(guān)的身份認(rèn)證文檔。如果有身份認(rèn)證機制,密鑰的經(jīng)常更換就成為了可能。6.其他解決了上述的幾個問題,基本可以保證VPN通訊模型能夠建立起來了。但是并不完美,這是最簡單的VPN。即通過對端兩個靜態(tài)的IP地址,實現(xiàn)異地網(wǎng)絡(luò)的互聯(lián)。美國的很多VPN設(shè)備就作到這一級,因為美國IP地址充裕,分配靜態(tài)IP地址沒有問題??嗟氖俏业戎袊蛻?,2端都需要靜態(tài)IP地址,相當(dāng)于2根Inter專線接入。VPN要在中國用起來,還要解決一堆的相關(guān)問

7、題。下一個節(jié)將給大家描述IPSECVPN在中國應(yīng)用會遇到的哪些問題。三.VPN安全技術(shù)由于傳輸?shù)氖撬接行畔?,VPN用戶對數(shù)據(jù)的安全性都比較關(guān)心。目前VPN主要采用四項技術(shù)來保證安全,這四項技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。1.隧道技術(shù)是VPN的基本技術(shù),類似于點對點連接技

8、術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的,分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn),由IETF融合PPTP與L2F而形成。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進行

9、傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec(IPSecurity)是由一組RFC文檔組成,定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法,確定服務(wù)所使用密鑰等服務(wù),從而在IP層提供安全保障。2.加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。3.密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?,F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMPOAKLEY兩種。SKIP主要是利用DiffieHell

10、man的演算法則,在網(wǎng)絡(luò)上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。4.身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。7.2.2VPN隧道協(xié)議VPN的隧道協(xié)議包含:點對點隧道協(xié)議PPTP是點對點協(xié)議(PPP)的擴展,并協(xié)調(diào)使用PPP的身份驗證、壓縮和加密機制。PPTP的客戶端支持內(nèi)置于WindowsXP遠程訪問客戶端。其是在WindowsNT4.0和Windows98中首次被支持的隧道協(xié)議。PPTP的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論