网络工程师复习.docx_三一办公31ppt.com

资源描述

《网络工程师复习.docx》由会员分享，可在线阅读，更多相关《网络工程师复习.docx（344页珍藏版）》请在三一办公上搜索。

1、2005年软考网络工程师复习指导来源：软考论坛点击数： 462 更新：2005-5-14 【文字：小大】网络工程师考试原名是网络设计师，是2001才开始举办的。该考试相对于已经举办10多年的程序类的考试来说，报考者人数正在逐年增加，但通过率相对较低。考生们对该科目考试的复习还很不成熟。网络工程师考试分为上、下午两场，各75分，均为笔答内容。一般如果上下午考试都能达到45分以上基本就能通过了。其中上午试题以选择形式给出，即四选一，每空一分。下午部分都是综合题，共五道。以简答和填空为主，每题15分。自2004年1月1日软考改革以来，网络工程师考试内容做了很大变化。尤其是上午题目形式改变较

2、为明显。题目大体分为两大类：一类是计算机系统知识及软件工程方面理论知识；另一类是计算机网络基础知识。主要是对网络技术和网络安全等方面的基础知识的考察，检查大家的基础知识是否扎实；下午主要是考查大家的实际动手和应用能力。以下是2004年11月份网络工程师考试上午考试知识点分布、分值情况：知识点知识点200411硬件知识8操作系统 3系统开发基础知识9网络操作系统3网络配置技术5数据通信 4LAN技术 3网络通讯设备 4WAN技术5网络互联与互联网技术 7网络管理 3网络安全8标准化知识1知识产权信息化知识 2英语10 由上表可以看出，考试范围更加广泛，给学员复习带来了一定的难度，经常有学员

3、打电话致网校，寻求复习方法。为此我们特为学员在复习过程中做如下规划，希望能起到抛砖引玉的作用。一、应试准备阶段：首先用2-4小时左右时间来仔细斟酌大纲知识点，弄清考试范围。而且要通过大纲中给出的关键字来判断复习重点，并在考试指定教材上做好标记，以便以后查阅学习。二、专题复习阶段：以网校网络工程师课件为主，并配合教材来全面复习。课件有效期均为180天，总课时为70课时。建议大家用80-140学时把课件内容学习一至两遍，平均每天学习2-3课时左右。并配合网校提供的章节练习题来加以巩固。除章节练习题外，学员还要配合网校工作做到如下内容： 1、对于网校全面开通的同步答疑和异步答疑服务，要

4、求学员都能参加，与辅导老师或同学们交流解答疑难问题。 2、对于网校定期提供的阶段性测试题，学员必须按要求及时做答并提交答案，网校会保留学员每次小测验时的成绩。三、综合复习阶段：当课件内容已基本掌握，章节练习题都已做完并没有疑问时，接下来进入综合复习环节。建议学员用时30-50学时。网校会分期提供多套综合练习题，配合学员全面综合复习。在此期间，学员不但要登录答疑区去与老师或学员们交流外，还要关注并参加网校定期举行的以网上集中授课形式为主的系列讲座。届时我们会请资深软考专家就某一科目某些难点、重点或有待补充的新知识做更进一步的讲解。四、考前冲刺复习阶段：考前冲刺复习阶段，对于每位学员

5、来说都志关重要的。此阶段应安排在临考前10-20学时左右。该阶段网校的冲刺班课件和模拟试题全面上线，学员们要利用20-40学时的时间把冲刺班课件内容全部听完，而且要掌握老师所强调的重点、难点部分。学校的模拟试题要在考试规定的时间内做完。而且最好每天都能登录到网校答疑区去与辅导老师或同学们交流。再者，在此阶段网校还会通过集中授课方式请我们授课教师对模拟试题做专门详解。或把解析过程以课件形式放到网上，对时希望学员认真在线收听学习。五、临考交流会：在临考试3-5天时间内，网校会为学员专门举行一次在线临考交流会，到时我们的授课及辅导老师同时在线，和学员共同探讨，传递考试方面的具体信息。届时建议学

