VPN协议原理及配置.ppt-得力文库

资源描述

《VPN协议原理及配置.ppt》由会员分享，可在线阅读，更多相关《VPN协议原理及配置.ppt（65页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec&IKEVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l掌握掌握 VPN 的概念和分类的概念和分类l掌握实现掌握实现 IP VPN 的相关协议的相关协议l掌握掌握 VPN 的配置的配置学习完本课程，您应该能够：学习完本课程，您应该能够：合作伙伴合作伙伴InternetVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置VPN V

2、irtual Private Network出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构异地办事处异地办事处VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l按应用类型分类：按应用类型分类：Access VPNIntranet VPNExtranet VPNl按实现的层次分类：按实现的层次分类：二层隧道二层隧道 VPN三层隧道三层隧道 VPNVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置POPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接总部总部隧道隧道适用范围：适用范围：出差员工出差员工异地小型办公机构

3、异地小型办公机构VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置Internet/ISP IPATM/FR隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置Internet/ISP IPATM/FR总部总部合作伙伴合作伙伴异地办事处异地办事处分支机构分支机构VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l二层隧道二层隧道VPNL2TP:Layer 2 Tunnel Protocol(RFC 2661)PPTP:Point To Point Tunnel ProtocolL2F:L

4、ayer 2 Forwardingl三层隧道三层隧道VPN GRE:Generic Routing Encapsulation IPSEC:IP Security Protocol VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l安全性安全性隧道与加密隧道与加密数据验证数据验证用户验证用户验证防火墙与攻击检测防火墙与攻击检测l可靠性可靠性l经济性经济性l扩展性扩展性VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec&IKEVPNVPN协议原理及配置协议原理及配

5、置协议原理及配置协议原理及配置lL2TP:Layer 2 Tunnel Protocol 第第二二层层隧隧道道协协议议，是是为为在在用用户户和企业的服务器之间透明传输和企业的服务器之间透明传输PPP报文而设置的隧道协议。报文而设置的隧道协议。l特性特性灵活的身份验证机制以及高度的安全性灵活的身份验证机制以及高度的安全性多协议传输多协议传输支持支持RADIUS服务器的验证服务器的验证支持内部地址分配支持内部地址分配网络计费的灵活性网络计费的灵活性可靠性可靠性VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置PSTN/ISDNLANLANLANLAN分支机构分支机构总部总部LA

6、CLNSQuidway NASQuidway RouterL2TP 消息消息数据消息数据消息控制消息控制消息会话会话隧道隧道出差员工出差员工LAC:L2TP Access Concentrator L2TP的接入集中器的接入集中器 LNS:L2TP Network Server L2TP的网络服务器的网络服务器LAC/LNS Radius:LAC/LNS的远端验证服务器的远端验证服务器LAC RADIUSLNS RADIUSVPNVPNVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l隧道、会话建立流程隧道、会话建立流程 L2TP的的会会话话建建立立由由PPP触触发发，隧隧

7、道道建建立立由由会会话话触触发发。由由于于多多个个会会话话可可以以复复用用在在一一条条隧隧道道上上，如如果果会会话话建建立立前前隧隧道道已已经经建建立立，则则隧隧道道不不用用重重新建立。新建立。隧道建立流程：三次握手隧道建立流程：三次握手会话建立流程：三次握手会话建立流程：三次握手LACLNSSCCRQSCCRPSCCCNLACLNSICRQ ICRPICCN VPNVPNVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l隧道维护流程隧道维护流程LAC/LNSLNS/LAC HelloZLBl隧道拆除流程隧道拆除流程l会话维护流程会话维护流程LAC/LNSLNS/LAC S

8、topCNNZLBLAC/LNSLNS/LAC CDNZLBVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置私有私有IPPPPL2TPUDP公有公有IP链路层链路层物理层物理层物理层物理层私有私有IPPPPIP包包(公有公有IP)UDPL2TPPPPIP包包(私有私有IP)链路层链路层私有私有IPPPP物理层物理层L2TPUDP公有公有IP链路层链路层物理层物理层物理层物理层私有私有IP链路层链路层物理层物理层ClientLACLNSServerLAC侧封装过程侧封装过程LNS侧解封装过程侧解封装过程L2TP协议栈结构协议栈结构VPNVPN协议原理及配置协议原理及配置协议

