VPN原理及配置.ppt-得力文库

资源描述

《VPN原理及配置.ppt》由会员分享，可在线阅读，更多相关《VPN原理及配置.ppt（196页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 VPN VPN原理和配置原理和配置原理和配置原理和配置引入引入l随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来l组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性lVPN诞生了。2学习目标学习目标l理解理解VPN的体系结构的体系结构l掌握掌握GRE VPN的工作原理和配置的工作原理和配置l掌握掌握L2TP VPN的工作原理和配置的工作原理和配置l掌握掌握IPSec VPN的工作原理和配置的工作原理和配置l能够执行基本的能够执行基本的VPN设计设计学习完本课程，您应该能够：学习完本课程，您应该能够：3课程内容课程内容V

2、PN概述概述GRE VPNL2TPIPSec VPNVPN设计规划设计规划4第一节第一节 VPN概述概述lVPN概念术语概念术语lVPN的分类的分类l主要主要VPN技术技术5VPN（Virtual Private Network）合作伙伴合作伙伴出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构异地办事处异地办事处Internet6什么是什么是VPNlVPN（Virtual Private Network，虚拟私有网）l以共享的公共网络为基础，构建私有的专用网络l以虚拟的连接，而非以物理连接贯通网络l处于私有的管理策略之下，具有独立的地址和路由规划l有所通，有所不通lRFC

3、2764描述了基于IP的VPN体系结构7VPN的优势的优势l可以快速构建网络，减小布署周期l与私有网络一样提供安全性，可靠性和可管理性l可利用Internet，无处不连通，处处可接入l简化用户侧的配置和维护工作l提高基础资源利用率l于客户可节约使用开销l于运营商可以有效利用基础设施，提供大量、多种业务8VPN的关键概念术语的关键概念术语l隧道（Tunnel）l封装（Encapsulation）l验证（Authentication）l授权（Authorization）l加密（Encryption）l解密（Decryption）9VPN的分类方法的分类方法l按照业务用途分类：Access VPN，

4、Intranet VPN，Extranet VPNl按照运营模式：CPE-Based VPN，Network-Based VPNl按照组网模型：VPDN，VPRN，VLL，VPLS l按照网络层次：Layer 1 VPN，Layer 2 VPN，Layer 3 VPN，传输层VPN，应用层VPN10Access VPNPOPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接总部总部隧道隧道11Intranet VPN总部总部研究所研究所办事处办事处分支机构分支机构Internet/ISP IPATM/FR12Extranet VPN总部总部合作伙伴合作伙伴异地办事处异地办事处

5、分支机构分支机构Internet/ISP IPATM/FR13CPE-Based VPN隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构Internet/ISP 网网络络14Internet/ISP 网络Network-Based VPN隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构15VLL总部总部研究所研究所办事处办事处分支机构分支机构DLCI 500DLCI 600DLCI 700DLCI 600/601/602Internet/ISP 网网络络16VPRN隧道隧道研究所研究所办事处办事处分支机构分支机构网络层报文网络层报文Internet/ISP 网络17VPDN 适

6、用范围：适用范围：出差员工出差员工异地小型办公机构异地小型办公机构POPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接总部总部隧道隧道18ISP 网络网络VPLS虚拟的虚拟的LAN连接连接研究所研究所办事处办事处分支机构分支机构LAN帧帧19不同网络层次的不同网络层次的VPNl一层 VPNl二层 VPNl三层 VPNl传输层VPNl应用层VPN20主要主要VPN技术技术l主要的二层VPN技术L2TPPPTPMPLS L2 VPNl主要的三层VPN技术GREIPSec VPNBGP/MPLS VPN21其它其它VPN技术技术l老式VPN技术包括ATM，Frame Relay

7、，X.25等分组交换技术lSSL（Secure Sockets Layer）lL2F（Layer 2 Forwarding）lDVPN（Dynamic Virtual Private Network，动态VPN）l基于VLAN的VPNl802.1QinQlXOT（X.25 over TCP Protocol）22课程内容课程内容VPN概述概述GRE VPNL2TPIPSec VPNVPN设计规划设计规划23第一节第一节 GRE VPNl概述概述lGRE封装封装lGRE VPN工作原理工作原理lGRE VPN配置配置lGRE VPN典型应用典型应用l小结小结24参考资料参考资料lRFC 1701

