收藏 分享(赏)
下载资源 加入VIP,免费下载

VPN协议原理及配置.ppt

上传人:HR专家 文档编号:7177907 上传时间:2019-05-08 格式:PPT 页数:65 大小:2.56MB
下载 相关 举报
VPN协议原理及配置.ppt_第1页
第1页 / 共65页
VPN协议原理及配置.ppt_第2页
第2页 / 共65页
VPN协议原理及配置.ppt_第3页
第3页 / 共65页
VPN协议原理及配置.ppt_第4页
第4页 / 共65页
VPN协议原理及配置.ppt_第5页
第5页 / 共65页
点击查看更多>>
资源描述

1、VPN协议原理及配置,2,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec & IKE,3,培训目标,掌握 VPN 的概念和分类 掌握实现 IP VPN 的相关协议 掌握 VPN 的配置,学习完本课程,您应该能够:,4,合作伙伴,Internet,VPN的定义,VPN Virtual Private Network,办事处,总部,分支机构,异地办事处,5,VPN的分类,按应用类型分类: Access VPN Intranet VPN Extranet VPN 按实现的层次分类: 二层隧道 VPN 三层隧道 VPN,6,VPDN,POP,POP,用户直接发起连

2、接,POP,ISP发起连接,总部,隧道,适用范围: 出差员工 异地小型办公机构,7,Intranet VPN,Internet/ ISP IP ATM/FR,总部,研究所,办事处,分支机构,8,Extranet VPN,Internet/ ISP IP ATM/FR,总部,合作伙伴,异地办事处,分支机构,9,按实现的层次分类,二层隧道VPN L2TP: Layer 2 Tunnel Protocol (RFC 2661) PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 三层隧道VPNGRE : Generic Routi

3、ng Encapsulation IPSEC : IP Security Protocol,10,VPN设计原则,安全性 隧道与加密 数据验证 用户验证 防火墙与攻击检测 可靠性 经济性 扩展性,11,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec & IKE,12,L2TP 协议概述,L2TP: Layer 2 Tunnel Protocol 第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。 特性 灵活的身份验证机制以及高度的安全性 多协议传输 支持RADIUS服务器的验证 支持内部地址分配 网络计费的灵活性 可靠性,13

4、,使用L2TP 构建VPDN,PSTN/ISDN,LAN,总部,LAC,LNS,Quidway NAS,Quidway Router,出差员工,LAC: L2TP Access Concentrator L2TP的接入集中器 LNS: L2TP Network Server L2TP的网络服务器 LAC/LNS Radius : LAC/LNS的远端验证服务器,LAC RADIUS,LNS RADIUS,14,L2TP隧道和会话建立流程,隧道、会话建立流程L2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上,如果会话建立前隧道已经建立,则隧道不用重新建立。 隧道

5、建立流程:三次握手会话建立流程:三次握手,LAC LNSSCCRQSCCRP SCCCN,LAC LNSICRQ ICRP ICCN,15,L2TP隧道和会话维护和拆除流程,隧道维护流程,LAC/LNS LNS/LAC Hello ZLB,隧道拆除流程,会话维护流程,LAC/LNS LNS/LAC StopCNN ZLB,LAC/LNS LNS/LAC CDN ZLB,16,L2TP 协议栈结构及数据包的封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,物

6、理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,17,L2TP的配置任务及命令(1),LAC 侧的配置 设置用户名、密码及配置用户验证 启用L2TPQuidway l2tp enable 创建L2TP组Quidway l2tp-group group-number 设置发起L2TP连接请求及LNS地址Quidway-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | fulluse

7、rname user-name ,18,L2TP 的配置任务及命令(2),LNS 侧的配置 设置用户名、密码及配置用户验证 启用L2TPQuidway l2tp enable 创建L2TP组Quidway l2tp-group group-number 创建虚接口模板Quidway interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池Quidway-Virtual-Template1 ip address X.X.X.X netmask Quidway-Virtual-Template1 remote addre

8、ss pool pool-number ,19,L2TP 的配置任务及命令(3),LNS 侧的配置 设置接收呼叫的虚拟接口模板、通道对端名称和域名L2TP组不为1:Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP组为1:Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name ,2

