VPN协议原理实用培训教程 课件

Page1VPN协议原理ISSUE1.0VPN协议原理ISSUE1.0Page2本课程主要介绍VPN协议原理以及分别介绍L2TP、GRE和IPSEC三种常见的实现VPN技术。前言本课程主要介绍VPN协议原理以及分别介绍L2TP、GRE和Page3学习指南本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书，合理有效利用上述资料您将会取得良好的学习效果。学习指南本课程全套资料包括培训胶片、配套原理教材、多媒体课件Page4参考资料VRP3.30《操作手册》、《命令手册》《故障信息收集排错指导书》。参考资料VRP3.30《操作手册》、《命令手册》Page5学习完此课程，您将会：掌握VPN的概念和分类掌握实现IPVPN的相关协议。目标学习完此课程，您将会：目标Page6第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE内容介绍第1章VPN概述内容介绍Page7VPN的定义VPN——VirtualPrivateNetworkInternet出差员工隧道专线办事处总部分支机构合作伙伴异地办事处VPN的定义VPN——VirtualPrivateNePage8VPN的分类按应用类型分类：AccessVPNIntranetVPNExtranetVPN按实现的层次分类：二层隧道VPN三层隧道VPNVPN的分类按应用类型分类：Page9VPDN适用范围：出差员工异地小型办公机构POPPOP用户直接发起连接POPISP发起连接总部隧道VPDN适用范围：POPPOP用户直接发起连接POPISP发Page10IntranetVPNInternet/ISPIPATM/FR隧道总部研究所办事处分支机构IntranetVPNInternet/ISPIP隧道Page11ExtranetVPNInternet/ISPIPATM/FR分支机构合作伙伴总部异地办事处ExtranetVPNInternet/ISPIP分支Page12按实现的层次分类二层隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocol按实现的层次分类二层隧道VPNPage13VPN设计原则安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性VPN设计原则安全性Page14第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE内容介绍第1章VPN概述内容介绍Page15L2TP协议概述L2TP:Layer2TunnelProtocol第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.特性灵活的身份验证机制以及高度的安全性多协议传输支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性L2TP协议概述L2TP:Layer2TunnelPage16使用L2TP构建VPDNLAC:L2TPAccessConcentratorL2TP的接入集中器LNS:L2TPNetworkServerL2TP的网络服务器LAC/LNSRadius:LAC/LNS的远端验证服务器PSTN/ISDNLAN总部LACLNSQuidwayNASQuidwayRouterL2TP

消息数据消息控制消息会话隧道出差员工LACRADIUSLNSRADIUS使用L2TP构建VPDNLAC:L2TPAccessPage17L2TP隧道和会话建立流程隧道、会话建立流程L2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。隧道建立流程：三次握手会话建立流程：三次握手LAC LNSSCCRQ SCCRPSCCCNLAC LNSICRQ ICRPICCNL2TP隧道和会话建立流程隧道、会话建立流程LAC LNSPage18L2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNS LNS/LACHello ZLB隧道拆除流程会话维护流程LAC/LNS LNS/LACStopCNN ZLBLAC/LNS LNS/LACCDN ZLBL2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNS Page19L2TP协议栈结构及数据包的封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧解封装过程L2TP协议栈结构L2TP协议栈结构及数据包的封装过程私有IPPPPL2TPPage20L2TP隧道和会话的验证过程ICCN（用户CHAPResponse&PPP

已经协商好的参数）SCCCN(LACCHAPResponse)SCCRQ(LACCHAPChallenge)呼叫建立PPPLCP协商通过LACCHAPChallenge用户

CHAPResponse隧道验证(可选)LNSCHAPChallenge可选的第二次验证用户

CHAPResponse验证通过PSTN/ISDNInternetLACLNSL2TP隧道和会话的验证过程ICCN（用户CHAPResPage21第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE内容介绍第1章VPN概述内容介绍Page22GREGRE(GenericRoutingEncapsulation):是对某些网络层协议（如：IP,IPX,AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnelGREGRE(GenericRoutingEncapsPage23GRE协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayloadGRE协议栈IP/IPXGREIP链路层协议乘客协议封装协Page24使用GRE构建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企业总部分支机构使用GRE构建VPNOriginalDataPacketPage25第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE内容介绍第1章VPN概述内容介绍Page26IPSecIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式IPSecIPSec（IPSecurity）是IETF制定Page27IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES

其他的加密算法：Blowfish，blowfish、cast…IPSec的组成IPSec提供两个安全协议Page28IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证（DataAuthentication）反重放（Anti-Replay）IPSec的安全特点数据机密性（ConfidentialiPage29IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全策略安全提议IPSec基本概念数据流(DataFlow)Page30AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631AH协议数据IP包头数据IP包头AH数据原IP包头AHPage31ESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分ESP协议数据IP包头加密后的数据IP包头ESP头部EPage32IKEIKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥IKEIKE（InternetKeyExchange，Page33IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发IKE的安全机制完善的前向安全性Page34IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2IKE的交换过程SA交换密钥交换ID交换及验证发送本地身份验Page35DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)DH交换及密钥产生ac=gamodpdamodppeer2pPage36IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证IKE在IPSec中的作用降低手工配置的复杂度Page37IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASAIPSec与IKE的关系IKETCPUDPIPSecIKEPage38小结在本课程中我们学习了VPN协议的定义和分类，还学习了实现VPN常见的L2TP、GRE和IPSEC三种协议。小结小结在本课程中我们学习了VPN协议的定义和分类，还学习了实现VPN协议原理实用培训教程课件更多资源./更多资源.演讲完毕，谢谢观看！演讲完毕，谢谢观看！Page42VPN协议原理ISSUE1.0VPN协议原理ISSUE1.0Page43本课程主要介绍VPN协议原理以及分别介绍L2TP、GRE和IPSEC三种常见的实现VPN技术。前言本课程主要介绍VPN协议原理以及分别介绍L2TP、GRE和Page44学习指南本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书，合理有效利用上述资料您将会取得良好的学习效果。学习指南本课程全套资料包括培训胶片、配套原理教材、多媒体课件Page45参考资料VRP3.30《操作手册》、《命令手册》《故障信息收集排错指导书》。参考资料VRP3.30《操作手册》、《命令手册》Page46学习完此课程，您将会：掌握VPN的概念和分类掌握实现IPVPN的相关协议。目标学习完此课程，您将会：目标Page47第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE内容介绍第1章VPN概述内容介绍Page48VPN的定义VPN——VirtualPrivateNetworkInternet出差员工隧道专线办事处总部分支机构合作伙伴异地办事处VPN的定义VPN——VirtualPrivateNePage49VPN的分类按应用类型分类：AccessVPNIntranetVPNExtranetVPN按实现的层次分类：二层隧道VPN三层隧道VPNVPN的分类按应用类型分类：Page50VPDN适用范围：出差员工异地小型办公机构POPPOP用户直接发起连接POPISP发起连接总部隧道VPDN适用范围：POPPOP用户直接发起连接POPISP发Page51IntranetVPNInternet/ISPIPATM/FR隧道总部研究所办事处分支机构IntranetVPNInternet/ISPIP隧道Page52ExtranetVPNInternet/ISPIPATM/FR分支机构合作伙伴总部异地办事处ExtranetVPNInternet/ISPIP分支Page53按实现的层次分类二层隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocol按实现的层次分类二层隧道VPNPage54VPN设计原则安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性VPN设计原则安全性Page55第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE内容介绍第1章VPN概述内容介绍Page56L2TP协议概述L2TP:Layer2TunnelProtocol第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.特性灵活的身份验证机制以及高度的安全性多协议传输支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性L2TP协议概述L2TP:Layer2TunnelPage57使用L2TP构建VPDNLAC:L2TPAccessConcentratorL2TP的接入集中器LNS:L2TPNetworkServerL2TP的网络服务器LAC/LNSRadius:LAC/LNS的远端验证服务器PSTN/ISDNLAN总部LACLNSQuidwayNASQuidwayRouterL2TP

消息数据消息控制消息会话隧道出差员工LACRADIUSLNSRADIUS使用L2TP构建VPDNLAC:L2TPAccessPage58L2TP隧道和会话建立流程隧道、会话建立流程L2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。隧道建立流程：三次握手会话建立流程：三次握手LAC LNSSCCRQ SCCRPSCCCNLAC LNSICRQ ICRPICCNL2TP隧道和会话建立流程隧道、会话建立流程LAC LNSPage59L2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNS LNS/LACHello ZLB隧道拆除流程会话维护流程LAC/LNS LNS/LACStopCNN ZLBLAC/LNS LNS/LACCDN ZLBL2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNS Page60L2TP协议栈结构及数据包的封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧解封装过程L2TP协议栈结构L2TP协议栈结构及数据包的封装过程私有IPPPPL2TPPage61L2TP隧道和会话的验证过程ICCN（用户CHAPResponse&PPP

已经协商好的参数）SCCCN(LACCHAPResponse)SCCRQ(LACCHAPChallenge)呼叫建立PPPLCP协商通过LACCHAPChallenge用户

CHAPResponse隧道验证(可选)LNSCHAPChallenge可选的第二次验证用户

CHAPResponse验证通过PSTN/ISDNInternetLACLNSL2TP隧道和会话的验证过程ICCN（用户CHAPResPage62第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE内容介绍第1章VPN概述内容介绍Page63GREGRE(GenericRoutingEncapsulation):是对某些网络层协议（如：IP,IPX,AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnelGREGRE(GenericRoutingEncapsPage64GRE协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayloadGRE协议栈IP/IPXGREIP链路层协议乘客协议封装协Page65使用GRE构建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企业总部分支机构使用GRE构建VPNOriginalDataPacketPage66第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE内容介绍第1章VPN概述内容介绍Page67IPSecIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式IPSecIPSec（IPSecurity）是IETF制定Page68IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES

其他的加密算法：Blowfish，blowfish、cast…IPSec的组成IPSec提供两个安全协议Page69IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证（DataAuthentication）反重放（Anti-Replay）IPSec的安全特点数据机密性（ConfidentialiPage70IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全策略安全提议IPSec基本概念数据流(DataFlow)Page71AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631AH协议数据IP包头数据IP包头AH数据原IP包头AHPage72ESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模