VPN原理.pptx

VPN原理.pptx

《VPN原理.pptx》由会员分享，可在线阅读，更多相关《VPN原理.pptx（189页珍藏版）》请在冰点文库上搜索。

VPN原理和配置,日期：

杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,H3C安全网络学院教程1.0,随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性,引入,理解VPN的体系结构掌握GREVPN的工作原理和配置掌握L2TPVPN的工作原理和配置掌握IPSecVPN的工作原理和配置执行基本的VPN设计,课程目标,学习完本课程，您应该能够：

VPN概述GREVPNL2TPIPSecVPNVPN设计规划,目录,VPN概述,VPN概念VPN的分类主要VPN技术,VPN（VirtualPrivateNetwork）,合作伙伴,隧道,办事处,总部,分支机构,异地办事处,Internet,VPN的优势,可以快速构建网络，减小布署周期与私有网络一样提供安全性，可靠性和可管理性简化用户侧的配置和维护工作提高基础资源利用率节约使用开销有效利用基础设施，提供大量、多种业务,VPN的关键概念术语,隧道（Tunnel）封装（Encapsulation）验证（Authentication）授权（Authorization）加密（Encryption）解密（Decryption）,VPN的分类方法,按照业务用途分类AccessVPN，IntranetVPN，ExtranetVPN按照运营模式CPE-BasedVPN，Network-BasedVPN按照组网模型VPDN，VPRN，VLL，VPLS按照网络层次Layer1VPN，Layer2VPN，Layer3VPN，传输层VPN，应用层VPN,不同网络层次的VPN,一层VPN二层VPN三层VPN传输层VPN应用层VPN,主要VPN技术,主要的二层VPN技术L2TPPPTPMPLSL2VPN主要的三层VPN技术GREIPSecVPNBGP/MPLSVPN,其它VPN技术,老式VPN技术包括ATM，FrameRelay，X.25等分组交换技术SSL（SecureSocketsLayer）L2F（Layer2Forwarding）DVPN（DynamicVirtualPrivateNetwork，动态VPN）基于VLAN的VPN802.1QinQXOT（X.25overTCPProtocol）,VPN概述GREVPNL2TPIPSecVPNVPN设计规划,目录,GREVPN,概述GRE封装GREVPN工作原理GREVPN配置GREVPN典型应用小结,GREVPN,GRE（GenericRoutingEncapsulation）在任意一种网络协议上传送任意一种其它网络协议的封装方法RFC2784可以用于任意的VPN实现GREVPN直接使用GRE封装，在一种网络上传送其它协议虚拟的隧道（Tunnel）接口,GRE协议栈,协议B,GRE,协议A,链路层协议,载荷协议,封装协议,承载协议,协议B载荷,GRE封装包格式,链路层,GRE,协议B,协议A,载荷,载荷协议包,以IP作为承载协议的GRE封装,GRE被当作一种IP协议对待IP用协议号47标识GRE,链路层,GRE,IP,IP协议号47,以IP作为载荷协议的GRE封装,GRE使用以太类型标识载荷协议载荷协议类型值0x0800说明载荷协议为IP,IPoverIP的GRE封装,GRE隧道,RTA,RTB,IP,IPX,IPX,GRETunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IPX数据流,IPX包,IPX包,GRE封装包,IPoverIPGRE隧道,RTA,RTB,IP公网,IP私网,IP私网,GRETunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,IP私网之间的数据流,私网IP包,GRE封装包,私网IP包,GRE隧道处理流程,隧道起点路由查找加封装承载协议路由转发中途转发解封装隧道终点载荷协议路由查找,GRE隧道处理隧道起点路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,GRE隧道处理加封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTATunnel0接口参数：

GRE封装源接口S0/0，地址202.1.1.1目标地址203.1.1.2,D,S,私网IP包,GRE头,公网IP头,目的地址：

203.1.1.2,源地址：

202.1.1.1,S0/0,S0/0,E0/0,E0/0,GRE隧道处理承载协议路由转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,S0/0,S0/0,E0/0,E0/0,GRE隧道处理中途转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,GRE隧道处理解封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTBTunnel0接口参数：

