广东省建设厅网站首页,兰州网站设计哪个平台好,微信网站制作哪个好,英文网站建设服务合同模板下载VPN#xff0c;全名 Virtual Private Network#xff0c;虚拟专用网#xff0c;就是利用开放的公众网络#xff0c;建立专用数据传输通道#xff0c;将远程的分支机构、移动办公人员等连接起来。
VPN 通过隧道技术在公众网络上仿真一条点到点的专线#xff0c;是通过利用…VPN全名 Virtual Private Network虚拟专用网就是利用开放的公众网络建立专用数据传输通道将远程的分支机构、移动办公人员等连接起来。
VPN 通过隧道技术在公众网络上仿真一条点到点的专线是通过利用一种协议来传输另外一种协议的技术这里面涉及三种协议乘客协议、隧道协议和承载协议。 Psec VPN。这是基于 IP 协议的安全隧道协议为了保证在公网上面信息的安全因而采取了一定的机制保证安全性。
1、私密性防止信息泄露给未经授权的个人通过加密把数据从明文变成无法读懂的密文从而确保数据的私密性。
2、完整性数据没有被非法篡改通过对数据进行 hash 运算产生类似于指纹的数据摘要以保证数据的完整性。
3、真实性数据确实是由特定的对端发出通过身份认证可以保证数据的真实性。 在这个协议簇里面有两种协议这两种协议的区别在于封装网络包的格式不一样。
一种协议称为 AHAuthentication Header只能进行数据摘要 不能实现数据加密。还有一种 ESPEncapsulating Security Payload能够进行数据加密和数据摘要。
这个协议簇还包含两大组件一个用于 VPN 的双方要进行对称密钥的交换的 IKE 组件另一个是 VPN 的双方要对连接进行维护的 SASecurity Association组件。
IPsec VPN 的建立过程
第一个阶段建立 IKE 自己的 SA。这个 SA 用来维护一个通过身份认证和安全保护的通道为第二个阶段提供服务。在这个阶段通过 DHDiffie-Hellman算法计算出一个对称密钥 K。
DH 算法是一个比较巧妙的算法。客户端和服务端约定两个公开的质数 p 和 q然后客户端随机产生一个数 a 作为自己的私钥服务端随机产生一个 b 作为自己的私钥客户端可以根据 p、q 和 a 计算出公钥 A服务端根据 p、q 和 b 计算出公钥 B然后双方交换公钥 A 和 B。
到此客户端和服务端可以根据已有的信息各自独立算出相同的结果 K就是对称密钥。但是这个过程对称密钥从来没有在通道上传输过只传输了生成密钥的材料通过这些材料截获的人是无法算出的。 有了这个对称密钥 K接下来是第二个阶段建立 IPsec SA。在这个 SA 里面双方会生成一个随机的对称密钥 M由 K 加密传给对方然后使用 M 进行双方接下来通信的数据。对称密钥 M 是有过期时间的会过一段时间重新生成一次从而防止被破解。 多协议标签交换MPLSMulti-Protocol Label Switching。MPLS 的格式如图所示在原始的 IP 头之外多了 MPLS 的头里面可以打标签。 有了标签还需要设备认这个标签并且能够根据这个标签转发这种能够转发标签的路由器称为标签交换路由器LSRLabel Switching Router。
这种路由器会有两个表格一个就是传统的 FIB也即路由表另一个就是 LFIB标签转发表。有了这两个表既可以进行普通的路由转发也可以进行基于标签的转发。 在 MPLS VPN 中网络中的路由器分成以下几类
PEProvider Edge运营商网络与客户网络相连的边缘网络设备CECustomer Edge客户网络与 PE 相连接的边缘设备PProvider这里特指运营商网络中除 PE 之外的其他运营商网络设备。
VPN 报文转发采用两层标签方式
第一层外层标签在骨干网内部进行交换指示从 PE 到对端 PE 的一条 LSP。VPN 报文利用这层标签可以沿 LSP 到达对端 PE第二层内层标签在从对端 PE 到达 CE 时使用在 PE 上通过查找 VRF 表项指示报文应被送到哪个 VPN 用户或者更具体一些到达哪一个 CE。这样对端 PE 根据内层标签可以找到转发报文的接口。 此文章为9月Day22学习笔记内容来源于极客时间《趣谈网络协议》推荐该课程。