8、lRFC 1702lRFC 2764lRFC 289025GRE VPNlGRE(Generic Routing Encapsulation)在任意一种网络协议上传送任意一种其它网络协议的封装方法 RFC 2784可以用于任意的VPN实现lGRE VPN直接使用GRE封装，在一种网络上传送其它协议虚拟的隧道（Tunnel）接口26GRE协议栈协议栈协议协议BGRE协议协议A链路层协议链路层协议载荷协议载荷协议封装协议封装协议承载协议承载协议协议协议B载荷载荷GRE封装包格式封装包格式链路层链路层GRE协议协议B协议协议A载荷载荷27RFC 1701 GRE头格式头格式CRKSsRecurFla

9、gsVerProtocol TypeChecksum(optional)Offset(optional)Key(optional)Sequence Number(optional)Routing(optional)01234567890123456789012345678901228RFC 1701 SRE格式格式Address FamilySRE OffsetSRE LengthRouting Information 01234567890123456789012345678901229常见常见GRE载荷协议号载荷协议号协议协议名名协议类协议类型号型号Reserved0000SNA0004O

10、SI network layer00FEXNS0600IP0800DECnet(Phase IV)6003Ethertalk(Appletalk)809BNovell IPX8137ReservedFFFF30RFC 2784 GRE标准头格式标准头格式CReserved0VerProtocol TypeChecksum(optional)Reserved1(optional)01234567890123456789012345678901231GRE扩展头格式扩展头格式CK SReserved0VerProtocol TypeChecksum(optional)Reserved1(optio

11、nal)Key(optional)Sequence Number(optional)01234567890123456789012345678901232载荷协议包载荷协议包以以IP作为承载协议的作为承载协议的GRE封装封装lGRE被当作一种IP协议对待lIP用协议号47标识GRE链路层链路层GREIPIP协议号协议号4733以以IP作为载荷协议的作为载荷协议的GRE封装封装lGRE使用以太类型标识载荷协议l载荷协议类型值0 x0800说明载荷协议为IP载荷载荷链路层链路层GRE承载协议头承载协议头载荷协议载荷协议0 x0800IP34IP over IP的的GRE封装封装载荷载荷链路层链路层

12、GREIP载荷协议载荷协议0 x0800IPIP协议号协议号4735GRE隧道隧道RTARTBIPIPXIPXGRE Tunnel站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel0IPX数据流IPX包IPX包GRE封装包36IP over IP GRE隧道隧道RTARTBIP公网IP私网IP私网GRE Tunnel站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP私网之间的数据流私网IP包GRE封

13、装包私网IP包37GRE隧道处理流程隧道处理流程l隧道起点路由查找l加封装l承载协议路由转发l中途转发l解封装l隧道终点载荷协议路由查找38GRE隧道处理隧道处理隧道起点路由查找隧道起点路由查找RTARTBIP公网IP私网IP私网站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.1.0/24DERECT0-LOOP010.1.2.

14、0/24DERECT0-LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/24DERECT0-LOOP0203.1.1.0/24STATIC0202.1.1.2S0/039GRE隧道处理隧道处理加封装加封装RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTA Tunnel0接口参数：接口参数：GRE封装封装源接口源接口S0/0，地址，地址202.1.1.1 目标地址目标地址

15、203.1.1.2D S私网私网IP包包GRE头头公网公网IP头头目的地目的地址：址：203.1.1.2源地址源地址：202.1.1.1S0/0S0/0E0/0E0/040GRE隧道处理隧道处理承载协议路由转发承载协议路由转发RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.1.0/24DERECT0-LOOP010.1.2.

16、0/24DERECT0-LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/24DERECT0-LOOP0203.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/041GRE隧道处理隧道处理中途转发中途转发RTARTBIP公网IP私网IP私网站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/2442GRE隧道处理隧道处理解封装解封装RTARTBIP公网

17、IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTB Tunnel0接口参数：接口参数：GRE封装封装源接口源接口S0/0，地址，地址202.1.1.1 目标地址目标地址203.1.1.2D S私网私网IP包包GRE头头公网公网IP头头私网私网IP包包S0/0S0/0E0/0E0/043GRE隧道处理隧道处理隧道终点载荷协议路由查找隧道终点载荷协议路由查找RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel01

18、0.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.3.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.1.0/24OSPF210010.1.2.2Tunnel0203.1.1.0/24DERECT0-LOOP0202.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/044GRE穿越穿越NATRTARTBIP公网IP私网IP私网E1