GRE封装源接口S0/0，地址202.1.1.1目标地址203.1.1.2,D,S,私网IP包,GRE头,公网IP头,私网IP包,S0/0,S0/0,E0/0,E0/0,GRE隧道处理隧道终点载荷协议路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,S0/0,S0/0,E0/0,E0/0,GREVPN基本配置,创建虚拟Tunnel接口H3Cinterfacetunnelnumber指定Tunnel的源端H3C-Tunnel0sourceip-addr|interface-typeinterface-num指定Tunnel的目的端H3C-Tunnel0destinationip-address设置Tunnel接口的网络地址H3C-Tunnel0ipaddressip-addressmask配置通过Tunnel的路由,GREVPN路由配置,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,载荷网路由AS,承载网路由AS,GREVPN高级配置,设置Tunnel接口报文的封装模式H3C-Tunnel0tunnel-protocolgre设置Tunnel两端进行端到端校验H3C-Tunnel0grechecksum设置Tunnel接口的识别关键字H3C-Tunnel0grekeykey-number配置Tunnel的keepalive功能H3C-Tunnel0keepaliveintervaltimes,虚假的Tunnel接口状态,RTA,RTB,站点A,站点B,E1/0,E1/0,E0/0,E0/0,Tunnel0,Tunnel0,备份隧道空闲！

服务器,服务器,RTC,E1/0,E0/0,Tunnel0,Tunnel1,UP,UP,UP,UP,GREVPN配置示例网络拓扑,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,132.108.5.2/24,192.13.2.1/24,GREVPN配置示例配置命令,RTB-Serial1/0ipaddress132.108.5.2255.255.255.0RTB-Ethernet0/0ipaddress10.1.3.1255.255.255.0RTBinterfacetunnel0RTB-Tunnel0ipaddress10.1.2.2255.255.255.0RTB-Tunnel0source132.108.5.2RTB-Tunnel0destination192.13.2.1RTBiproute-static10.1.1.0255.255.255.0tunnel0,RTA-Serial1/0ipaddress192.13.2.1255.255.255.0RTA-Ethernet0/0ipaddress10.1.1.1255.255.255.0RTAinterfacetunnel0RTA-Tunnel0ipaddress10.1.2.1255.255.255.0RTA-Tunnel0source192.13.2.1RTA-Tunnel0destination132.108.5.2RTAiproute-static10.1.3.0255.255.255.0tunnel0,GREVPN的显示和调试,显示Tunnel接口的工作状态displayinterfacetunnelnumber例如：

H3Cdisplayinterfacestunnel1Tunnel1isup,lineprotocolisupMaximumTransmissionUnitis128Internetaddressis1.1.1.1255.255.255.010packetsinput,640bytes0inputerrors,0broadcast,0drops10packetsoutput,640bytes0outputerrors,0broadcast,0noprotocol打开Tunnel调试信息debuggingtunnel,GREVPN配置（web方式）,新建GRE隧道在导航栏中选择“VPNGRE”,GREVPN配置示例1（web方式）,1,2,GREVPN配置示例2（web方式）,3,4,典型应用连接不连续的网络,RTA,RTB,IP,IPX,IPX,GRETunnel,站点A,站点B,Tunnel0,Tunnel0,S0/0,S0/0,E0/0,E0/0,典型应用单一骨干承载多个上层协议,RTA,RTB,IP,IPX,IPX,GRETunnel,站点A,站点B,Tunnel0,Tunnel0,IP,IP,Team1,Team2,Group1,Group2,S0/0,S0/0,E0/0,E0/0,典型应用扩大载荷协议的工作范围,RTA,RTB,IP公网,载荷协议,载荷协议,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,GREVPN的优点,可以当前最为普遍的IP网络作为承载网络支持多种协议支持IP组播简单明了、容易布署,GREVPN的缺点,点对点隧道静态配置隧道参数布署复杂连接关系时代价巨大缺乏安全性不能分隔地址空间,VPN概述GREVPNL2TPIPSecVPNVPN设计规划,目录,L2TP,概述概念术语协议封装协议操作L2TP多实例配置和故障排除小结,L2TP,LayerTwoTunnelProtocolRFC2661隧道传送PPP验证和动态地址分配无加密措施点对网络特性,传统拨号接入,PSTN/ISDN,LAN,总部,NAS,出差员工,RADIUS,使用L2TP构建VPDN,L2TP功能组件,远程系统（RemoteSystem）LAC（L2TPAccessConcentrator）LNS（L2TPNetworkServer）NAS（NetworkAccessServer）,L2TP术语,呼叫（Call）隧道（Tunnel）控制连接（ControlConnection）会话（Session）AVP（AttributeValuePair）,呼叫,隧道和控制连接,会话,L2TP拓扑结构

