收藏 分享(赏)
下载资源 加入VIP,免费下载

D044 VPN协议原理及配置(中文版3.0).ppt

上传人:yjrm16270 文档编号:7269021 上传时间:2019-05-12 格式:PPT 页数:57 大小:1.83MB
下载 相关 举报
D044 VPN协议原理及配置(中文版3.0).ppt_第1页
第1页 / 共57页
D044 VPN协议原理及配置(中文版3.0).ppt_第2页
第2页 / 共57页
D044 VPN协议原理及配置(中文版3.0).ppt_第3页
第3页 / 共57页
D044 VPN协议原理及配置(中文版3.0).ppt_第4页
第4页 / 共57页
D044 VPN协议原理及配置(中文版3.0).ppt_第5页
第5页 / 共57页
点击查看更多>>
资源描述

1、华为3Com公司版权所有,未经授权不得使用与传播,D044 VPN协议原理及配置,培训目标,掌握 VPN 的概念和分类 掌握实现 IP VPN 的相关协议 掌握 VPN 的配置,学习完本课程,您应该能够:,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec & IKE,VPN的定义?,VPN (Virtual Private Network)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如INTERNET,ATM,FRAME

2、RELAY等)之上的逻辑网络,用户数据在逻辑链路中传输。 VPN 可以省去专线租用费用或者长距离电话费用,大大降低成本 VPN 可以充分利用 internet 公网资源,快速地建立起公司的广域连接,Internet,VPN的定义,VPN Virtual Private Network,VPN的分类,按应用类型分类: Access VPN: Intranet VPN Extranet VPN 按实现的层次分类: 二层隧道 VPN 三层隧道 VPN,Access VPN,VPDN,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,适用范围: 出差员工 异地小型办公机构,Intr

3、anet VPN,Internet/ ISP IP ATM/FR,Extranet VPN,Internet/ ISP IP ATM/FR,按实现的层次分类,二层隧道VPN L2TP: Layer 2 Tunnel Protocol (RFC 2661) PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 三层隧道VPNGRE : General Routing Encapsulation IPSEC : IP Security Protocol,VPN设计原则,安全性 隧道与加密 数据验证 用户验证 防火墙与攻击检测 可靠

4、性 经济性 扩展性,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec & IKE,L2TP 协议概述,L2TP: Layer 2 Tunnel Protocol 第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议. 特性 灵活的身份验证机制以及高度的安全性 多协议传输 支持RADIUS服务器的验证 支持内部地址分配 网络计费的灵活性 可靠性,使用L2TP 构建VPDN,PSTN/ISDN,LAN,总部,LAC,LNS,Quidway NAS,Quidway Router,出差员工,LAC: L2TP Access Concentr

5、ator L2TP的接入集中器 LNS: L2TP Network Server L2TP的网络服务器 LAC/LNS Radius : LAC/LNS的远端验证服务器,LAC RADIUS,LNS RADIUS,L2TP隧道和会话建立流程,隧道、会话建立流程L2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上,如果会话建立前隧道已经建立,则隧道不用重新建立。 隧道建立流程:三次握手会话建立流程:三次握手,LAC LNSSCCRQSCCRP SCCCN,LAC LNSICRQ ICRP ICCN,L2TP隧道和会话维护和拆除流程,隧道维护流程,LAC/LNS L

6、NS/LAC Hello ZLB,隧道拆除流程,会话维护流程,LAC/LNS LNS/LAC StopCNN ZLB,LAC/LNS LNS/LAC CDN ZLB,L2TP 协议栈结构及数据包的封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,L2TP的配置任务及命令(

7、1),LAC 侧的配置 配置AAA认证和本地用户 启用VPDNQuidway l2tp enable 创建VPDN组Quidway l2tp-group group-number 配置发起L2TP连接请求及LNS地址Quidway-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | dnis dialed-number | fullusername user-name ,L2TP 的配置任务及命令(2),LNS 侧的配置 配置本地VPDN用户 启用VPDN 创建VPDN组 创建虚接口模板并为用户分配IP地址Quidw

8、ay interface virtual-template virtual-template-number Quidway-Virtual-Template1 remote address pool pool-name 配置接收呼叫的隧道对端名称Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name ,Internet,L2TP的配置举例,Quidway local-user vpdnuser password cipher Hello Quidway ip pool 1 192.