9、0,Internet,L2TP的配置举例,LNS local-user LNS-luser- password simple Hello LNS interface virtual-template 1 LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0 LNS-virtual-template1 ppp authentication-mode chap domain LNS domain LNS-isp- scheme local LNS-isp- ip pool 1 192.168.0.2 192.168.0.100

10、LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authentication LNS-l2tp1 tunnel password simple quidway,LAC local-user LAC-luser- password simple Hello LAC domain LAC-isp- scheme local LAC l2tp enable LAC l2tp-group 1 L

11、AC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip 202.38.160.2 domain LAC-l2tp1 tunnel authentication LAC-l2tp1 tunnel password simple quidway,LNS,LAC,PSTN,21,L2TP的可选参数配置(1),LAC侧和LNS侧可选配的参数 设置本端名称Quidway-l2tp1 tunnel name name 启用隧道验证及设置密码Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel passw

12、ord simple | cipher password 设置通道Hello报文发送时间间隔Quidway-l2tp1 tunnel timer hello hello-interval,22,L2TP的可选参数配置(2),LAC侧和LNS侧可选配的参数 配置域名分隔符及查找顺序设置前缀分隔符Quidway-l2tp1 l2tp domain prefix-separator separator 设置后缀分隔符Quidway-l2tp1 l2tp domain suffix-separator separator 设置查找规则 Quidway-l2tp1 l2tp match-order dn

13、is-domain | dnis | domain-dnis | domain 强制挂断通道reset l2tp tunnel remote-name | tunnel-id ,23,L2TP的可选参数配置(3),LNS侧可选配的参数 强制本端CHAP验证Quidway-l2tp1 mandatory-chap 强制LCP重新协商Quidway-l2tp1 mandatory-lcp,24,L2TP隧道和会话的验证过程,呼叫建立,PPP LCP 协商通过,LAC CHAP Challenge,用户 CHAP Response,隧道验证(可选),SCCRP (LNS CHAP Response

14、& LNS CHAP Challenge),SCCRQ (LAC CHAP Challenge),SCCCN (LAC CHAP Response),ICCN(用户 CHAP Response & PPP 已经协商好的参数),LNS CHAP Challenge,可选的第二次验证,用户 CHAP Response,验证通过,PSTN /ISDN,Internet,LAC,LNS,25,L2TP显示和调试,显示当前的L2TP通道的信息,Quidway display l2tp tunnel LocalID RemoteID RemName RemAddress Sessions Port1 8

15、AS8010 172.168.10.2 1 1701 Total tunnels = 1,显示当前的L2TP会话的信息,Quidway display l2tp session LocalID RemoteID TunnelID1 1 2Total session = 1,打开L2TP调试信息开关debugging l2tp all | control | dump | error | event | hidden | payload | time-stamp ,26,L2TP 排错,用户登录失败 Tunnel建立失败 在LAC端,LNS的地址设置不正确 LNS(通常为路由器)端没有设置可以接

16、收该隧道对端的L2TP组 Tunnel验证不通过,如果配置了验证,应该保证双方的隧道密码一致 PPP协商不通过 LAC端设置的用户名与密码有误,或者是LNS端没有设置相应的用户 LNS端不能分配地址,比如地址池设置的较小,或没有进行设置 密码验证类型不一致 数据传输失败,在建立连接后数据不能传输,如Ping不通对端 用户设置的地址有误 网络拥挤,27,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec & IKE,28,GRE,GRE (Generic Routing Encapsulation): 是对某些网络层协议(如:IP, IPX, AppleTalk

17、等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。 GRE 提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为tunnel。,29,GRE 协议栈,乘客协议,封装协议,运输协议,GRE协议栈,隧道接口的报文格式,链路层,GRE,IP/IPX,IP,Payload,30,使用GRE构建VPN,Original Data Packet,Transfer Protocol Header,GRE Header,Internet,Tunnel,企业总部,分支机构,31,GRE的配置任务及命令,创建虚拟Tunnel接口

18、Quidway interface tunnel number 指定Tunnel的源端Quidway-Tunnel0 source ip-addr | interface-type interface-num 指定Tunnel的目的端Quidway-Tunnel0 destination ip-address 设置Tunnel接口的网络地址Quidway -Tunnel0 ip address ip-address mask,32,GRE的配置举例,RouterB-Serial0/0 ip address 202.38.160.2 255.255.255.0 RouterB-Ethernet0