19、/0S0/0E0/0E0/0Tunnel0Tunnel0IP_addr_BIP_addr_ANAT网关网关S0/0IP_addr_RlRTA配置：隧道源IP_addr_A隧道目的IP_addr_BlRTB配置：隧道源IP_addr_B隧道目的IP_addr_RlNAT配置：地址映射：IP_addr_A IP_addr_R45GRE VPN基本配置基本配置l创建虚拟创建虚拟Tunnel接口接口 Quidway interface tunnel number l指定指定Tunnel的源端的源端 Quidway-Tunnel0 source ip-addr|interface-type interf

20、ace-num l指定指定Tunnel的目的端的目的端 Quidway-Tunnel0 destination ip-address l设置设置Tunnel接口的网络地址接口的网络地址 Quidway-Tunnel0 ip address ip-address maskl配置通过配置通过Tunnel的路由的路由46GRE VPN路由配置路由配置RTARTBIP公网IP私网IP私网站点站点A站点站点BS1/0S1/0E0/0E0/0Tunnel0Tunnel0载荷网路由AS承载网路由AS47虚假的虚假的Tunnel接口状态接口状态RTARTB站点站点A站点站点BE1/0E1/0E0/0E0/0T

21、unnel0Tunnel0备份隧道空闲！备份隧道空闲！服务器服务器RTCE1/0E0/0Tunnel0Tunnel1UPUPUPUP48GRE VPN高级配置高级配置l设置设置Tunnel接口报文的封装模式接口报文的封装模式 Quidway-Tunnel0 tunnel-protocol grel设置设置Tunnel两端进行端到端校验两端进行端到端校验 Quidway-Tunnel0 gre checksuml设置设置Tunnel接口的识别关键字接口的识别关键字 Quidway-Tunnel0 gre key key-number l配置配置Tunnel的的keepalive功能功能 Quid

22、way-Tunnel0 keepalive interval times 49GRE VPN配置实例（待续）配置实例（待续）RTARTBIP公网IP私网IP私网站点站点A站点站点BS1/0S1/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24132.108.5.2/24192.13.2.1/2450GRE VPN配置实例配置实例RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0 RTB-Ethernet0/0 ip address 10.1.3.1 255.2

23、55.255.0RTB interface tunnel 0 RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0 RTB-Tunnel0 source 132.108.5.2 RTB-Tunnel0 destination 192.13.2.1 RTB ip route-static 10.1.1.0 255.255.255.0 tunnel0 RTA-Serial1/0 ip address 192.13.2.1 255.255.255.0RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 RTA int

24、erface tunnel 0RTA-Tunnel0 ip address 10.1.2.1 255.255.255.0 RTA-Tunnel0 source 192.13.2.1 RTA-Tunnel0 destination 132.108.5.2RTA ip route-static 10.1.3.0 255.255.255.0 tunnel0 51GRE VPN的显示和调试的显示和调试l显示显示Tunnel接口的工作状态接口的工作状态 display interface tunnel number 例如：例如：Quidway display interfaces tunnel 1 Tu

25、nnel1 is up,line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input,640 bytes 0 input errors,0 broadcast,0 drops 10 packets output,640 bytes 0 output errors,0 broadcast,0 no protocoll打开打开Tunnel调试信息调试信息 debugging tunnel 52连接不连续的网络连接不连续的网络RTARTBI

26、PIPXIPXGRE Tunnel站点站点A站点站点BTunnel0Tunnel0S0/0S0/0E0/0E0/053单一骨干承载多个上层协议单一骨干承载多个上层协议RTARTBIPIPXIPXGRE Tunnel站点站点A站点站点BTunnel0Tunnel0IPIPTeam1Team2Group1Group2S0/0S0/0E0/0E0/054扩大载荷协议的工作范围扩大载荷协议的工作范围RTARTBIP公网载荷协议载荷协议站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel055GRE VPN的优点的优点l可以当前最为普遍的IP网络作为承载网络 l支持多种协议l支

27、持IP组播l简单明了、容易布署 56GRE VPN的缺点的缺点l点对点隧道 l静态配置隧道参数l布署复杂连接关系时代价巨大l缺乏安全性l不能分隔地址空间 57课程内容课程内容VPN概述概述GRE VPNL2TPIPSec VPNVPN设计规划设计规划58第三节第三节 L2TPl概述概述l概念术语概念术语l协议封装协议封装l协议操作协议操作lL2TP多实例多实例l配置和故障排除配置和故障排除l小结小结59参考资料参考资料lRFC 2661lVRP3.4 操作手册lVRP3.4 命令手册60L2TPlLayer Two Tunnel ProtocollRFC 2661l隧道传送PPPl验证和动态地