6、员都能参加。六、参考资料：网络工程师教程雷振甲主编清华大学出版社出版网络工程师同步辅导清华大学出版社出版计算机原理及应用周斌、郑学坚主编清华大学出版社出版计算机网络第四版谢希仁主编电子工业出版社出版网络安全与防火墙技术王睿、林海波主编清华大学出版社出版网络工程师复习：Cisco路由器的一般配置及调试来源：考试通点击数： 730 更新：2006-9-21 【文字：小大】一配置 1 配置以太网（Ethernet）端口 # conf t 从终端配置路由器。 # int e0 指定E0口。 # ip addr ABCD XXXX ABCD为以太网地址,X

7、XXX为子网掩码。 # ip addr ABCD XXXX secondary E0口同时支持两个地址类型。如果第一个为A类地址，则第二个为B或C类地址。 # no shutdown 激活E0口。 # exit 2X.25的配置 # conf t # int S0 指定S0口. # ip addr ABCD XXXX ABCD为以太网S0的IP地址,XXXX为子网掩码.。 # encap X25-ABC 封装X.25协议。ABC指定X.25为DTC或DCE操作，缺省为DTE。 # x25 addr ABCD ABCD为S0的X.25端口地址,由邮电局提供。 # x25 map ip ABCD

8、XXXX br 映射的X.25地址.ABCD为对方路由器(如:S0)的 IP地址,XXXX为对方路由器(如:S0)的X.25端口地址。 # x25 htc X 配置最高双向通道数.X的取值范围1-4095,要根据邮电局实际提供的数字配置。 # x25 nvc X 配置虚电路数。X不可超过据邮电局实际提供的数,否则,将影响数据的正常传输。 # exit 3 专线的配置 # conf t # intS2 指定S2口。 # ip addr ABCD XXXX ABCD为S2的IP地址,XXXX为子网掩码。# exit 4帧中继的配置 # conf t # int s0 # ip addr ABCD

9、XXXX ABCD为S0的IP地址,XXXX为子网掩码。 # encap frante_relay 封装frante_relay协议。 # no nrzi_encoding NRZI=NO # frame_relay lmi_type q933a LMI使用Q933A标准LMI（Local management Interface）有3种：ANSI：T1.617；CCITTY：Q933A和CISCO特有的标准。 # fram-relay intf-typ ABC ABC为帧中继设备类型，它们分别是DTE设备，DCE交换机或NNI（网络接点接口）支持。 # frame_relay interfa

10、ce_dlci 110 br 配置DLCI(数据链路连接标识符)。 # frame-relay map ip ABCD XXXX broadcast 建立帧中继映射。ABCD为对方ip地址，XXXX为本地DLCI号，broadcast 允许广播向前转发或更新路由。 # no shutdown 激活本端口 # exit 5 帧中继子接口的配置 # conf # int s0.1 point-to-point 对应S0的子接口1，点对点方式。 # ip addr ABCD XXXX ABCD为子口1的IP地址,XXXX为子网掩码。 # frame-relay intreface-d

11、lci 100 br 6配置拨号备份 (1)配置备份主口 # conf t # int s0 S0为主口 # backup int asy 1 A1口为备份口 # backup delay 0 1 延时1秒 (2)配置虚拟接口 # conf t # ip addr ABCD XXXX ABCD为虚拟接口IP地址,XXXX为子网掩码。 # encap ppp 封装ppp协议 # dialer in-band 激活随叫随拨功能 # dialer idle-timeout 7200 # dialer map ip ABCD modem-script call broadcast 6225481 br

12、映射对应的拨号口ABCD为对方拨号口的ip地址，6225481为对应的电话号码。 # dialer_group 1 定义拨号组成员 (3)配置防火墙 # dialer_list 1 pro ip permit 允许ip协议通过。 (4)配置连接口令 # user name ABCD pass XXXX ABCD为对方主机名,XXXX为连接口令 (5)配置拨号字符串 # conf t # chat-script call ABORT BUSY ABORT ERROR atdt 6335481 TIMEOUT 45 CONNECT 6335481为对方电话号码。（6）配置拨号连接密码 # co

