M12-3 使用路由器实现VPN 功能 1 .1 教学目的与要求 1.1.1 教学目的 主要要求学生通过该能力模块的学习,能够熟练掌握使用路由器安装与配置VPN的能力。 1.1.2 教学要求 1.教学重点 使用路由器构建站点到站点的IPSec VPN 2.教学难点 理解IPSec VPN 1 .2 本能力单元涉及的知识组织 1.2.1 本能力单元涉及的主要知识点 1、使用路由器构建IPSecVPN 1.2.2 本能力单元需要解决的问题 1、按照项目的需求,重点理解虚拟专用网的定义; 2、按照项目的需求,熟练掌握使用路由器配置VPN; 1 .3 核心技术和知识的理解 1.3.1 虚拟专用网 点对点协议 因为第2层隧道协议在很大程度上依靠PPP协议的各种特性,因此有必要对PPP协议进行深入的探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将 IP,IPX和 NETBEUI包封装在PP桢内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和 NAS。 PPP拨号会话过程可以分成 4个不同的阶段。分别如下: 阶段 1:创建 PPP链路 PPP使用链路控制协议(LCP)创建,维护或终止一次物理连接。在LCP阶段的初期,将对基本的通讯方式进行选择。应当注意在链路创建阶段,只是对验证协议进行选择,用户验证将在第2阶段实现。同样,在LCP阶段还将确定链路对等双方是否要对使用数据压缩或加密进行协商。实际对数据压缩/加密算法和其它细节的选择将在第4阶段实现。 阶段 2:用户验证 在第2阶段,客户会 PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的PPP方案只提供了有限的验证方式,包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。 1.口令验证协议(PAP) PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取 NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。 2.挑战-握手验证协议(CHAP) CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话 ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用 MD5单向哈...
VIP