19、/0 ip address 10.1.2.1 255.255.255.0 RouterB interface tunnel 0 RouterB-Tunnel0 ip address 1.1.1.2 255.255.255.0 RouterB-Tunnel0 source 202.38.160.2 RouterB-Tunnel0 destination 202.38.160.1 RouterB ip route-static 10.1.1.0 255.255.255.0 tunnel0,RouterA-Serial0/0 ip address 202.38.160.1 255.255.255.0

20、 RouterA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 Router interface tunnel 0 RouterA-Tunnel0 ip address 1.1.1.1 255.255.255.0 RouterA-Tunnel0 source 202.38.160.1 RouterA-Tunnel0 destination 202.38.160.2 RouterA ip route-static 10.1.2.0 255.255.255.0 tunnel0,T0:1.1.1.2/24,Internet,S0/0: 202.38.16

21、0.2/24,S0/0:202.38.160.1/24,E0/0: 10.1.2.1/24,E0/0: 10.1.1.1/24,T0:1.1.1.1/24,A,B,33,GRE的可选参数配置,设置Tunnel接口报文的封装模式Quidway-Tunnel0 tunnel-protocol gre 设置Tunnel两端进行端到端校验Quidway-Tunnel0 gre checksum 设置Tunnel接口的识别关键字Quidway-Tunnel0 gre key key-number 配置通过Tunnel的路由 静态路由配置 动态路由配置,34,GRE的显示和调试,显示Tunnel接口的工作

22、状态display interface tunnel number 例如:Quidway display interfaces tunnel 1Tunnel1 is up, line protocol is upMaximum Transmission Unit is 128Internet address is 1.1.1.1 255.255.255.010 packets input, 640 bytes0 input errors, 0 broadcast, 0 drops10 packets output, 640 bytes0 output errors, 0 broadcast,

23、0 no protocol 打开Tunnel调试信息debugging tunnel,35,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec& IKE,36,IPSec,IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH(协议号51) 和封装安全载荷协议ESP(协议号50)两个协议 IPSec有隧道(tunnel)和传输(transport)两种工作方式,37,IPSec 的组成,IPSec 提供两个安全协议 AH (Authentication Header) 报

24、文验证头协议 MD5 (Message Digest 5) SHA1 (Secure Hash Algorithm) ESP (Encapsulation Security Payload) 封装安全载荷协议 DES (Data Encryption Standard) 3DES (Triple DES) AES (Advanced Encryption Standard),38,IPSec 的安全特点,数据机密性(Confidentiality) 数据完整性(Data Integrity) 数据来源认证 (Data Origin Authentication) 反重放(Anti-Replay

25、),39,IPSec 基本概念,数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全提议 (Security Proposal) 安全策略 (Security Policy),40,AH协议,数据,IP 包头,数据,IP 包头,AH,AH,新IP 包头,传输模式,隧道模式,AH头结构,0,8,16,31,41,ESP 协议,数据,IP 包头,加密后的数据,IP 包头,ESP头部,ESP头,新IP 包头,传输模式,隧道模式,ESP尾部,ESP验证,

26、ESP尾部,ESP验证,ESP协议包结构,42,IKE,IKE(Internet Key Exchange,因特网密钥交换协议) 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥,43,IKE的安全机制,完善的前向安全性 数据验证 身份验证 身份保护 DH交换和密钥分发,44,IKE的交换过程,SA交换,密钥交换,ID交换及验证,发送本地 IKE策略,身份验证和 交换过程验证,密钥生成,密钥生成,接受对端 确认的策略,查找匹配 的策略,身份验证和 交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的

27、密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,45,DH交换及密钥产生,a,c=gamodp,damodp,peer2,peer1,b,d=gbmodp,cbmodp,damodp= cbmodp=gabmodp,(g ,p),46,IKE在IPSec中的作用,降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证,47,IPSec 与IKE的关系,IKE,IPSec,IKE,IPSec,IKE的SA协商,SA,SA,48,IPSec配置前的准备,确定需要保护的数据 确定使用安全保护的路径 确定使用哪种