13、nf t # username ROU1 pass XXXX ROU1为对方路由器名，XXXX为连接密码。 (7)配置线路 # conf # line aux 0 # modem inout MODEM双向传输。 # modem autoconfigure discovery # transport input all # rxspeed 51200 MODEM的收发速率为51200。 # txspeed 51200 # exit7配置同步/异步口（适用于2522） # conf t # int s2 # ph asyn 配置S2为异步口 # ph sync 配置S2为同步口 8动态路由的配

14、置 # conf t # router eigrp 20 使用EIGRP路由协议。常用的路由协议有RIP，IGRP，IS-IS等。 # passive-interface serial0 若S0与X.25相连，则输入本条指令。 # passive-interface serial1 若S1与X.25相连，则输入本条指令。 # network ABCD ABCD为本机的以太网地址。 # network XXXX XXXX为S0的ip地址。 # no auto-summary # exit 9静态路由的配置 # ip router ABCD XXXX YYYY 90 ABCD为对方路由器的以太网地

15、址；XXXX为子网掩码.；YYYY为对方对应的广域网端口地址。 # dialer-list 1 protocol ip permail 10备份配置文件到硬盘 # copy run tftp 在硬盘上建立一个空文件且有读写权限,才能备份成功 11恢复备份配置文件到路由器 # copy tftp run 12在路由器上建一个备份 # copy run start 路由器的配置参数较多，可根据实际需要增减，限于篇幅，本文仅给出了一般的常用配置。二调试 1. 首先将路由器的Ethernet口和所有要使用的串口都激活，方法是进入该口，执行No Shutdown。 2. 将和路由器相连的主机加上缺省

16、路由（中心路由器的Ethernet地址），方法是在UNIX 系统的超级用户下执行：router add defaule XXXX 1（XXXX为路由器的E0口地址）。每台主机都要加缺省路由，否则，将不能正常通讯。 3. Ping本机的路由器Ethernet网口（若不通：（1）Ethetnet网口没有激活（2）不在一个网上）、广域网口（若不通：没有加缺省路由），对方广域网口（若不通：路由器配置错误）、路由器Ethernet网口（若不通：路由器配置错误）、主机Ethernet网口（若不通：对方主机没有加缺省路由）。 4. 在专线卡(X.25)主机上加网关（静态路由），方法是在UNIX系统的超级用

17、户下执行：router add X.X.X.X Y.Y.Y.Y 1。X.X.X.X为对方Ethernet网地址；Y.Y.Y.Y为对方广域网地址。 5. 使用Tracert对路由进行跟踪，以确定网段的连通性。软件水平考试网络工程师复习指导：PGP简介来源：考试通点击数： 471 更新：2006-9-20 【文字：小大】 PGPPretty Good Privacy，是一个基于RSA公匙加密体系的邮件加密软件，它可以用来对你的邮件加密以防止非授权者阅读，还能对你的邮件加上数字签名而使收信人可以确信邮件是你发来的。它让你可以安全地和你从未见过的人们通讯，事先并不需要任何保密的渠道用来

18、传递密匙。它采用了审慎的密匙管理，一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大有很快的速度，而且它的源代码是免费的。实际上PGP的功能还不止上面说的：PGP可以用来加密文件，还可以用PGP代替UUencode 生成 RADIX 64 格式（就是MIME 的 BASE 64格式）的编码文件。 PGP 的创始人是美国的 Phil Zimmermann。他的创造性在于他把RSA公匙体系的方便和传统加密体系的高速度结合起来，并且在数字签名和密匙认证管理机制上有巧妙的设计。因此PGP成为几乎最流行的公匙加密软件包。PG

19、P是一种供大众使用的加密软件。加密是为了安全，隐私权是一种基本人权。在现代社会里，电子邮件和网络上的文件传输已经成为生活的一部分，邮件的安全问题日益突出，大家都知道在Internet上传输的数据是不加密的，如果你自己不保护自己的信息，第三者就会轻易获得你的隐私。还有一个问题就是信息认证，要让收信人确信邮件没有被第三者篡改，就需要使用数字签名技术。RSA公匙体系的特点使它非常适合用来满足上述要求：保密性（Privacy）和认证性（Authentication）。RSA（Rivest-Shamir-Adleman）算法是一种基于大数不可能质因数分解假设的公匙体系。简单地说，其原理就是