（1）独立LAC方式,L2TP拓扑结构

（2）客户LAC方式,L2TP头格式,L2TP协议栈和封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,PPP,IP包（公有IP）,UDP,L2TP,PPP,IP包（私有IP）,链路层,私有IP,PPP,物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,L2TP协议操作,建立控制连接建立会话转发PPP帧Keepalive关闭会话关闭控制连接,建立控制连接,LAC,LNS,SCCRQSCCRPSCCCNZLB,控制连接的建立由PPP触发任意源端口1701重定位为任意源端口任意目标端口,建立会话,LAC,LNS,ICRQICRPICCNZLB,会话的建立以控制连接的建立为前提会话与呼叫有一一对应关系同一个隧道中可以建立多个会话,转发PPP帧,会话建立后，即可转发PPP帧TunnelID和SessionID用于区分不同隧道和不同会话的数据,Keepalive,LAC,LNS,HelloHello,L2TP用Hello控制消息维护隧道的状态,关闭会话,关闭控制连接,L2TP的验证过程,L2TP多实例,L2TP协议上加入多实例技术，让L2TP支持在一台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。

VPN1总部,Client,LNS,HOST,Internet,L2TPTUNNEL,Client,VPN2总部,VPN1,HOST,VPN2,10.1.1.*,10.1.1.*,10.1.2.*,10.1.2.*,L2TP基本配置任务,LAC侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组设置发起L2TP连接请求及LNS地址LNS侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组创建虚接口模板设置本端地址及分配的地址池设置接收呼叫的虚接口模板、通道对端名称和域名,L2TP基本配置命令LAC侧,LAC侧的配置设置用户名、密码及配置用户验证启用L2TPH3Cl2tpenable创建L2TP组H3Cl2tp-groupgroup-number设置发起L2TP连接请求及LNS地址H3C-l2tp1startl2tpipip-addressipip-addressdomaindomain-name|fullusernameuser-name,L2TP基本配置命令LNS侧,LNS侧的配置设置用户名、密码及配置用户验证启用L2TPH3Cl2tpenable创建L2TP组H3Cl2tp-groupgroup-number创建虚接口模板H3Cinterfacevirtual-templatevirtual-template-number设置本端地址及为用户分配的地址池H3C-Virtual-Template1ipaddressX.X.X.XnetmaskH3C-Virtual-Template1remoteaddresspoolpool-number设置接收呼叫的虚拟接口模板、通道对端名称和域名L2TP组不为1：

H3C-l2tp1allowl2tpvirtual-templatevirtual-template-numberremoteremote-namedomaindomain-nameL2TP组为1：

H3C-l2tp1allowl2tpvirtual-templatevirtual-template-numberremoteremote-namedomaindomain-name,L2TP可选配置任务,LAC和LNS侧可选配的参数设置本端名称启用隧道验证及设置密码设置通道Hello报文发送时间间隔设置域名分隔符及查找顺序强制挂断通道LNS侧可选配的参数强制本端CHAP认证强制LCP重新协商,L2TP的可选配置命令

（1）,LAC侧和LNS侧可选配的参数设置本端名称H3C-l2tp1tunnelnamename启用隧道验证及设置密码H3C-l2tp1tunnelauthenticationH3C-l2tp1tunnelpasswordsimple|cipherpassword设置通道Hello报文发送时间间隔H3C-l2tp1tunneltimerhellohello-interval,L2TP的可选配置命令