9、168.0.2 192.168.0.100 Quidway aaa-enable Quidway aaa authentication-scheme login default local Quidway aaa accounting-scheme optional Quidway interface virtual-template 1 Quidway-Virtual-Template1 ip address 192.168.0.1 255.255.255.0 Quidway-Virtual-Template1 ppp authentication-mode chap Quidway-Vir

10、tual-Template1 remote address pool 1 Quidway l2tp enable Quidway l2tp-group 1 Quidway-l2tp1 tunnel name lns-end Quidway-l2tp1 allow l2tp virtual-template 1 remote lac-end Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel password simple quidway,Quidway local-user vpdnuser password cipher Hell

11、o Quidway aaa-enable Quidway aaa authentication-scheme login default local Quidway aaa accounting-scheme optional Quidway l2tp enable Quidway l2tp-group 1 Quidway-l2tp1 tunnel name lac-end Quidway-l2tp1 start l2tp ip 202.38.160.2 fullusername vpdnuser Quidway-l2tp1 tunnel authentication Quidway-l2tp

12、1 tunnel password simple quidway,LNS,LAC,PSTN,L2TP的可选参数配置(1),可选配的参数 配置本端名称Quidway-l2tp1 tunnel name name 启用隧道验证及配置密码Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel password simple | cipher password 配置隧道Hello报文发送时间间隔Quidway-l2tp1 tunnel timer hello hello-interval 配置域名分隔符及查找顺序Quidway-l2tp1l2t

13、p domain prefix-separator | suffix-separator delimiters,L2TP的可选参数配置(2),可选配的参数 配置强制本端CHAP验证Quidway-l2tp1 mandatory-chap 配置强制LCP重新协商Quidway-l2tp1 mandatory-lcp 配置隧道流控接收窗口的大小Quidway-l2tp1 tunnel flow-control receive-window size 配置L2TP最大会话数Quidway-l2tp1 l2tp session-limit session-number,L2TP隧道和会话的验证过程,呼

14、叫建立,PPP LCP 协商通过,LAC CHAP Challenge,用户 CHAP Response,隧道验证(可选),SCCRP (LNS CHAP Response & LNS CHAP Challenge),SCCRQ (LAC CHAP Challenge),SCCCN (LAC CHAP Response),ICCN(用户 CHAP Response & PPP 已经协商好的参数),LNS CHAP Challenge,可选的第二次验证,用户 CHAP Response,验证通过,L2TP的调试,显示当前的L2TP隧道的信息,Quidway display l2tp tunnel

15、 LocalID RemoteID RemName RemAddress Sessions Port1 8 AS8010 172.168.10.2 1 1701 Total tunnels = 1,显示当前的L2TP会话的信息,Quidway display l2tp session LocalID RemoteID TunnelID1 1 2Total session = 1,打开L2TP调试信息开关debugging l2tp all | control | error | event | hidden | payload | time-stamp ,L2TP 排错,用户登录失败 Tunn

16、el建立失败 在LAC端,LNS的地址配置不正确 LNS(通常为路由器)端没有配置可以接收该通道对端的VPDN组 Tunnel验证不通过,若配置了验证,应保证双方的通道密码一致 PPP协商不通过 LAC端配置的用户名与密码有误,或者是LNS端未设相应的用户 LNS端不能分配地址,比如地址池配置的较小,或没有进行配置 通道密码验证的类型不一致 数据传输失败,在建立连接后数据不能传输 LAC配置的地址有误 网络拥挤,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec & IKE,GRE,GRE (Generic Routing Encapsulation): 是对

17、某些网络层协议(如:IP, IPX, AppleTalk等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输 GRE 提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为tunnel,GRE 协议栈,乘客协议,封装协议,运输协议,GRE协议栈,隧道接口的报文格式,链路层,GRE,IP/IPX,IP,Payload,使用GRE构建VPN,Original Data Packet,Transfer Protocol Header,GRE Header,Internet,Tunnel,企业总部,分支机构,GRE的配置任务及

18、命令,创建虚拟Tunnel接口Quidway interface tunnel tunnel-number 配置Tunnel接口的源端地址Quidway -Tunnel0 source ip-address 配置Tunnel接口的目的地址Quidway -Tunnel0 destination ip-address 配置Tunnel接口的网络地址Quidway -Tunnel0 ip address ip-address mask | unnumbered interface-type interface-number ,GRE的配置举例,RouterB-Serial0ip address 1