20、找两个很大的质数，其中一个向外界公开（公匙），另一个不告诉任何人（私匙）。这两个密匙是互补的，用公匙加密的密文可以用私匙解密，反过来也一样。假设甲要寄信给乙，他们互相知道对方的公匙。甲就用乙的公匙加密邮件寄出，乙收到后就可以用自己的私匙解密出甲的原文。由于没别人知道乙的私匙所以即使是甲本人也无法解密那封信，这就解决了信件保密的问题。另一方面由于每个人都知道乙的公匙，他们都可以给乙发信，那么乙就无法确信是不是甲的来信。认证的问题就出现了，这时候数字签名就有用了。在说明数字签名前先要解释一下什么是“邮件文摘”（message digest），简单地说就是对一封邮件用某种算法算出一个能

21、体现这封邮件“精华”的数来，一旦邮件有任何改变这个数都会变化，那么这个数加上作者的名字（实际上在作者的密匙里）还有日期等等，就可以作为一个签名了。确切地说，PGP是用一个128位的二进制数作为“邮件文摘”的，用来产生它的算法叫MD5（message digest 5），MD5的提出者是Ron Rivest，PGP中使用的代码是由Colin Plumb 编写的，MD5本身是公用软件。所以PGP的法律条款中没有提到它。 MD5是一种单向散列算法，它不像CRC校验码，很难找到一份替代的邮件而与原件具有一样的“精华”。回到数字签名上来，甲用自己的私匙将上述的128位的“精华”加密，附

22、加在邮件上，再用乙的公匙将整个邮件加密。这样这份密文被乙收到以后，乙用自己的私匙将邮件解密，得到甲的原文和签名，乙的PGP也从原文计算出一个128位的“精华”来再用甲的公匙解密签名得到的数比较，如果符合就说明这份邮件确实是甲寄来的。这样两个要求都得到了满足。 PGP还可以只签名而不加密，这适用于公开发表声明时，声明人为了证实自己的身份（在网络上只能如此了），可以用自己的私匙签名。这样就可以让收件人能确认发信人的身份，也可以防止发信人抵赖自己的声明。这一点在商业领域有很大的应用前途，它可以防止发信人抵赖和信件被途中篡改。那么为什么说PGP用的是RSA和传统加密的杂合算法呢？

23、因为RSA算法计算量极大，在速度上不适合加密大量数据，所以PGP实际上用来加密的不是RSA本身，而是采用了一种叫IDEA的传统加密算法。我先解释一下什么叫传统加密，简单地说就是用一个密匙加密明文，然后用同样的密匙解密。这种方法的代表是DES（US Federal Data Encryption Standard），也就是乘法加密，它的主要缺点就是密匙的传递渠道解决不了安全性问题，不适合网络环境邮件加密需要。IDEA是一个有专利的算法，专利持有者是ETH和一个瑞士公司Ascom-Tech AG。非商业用途的IDEA实现不用向他们交纳费用。IDEA的加（解）密速度比RSA 快得多，

24、所以实际上PGP是用一个随机生成密匙（每次加密不同）用IDEA算法对明文加密，然后用RSA算法对该密匙加密。这样收件人同样是用RSA解密出这个随机密匙，再用IDEA解密邮件本身。这样的链式加密就做到了既有RSA体系的保密性，又有IDEA算法的快捷性。 RSA体系70年代就已提出，但由于速度问题一直没有推广应用，PGP的正好解决了这个问题，PGP的创意有一半就在这一点上了。那么PGP创意的另一半在哪儿呢？下面我再谈PGP的密匙管理。一个成熟的加密体系必然要有一个成熟的密匙管理机制配套。公匙体制的提出就是为了解决传统加密体系的密匙分配难保密的缺点。比如网络hacker们常用的手段之

25、一就是“监听”，如果密匙是通过网络传送就太危险了。举个例子：Novell Netware 的老版本中，用户的密码是以明文在线路中传输的，这样监听者轻易就获得了他人的密码。当然 Netware 4.1中数据包头的用户密码现在是加密的了。对PGP来说公匙本来就要公开，就没有防监听的问题。但公匙的发布中仍然存在安全性问题，例如公匙的被篡改（Public Key Tampering），这可能是公匙密码体系中最大的漏洞，因为大多数新手不能很快发现这一点。你必须确信你拿到的公匙属于它看上去属于的那个人。为了把这个问题说清楚，我举个例子，然后再说如何正确地用PGP堵住这个漏洞。以你和Al

