HCSCA107-HCNA-Security-CBSN-第七章-VPN技术简介

修订记录课程编码适用产品产品版本课程版本ISSUEHCSCA107USG6000V100R001C30V2.5开发/优化者时间审核人开发类型（新开发/优化）陈灵光2011.7余雷第一版王锐2013.5朱恒2015.3陈昊优化本页不打印第七章

VPN技术简介目标学完本课程后，您将能够:了解VPN概念了解VPN有哪些关键技术了解VPN分类及应用了解L2TP基本原理学问及基本配置方法驾驭GREVPN的基本原理及配置方法书目VPN技术简介VPN分类VPN技术应用VPN定义VPN

虚拟专用网(VirtualPrivateNetwork)是一种“通过共享的公共网络建立私有的数据通道，将各个须要接入这张虚拟网的网络或终端通过通道连接起来，构成一个专用的、具有确定平安性和服务质量保证的网络”。虚拟 用户不再须要拥有实际的专用长途数据线路，而是利用Internet的长途数据线路建立自己的私有网络。专用网络 用户可以为自己制定一个最符合自己需求的网络。VPN常见技术隧道技术身份认证数据认证加解密技术密钥管理技术隧道技术Internet企业总部分支机构SOHO用户出差人员加解密技术信息密码学加密：明文变密文C=En(K,

P)信息明文密钥信息密文密码服务

保密性加密服务

完整性鉴别性抗抵赖性加密技术发展史

加密技术发展历程密码机双轨算法凯撒密码Scytale加密技术分类对称加密加密、解密用同一个密钥非对称加密在加密和解密中运用两个不同的密钥，私钥用来疼惜数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。密钥私钥公钥对称加密技术

共享密钥共享密钥abcdef密钥＝1010110101……加密算法解密算法ED*$@g)(!34*^hcftibfabcdef发送者接收者常见的对称加密算法流加密算法RC4分组加密算法DES3DESAESIDEARC2，RC5，RC6非对称加密技术

查找公钥库接收者公钥接受者私钥abcdef公钥＝1111010101……加密算法解密算法ED&^(#!b&%2(#c7(*@!Csabcdef发送者接收者私钥＝1010110101……对称与非对称算法对比加解密速度快密钥平安性高对称密钥算法非对称密钥算法密钥分发问题加解密对速度敏感优点缺点密钥交换Huaweitr09vi16vsk会话密钥明文密文会话密钥接收者的公钥tr09vi16vsk加密加密接收者的私钥解密会话密钥解密明文1234传送发送者接收者Huawei数据认证--散列算法散列算法：把随意长度的输入变换成固定长度的输出h=H(M)常见散列算法MD5SHA-1身份认证--数字签名

明文发送者接收者

摘要哈希函数tr09vi16vskPGGjx&%9$数字签名明文PGGjx&%9$数字签名明文tr09vi16vsk新摘要哈希函数tr09vi16vsk=？相同1234567发送者的私钥发送者的公钥HuaweiHuaweiHuawei没有篡改，是发送者发送的。身份认证--数字证书公钥的载体数字证书的格式X.509由受信任的机构颁发数字证书的存储持有者：XXX公开密钥:9f0a34...序列号:123465有效期:5/5/2008-5/5/2009颁发者:

根CA签名:CA数字签名证书路径:信任链密钥管理技术密钥产生支配保存更换与销毁密钥管理系统一个完整的密钥管理系统应当做到：密钥难以被窃取和复制即使窃取了密钥也没有用，密钥有运用范围和时间的限制密钥的支配和更换过程对用户透亮，用户不确定要亲自掌管密钥核心密钥确定要接受分割分责的方式保存密钥管理策略一个完整的密钥管理策略应当做到：密码策略限制是否允许用户重新运用旧的密码（强制密码历史），在两次更改密码之间的时间（最大密码寿命以及最小密码寿命），最小密码长度以及用户是否必需混合运用大小写字母、数字和特殊字符（密码必需满足困难性要求）。帐户锁定策略确定了在特定时间段内锁定帐户之前，系统能够接受多少次失败的登录尝试法律要求和服务合同书目VPN技术简介VPN分类VPN技术应用按业务用途划分(1)AccessVPN 企业的内部人员移动或远程办公须要，或者商家要供应B2C的平安访问服务。移动办公人员VPDN网关总部企业数据中心VPN管理系统按业务用途划分(2)IntranetVPN 企业内部各分支机构的互联。总部大中型分支机构网关到网关企业数据中心VPN管理系统中小型分支机构网关到网关按业务用途划分(3)ExtranetVPN 供应B2B（BusinesstoBusiness）之间的平安访问服务。总部客户企业数据中心VPN管理系统供应商按实现层次划分数据链路层网络层L3VPN:L2VPN:GREIPSecL2TPPPTPL2F书目VPN技术简介VPN分类VPN技术应用3.1二层VPN技术及配置3.2三层VPN技术及配置VPDN概述VPDN（VirtualPrivateDialNetwork）是指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员供应接入服务。VPDN隧道协议可分为PPTP、L2F和L2TP三种，目前运用最广泛的是L2TP网络设备与VPDN网关

