發布時間: 2021-02-24 14:35:03
VPN 是一種三層封裝加密技術,VLAN 則是一種第二層的標志技術(盡管 ISL 采用封裝),盡管用戶視圖有些相象,但他們不應該是同一層次概念。
VLAN(Virtual Local Area Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
VLAN在交換機上的實現方法,可以大致劃分為 2 大類:
1、基于端口劃分的靜態 VLAN;
2、 基于 MAC 地址|IP 等劃分的動態 VLAN。當前主要是靜態 VLAN 的實現。
跨交換機 VLAN 通訊通過在 TRUNK 鏈路上采用 Dot1Q 或ISL 封裝(標識)技術。VPN(虛擬專用網)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的 連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。
VPN 使用三個方面的技術保證了通信的安全性:隧道協議、數據加密和身份驗證。
VPN 使用兩種隧道協議:點到點隧道協議(PPTP)和第二層隧道協議(L2TP)。
VPN 采用何種加密技術依賴于 VPN 服務器的類型,因此可以分為兩種情況。
對于PPTP服務器,將采用 MPPE 加密技術 MPPE 可以支持40位密鑰的標準加密方案和128位密鑰的增強加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份驗證被協商之后, 數據才由 MPPE 進行加密,MPPE 需要這些類型的身份驗證生成的公用客戶和服務器密鑰。對于 L2TP 服務器,將使用 IPSec 機制對數據進行加密 IPSec 是基于密碼學的保護服務和安全協議的套件。IPSec對使用 L2TP協議的VPN連接提供機器級身份驗證和數據加密。在保 護密碼和數據的 L2TP連接建立之前,IPSec 在計算機及其遠程VPN服務器之間進行協商。IPSec可用的加密包括 56 位密鑰的數據加密標準 DES 和 56 位密鑰的三倍 DES (3DES)。
VPN的身份驗證方法
前面已經提到 VPN 的身份驗證采用 PPP 的身份驗證方法,下面介紹一下 VPN 進行身份驗證的幾種方法。
CHAP CHAP通過使用MD5(一種工業標準的散列方案)來協商一種加密身份驗證的安全形式。CHAP在響應時使用質詢-響應機制和單向 MD5 散列。用這種方法,可以向服務器證明客戶機知道密碼,但不必實際地將密碼發送到網絡上。
MS-CHAP 同CHAP相似,微軟開發MS-CHAP 是為了對遠程 Windows 工作站進行身份驗證,它在響應時使用質詢-響應機制和單向加密。而且MS-CHAP 不要求使用原文或可逆加密密碼。
MS-CHAP v2 MS-CHAP v2 是微軟開發的第二版的質詢握手身份驗證協議,它提供了相互身份驗證和更強大的初始數據密鑰,而且發送和接收分別使用不同的密鑰。如果將 VPN 連接配 置為用 MS-CHAP v2 作為唯一的身份驗證方法,那么客戶端和服務器端都要證明其身份,如果所連接的服務器不提供對自己身份的驗證,則連接將被斷開。
EAP EAP 的開發是為了適應對使用其他安全設備的遠程訪問用戶進行身份驗證的日益增長的需求。通過使用 EAP,可以增加對許多身份驗證方案的支持,其中包括令牌卡、一次性 密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對于VPN 來說,使用 EAP 可以防止暴力或詞典攻擊及密碼猜測,提供比其他身份驗證方法(例如 CHAP)更高的安全性。在 Windows 系統中,對于采用智能卡進行身份驗證,將采用EAP驗證方法;對于通過密碼進行身份驗證,將采用 CHAP、MS-CHAP或MS-CHAP v2 驗證方法。
上一篇: oracle跟mysql的區別
下一篇: 騰科華為認證課程,要來看看嗎?