26、ice的通信为例，假设你想给Alice发封信，那你必须有Alice的公匙，你从BBS上下载了Alice的公匙，并用它加密了信件用BBS的Email功能发给了Alice。不幸地，你和Alice都不知道，另一个用户叫Charlie的用户潜入BBS，把他自己用Alice的名字生成的密匙对中的公匙替换了Alice的公匙。那你用来发信的公匙就不是Alice的而是Charlie的，一切看来都很正常，因为你拿到的公匙的用户名是“Alice”。于是Charlie就可以用他手中的私匙来解密你给Alice 的信，甚至他还可以用Alice真正的公匙来转发你给Alice的信，这样谁都不会起疑心，他

27、如果想改动你给Alice的信也没问题。更有甚者，他还可以伪造Alice 的签名给你或其他人发信，因为你们手中的公匙是伪造的，你们会以为真是Alice 的来信。防止这种情况出现的最好办法是避免让任何其他人有机会篡改公匙，比如直接从Alice手中得到她的公匙，然而当她在千里之外或无法见到时，这是很困难的。PGP发展了一种公匙介绍机制来解决这个问题。举例来说：如果你和 Alice有一个共同的朋友David，而David知道他手中Alice的公匙是正确的（关于如何认证公匙，PGP还有一种方法，后面会谈到，这里假设David已经和Alice 认证过她的公匙）。这样David可以用他自己的私匙

28、在Alice的公匙上签名（就是用上面讲的签名方法），表示他担保这个公匙属于Alice。当然你需要用David 的公匙来校验他给你的Alice的公匙，同样David也可以向Alice认证你的公匙，这样David就成为你和Alice之间的“介绍人”。这样Alice或David就可以放心地把David签过字的Alice的公匙上载到BBS上让你去拿，没人可能去篡改它而不被你发现，即使是BBS的管理员。这就是从公共渠道传递公匙的安全手段。有人会问：那你怎么安全地得到David的公匙呢，这不是个先有鸡还是先有蛋的问题吗？确实有可能你拿到的David的公匙也是假的，但这就要求这个捣蛋者参

29、与这整个过程，他必须对你们三人都很熟悉，还要策划很久，这一般不可能。当然，PGP对这种可能也有预防的建议，那就是由一个大家普遍信任的人或机构担当这个角色。他被称为“密匙侍者”或“认证权威”，每个由他签字的公匙都被认为是真的，这样大家只要有一份他的公匙就行了，认证这个人的公匙是方便的，因为他广泛提供这个服务，假冒他的公匙是很极困难的，因为他的公匙流传广泛。这样的“权威”适合由非个人控制组织或政府机构充当，现在已经有等级认证制度的机构存在。对于那些非常分散的人们，PGP更赞成使用私人方式的密匙转介方式，因为这样有机的非官方更能反映出人们自然的社会交往，而且人们也能自由地选择信任

30、的人来介绍。总之和不认识的人们见面一样。每个公匙有至少一个“用户名”(User ID)，请尽量用自己的全名，最好再加上本人的Email地址，以免混淆。注意！你所必须遵循的一条规则是：在你使用任何一个公匙之前，一定要首先认证它！无论你受到什么诱惑，当然会有这种诱惑，你都不要，绝对不要，直接信任一个从公共渠道（由其是那些看起来保密的）得来的公匙，记得要用熟人介绍的公匙，或者自己与对方亲自认证。同样你也不要随便为别人签字认证他们的公匙，就和你在现实生活中一样，家里的房门钥匙你是只会交给信任的人的。下面，我讲讲如何通过电话认证密匙。每个密匙有它们自己的标识（keyID）， keyID