9、原理及配置协议原理及配置l LAC 侧的配置侧的配置设置用户名、密码及配置用户验证设置用户名、密码及配置用户验证启用启用L2TPQuidway l2tp enable 创建创建L2TP组组 Quidway l2tp-group group-number 设置发起设置发起L2TP连接请求及连接请求及LNS地址地址Quidway-l2tp1start l2tp ip ip-address ip ip-address domain domain-name|fullusername user-name VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置lLNS 侧的配置侧的配置设置用

10、户名、密码及配置用户验证设置用户名、密码及配置用户验证启用启用L2TP Quidway l2tp enable创建创建L2TP组组 Quidway l2tp-group group-number创建虚接口模板创建虚接口模板Quidway interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池设置本端地址及为用户分配的地址池 Quidway-Virtual-Template1 ip address X.X.X.X netmask Quidway-Virtual-Template1 remote address poo

11、l pool-number VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置lLNS 侧的配置侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为组不为1：Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP组为组为1：Quidway-l2tp1 allow l2tp virtual-template virtual-template-number

12、remote remote-name domain domain-name InternetVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置LNS local-user LNS-luser-password simple Hello LNS interface virtual-template 1LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0LNS-virtual-template1 ppp authentication-mode chap domain LNS domain LNS-isp- schem

13、e localLNS-isp- ip pool 1 192.168.0.2 192.168.0.100LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authenticationLNS-l2tp1 tunnel password simple quidwayLAC local-user LAC-luser-password simple HelloLAC domain LAC-isp- sc

14、heme localLAC l2tp enable LAC l2tp-group 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip 202.38.160.2 domain LAC-l2tp1 tunnel authenticationLAC-l2tp1 tunnel password simple quidway LNSLACPSTNVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置lLAC侧和侧和LNS侧可选配的参数侧可选配的参数设置本端名称设置本端名称 Quidway-l2tp1 tunnel name name启用隧

15、道验证及设置密码启用隧道验证及设置密码 Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel password simple|cipher password 设置通设置通道道Hello报文发送时间间隔报文发送时间间隔 Quidway-l2tp1 tunnel timer hello hello-interval VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置lLAC侧和侧和LNS侧可选配的参数侧可选配的参数配置域名分隔符及查找顺序配置域名分隔符及查找顺序设置前缀分隔符设置前缀分隔符 Quidway-l2tp1 l

16、2tp domain prefix-separator separator 设置后缀分隔符设置后缀分隔符 Quidway-l2tp1 l2tp domain suffix-separator separator 设置查找规则设置查找规则 Quidway-l2tp1 l2tp match-order dnis-domain|dnis|domain-dnis|domain 强制挂断通道强制挂断通道 reset l2tp tunnel remote-name|tunnel-id VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置lLNS侧可选配的参数侧可选配的参数强制本端强制本端C

17、HAP验证验证 Quidway-l2tp1 mandatory-chap 强制强制LCP重新协商重新协商 Quidway-l2tp1 mandatory-lcp VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置呼叫建立呼叫建立PPP LCP 协商通过协商通过LAC CHAP Challenge用户用户 CHAP Response隧道验证隧道验证(可选可选)SCCRP(LNS CHAP Response&LNS CHAP Challenge)SCCRQ(LAC CHAP Challenge)SCCCN(LAC CHAP Response)ICCN（用户（用户 CHAP Res

18、ponse&PPP 已经协商好的参数）已经协商好的参数）LNS CHAP Challenge可选的第二次验证可选的第二次验证用户用户 CHAP Response验证通过验证通过PSTN/ISDNInternetLACLACLNSLNSVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l显示当前的显示当前的L2TP通道的信息通道的信息 Quidway display l2tp tunnelLocalID RemoteID RemName RemAddress Sessions Port 1 8 AS8010 172.168.10.2 1 1701Total tunnels=1

