VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

交换机常见简单软件故障排查方法

常见的VPN手艺

  • IPsec VPN: 多机房互联(即一样平常在GW与GW之间确立隧道)
  • L2TP/IPsec VPN: 支持多隧道,设置IPsec使用
  • PPTP VPN: 只能两头点间确立单一隧道,可选配合IPsec使用
  • SSL VPN: 数据私密性、端点验证、信息完整性,自协议:握手协议、纪录协议

 SSL VPN

SSL VPN是无需安装客户端软件,通过远程确立的SSL隧道接见内部服务器的署理手艺,并对服务器内容提供基于用户认证、远程站点检查的资源接见控制。

SSL VPN现已成为远程接见VPN的新宠。除了具备与IPsec VPN相当的平安性外,认证功效更强,还增添了基于内容的接见控制机制。客户端只需要拥有支持SSL的浏览器即可

SSL VPN由于处在TCP层,以是可以举行厚实的营业控制,如行为审计,可以纪录每名用户的所有操作,为更好地治理VPN提供了有用统计数据。

当使用者退出SSL VPN上岸页面时,所有会话会所有释放。

 

SSLVPN的手艺分为以下四种

  • Web署理(proxying)
  • 应用转换(Application translation)
  • 端口转发(port forwarding)
  • 网络扩展(network extension)

每种手艺支持的应用与控制粒度会有所差别。

 

Web署理(proxying)

来自客户端的发往SSL VPN Server得页面请求在VPN Server内部替换,发往VPN后面的真正Web服务器,然后再将Web服务器的响应回传给终端用户.

WEB署理是最为简朴的应用,也是控制粒度最细的SSL VPN应用,可以精确地控制每个链接。

 

应用转换(application translation)

有些通过HTML、JAVA程序,有些通过HTTPS页面中的客户端下载实现

  • 对于非Web页面的文件接见,要借助于应用转换。
  • 在浏览器中用HTML或JAVA来实现模拟客户端程序。通过SSL VPN的协议毗邻器,接见指定资源。
  • 应用:文件共享、telnet、ssh、远程桌面、ftp。

 

端口转发(port forwarding)

端口映射是粒度仅次于WEB署理的应用,它通过TCP端口映射的方式(原理上类似于NAT内部服务器应用),为使用者提供远程接入TCP的服务,它需要专门的、与服务器配套的SSL VPN客户端程序协助(在页面中一样平常提供下载方式)或是通过HTML代码实现。

  • 端口转发用于端口界说明确的应用(如FTP,SSH等)。
  • 终端系统上运行一个异常小的Java或ActiveX程序作为端口转发器,监听某个端口上的毗邻。当数据包进入 这个端口时,它们通过SSL毗邻中的隧道被传送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。
  • 使用端口转发器,需要终端用户指向他希望运行的内陆应用程序(127.0.0.1),而不必指向真正的应用服务器。

 

网络扩展(network extension)

网络扩展是SSL VPN中粒度最粗的服务,但也是使用最普遍的,它实现了类似于L2TP的特征,所有客户端都可以从服务器获得一个VPN地址,然后直接接见内部服务器,它也需要专门的SSL VPN客户端程序协助.

  • 远程端点可以具有完全的网络毗邻,并动态获取内部地址。
  • 在用法上和IPsec等同。
  • 需要插件和网络驱动的支持。
  • 优点:适应性好,所有的IP应用都可以。
  • 瑕玷:控制的粒度太粗,跟IPsec异常相似。

 

L2TP/IPsec VPN

实际上是,终端与接入服务器之间先确立IPsec隧道,然后再举行L2TP协商(UDP端口1701)。依赖Internet协议平安性(IPsec)手艺提供加密服务,在确立的IPsec加密通道上承载L2TP的控制和数据协商并传输通过L2TP封装的用户报文。 L2TP与IPsec的连系产物称为L2TP/IPsec。VPN客户端与VPN服务器都必须支持L2TP和IPsec。L2TP将随同路由与远程接见服务一道自动举行安装。

在IPsec数据包基础上所举行的L2TP封装由两个条理组成:

  • L2TP封装:PPP帧(IP或IPX数据包)将通过L2TP报头和UDP报头举行封装。
  • IPsec封装:上述封装后所获得的L2TP报文将通过IPsec封装平安性有用载荷(ESP)报头、用以提供新闻完整性与身份验证的IPsec身份验证报尾以及IP报头再次举行封装。IP报头中将提供与VPN客户端和VPN服务器相对应的源IP地址和目的IP地址。IPsec加密机制将通过由IPsec身份验证历程所天生的加密密钥对L2TP报文举行加密。