28、址分配l无加密措施l点对网络特性61传统拨号接入传统拨号接入PSTN/ISDNLANLANLANLAN分支机构分支机构总部总部NAS出差员工出差员工RADIUS62使用使用L2TP构建构建VPDNLANLANLANLAN分支机构分支机构总部总部LACLNSNASQuidway Router出差员工出差员工LAC RADIUSLNS RADIUSPSTN/ISDN63L2TP功能组件功能组件l远程系统（Remote System）lLAC（L2TP Access Concentrator）lLNS（L2TP Network Server）lNAS（Network Access Server）64

29、L2TP功能组件功能组件LANLANLACLNSNAS远程系统远程系统LAC RADIUSLNS RADIUS隧道隧道PSTN/ISDN65L2TP术语术语l呼叫（Call）l隧道（Tunnel）l控制连接（Control Connection）l会话（Session）lAVP（Attribute Value Pair）66PSTN/ISDN呼叫呼叫LANLANLACLNS呼叫呼叫LAC RADIUSLNS RADIUS67PSTN/ISDN隧道和控制连接隧道和控制连接控制连接控制连接隧道隧道LANLANLACLNS呼叫呼叫LAC RADIUSLNS RADIUS68PSTN/ISDN会话会话

30、控制连接控制连接隧道隧道LANLANLACLNS呼叫呼叫LAC RADIUSLNS RADIUS会话会话69PSTN/ISDNL2TP拓扑结构（拓扑结构（1）独立独立LAC方式方式LANLANLACLNS70L2TP拓扑结构（拓扑结构（2）客户客户LAC方式方式LANLANLNS71L2TP头格式头格式01234567890123456789012345678901TLSOPVerTunnel IDSession IDNs(opt)Nr(opt)Offset Size(opt)Offset pad.(opt)Length(opt)72L2TP协议栈和封装过程协议栈和封装过程私有私有IPPPPL

31、2TPUDP公有公有IP链路层链路层物理层物理层物理层物理层私有私有IPPPPIP包包(公有公有IP)UDPL2TPPPPIP包包(私有私有IP)链路层链路层私有私有IPPPP物理层物理层L2TPUDP公有公有IP链路层链路层物理层物理层物理层物理层私有私有IP链路层链路层物理层物理层ClientLACLNSServerLAC侧封装过程侧封装过程LNS侧解封装过程侧解封装过程L2TP协议栈结构协议栈结构73L2TP协议操作协议操作l建立控制连接l建立会话l转发PPP帧lKeepalivel关闭会话l关闭控制连接74建立控制连接建立控制连接LACLNSSCCRQSCCRPSCCCNZLBl控制

32、连接的建立由PPP触发l任意源端口1701l重定位为任意源端口任意目标端口75建立会话建立会话LACLNSICRQICRPICCNZLBl会话的建立以控制连接的建立为前提l会话与呼叫有一一对应关系l同一个隧道中可以建立多个会话76转发转发PPP帧帧l会话建立后，即可转发PPP帧lTunnel ID和Session ID用于区分不同隧道和不同会话的数据77KeepaliveLACLNSHelloHellolL2TP用Hello控制消息维护隧道的状态78关闭会话关闭会话LACLNSCDNZLB79关闭控制连接关闭控制连接LACLNSStopCCNZLB80L2TP的验证过程的验证过程呼叫建立呼叫建

33、立PPP LCP 协商通过协商通过LAC CHAP Challenge用户用户 CHAP Response隧道验证隧道验证(可选可选)SCCRP(LNS CHAP Response&LNS CHAP Challenge)SCCRQ(LAC CHAP Challenge)SCCCN(LAC CHAP Response)ICCN（用户（用户 CHAP Response&PPP 已经协商好的参数）已经协商好的参数）LNS CHAP Challenge可选的第二次验证可选的第二次验证用户用户 CHAP Response验证通过验证通过LACLACLNSLNSPSTN/ISDN81L2TP多实例多实例l