31、是一个八位十六进制数，两个密匙具有相同keyID的可能性是几十亿分之一，而且PGP还提供了一种更可靠的标识密匙的方法：“密匙指纹”（keys fingerprint）。每个密匙对应一串数字（十六个八位十六进制数），这个数字重复的可能就更微乎其微了。而且任何人无法指定生成一个具有某个指纹的密匙，密匙是随机生成的，从指纹也无法反推出密匙来。这样你拿到某人的公匙后就可以和他在电话上核对这个指纹，从而认证他的公匙。如果你无法和 Alice通电话的话，你可以和David通电话认证David的公匙，从而通过David认证了Alice的公匙，这就是直接认证和间接介绍的结合。这样又引出一种方

32、法，就是把具有不同人签名的自己的公匙收集在一起，发送到公共场合，这样可以希望大部分人至少认识其中一个人，从而间接认证了你的公匙。同样，你签了朋友的公匙后应该寄回给他，这样就可以让他可以通过你被你其他朋友认证。有点意思吧，和现实社会中人们的交往一样。 PGP会自动为你找出你拿到的公匙中有哪些是你的朋友介绍来的，那些是你朋友的朋友介绍来的，哪些则是朋友的朋友的朋友介绍的它会帮你把它们分为不同的信任级别，让你参考决定对它们的信任程度。你可以指定某人有几层转介公匙的能力，这种能力是随着认证的传递而递减的。转介认证机制具有传递性，这是个有趣的问题。PGP的作者Phil Zimmerma

33、nn。有句话：“ 信赖不具有传递性：我有个我相信决不撒谎的朋友，可是他是个认定总统决不撒谎的傻瓜，可很显然我并不认为总统决不撒谎。” 关于公匙的安全性问题是PGP安全的核心，我在这里就不细说了。和传统单密匙体系一样，私匙的保密也是决定性的。相对公匙而言，私匙不存在被篡改的问题，但存在泄露的问题。 RSA的私匙是很长的一个数字，用户不可能将它记住，PGP的办法是让用户为随机生成的RSA私匙指定一个口令（pass phase）。只有通过给出口令才能将私匙释放出来使用，用口令加密私匙的方法保密程度和PGP本身是一样的。所以私匙的安全性问题实际上首先是对用户口令的保密。当然私匙文件本

34、身失密也很危险，因为破译者所需要的只是用穷举法试探出你的口令了，虽说很困难但毕竟是损失了一层安全性。在这里只用简单地记住一点，要像任何隐私一样保藏你的私匙，不要让任何人有机会接触到它。 PGP在安全性问题上的精心考虑体现在PGP的各个环节。比如每次加密的实际密匙是个随机数，大家都知道计算机是无法产生真正的随机数的。 PGP程序对随机数的产生是很审慎的，关键的随机数像RSA密匙的产生是从用户瞧键盘的时间间隔上取得随机数种子的。对于磁盘上的randseed.bin文件是采用和邮件同样强度的加密的。这有效地防止了他人从你的randseed.bin文件中分析出你的加密实际密匙的规律来。

35、在这里我提一下PGP的加密前预压缩处理， PGP内核使用PKZIP算法来压缩加密前的明文。一方面对电子邮件而言，压缩后加密再经过7bits编码密文有可能比明文更短，这就节省了网络传输的时间。另一方面，明文经过压缩，实际上相当于经过一次变换，信息更加杂乱无章，对明文攻击的抵御能力更强。 PGP中使用的PKZIP算法是经过原作者同意的。 PKZIP算法是一个公认的压缩率和压缩速度都相当好的压缩算法。在PGP中使用的是PKZIP 2.0版本兼容的算法。在今天的Internet上随处可见用PGP签名的文章，PGP的版本也在飞快地更新，据说PGP 3.0 再有几个月就要推出了。世界上越来

36、越多的人们在使用PGP，我们中国人也应该重视保护自己合法的隐私权。我翻译整理这篇文章就是为了在国内宣传推广PGP的使用。尽管它还是个新生事物，可是我们要看到在网际空间（Cyber Space）中它肯定能迅速成长起来，中国虽然起步晚，但比美国也差不太多，我们应该迎头赶上。软件水平考试网络工程师复习指导：VPN技术概述来源：考试通点击数： 440 更新：2006-9-20 【文字：小大】虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、