28、安全保护 确定安全保护的强度,Internet,49,IPSec 的配置任务,配置访问控制列表 定义安全提议 创建安全提议 选择安全协议 选择安全算法 选择报文封装形式 创建安全策略 手工创建安全策略 用IKE创建安全策略 在接口上应用安全策略,50,IPSec 的配置任务及命令(1),配置访问控制列表 定义安全提议 创建安全提议Quidway ipsec proposal proposal-name 选择报文封装形式Quidway-ipsec-proposal-tran1 encapsulation-mode transport | tunnel 选择安全协议Quidway-ipsec-pr

29、oposal-tran1 transform ah | ah-esp | esp 选择安全算法Quidway-ipsec-proposal-tran1 esp encryption-algorithm 3des | des | aes Quidway-ipsec-proposal-tran1 esp authentication-algorithm md5 | sha1 Quidway-ipsec-proposal-tran1 ah authentication-algorithm md5 | sha1 ,51,IPSec 的配置任务及命令(2),创建安全策略手工创建安全策略 手工创建安全策略

30、Quidway ipsec policy policy-name seq-number manual 在安全策略中引用安全提议Quidway-ipsec-policy-manual-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表Quidway-ipsec-policy-manual-map1-10 security acl acl-number 配置隧道的起点和终点Quidway-ipsec-policy-manual-map1-10 tunnel local ip-address Qu

31、idway-ipsec-policy-manual-map1-10 tunnel remote ip-address 配置安全联盟的SPIQuidway-ipsec-policy-manual-map1-10 sa spi inbound | outbound ah | esp spi-number,52,IPSec 的配置任务及命令(3),创建安全策略手工创建安全策略 配置安全联盟使用的密钥 配置协议的验证密钥(以16进制方式输入)Quidway-ipsec-policy-manual-map1-10sa authentication-hex inbound | outbound ah |

32、esp hex-key 配置协议的验证密钥(以字符串方式输入)Quidway-ipsec-policy-manual-map1-10sa string-key inbound | outbound ah | esp string-key 配置ESP协议的加密密钥(以16进制方式输入)Quidway-ipsec-policy-manual-map1-10sa encryption-hex inbound | outbound esp hex-key,53,IPSec 的配置任务及命令(4),创建安全策略用IKE创建安全策略 用IKE创建安全策略Quidway ipsec policy polic

33、y-name seq-number isakmp 在安全策略中引用安全提议Quidway-ipsec-policy-isakmp-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表Quidway-ipsec-policy-isakmp-map1-10 security acl acl-number 在安全策略中引用IKE对等体Quidway-ipsec-policy-isakmp-map1-10 ike-peer peer-name 在接口上应用安全策略Quidway-Serial0/0 i

34、psec policy policy-name,54,IKE的配置任务,配置本端安全网关的名字 定义IKE安全提议(系统提供一条缺省的IKE安全提议) 配置IKE对等体,55,IKE的配置任务,配置本端安全网关的名字 定义IKE安全提议(系统提供一条缺省的IKE安全提议) 创建IKE安全提议 选择加密算法 选择验证方法 选择验证算法 选择Diffie-Hellman组标识 配置ISAKMP SA生存周期(可选) 配置IKE对等体 创建IKE对等体 配置IKE协商模式 配置身份验证字 配置ike协商过程中使用的ID类型 指定对端安全网关设备的ID 配置本端及对端安全网关设备的IP地址 配置NAT

35、穿越功能 配置最大连接数,56,IKE的配置任务及命令(1),配置本端安全网关的名字Quidway ike local-name id 定义IKE安全提议(系统提供一条缺省的IKE安全提议) 创建IKE安全提议Quidway ike proposal proposal-number 选择加密算法Quidway-ike-proposal-1 encryption-algorithm des-cbc| 3des-cbc 选择验证方法Quidway-ike-proposal-1authentication-method pre-share | rsa-signature 选择验证算法Quidway-

36、ike-proposal-1 authentication-algorithm md5 | sha 选择Diffie-Hellman组标识Quidway-ike-proposal-1 dh group1 | group2 配置ISAKMP SA生存周期(可选)Quidway-ike-proposal-1 sa duration seconds,57,IKE的配置任务(2),配置IKE对等体 创建IKE对等体Quidway ike peer peer-name 配置IKE协商模式Quidway-ike-peer-1 exchange-mode aggressive | main 配置身份验证字Q

