打印
[核芯资讯]

单片机应用——***

[复制链接]
6046|2
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
laocuo1142|  楼主 | 2024-5-9 13:36 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
***(虚拟专用网络,Virtual Private Network)是一种用于连接中、大型企业或团体与团体间的私人网络的通讯方法,它利用隧道协议来达到保密、发送端认证、消息准确性等私人消息安全效果。
虚拟专用网络(Virtual Private Network,***)在***客户机与***网关之间创建一个加密的、虚拟的点对点连接,保障数据在经过互联网时的安全。

例如,公司人员出差到外地或在家中,需要访问公司企业网资源。如果直接拨入的话,未加密的数据包很容易被人监听或拦截。

因此,企业内部信息资源也开始广泛使用互联网络协议时,***也就越来越重要了。

对于构建***来说,网络隧道(Tunnelling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。

目前,常用的有三种网络隧道协议,一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建远程访问虚拟专网(Access ***);

三层隧道协议则用于传输三层网络协议,它主要应用于构建企业内部虚拟专网(Intranet ***)和扩展的企业内部虚拟专网(Extranet ***)。

第2层隧道协议对应数据链路层,使用帧作为数据交换单位。PPTP、L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。

第3层隧道协议对应于网络层,使用包作为数据交换单位。IP over IP以及IPSEC隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。

为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。此外,建立在 TCP/UDP 之上的网络隧道技术近几年来也有了较快的发展,通过采用 TCP/UDP 协议,避免了网络运营商的过滤,使得真正能够通过公网来建立加密隧道。

这方面比较常见的如Open*** 隧道以及最近出现的构建于https之上的Softether隧道技术等。

点对点隧道协议(PPTP)允许对IP、IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。

第2层隧道协议(L2TP)协议允许对IP、IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP、X.25、帧中继或ATM。

对于像PPTP和L2TP这样的第2层隧道协议,创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配、加密或压缩等参数。

绝大多数情况下,通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。

安全IP(IPSEC)隧道模式即IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。

第3层隧道技术通常假定所有配置问题已经通过手工过程完成,这些协议不对隧道进行维护。

这与第2层隧道协议不同,第2层隧道协议(PPTP和L2TP)必须包括对隧道的创建,维护和终止。为实现在专用或公共IP网络上的安全传输,IPSEC隧道模式使用的安全方式封装和加密整个IP包。

然后对加密的负载再次封装在明文 IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获得最初的负载IP包。

负载IP包在经过正常处理之后被路由到位于目标网络的目的地。

IPSEC 隧道模式具有以下功能和局限:(1)只能支持 IP 数据流;(2)工作在 IP 栈(IPstack)的底层,因此,应用程序和高层协议可以继承 IPSEC 的行为;

(3)由一个安全策略(一整套过滤机制)进行控制。

安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通信时,双方机器执行相互验证,然后协商使用何种加密方式。

此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。

隧道一旦建立,数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。

例如,当隧道客户端向服务器端发送数据时,客户端首先给负载数据加上一个隧道数据传送协议包头,然后把封装的数据通过互联网络发送,并由互联网络将数据路由到隧道的服务器端。

隧道服务器端收到数据包之后,去除隧道数据传输协议包头,然后将负载数据转发到目标网络。

(1)自愿隧道(Voluntary Tunnel)。用户或客户端计算机可以通过发送***请求配置和创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。

当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的,客户端计算机必须安装适当的隧道协议。自愿隧道需要有一条IP连接(通过局域网或拨号线路)。

使用拨号方式时,客户端必须在建立隧道之前创建与公共互联网络的拨号连接。一个最典型的例子是Internet拨号用户必须在创建Internet隧道之前拨通本地ISP取得与Internet的连接。

对企业内部网络来说,客户机已经具有同企业网络的连接,由企业网络为封装负载数据提供到目标隧道服务器路由。

自愿隧道技术为每个客户创建独立的隧道。FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享,而不必为每个客户建立一条新的隧道。

因此,一条隧道中可能会传递多个客户的数据信息,只有在最后一个隧道用户断开连接之后才终止整条隧道。

(2)强制隧道(Compulsory Tunnel)。由支持***的拨号接入服务器配置和创建一条强制隧道。

此时,用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。

目前,一些商家提供能够代替拨号客户创建隧道的拨号接入服务器。

这些能够为客户端计算机提供隧道的计算机或网络设备包括支持PPTP协议的前端处理器(FEP)、支持L2TP协议的L2TP接入集线器(LAC)或支持IPSEC的安全IP网关。

本文将主要以FEP为例进行说明。为正常地发挥功能,FEP必须安装适当的隧道协议,同时必须能够当客户计算机建立起连接时创建隧道。以 Internet 为例,客户机向位于本地ISP的能够提供隧道技术的NAS发出拨号呼叫。

例如,企业可以与某个ISP签定协议,由ISP为企业在全国范围内设置一套FEP。这些FEP可以通过Internet创建一条到隧道服务器的隧道,隧道服务器与企业的专用网络相连。

这样,就可以将不同地方合并成企业网络端的一条单一的Internet连接。因为客户只能使用由FEP创建的隧道,所以称为强制隧道。一旦最初的连接成功,所有客户端的数据流将自动地通过隧道发送。