37、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。虚拟专用网至少应能提供

38、如下功能：加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。提供访问控制，不同的用户有不同的访问权限。 VPN的分类根据VPN所起的作用，可以将VPN分为三类：VPDN、Intranet VPN和Extranet VPN。 1. VPDN（Virtual Private Dial Network）在远程用户或移动雇员和公司内部网之间的VPN，称为VPDN。实现过程如下：用户拨号NSP（网络服务提供商）的网络访问服务器NAS（Network Access Server），发出PPP连接请求，NAS收到呼叫后，

39、在用户和NAS之间建立PPP链路，然后，NAS对用户进行身份验证，确定是合法用户，就启动VPDN功能，与公司总部内部连接，访问其内部资源。 2. Intranet VPN 在公司远程分支机构的LAN和公司总部LAN之间的VPN。通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公司内部的资源共享、文件传递等，可节省DDN等专线所带来的高额费用。 3. Extranet VPN 在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。由于不同公司网络环境的差异性，该产品必须能兼容不同的操作平台和协议。由于用户的多样性，公司的网络管理员还应该设置特定的访问控制

40、表ACL（Access Control List），根据访问者的身份、网络地址等参数来确定他所相应的访问权限，开放部分资源而非全部资源给外联网的用户。 VPN的隧道协议 VPN区别于一般网络互联的关键于隧道的建立，然后数据包经过加密后，按隧道协议进行封装、传送以保安全性。一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有PPTP、L2TP等；在网络层实现数据封装的协议叫第三层隧道协议，如IPSec；另外，SOCKS v5协议则在TCP层实现数据安全。 1. PPTP（Point-to-Point Tunneling Protocol）/ L2TP（Layer 2 Tunneling

41、 Protocol） 1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，它集成于Windows NT Server4.0中，Windows NT Workstation和Windows 9.X也提供相应的客户端软件。PPP支持多种网络协议，可把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制，减少拥塞的可能性，避免由包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密（MPPE:Microsoft Poin

42、t-to-Point Encryption）算法，可以选用较弱的40位密钥或强度较大的128位密钥。 1996年，Cisco提出L2F（Layer 2 Forwarding）隧道协议，它也支持多协议，但其主要用于Cisco的路由器和拨号访问服务器。1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议。L2TP支持多协议，利用公共网络封装PPP帧，可以实现和企业原有非IP网的兼容。还继承了PPTP的流量控制，支持MP（Multilink Protocol），把多个物理通道捆绑为单一逻辑信道。L2TP使用PPP可靠性发送（RFC1663）

43、实现数据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手协议CHAP来验证对方的身份。L2TP受到了许多大公司的支持。优点：PPTP/L2TP对用微软操作系统的用户来说很方便，因为微软已把它作为路由软件的一部分。PPTP/L2TP支持其他网络协议，如Novell的IPX，NetBEUI和Apple Talk协议，还支持流量控制。它通过减少丢弃包来改善网络性能，这样可减少重传。缺点：PPTP和L2TP将不安全的IP包封装在安全的IP包内，它们用IP帧在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就不再需要，这样可能带来问题。它不对两个节点间的信息传输进行监视

44、或控制。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。 PPTP和L2TP最适合用于远程访问虚拟专用网。 2. IPSec（Internet Protocol Security） IPSec是IETF（Internet Engineer Task Force）正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH（Authentication Header）、IP安全载

45、荷封载ESP（Encapsulated Security Payload）和密钥管理协议组成。 IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec适应向IP v6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即：认证。用于对主机和端点进行身份鉴别。完整性检查。用于保证数据在通过网络传输时没有被修改。加密。加密IP地址和数据以保证私有性。 IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下，IPSec把IP v4数据包封装在安全的IP帧中，这样保护从一个防火墙到另一个防火墙时的安

46、全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。IPSec现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来商业的需要。在1997年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上ISAKMP（Internet Security Association and Key Management Protocol）协议，其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道，密钥的自动安全分发和更新。IPSec也可用于连接其他层已存在的通信协议，如支持安全电子交易（SET：Secure Electronic Transaction）协议和SSL（Secure Socket layer）协议。即使不用SET或SSL

展开阅读全文