20、接收该隧道对端的（通常为路由器）端没有设置可以接收该隧道对端的L2TP组组Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致验证不通过，如果配置了验证，应该保证双方的隧道密码一致 PPP协商不通过协商不通过 LAC端设置的用户名与密码有误，或者是端设置的用户名与密码有误，或者是LNS端没有设置相应的用户端没有设置相应的用户LNS端不能分配地址，比如地址池设置的较小，或没有进行设置端不能分配地址，比如地址池设置的较小，或没有进行设置密码验证类型不一致密码验证类型不一致l数据传输失败，在建立连接后数据不能传输，如数据传输失败，在建立连接后数据不能传输，如Ping不通对端不通对端用

21、户设置的地址有误用户设置的地址有误网络拥挤网络拥挤 VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec&IKEVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置lGRE(Generic Routing Encapsulation):是是对对某某些些网网络络层层协协议议（如如：IP,IPX,AppleTalk等等）的的数数据据报报文文进进行行封封装装，使使这这些被封装的数据报文能够在另一个网络层协议（如些被封装的数据报文能够在另一个网络层协议（如IP）中传输。）中传

22、输。lGRE 提提供供了了将将一一种种协协议议的的报报文文封封装装在在另另一一种种协协议议报报文文中中的的机机制制，使使报报文文能能够够在在异异种种网网络络中中传传输输，异异种种报报文文传传输输的的通通道道称称为为tunnel。VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置IP/IPXGREIP链路层协议链路层协议乘客协议乘客协议封装协议封装协议运输协议运输协议GRE协议栈协议栈隧道接口的报文格式隧道接口的报文格式链路层链路层GREIP/IPXIPPayloadVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置Original Data PacketTr

23、ansfer Protocol HeaderGRE HeaderInternetTunnel企业总部企业总部分支机构分支机构VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l创建虚拟创建虚拟Tunnel接口接口 Quidway interface tunnel number l指定指定Tunnel的源端的源端 Quidway-Tunnel0 source ip-addr|interface-type interface-num l指定指定Tunnel的目的端的目的端 Quidway-Tunnel0 destination ip-address l设置设置Tunnel接口的网

24、络地址接口的网络地址 Quidway-Tunnel0 ip address ip-address maskVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置RouterB-Serial0/0 ip address 202.38.160.2 255.255.255.0 RouterB-Ethernet0/0 ip address 10.1.2.1 255.255.255.0RouterB interface tunnel 0 RouterB-Tunnel0 ip address 1.1.1.2 255.255.255.0 RouterB-Tunnel0 source 202.3

25、8.160.2 RouterB-Tunnel0 destination 202.38.160.1 RouterB ip route-static 10.1.1.0 255.255.255.0 tunnel0 RouterA-Serial0/0 ip address 202.38.160.1 255.255.255.0RouterA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 Router interface tunnel 0RouterA-Tunnel0 ip address 1.1.1.1 255.255.255.0 RouterA-Tunne

26、l0 source 202.38.160.1 RouterA-Tunnel0 destination 202.38.160.2RouterA ip route-static 10.1.2.0 255.255.255.0 tunnel0 T0:1.1.1.2/24InternetS0/0:202.38.160.2/24S0/0:202.38.160.1/24E0/0:10.1.2.1/24E0/0:10.1.1.1/24T0:1.1.1.1/24A AB BVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l设置设置Tunnel接口报文的封装模式接口报文的封装模式 Quidwa

27、y-Tunnel0 tunnel-protocol grel设置设置Tunnel两端进行端到端校验两端进行端到端校验 Quidway-Tunnel0 gre checksuml设置设置Tunnel接口的识别关键字接口的识别关键字 Quidway-Tunnel0 gre key key-number l配置通过配置通过Tunnel的路由的路由静态路由配置静态路由配置动态路由配置动态路由配置 VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l显示显示Tunnel接口的工作状态接口的工作状态 display interface tunnel number 例如：例如：Quidwa