 

L2TP控制报文封装花样:(UDP 1701)

VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

# L2TP Control Message

若经由IPsec NAT穿越,则在外层IP与ESP Header之间再增添一个UDP头(端口为4500)

L2TP数据报文封装(UDP 1701):

VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

# L2TP Data encapsulation

若经由IPsec NAT穿越,则在外层IP与ESP Header之间再增添一个UDP头(端口为4500)

 

L2TP/IPsec Tunnel的不足之处:

  1. 使用windows终端(Win10/Win8等),举行L2TP/IPsec第一次拨号时,必须先添加如下注册表项,否则无法顺遂接入
Windows Registry Editor Version 5.00
[HKEY_LOCAL_macHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

2. L2TP/IPsec接入时,无法自动下发路由信息,终端用户必须手动添加路由才气接见Server提供的子网接见路劲

3. L2TP/IPsec设置庞大,且性能很低下,大多不会接纳这个隧道方式

史上最详细的Linux网卡ifcfg-eth0配置详解

 

PPTP VPN

PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型平安协议,支持多协议虚拟专用网,可以通过密码验证协议,可扩展认证协议等方式增强平安性。远程用户可以通过ISP、直接毗邻Internet或者其他网络平安地接见企业网;

PPTP实现需要完成2个动作:协商PPTP/GRE隧道和协商确立PPTP虚拟链路,PPTP和FTP类似,是一种多通道协议,详细而言,即PPTP存在控制通道和数据通道。控制通道确立在PPTP客户端和服务器之间,PPTP客户机使用动态分配的TCP端口号,而PPTP则使用保留TCP端口号1723。控制通道用于PPTP隧道的协商和维护。PPTP控制通道协商数据包包罗一个IP包头,一个TCP报头和PPTP控制新闻:

PPTP控制报文花样:

VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

# PPTP Control message

PPTP数据报文封装:

VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

# PPTP data encapsulation

由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证历程所天生的加密密钥对PPP帧举行加密

 

PPTP控制毗邻的确立流程剖析

PPTP控制毗邻确立历程可以分为以下几步:

  1. 确立TCP毗邻
  2. PPTP控制毗邻和GRE隧道确立

VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

 

3. PPP协议的LCP协商

VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

 

4. PPP协议的身份验证

VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

 

5. PPP协议的NCP协商

NCP协议是PPP协议的网络控制协议,主要用来协商双方网络层接口参数,设置虚拟端口,分配IP,DNS等信息。图中的IPCP是NCP基于TCP/IP的接口协商协议。Server和Client都要把自己的Miniport信息发送给对方

VPN手艺(IPsec/L2TP/SSLVPN/PPTP)学习条记

 

6. PPP协议的CCP协商

CCP协议协商PPP通讯中数据加密的协议

 

L2TP和PPTP区别:

  • L2TP:公有协议、UDP1701、支持隧道验证,支持多个协议,多个隧道,压缩字节
  • PPTP:私有协议、TCP1723、不支持隧道验证,只支持IP、只支持点到点

PPTP只能在两头间确立单一隧道,L2TP支持在两头点间使用多隧道,这样可以针对差别的用户建立差别的服务质量

L2TP可以提供隧道验证机制,而PPTP不能提供这样的机制,但当L2TP或PPTP与IPsec配合使用时,可以由IPsec提供隧道验证,不需要在第二层协议上提供隧道验证机制

PPTP要求互联网络为IP网络,而L2TP只要求隧道前言提供面向数据包的点对点毗邻,L2TP可以在IP(使用UDP),FR,ATM,x.25网络上使用

L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节

 

IPsec VPN

IPsec协议的设计目的:是在IPV4和IPV6环境中为网络层流量提供天真的平安服务。

IPsec VPN:是基于IPsec协议族构建的在IP层实现的平安虚拟专用网。通过在数据包中插入一个预界说头部的方式,来保障OSI上层协议数据的平安,主要用于珍爱TCP、UDP、ICMP和隧道的IP数据包。

WiFi系统的无线AP与AC之间的各种问题解析

分享到 :
相关推荐

发表评论

登录... 后才能评论