1. IP 隧道技术基础篇

2. [10-10 23:22:12]   来源：http://www.85jc.com  网络故障   阅读：8616次

概要：为保证公用密钥的完整性，公用密钥随证书一同发布。证书（或公用密钥证书）是一种经过证书签发机构（CA）数字签名的数据结构。CA使用自己的专用密钥对证书进行数字签名。如果接受方知道CA的公用密钥，就可以证明证书是由CA签发，因此包含可靠的信息和有效的公用密钥。 总之，公用密钥证书为验证发送方的身份提供了一种方便，可靠的方法。IPSec可以选择使用该方式进行端到端的验证。RAS可以使用公用密钥证书验证用户身份。 扩展验证协议（EAP） 如前文所述，PPP只能提供有限的验证方式。EAP是由IETF提出的PPP协议的扩展，允许连接使用任意方式对一条PPP连接的有效性进行验证。EAP支持在一条连接的客户和服务器两（电脑没声音）端动态加入验证插件模块。 交易层安全协议（EAP-TLS） EAP-TLS已经作为提议草案提交给IETF，用于建立基于公用密钥证书的强http://www.85jc.com大的验证方式。使用EAP-TLS，客户向拨入服务器发送一份用户方证书，同时，服务器把服务器证书发送给客户。用户证书向服务器提供了强http://w

IP 隧道技术基础篇,标签：网络故障解决,网络故障排除,http://www.85jc.com

为保证公用密钥的完整性，公用密钥随证书一同发布。证书（或公用密钥证书）是一种经过证书签发机构（CA）数字签名的数据结构。CA使用自己的专用密钥对证书进行数字签名。如果接受方知道CA的公用密钥，就可以证明证书是由CA签发，因此包含可靠的信息和有效的公用密钥。

总之，公用密钥证书为验证发送方的身份提供了一种方便，可靠的方法。IPSec可以选择使用该方式进行端到端的验证。RAS可以使用公用密钥证书验证用户身份。

扩展验证协议（EAP）

如前文所述，PPP只能提供有限的验证方式。EAP是由IETF提出的PPP协议的扩展，允许连接使用任意方式对一条PPP连接的有效性进行验证。EAP支持在一条连接的客户和服务器两（电脑没声音）端动态加入验证插件模块。

交易层安全协议（EAP-TLS）

EAP-TLS已经作为提议草案提交给IETF，用于建立基于公用密钥证书的强http://www.85jc.com大的验证方式。使用EAP-TLS，客户向拨入服务器发送一份用户方证书，同时，服务器把服务器证书发送给客户。用户证书向服务器提供了强http://www.85jc.com大的用户识别信息；服务器证书保证用户已经连接到预期的服务器。

用户方证书可以被存放在拨号客户PC中，或存放在外部智能卡。无论那种方式，如果用户不能提供没有一定形式的用户识别信息（PIN号或用户名和口令），就无法访问证书。

IPSEC

IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。按照IETF的规定，不采用数据加密时，IPSEC使用验证包头（AH）提供验证来源验证（source authentication)，确保数据的完整性；IPSEC使用封装安全负载（ESP）与加密一道提供来源验证，确保数据完整性。IPSEC协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自发送方，并且在传输过程中没有受到破坏。

可以把IPSEC想象成是位于TCP/IP协议栈的下层协议。该层由每台机器上的安全策略和发送、接受方协商的安全关联（security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址，协议，和端口号满足一个过滤机制，那么这个数据包将要遵守关联的安全行为。

协商安全关联（NegotiatedSecurityAssociation）

上述第一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。在一个ISAKMP/OAKLEY交换过程中，两（电脑没声音）台机器对验证和数据安全方式达成一致，进行相互验证，然后生成一个用于随后的数据加密的个共享密钥。

验证包头

通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号，共同用来验证发送方身份，确保数据在传输过程中没有被改动，防止受到第三方的攻击。IPSEC验证包头不提供数据加密；信息将以明文方式发送。

封装安全包头

为了保证数据的保密性并防止数据被第3方窃取，封装安全负载（ESP）提供了一种对IP负载进行加密的机制。另外，ESP还可以提供数据验证和数据完整性服务；因此在IPSEC包中可以用ESP包头替代AH包头。

用户管理

在选择VPN技术时，一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中（目录服务）便于管理人员和应用程序对信息进行添加，修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库，存储每一名用户的信息，包括用户名，口令，以及拨号接入的属性等。但是，这种由多台服务器维护多个用户帐号的作法难以实现及时的更新，给管理带来很大的困难。因此，大多数的管理人员采用在目录服务器，主域控制器或RADIUS服务器上建立一个主帐号数据库的方法，进行有效管理。

RAS支持

微软的远程接入服务器（RAS）使用域控制器或RADIUS服务器存储每名用户的信息。因为管理员可以在单独的数据库中管理用户信息中的拨号许可信息，所以使用一台域控制器能够简化系统管理。

微软的RAS最初被用作拨号用户的接入服务器。现在，RAS可以作为PPTP和L2TP协议的隧道服务器（NT5将支持L2TP）。这些第2层的VPN方案继承了已有的拨号网络全部的管理基础。

扩展性

通过使用循环DNS在同属一个安全地带（securityperimeter）的VPN隧道服务器之间进行请求分配，可以实现容余和负荷平http://www.85jc.com衡。一个安全地带只具有一个对外域名，但拥有多个IP地址，负荷可以在所有的IP地址之间进行任意的分配。所有的服务器可以使用一个共享数据库，如NT域控制器验证访问请求。

上一页  [1] [2] [3] [4] [5]  下一页

上一篇：网络分析防火墙问题——会话丢失及长时延