【正文】 名和口令，并利用這些信息與 NAS建立連接獲取 NAS提供的所有資源。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過(guò)程。 VPN設(shè)備 INTERNET VPN隧道 網(wǎng)絡(luò) A LANLAN類型示意圖 VPN設(shè)備 網(wǎng)絡(luò) B VPN基本原理 ? VPN的基本思想很容易理解，假設(shè)公司有兩個(gè)網(wǎng)絡(luò)，相距很遠(yuǎn)，要用 VPN連接，由兩個(gè) VPN設(shè)備建立專用通道，數(shù)據(jù)傳輸過(guò)程如下圖所示： VPN設(shè)備１ INTERNET 網(wǎng)絡(luò)１ VPN設(shè)備２ 網(wǎng)絡(luò)２ 主機(jī)Ａ 主機(jī)Ｂ V1 V2 A B 用戶數(shù)據(jù) A B 用戶數(shù)據(jù) 新增頭部 原分組 VPN設(shè)備 1封裝后的分組 V1 V2 A B 用戶數(shù)據(jù) A B 用戶數(shù)據(jù) 新增頭部 VPN設(shè)備 2拆封后的分組 VPN設(shè)備 2拆封前的分組 VPN基本原理示意圖 ? （ 1）主機(jī) A建立分組，將其 IP地址作為源地址，將主機(jī) B的 IP地址作為目標(biāo)地址，將分組發(fā)送到VPN設(shè)備 1，通常是網(wǎng)關(guān)?！疤摂M” （ Virtual）指的是一種邏輯連接，“專用或私有”（ Private）指的是排他性的連接，“網(wǎng)絡(luò)”（ Network）指按某種協(xié)議進(jìn)行通信的計(jì)算機(jī)集合。它提供了一種安全的遠(yuǎn)程訪問(wèn)手段，例如，出差在外的員工，有遠(yuǎn)程辦公需要的分支機(jī)構(gòu)，都可以利用這種類型的 VPN，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)資源進(jìn)行安全的遠(yuǎn)程訪問(wèn)。 ? 被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過(guò)公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。 ? （ 1）口令驗(yàn)證協(xié)議 PAP。 撥號(hào)用戶 撥號(hào)用戶 電話網(wǎng) NAS 認(rèn)證數(shù)據(jù)庫(kù) 權(quán)限認(rèn)可數(shù)據(jù)庫(kù) 計(jì)費(fèi)信息數(shù)據(jù)庫(kù) RADIUS客戶（接入服務(wù)器） RADIUS RADIUS用戶認(rèn)證的體系結(jié)構(gòu) RADIUS的基本工作原理 ? 用戶接入 NAS， NAS向 RADIUS服務(wù)器使用AccessRequire數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過(guò) MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過(guò)網(wǎng)絡(luò)傳播； RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行校驗(yàn)，必要時(shí)可以提出一個(gè) challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì) NAS進(jìn)行類似的認(rèn)證；如果合法，給 NAS返回 AccessRequire數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回AccessReject數(shù)據(jù)包，拒絕用戶訪問(wèn)。 L2TP對(duì) PPP分組進(jìn)行封裝，格式如圖： T L R 0 F 0 S P 0 Ver 長(zhǎng)度 (可選 ) 隧道 ID 會(huì)話 ID Ns（可選） Nr（可選） 偏移量（可選） 偏移量（可選） L2TP的數(shù)據(jù)幀格式 5 應(yīng)用 IPSec構(gòu)建 VPN ? 概述 – IPSec是 IETF以 RFC形式公布的一組安全 IP協(xié)議集，是在IP層提供保護(hù)的安全協(xié)議標(biāo)準(zhǔn)， IPSec將幾種安全技術(shù)結(jié)合形成一個(gè)比較完整的安全體系結(jié)構(gòu)，它通過(guò)在 IP協(xié)議中增加兩個(gè)基于密碼的安全機(jī)制 ——認(rèn)證頭（ AH）和封裝安全載荷（ ESP）來(lái)支持 IP數(shù)據(jù)項(xiàng)的可認(rèn)證性、完整性和機(jī)密性。 IPSec工作的 5步過(guò)程 主機(jī) A 主機(jī) B 路由器 A 路由器 B 主機(jī) A向主機(jī) B發(fā)送觸發(fā)性數(shù)據(jù)流 路由器 A和 B協(xié)商一個(gè) IKE階段 1會(huì)話 IKE SA IKE phase 1 IKE SA 路由器 A和 B協(xié)商一個(gè) IKE階段 2會(huì)話 IPSec SA IKE phase 2