使用强制隧道,客户端计算机建立单一的 PPP连接,当客户拨入 NAS时,一条隧道将被创建,所有的数据流自动通过该隧道路由。

可以配置FEP为所有的拨号客户创建到指定隧道服务器的隧道,也可以配置FEP基于不同的用户名或目的地创建不同的隧道。


***技术可以用不安全的网络来发送可靠、安全的消息,可通过服务器、硬件、软件等多种方式实现。

使用特权

评论回复
沙发
laocuo1142|  楼主 | 2024-5-9 13:37 | 只看该作者
实现方式:

***的实现有很多种方法,常用的有以下四种:

1.***服务器:在大型局域网中,可以通过在网络中心搭建***服务器的方法实现***。

2.软件***:可以通过专用的软件实现***。

3.硬件***:可以通过专用的硬件实现***。

4.集成***:某些硬件设备,如路由器、防火墙等,都含有***功能,但是一般拥有***功能的硬件设备通常都比没有这一功能的要贵。

***属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。

在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。

图片


让外地员工访问到内网资源,利用***的解决方法就是在内网中架设一台***服务器。外地员工在当地连上互联网后,通过互联网连接***服务器,然后通过***服务器进入企业内网。为了保证数据安全,***服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上***使用的是互联网上的公用链路,因此***称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了***技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用***访问内网资源,这就是***在企业中应用得如此广泛的原因。

通常情况下,***网关采取双网卡结构,外网卡使用公网IP接入Internet。

网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。

网络一的***网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的***技术不同而不同,同时***网关会构造一个新***数据包,并将封装后的原数据包作为***数据包的负载,***数据包的目标地址为网络二的***网关的外部地址。

网络一的***网关将***数据包发送到Internet,由于***数据包的目标地址是网络二的***网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的***网关。

网络二的***网关对接收到的数据包进行检查,如果发现该数据包是从网络一的***网关发出的,即可判定该数据包为***数据包,并对该数据包进行解包处理。解包的过程主要是先将***数据包的包头剥离,再将数据包反向处理还原成原始的数据包。

网络二的***网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。

从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。

通过上述说明可以发现,在***网关对数据包进行处理时,有两个参数对于***通讯十分重要:原始数据包的目标地址(***目标地址)和远程***网关地址。根据***目标地址,***网关能够判断对哪些数据包进行***处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程***网关地址则指定了处理后的***数据包发送的目标地址,即***隧道的另一端***网关地址。由于网络通讯是双向的,在进行***通讯时,隧道两端的***网关都必须知道***目标地址和与此对应的远端***网关地址。

图片

根据不同的划分标准,***可以按几个标准进行分类划分:

1、按***的协议分类:

***的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。

2、按***的应用分类:

(1)Access ***(远程接入***):客户端到网关,使用公网作为骨干网在设备之间传输***数据流量;

(2)Intranet ***(内联网***):网关到网关,通过公司的网络架构连接来自同公司的资源;

(3)Extranet ***(外联网***):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。

3、按所用的设备类型进行分类:

网络设备提供商针对不同客户的需求,开发出不同的***网络设备,主要为交换机、路由器和防火墙:

(1)路由器式***:路由器式***部署较容易,只要在路由器上添加***服务即可;

(2)交换机式***:主要应用于连接用户较少的***网络;

(3)防火墙式***:防火墙式***是最常见的一种***的实现方式,许多厂商都提供这种配置类型

4.按照实现原理划分:

(1)重叠***:此***需要用户自己建立端节点之间的***链路,主要包括:GRE、L2TP、IPSec等众多技术。

使用特权

评论回复
板凳
laocuo1142|  楼主 | 2024-5-9 13:38 | 只看该作者
(2)对等***:由网络运营商在主干网上完成***通道的建立,主要包括MPLS、***技术。

1.MPLS ***是一种基于MPLS技术的IP ***,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP ***)。MPLS优势在于将二层交换和三层路由技术结合起来,在解决***、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此,MPLS ***在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为在IP网络运营商提供增值业务的重要手段。MPLS ***又可分为二层MPLS ***(即MPLS L2 ***)和三层MPLS ***(即MPLS L3 ***)。

2.SSL ***是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的***技术,工作在传输层和应用层之间。SSL ***充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL ***广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。

3.IPSec ***是基于IPSec协议的***技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

主要优点
***能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络)连接到企业网络。此外,高速宽带网连接提供一种成本效率高的连接远程办公室的方法。

设计良好的宽带***是模块化的和可升级的。***能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。

***能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。

完全控制,虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

主要缺点
企业不能直接控制基于互联网的***的可靠性和性能。机构必须依靠提供***的互联网服务提供商保证服务的运行。这个因素使企业与互联网服务提供商签署一个服务级协议非常重要,要签署一个保证各种性能指标的协议。

企业创建和部署***线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。因此,选择互联网服务提供商负责运行***的大多数事情是一个好主意。

不同厂商的***产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守***技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。另一方面,使用一家供应商的设备可能会提高成本。

当使用无线设备时,***有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

1213

主题

5348

帖子

12

粉丝