28、y display interfaces tunnel 1 Tunnel1 is up,line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input,640 bytes 0 input errors,0 broadcast,0 drops 10 packets output,640 bytes 0 output errors,0 broadcast,0 no protocoll打开打开Tunnel调试信息调试信息 debugging

29、tunnel VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置第一章第一章 VPN 概述概述第二章第二章 L2TP第三章第三章 GRE第四章第四章 IPSec&IKEVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置lIPSec（IP Security）是是IETF制制定定的的为为保保证证在在Internet上上传传送送数据的安全保密性能的框架协议数据的安全保密性能的框架协议lIPSec包包括括报报文文验验证证头头协协议议AH（协协议议号号51）和和封封装装安安全全载载荷荷协议协议ESP（协议号（协议号50）两个协议）两个协议lIPSec有隧道（有隧道（t

30、unnel）和传输（）和传输（transport）两种工作方式）两种工作方式 VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置lIPSec 提供两个安全协议提供两个安全协议AH(Authentication Header)报文验证头协议报文验证头协议 MD5(Message Digest 5)SHA1(Secure Hash Algorithm)ESP(Encapsulation Security Payload)封装安全载荷协议封装安全载荷协议 DES(Data Encryption Standard)3DES(Triple DES)AES(Advanced Encryp

31、tion Standard)VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l数据机密性（数据机密性（Confidentiality）l数据完整性（数据完整性（Data Integrity）l数据来源认证数据来源认证（Data Origin Authentication）l反重放（反重放（Anti-Replay）VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l数据流数据流(Data Flow)l安全联盟安全联盟(Security Association)l安全参数索引安全参数索引(Security Parameter Index)l安全联盟生存时间安全

32、联盟生存时间(Life Time)l安全提议安全提议(Security Proposal)l安全策略安全策略(Security Policy)VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置数据数据IP 包头包头数据数据IP 包头包头AH数据数据原原IP 包头包头AH新新IP 包头包头传输模式传输模式隧道模式隧道模式下一个头下一个头负载长度负载长度保留域保留域安全参数索引安全参数索引(SPI)序列号序列号验证数据验证数据AH头结构头结构081631VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置数据数据IP 包头包头加密后的数据加密后的数据IP 包头包头

33、ESP头部头部ESP头头新新IP 包头包头传输模式传输模式隧道模式隧道模式ESP尾部尾部ESP验证验证ESP尾部尾部ESP验证验证081624安全参数索引安全参数索引(SPI)序列号序列号有效载荷数据（可变）有效载荷数据（可变）填充字段填充字段(0-255字节）字节）填充字段长度填充字段长度下一个头下一个头验证数据验证数据ESP协议包结构协议包结构数据数据原原IP 包头包头加密部分加密部分VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l IKE（Internet Key Exchange，因特网密钥交换协议），因特网密钥交换协议）l为为IPSec提供了自动协商交换密钥、建

34、立安全联盟的服务提供了自动协商交换密钥、建立安全联盟的服务l通过数据交换来计算密钥通过数据交换来计算密钥 VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l完善的前向安全性完善的前向安全性l数据验证数据验证身份验证身份验证身份保护身份保护lDH交换和密钥分发交换和密钥分发VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置SA交换交换密钥交换密钥交换ID交换及验证交换及验证发送本地发送本地IKE策略策略身份验证和身份验证和交换过程验证交换过程验证密钥生成密钥生成密钥生成密钥生成接受对端接受对端确认的策略确认的策略查找匹配查找匹配的策略的策略身份验证和身份验证

35、和交换过程验证交换过程验证确认对方使确认对方使用的算法用的算法产生密钥产生密钥验证对方验证对方身份身份发起方策略发起方策略发起方策略发起方策略接收方确认的策略接收方确认的策略接收方确认的策略接收方确认的策略发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据Peer1Peer1Peer2Peer2VPNVPN协议原理及配置