19、.1.1.1 255.255.255.0 RouterB-Ethernet0ip address 10.10.1.1 255.255.255.0 RouterB-Tunnel0ip address 3.3.3.1 255.255.255.0 RouterB-Tunnel0 source 1.1.1.1 RouterB-Tunnel0 destination 2.2.2.1 RouterB ip route-static 2.2.2.1 24 s0 RouterB ip route-static 10.10.2.0 24 3.3.3.2,RouterA-Serial0ip address 2.2

20、.2.1 255.255.255.0 RouterA-Ethernet0ip address 10.10.2.1 255.255.255.0 RouterA-Tunnel0ip address 3.3.3.2 255.255.255.0 RouterA-Tunnel0 source 2.2.2.1 RouterA-Tunnel0 destination 1.1.1.1 RouterAip route-static1.1.1.1 24 s0 RouterAip route-static 10.10.1.1 24 3.3.3.1,GRE的可选参数配置,Tunnel接口的识别关键字 Quidway

21、-Tunnel0 gre key key-number 配置Tunnel进行数据报序列号同步 Quidway -Tunnel0 gre sequence-datagrams Tunnel接口使用校验 Quidway -Tunnel0 gre checksum,GRE的调试,Quidway display interfaces tunnel 1Tunnel1 is up, line protocol is upMaximum Transmission Unit is 128Internet address is 3.1.1.1 255.255.255.010 packets input, 640

22、 bytes0 input errors, 0 broadcast, 0 drops10 packets output, 640 bytes0 output errors, 0 broadcast, 0 no protocol,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec& IKE,IPSec,IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH(协议号51) 和报文安全封装协议ESP(协议号50)两个协议 IPSec有隧道(tunnel)和传送(transpor

23、t)两种工作方式,IPSec 的组成,IPSec 提供两个安全协议 AH (Authentication Header)报文认证头协议 MD5(Message Digest 5) SHA1(Secure Hash Algorithm) ESP (Encapsulation Security Payload)封装安全载荷协议 DES (Data Encryption Standard) 3DES其他的加密算法:Blowfish ,blowfish、cast ,IPSec 的安全特点,数据机密性(Confidentiality) 数据完整性(Data Integrity) 数据来源认证 (Data

24、 Authentication) 反重放(Anti-Replay),IPSec 基本概念,数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全策略 安全提议,AH协议,数据,IP 包头,数据,IP 包头,AH,AH,新IP 包头,传输模式,隧道模式,AH头结构,0,8,16,31,ESP 协议,数据,IP 包头,加密后的数据,IP 包头,ESP头部,ESP头,新IP 包头,传输模式,隧道模式,ESP尾部,ESP验证,ESP尾部,ESP验证,ESP

25、协议包结构,IKE,IKE(Internet Key Exchange,因特网密钥交换协议) 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥,IKE的安全机制,完善的前向安全性 数据验证 身份验证 身份保护 DH交换和密钥分发,IKE的交换过程,SA交换,密钥交换,ID交换及验证,发送本地 IKE策略,身份验证和 交换过程验证,密钥生成,密钥生成,接受对端 确认的策略,查找匹配 的策略,身份验证和 交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份

26、和验证数据,Peer1,Peer2,DH交换及密钥产生,a,c=gamodp,damodp,peer2,peer1,b,d=gbmodp,cbmodp,damodp= cbmodp=gabmodp,(g ,p),IKE在IPSec中的作用,降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证,IPSec 与IKE的关系,IKE,IPSec,IKE,IPSec,IKE的SA协商,SA,SA,IPSec配置前的准备,确定需要保护的数据 确定使用安全保护的路径 确定使用那种安全保护 确定安全保护的强度,Internet,IPSec 的配置任务及

27、命令(1),创建加密访问控制列表 定义安全提议 Quidway ipsec proposal proposal-name Quidway ipsec card-proposal proposal-name 设置安全协议对IP报文的封装模式 Quidway-crypto-transform-trans encapsulation-mode transport | tunnel 选择安全协议 Quidway-crypto-transform-trans transform ah-new | esp-new | ah-esp-new 设置AH协议采用的认证算法 ah-new authenticati