34、L2TP协议上加入多实例技术，让L2TP支持在一台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。VPN 1 总部总部ClientLNSHOSTInternetL2TP TUNNELClientVPN 2总部总部VPN 1HOSTVPN 210.1.1.*10.1.1.*10.1.2.*10.1.2.*82L2TP基本配置任务基本配置任务lLAC侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组设置发起L2TP连接请求及LNS地址lLNS侧设置用户名、密码及配置用户验证启用L2TP创建L2T

35、P组创建虚接口模板设置本端地址及分配的地址池设置接收呼叫的虚接口模板、通道对端名称和域名83L2TP基本配置命令（未完）基本配置命令（未完）l LAC 侧的配置侧的配置设置用户名、密码及配置用户验证设置用户名、密码及配置用户验证启用启用L2TPQuidway l2tp enable 创建创建L2TP组组 Quidway l2tp-group group-number 设置发起设置发起L2TP连接请求及连接请求及LNS地址地址Quidway-l2tp1start l2tp ip ip-address ip ip-address domain domain-name|fullusername us

36、er-name 84L2TP 的基本配置命令（未完）的基本配置命令（未完）lLNS 侧的配置侧的配置设置用户名、密码及配置用户验证设置用户名、密码及配置用户验证启用启用L2TP Quidway l2tp enable创建创建L2TP组组 Quidway l2tp-group group-number创建虚接口模板创建虚接口模板Quidway interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池设置本端地址及为用户分配的地址池 Quidway-Virtual-Template1 ip address X.X.X.X

37、 netmask Quidway-Virtual-Template1 remote address pool pool-number 85L2TP 的基本配置命令的基本配置命令lLNS 侧的配置侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为组不为1：Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP组为组为1：Quidway-l2tp1 allow l2tp v

38、irtual-template virtual-template-number remote remote-name domain domain-name 86L2TP可选配置任务可选配置任务lLAC和LNS侧可选配的参数设置本端名称启用隧道验证及设置密码设置通道Hello报文发送时间间隔设置域名分隔符及查找顺序强制挂断通道lLNS侧可选配的参数强制本端CHAP认证强制LCP重新协商87L2TP的可选配置命令（未完）的可选配置命令（未完）lLAC侧和侧和LNS侧可选配的参数侧可选配的参数设置本端名称设置本端名称 Quidway-l2tp1 tunnel name name启用隧道验证及设置密码

39、启用隧道验证及设置密码 Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel password simple|cipher password 设置通设置通道道Hello报文发送时间间隔报文发送时间间隔 Quidway-l2tp1 tunnel timer hello hello-interval 88L2TP的可选配置命令（未完）的可选配置命令（未完）lLAC侧和侧和LNS侧可选配的参数侧可选配的参数配置域名分隔符及查找顺序配置域名分隔符及查找顺序设置前缀分隔符设置前缀分隔符 Quidway-l2tp1 l2tp domain pre

40、fix-separator separator 设置后缀分隔符设置后缀分隔符 Quidway-l2tp1 l2tp domain suffix-separator separator 设置查找规则设置查找规则 Quidway-l2tp1 l2tp match-order dnis-domain|dnis|domain-dnis|domain 强制挂断通道强制挂断通道 reset l2tp tunnel remote-name|tunnel-id 89L2TP的可选配置命令的可选配置命令lLNS侧可选配的参数侧可选配的参数强制本端强制本端CHAP验证验证 Quidway-l2tp1 mandat

41、ory-chap 强制强制LCP重新协商重新协商 Quidway-l2tp1 mandatory-lcp 90L2TP配置例子（未完）配置例子（未完）LACLNSLAC local-user LAC-luser-password simple HelloLAC domain LAC-isp- scheme localLAC l2tp enable LAC l2tp-group 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip 202.38.160.2 domain LAC-l2tp1 tunnel authenticationLAC-l2t

42、p1 tunnel password simple quidway PSTN/ISDN91L2TP配置例子配置例子LNS local-user LNS-luser-password simple Hello LNS interface virtual-template 1LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0LNS-virtual-template1 ppp authentication-mode chap domain LNS domain LNS-isp- scheme localLNS-isp- ip pool

43、 1 192.168.0.2 192.168.0.100LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authenticationLNS-l2tp1 tunnel password simple quidwayLACLNSPSTN/ISDN92L2TP信息显示和调试信息显示和调试l显示当前的显示当前的L2TP通道的信息通道的信息 Quidway display l2tp tunnelLoc