36、协议原理及配置协议原理及配置协议原理及配置ac=gamodpdamodppeer2peer2peer1peer1bd=gbmodpcbmodpd da amodp=cmodp=cb bmodp=gmodp=gababmodpmodp(g,p)(g,p)VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l降低手工配置的复杂度降低手工配置的复杂度l安全联盟定时更新安全联盟定时更新l密钥定时更新密钥定时更新l允许允许IPSec提供反重放服务提供反重放服务l允许在端与端之间动态认证允许在端与端之间动态认证VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置IKETCP

37、UDPIPSecIKETCPUDPIPSec加密的加密的加密的加密的IPIP报文报文报文报文IPIPIKEIKE的的的的SASA协商协商协商协商SASASASAVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l确定需要保护的数据确定需要保护的数据l确定使用安全保护的路径确定使用安全保护的路径l确定使用哪种安全保护确定使用哪种安全保护l确定安全保护的强度确定安全保护的强度InternetInternetVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l配置访问控制列表配置访问控制列表l定义安全提议定义安全提议创建安全提议创建安全提议选择安全协议选择安全协议

38、选择安全算法选择安全算法选择报文封装形式文封装形式l创建安全策略创建安全策略手工创建安全策略手工创建安全策略用用IKE创建安全策略创建安全策略l在接口上在接口上应用安全策略用安全策略VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l配置访问控制列表配置访问控制列表l定义安全提议定义安全提议创建安全提议创建安全提议 Quidway ipsec proposal proposal-name 选择报文封装形式选择报文封装形式 Quidway-ipsec-proposal-tran1 encapsulation-mode transport|tunnel 选择安全协议选择安全协议

39、 Quidway-ipsec-proposal-tran1 transform ah|ah-esp|esp 选择安全算法选择安全算法 Quidway-ipsec-proposal-tran1 esp encryption-algorithm 3des|des|aes Quidway-ipsec-proposal-tran1 esp authentication-algorithm md5|sha1 Quidway-ipsec-proposal-tran1 ah authentication-algorithm md5|sha1 VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配

40、置l创建安全策略创建安全策略手工创建安全策略手工创建安全策略手工创建安全策略手工创建安全策略 Quidway ipsec policy policy-name seq-number manual 在安全策略中引用安全提议在安全策略中引用安全提议 Quidway-ipsec-policy-manual-map1-10 proposal proposal-name1 proposal-name2.proposal-name6 在安全策略中引用访问控制列表在安全策略中引用访问控制列表 Quidway-ipsec-policy-manual-map1-10 security acl acl-numbe

41、r 配置隧道的起点和终点配置隧道的起点和终点 Quidway-ipsec-policy-manual-map1-10 tunnel local ip-address Quidway-ipsec-policy-manual-map1-10 tunnel remote ip-address 配置安全联盟的配置安全联盟的SPI Quidway-ipsec-policy-manual-map1-10 sa spi inbound|outbound ah|esp spi-number VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l创建安全策略创建安全策略手工创建安全策略手工创建安

42、全策略配置安全联盟使用的密钥配置安全联盟使用的密钥配置协议的验证密钥（以配置协议的验证密钥（以16进制方式输入）进制方式输入）Quidway-ipsec-policy-manual-map1-10sa authentication-hex inbound|outbound ah|esp hex-key配置协议的验证密钥（以字符串方式输入）配置协议的验证密钥（以字符串方式输入）Quidway-ipsec-policy-manual-map1-10sa string-key inbound|outbound ah|esp string-key配置配置ESP协议的加密密钥（以协议的加密密钥（以16进

43、制方式输入）进制方式输入）Quidway-ipsec-policy-manual-map1-10sa encryption-hex inbound|outbound esp hex-key VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l创建安全策略创建安全策略用用IKE创建安全策略创建安全策略用用IKE创建安全策略创建安全策略 Quidway ipsec policy policy-name seq-number isakmp 在安全策略中引用安全提议在安全策略中引用安全提议 Quidway-ipsec-policy-isakmp-map1-10 proposal pr