28、on-algorithm md5-hmac-96 | sha1-hmac-96 ESP协议采用的认证算法esp-new authentication-algorithm md5-hmac-96 | sha1-hmac-96 ESP协议采用的加密算法 esp-new encryption-algorithm 3des | des | blowfish | cast | skipjack | aes | qc5 ,IPSec 的配置任务及命令(2),创建安全策略 Quidway ipsec policy policy-name sequence-number manual | isakmp 配置安

29、全策略引用的访问控制列表Quidway-ipsec-policy-policy1-10 security acl access-list-number 指定安全隧道的终点tunnel remote ip-address 配置安全策略中引用的转换方式 proposal proposal-name1 proposal-name2.proposal-name6 在接口上应用安全策略组Quidway-Serial0 ipsec policy policy-name,IKE的配置任务(1),创建IKE安全策略Quidway ike proposal policy-number 选择加密算法Quidway

30、-ike-proposal-10 encryption-algorithm des-cbc | 3des-cbc 选择认证方法Quidway-ike-proposal-10 authentication-method pre-share 选择哈希散列算法Quidway-ike-proposal-10 authentication-algorithm md5 | sha 选择DH的组标识Quidway-ike-proposal-10 dh group1 | group2 设置IKE协商安全联盟的生存周期Quidway-ike-proposal-10 sa duration seconds,IKE

31、的配置任务(2),配置预共享密钥Quidway ike pre-shared-key key remote remote-address 配置IKE keepalive定时器Quidway ike sa keepalive-timer interval | timeout seconds,IPSec 的配置举例,RouterA-Ethernet0 ip address 10.1.1.1 255.255.255.0 RouterA-Serial0 ip address 202.38.163.1 255.255.255.0 RouterA acl 101 RouterA -acl-101 rule

32、 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 RouterA -acl-101 rule deny ip source any destination any RouterA ipsec proposal tran1 RouterA -ipsec-proposal-tran1 encapsulation-mode tunnel RouterA -ipsec-proposal-tran1 transform esp-new RouterA -ipsec-proposal-tran1 esp-new encr

33、yption-algorithm des RouterA-ipsec-proposal-tran1 esp-new authentication-algorithm sha1-hmac-96 RouterA ipsec policy policy1 10 isakmp RouterA -ipsec-policy-policy1-10 security acl 101 RouterA -ipsec-policy-policy1-10 tunnel remote 202.38.162.1 RouterA -ipsec-policy-policy1-10 proposal tran1 RouterA

34、 ike proposal 10 RouterA -ike-proposal-10 authentication-algorithm md5 RouterA -ike-proposal-10 authentication-method pre-share RouterA -ike-proposal-10 dh group1 RouterA -ike-proposal-10 sa duration 5000 RouterA ike pre-shared-key abcde remote 202.38.162.1 RouterA ike sa keepalive-timer interval 10

35、0 RouterA ike sa keepalive-timer timeout 300 RouterA -Serial0 ipsec policy policy1 RouterA ip route-static 10.1.2.0 255.255.255.0 202.38.162.1,IPSec 的监控与调试,显示安全联盟的相关信息 display ipsec sa all | brief | remote ip-address | policy policy-name sequence-number | parameters dest-address protocol spi ,Quidwa

36、y display ipsec sa brief Src Address Dst Address SPI Protocol Algorithm 202.38.162.1 202.38.163.1 54321 NEW_ESP E:DES; A:HMAC-SHA1-96; 202.38.163.1 202.38.162.1 12345 NEW_ESP E:DES; A:HMAC-SHA1-96;#,IPSec调试信息开关 debugging ipsec misc | packet | sa ,IKE 的监控与调试,显示IKE安全联盟参数 display ike sa,Quidway display

37、 ike sa Connect-ID Peer Flag Phase Doi2 11.0.0.2 RD 2 IPSEC1 11.0.0.2 RD 1 IPSEC Flag meaningRD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUT,调试IKE安全联盟debugging ike all | crypto | error | message | misc | sysdep | timer | transport ,IPSec 故障排错,非法用户身份信息 用户身份信息是发起IPSec通信的用户用来标识自己的数据。我们是通过用户的IP地址来标识用户 检查协商两端接口上配置的ipsec policy中的访问控制列表内容是否相容.建议用户将两端的访问控制列表配置成互为镜像的 策略不匹配 检查双方接口上配置的ipsec policy使用的协议,加密算法和认证算法是否一致,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报