客户机与VPDN网关

客户的PPP干脆连接到企业的网关上，目前可运用的协议有L2F与L2TP客户机先建立与Internet的连接，再通过专用的客户软件（如Win2000支持的L2TP客户端）与网关建立通道连接。L2TP概述L2TP(LayerTwoTunnelingProtocol)二层隧道协议为在用户和企业的服务器之间透亮传输PPP报文而设置的隧道协议。供应了对PPP链路层数据包的通道（Tunnel）传输支持。结合了L2F协议和PPTP协议的各自优点，成为IETF有关二层隧道协议的工业标准。主要用途企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部之间的网络连接L2TPVPN协议组件LAC:L2TPAccessConcentrator，L2TP接入集中器

LNS:L2TPNetworkServer，L2TP网络服务器PSTN/ADSL总部LACLNSL2TP

消息数据消息控制消息会话隧道出差员工LACRADIUSLNSRADIUSL2TP协议栈结构及封装过程L2TP协议栈结构L2TP封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPP私有IP头UDPL2TPPPP公有IP头链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerDataL2TP会话建立过程1.CallSetup2.PPPLCPSetup3.PAPorCHAPAuthenticationPCLACLACRADIUSServerLNSLNSRADIUSServer4.AccessRequest5.AccessAccept6.Tunnelestablishment7.PAPorCHAPAuthentication(challenge/response)8.Tunnelestablishment9.UserPAPorCHAPAuthentication(challenge/response)10.AccessRequest11.AccessAccept12.CHAPAuthenticationtwice(challenge/response)13.AccessRequest14.AccessAccept15.AuthenticationpassesClient-Initialized方式L2TPVPNVPN用户相当于货车，LNS相当于检查站LNS：你可以通行了VPN用户：好的，我自己把货物送过去移动办公L2TPTUNNEL总部服务器LNSClient-Initialized方式L2TP配置组网需求某公司建有自己的VPN网络，在公司总部的公网出口处，放置了一台VPN网关，即USG防火墙。要求出差人员能够通过L2TP隧道与公司内部业务服务器进行通信。LNS侧接受本地验证方式。其中：LNS设备为USG防火墙INTERNET总部LNSG1/0/1/16G1/0/0/24移动办公L2TP配置思路——Client配置“LNS服务器IP”禁用IPSec安全协议配置认证模式配置是否启用隧道验证功能配置用户名/密码L2TP配置思路——LNS基础配置配置虚拟接口模板使能L2TP功能配置L2TP组配置VPDN组账号配置域间防火墙安全策略L2TPVPN典型配置—LNS(1)创建虚拟接口模板。[LNS]interfaceVirtual-Template1[LNS-Virtual-Template1]ipaddress24[LNS-Virtual-Template1]pppauthentication-modechap[LNS-Virtual-Template1]remoteaddresspool1将虚拟接口模板加入平安区域。（步骤省略）配置L2TP组。[LNS]l2tpenable[LNS]l2tp-group1[LNS-l2tp1]allowl2tpvirtual-template1（remoteClient01）[LNS-l2tp1]tunnelauthentication[LNS-l2tp1]tunnelpasswordsimplehello[LNS-l2tp1]tunnelnamelnsL2TPVPN典型配置—LNS(2)配置用户名及密码（应与用户侧的设置一样）[LNS]user-manageuservpdnuser[LNS-localuser-vpdnuser]passwordAdmin@123[LNS-localuser-vpdnuser]parent-group/default配置给用户支配的地址池[LNS]aaa[LNS-aaa]domaindefault[LNS-aaa-domain-default]ippool19配置防火墙平安策略（略）L2TPVPN典型配置—LNS(Web)启用L2TP服务配置L2TP组单击“新建”，创建一个L2TP的用户。L2TPVPN典型配置—LNS(Web)PPP协商的本端IP地址，相当于叮嘱行配置中的虚接口模板地址。运用CHAP认证。配置LNS端其它参数NAS-Initialized方式L2TPVPNLAC相当于托运处LAC：你的货物可以通过，有什么须要帮忙的？VPN用户：请把这些货物托运到XX街XX号L2TPTUNNEL远地用户分支结构LACLNSPSTN以太网PPPPPPOE总部服务器书目VPN技术简介VPN分类VPN技术应用3.1二层VPN技术及配置3.2三层VPN技术及配置GRE协议概述GRE(GenericRoutingEncapsulation):是对某些网络层协议（如：IP,IPX,AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输INTERNET总部GRETunnel防火墙A防火墙BIPX网络IPX网络链路层GREIPXIPPayloadGRE的实现-隧道接口隧道接口（Tunnel接口）是为实现报文的封装而供应的一种点对点类型的虚拟接口，与Loopback接口类似，都是一种逻辑接口目的地址隧道接口IP地址封装类型源地址GRE的实现-封装与解封装FWAFWBGRETUNNELNexthop:tunnel协议字段:47封装解封GREVPN典型应用场景描述运行IP协议的两个子网网络1和网络2，通过在防火墙A和防火墙B之间运用三层隧道协议GRE实现互联。INTERNET总部GRETunnelG1/0/1/24Tunnel1/24Tunnel1/24G1/0/1/24防火墙A防火墙B/24/24GREVPN配置思路基础配置配置tunnel逻辑接口配置到对端网络内网网段的路由放开相应的域间规则GREVPN典型配置(叮嘱行)配置防火墙A。基本配置（略）。创建并配置Tunnel1接口[USG_A]interfacetunnel1[USG_A-Tunnel1]ipaddress24[USG_A-Tunnel1]tunnel-protocolgre[USG_A-Tunnel1]source[USG_A-Tunnel1]destination配置从防