44、oposal-name1 proposal-name2.proposal-name6 在安全策略中引用访问控制列表在安全策略中引用访问控制列表 Quidway-ipsec-policy-isakmp-map1-10 security acl acl-number 在安全策略中引用在安全策略中引用IKE对等体对等体 Quidway-ipsec-policy-isakmp-map1-10 ike-peer peer-name l在接口上应用安全策略在接口上应用安全策略 Quidway-Serial0/0 ipsec policy policy-name VPNVPN协议原理及配置协议原理及配置协议

45、原理及配置协议原理及配置l配置本端安全网关的名字配置本端安全网关的名字l定义定义IKE安全提议（系统提供一条缺省的安全提议（系统提供一条缺省的IKE安全提议）安全提议）l配置配置IKE对等体对等体VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l配置本端安全网关的名字配置本端安全网关的名字l定义定义IKE安全提议（系统提供一条缺省的安全提议（系统提供一条缺省的IKE安全提议）安全提议）创建创建IKE安全提议安全提议选择加密算法选择加密算法选择验证方法选择验证方法选择验证算法选择验证算法选择选择Diffie-Hellman组标识组标识配置配置ISAKMP SA生存周期（可选

46、）生存周期（可选）l配置配置IKE对等体对等体创建创建IKE对等体对等体配置配置IKE协商模式协商模式配置身份验证字配置身份验证字配置配置ike协商过程中使用的协商过程中使用的ID类型类型指定对端安全网关设备的指定对端安全网关设备的ID配置本端及对端安全网关设备的配置本端及对端安全网关设备的IP地址地址配置配置NAT穿越功能穿越功能配置最大连接数配置最大连接数 VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l配置本端安全网关的名字配置本端安全网关的名字 Quidway ike local-name id l定义定义IKE安全提议（系统提供一条缺省的安全提议（系统提供一条缺

47、省的IKE安全提议）安全提议）创建创建IKE安全提议安全提议 Quidway ike proposal proposal-number 选择加密算法选择加密算法 Quidway-ike-proposal-1 encryption-algorithm des-cbc|3des-cbc 选择验证方法选择验证方法 Quidway-ike-proposal-1authentication-method pre-share|rsa-signature 选择验证算法选择验证算法 Quidway-ike-proposal-1 authentication-algorithm md5|sha 选择选择Diff

48、ie-Hellman组标识组标识 Quidway-ike-proposal-1 dh group1|group2 配置配置ISAKMP SA生存周期（可选）生存周期（可选）Quidway-ike-proposal-1 sa duration seconds VPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置l配置配置IKE对等体对等体创建创建IKE对等体对等体 Quidway ike peer peer-name 配置配置IKE协商模式协商模式 Quidway-ike-peer-1 exchange-mode aggressive|main 配置身份验证字配置身份验证字 Qu

49、idway-ike-peer-1 pre-shared-key key 配置配置ike协商过程中使用的协商过程中使用的ID类型类型 Quidway-ike-peer-1 id-type ip|name 指定对端安全网关设备的指定对端安全网关设备的ID Quidway-ike-peer-1 remote-name name 配置本端及对端安全网关设备的配置本端及对端安全网关设备的IP地址地址 Quidway-ike-peer-1 local-address ip-address Quidway-ike-peer-1 remote-address ip-address VPNVPN协议原理及配置协

50、议原理及配置协议原理及配置协议原理及配置l配置配置IKE对等体对等体配置配置NAT穿越功能穿越功能 Quidway-ike-peer-1 nat-traversal 配置最大连接数配置最大连接数 Quidway-ike-peer-1 max-connections numberVPNVPN协议原理及配置协议原理及配置协议原理及配置协议原理及配置InternetS0/0:202.38.160.2/24S0/0:202.38.160.1/24E0/0:10.1.2.1/24E0/0:10.1.1.1/24A AB B PC1：10.1.1.2/24PC2:10.1.2.2/24Quidway ac

展开阅读全文