45、用户登录失败用户登录失败 Tunnel建立失败建立失败在在LAC端，端，LNS的地址设置不正确的地址设置不正确LNS（通常为路由器）端没有设置可以接收该隧道对端的（通常为路由器）端没有设置可以接收该隧道对端的L2TP组组Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致验证不通过，如果配置了验证，应该保证双方的隧道密码一致 PPP协商不通过协商不通过 LAC端设置的用户名与密码有误，或者是端设置的用户名与密码有误，或者是LNS端没有设置相应的用户端没有设置相应的用户LNS端不能分配地址，比如地址池设置的较小，或没有进行设置端不能分配地址，比如地址池设置的较小，或没有进行设置密

46、码验证类型不一致密码验证类型不一致l数据传输失败，在建立连接后数据不能传输，如数据传输失败，在建立连接后数据不能传输，如Ping不通对端不通对端用户设置的地址有误用户设置的地址有误网络拥挤网络拥挤 94L2TP特点特点l方面远程漫游用户接入l节约费用l可以由ISP或组织自身提供接入和验证lL2TP不提供对数据本身的安全性保证95课程内容课程内容VPN概述概述GRE VPNL2TPIPSec VPNVPN设计规划设计规划96第二节第二节 IPSec VPNl概述概述l概念和术语概念和术语lIPSeclIKEl配置配置IPSec VPNlIPSec VPN典型应用典型应用l小结小结97参考资料参

47、考资料lRFC 2401lRFC 2402lRFC 2406lRFC 240998IPSec VPNlIP无安全保障lRFC 2401IPSec体系l安全协议AH和ESPl隧道模式（Tunnel Mode）和传输模式（Transport Mode）隧道模式适宜于建立安全VPN隧道传输模式适用于两台主机之间的数据保护l动态密钥交换IKE99基本概念和术语（待续）基本概念和术语（待续）l机密性l完整性l身份验证l对称和非对称加密算法l密钥和密钥交换l单向散列函数100基本概念和术语基本概念和术语l完美前向保密l加密的代价和DoS攻击l重播式攻击l加密的实现层次101安全性基本要求安全性基本要求l机

48、密性防止数据被未获得授权的查看者理解通过加密算法实现l完整性防止数据在存储和传输的过程中受到非法的篡改使用单向散列函数l身份验证判断一份数据是否源于正确的创建者单向散列函数、数字签名和公开密钥加密102加密算法加密算法l对称加密算法块加密算法流加密算法l非对称加密算法如RSA算法103对称加密算法对称加密算法l双方共享一个密钥加密方加密方解密方解密方奉奉天天承承运运皇皇帝帝诏诏曰曰共享密钥共享密钥yHidYTVdkd;AOtyHidYTVdkd;AOt奉奉天天承承运运皇皇帝帝诏诏曰曰加密加密解密解密共享密钥共享密钥104非对称加密算法非对称加密算法加密方加密方解密方解密方奉奉天天承承运运

49、皇皇帝帝诏诏曰曰解密方的解密方的公开密钥公开密钥yHidYTVdkd;AOtyHidYTVdkd;AOt奉奉天天承承运运皇皇帝帝诏诏曰曰加密加密解密解密解密方的解密方的私有密钥私有密钥l加密和解密的密钥不同105单向散列函数单向散列函数发送方发送方接收方接收方奉奉天天承承运运皇皇帝帝诏诏曰曰共享密钥共享密钥yYaIPyqZoyWItyYaIPyqZoyWIt单向散列单向散列函数函数共享密钥共享密钥单向散列单向散列函数函数yYaIPyqZoyWIt奉奉天天承承运运皇皇帝帝诏诏曰曰奉奉天天承承运运皇皇帝帝诏诏曰曰yYaIPyqZoyWIt？106Diffie-Hellman交换交换ac=gamod

50、(p)peer2peer2peer1peer1bd=gbmod(p)(g,p)(g,p)damod(p)cbmod(p)d da amod(p)=cmod(p)=cb bmodp=gmodp=gababmodpmodp107加密的实现层次加密的实现层次应用层应用层传输层传输层网络层网络层链路层链路层应用层应用层传输层传输层网络层网络层链路层链路层网络层网络层链路层链路层网络层网络层链路层链路层传输层传输层加密盒加密盒加密盒加密盒安全网关安全网关安全网关安全网关SSH、S/MIMESSLIPSec108IPSec VPN的体系结构的体系结构l安全协议负责保护数据AH/ESPl工作模式传输模式：实

展开阅读全文