（2）,LAC侧和LNS侧可选配的参数配置域名分隔符及查找顺序设置前缀分隔符H3C-l2tp1l2tpdomainprefix-separatorseparator设置后缀分隔符H3C-l2tp1l2tpdomainsuffix-separatorseparator设置查找规则H3C-l2tp1l2tpmatch-orderdnis-domain|dnis|domain-dnis|domain强制挂断通道resetl2tptunnelremote-name|tunnel-id,L2TP的可选配置命令（3）,LNS侧可选配的参数强制本端CHAP验证H3C-l2tp1mandatory-chap强制LCP重新协商H3C-l2tp1mandatory-lcp,L2TP配置（web方式）,启用L2TP功能在导航栏中选择“VPNL2TPL2TP配置”,新建L2TP用户组,L2TP配置（web方式）,L2TP配置（web方式）,查看L2TP隧道信息导航栏中选择“VPNL2TP隧道信息”,L2TP配置例子独立LAC方式

（1）,LAC,LNS,LAClocal-uservpdnuserH3C.comLAC-luser-vpdnuserH3C.compasswordsimpleHelloLACdomainH3C.comLAC-isp-H3C.comschemelocalLACl2tpenableLACl2tp-group1LAC-l2tp1tunnelnameLACLAC-l2tp1startl2tpip202.38.160.2domainH3C.comLAC-l2tp1tunnelauthenticationLAC-l2tp1tunnelpasswordsimpleH3C,PSTN/ISDN,L2TP配置例子独立LAC方式

（2）,LNSlocal-uservpdnuserH3C.comLNS-luser-vpdnuserH3C.compasswordsimpleHelloLNSinterfacevirtual-template1LNS-virtual-template1ipaddress192.168.0.1255.255.255.0LNS-virtual-template1pppauthentication-modechapdomainH3C.comLNSdomainH3C.comLNS-isp-H3C.comschemelocalLNS-isp-H3C.comippool1192.168.0.2192.168.0.100LNSl2tpenableLNSl2tp-group1LNS-l2tp1tunnelnameLNSLNS-l2tp1allowl2tpvirtual-template1remoteLACLNS-l2tp1tunnelauthenticationLNS-l2tp1tunnelpasswordsimpleH3C,LAC,LNS,PSTN/ISDN,L2TP配置例子Client-InitiatedVPN,#配置用户名为vpdnuser、密码为Hello、业务类型为PPP的本地用户。

#使能L2TP功能。

在导航栏中选择“VPNL2TPL2TP配置”。

选中“启用L2TP功能”前的复选框。

单击按钮完成操作。

#新建L2TP用户组。

在L2TP配置页面单击按钮。

输入L2TP用户组名称为“test”。

输入对端隧道名称为“vpdnuser”。

输入本端隧道名称为“LNS”。

选择隧道验证为“启用”。

输入隧道验证密码为“aabbcc”。

选择PPP认证方式为“CHAP”。

选择ISP域名为“system”（缺省的ISP域）。

输入PPPServer地址/掩码为“192.168.0.1/255.255.255.0”。

选择PPPServer所属安全域为“Trust”。

单击用户地址的按钮。

选择域名为“system”。

输入地址池编号为“1”。

输入开始地址为“192.168.0.2”。

输入结束地址为“192.168.0.100”。

单击按钮完成地址池的配置，返回到L2TP用户组的配置页面。

选择用户地址为“1”。

选择强制地址分配为“启用”。

单击按钮完成操作。

1,2,3,4,L2TP信息显示和调试,显示当前的L2TP通道的信息,H3Cdisplayl2tptunnelLocalIDRemoteIDRemNameRemAddressSessionsPort18AS8010172.168.10.211701Totaltunnels=1,显示当前的L2TP会话的信息,H3Cdisplayl2tpsessionLocalIDRemoteIDTunnelID112Totalsession=1,打开L2TP调试信息开关debuggingl2tpall|control|dump|error|event|hidden|payload|time-stamp,L2TP故障排除,用户登录失败Tunnel建立失败在LAC端，LNS的地址设置不正确LNS（通常为路由器）端没有设置可以接收该隧道对端的L2TP组Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致PPP协商不通过LAC端设置的用户名与密码有误，或者是LNS端没有设置相应的用户LNS端不能分配地址，比如地址池设置的较小，或没有进行设置密码验证类型不一致数据传输失败，在建立连接后数据不能传输，如Ping不通对端用户设置的地址有误网络拥挤,L2TP特点,方便远程