37、uidway-ike-peer-1 pre-shared-key key 配置ike协商过程中使用的ID类型Quidway-ike-peer-1 id-type ip | name 指定对端安全网关设备的IDQuidway-ike-peer-1 remote-name name 配置本端及对端安全网关设备的IP地址Quidway-ike-peer-1 local-address ip-address Quidway-ike-peer-1 remote-address ip-address,58,IKE的配置任务(3),配置IKE对等体 配置NAT穿越功能Quidway-ike-peer-1 n

38、at-traversal 配置最大连接数Quidway-ike-peer-1 max-connections number,59,IPSec 的配置举例,Internet,S0/0: 202.38.160.2/24,S0/0: 202.38.160.1/24,E0/0: 10.1.2.1/24,E0/0: 10.1.1.1/24,A,B,PC1:10.1.1.2/24,PC2: 10.1.2.2/24,Quidway acl number 3000 Quidway-acl-adv-3000 rule permit ip source 10.1.1.0 0.0.0.255 destination

39、 10.1.2.0 0.0.0.255 Quidway-acl-adv-3000 rule deny ip source any destination any Quidway ip route-static 10.1.2.0 255.255.255.0 202.38.160.2 Quidway ipsec proposal tran1 Quidway-ipsec-proposal-tran1 encapsulation-mode tunnel Quidway-ipsec-proposal-tran1 transform esp Quidway-ipsec-proposal-tran1 esp

40、 encryption-algorithm des Quidway-ipsec-proposal-tran1 esp authentication-algorithm sha1 Quidway-ipsec-proposal-tran1 quit Quidway ike peer peer Quidway-ike-peer-peer pre-share-key abcde Quidway-ike-peer-peer remote-address 202.38.160.2 Quidway ipsec policy map1 10 isakmp Quidway-ipsec-policy-isakmp

41、-map1-10 proposal tran1 Quidway-ipsec-policy-isakmp-map1-10 security acl 101 Quidway-ipsec-policy-isakmp-map1-10 ike-peer peer Quidway-ipsec-policy-isakmp-map1-10 quit Quidway interface serial0/0 Quidway-Serial0/0 ip address 202.38.160.1 255.255.255.0 Quidway-Serial0/0 ipsec policy map1 Quidway inte

42、rface ethernet0/0 Quidway-Ethernet0/0 ip address 10.1.1.1 255.255.255.0,60,IPSec 的显示与调试,IPSec显示与调试 显示安全联盟的相关信息display ipsec sa brief | remote ip-address | policy policy-name seq-number | duration 显示IPSec处理报文的统计信息display ipsec statistics 显示安全提议的信息display ipsec proposal proposal-name 显示安全策略的信息display

43、ipsec policy brief | name policy-name seq-number 打开IPSec的调试功能debugging ipsec sa | packet policy policy-name seq-number | parameters ip-address protocol spi-number | misc ,61,IPSec 的显示与调试,清除IPSec的报文统计信息reset ipsec statistics 删除安全联盟reset ipsec sa remote ip-address | policy policy-name seq-number | par

44、ameters dest-address protocol spi ,62,IKE 的显示与调试,显示当前已建立的安全通道 display ike sa 显示每个IKE提议配置的参数display ike proposal 删除安全隧道reset ike sa connection-id 打开IKE的调试信息debugging ike error | exchange | message | misc| transport ,63,IPSec故障诊断与排错,非法用户身份信息 检查协商两端接口上配置的安全策略中的ACL内容是否相容。 建议用户将两端的ACL配置成互为镜像的。 提议不匹配 对于阶段1,检查IKE proposal是否有与对方匹配的。 对于阶段2协商,检查双方接口上应用的IPsec安全策略的参数是否匹配,引用的IPsec安全提议的协议、加密算法和验证算法是否有匹配的。 无法建立安全通道 使用reset ike sa命令清除错误存在的SA,重新发起协商。,64,小结,VPN概述 L2TP协议原理及配置方法 GRE协议原理及配置方法 IPSec协议原理及配置方法 VPN配置常见故障处理,华为3Com技术有限公司,华为3Com公司网址: www.huawei- 华为3Com技术论坛网址: forum.huawei-,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 经营企划

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报