VPN协议原理及配置

VPN协议原理及配置

当前1页，总共65页。课程内容

第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKE2当前2页，总共65页。培训目标掌握VPN的概念和分类掌握实现IPVPN的相关协议掌握VPN的配置学习完本课程，您应该能够：3当前3页，总共65页。合作伙伴InternetVPN的定义VPN——VirtualPrivateNetwork出差员工隧道专线办事处总部分支机构异地办事处4当前4页，总共65页。VPN的分类按应用类型分类：AccessVPNIntranetVPNExtranetVPN按实现的层次分类：二层隧道VPN三层隧道VPN5当前5页，总共65页。VPDNPOPPOP用户直接发起连接POPISP发起连接

总部隧道

适用范围：出差员工异地小型办公机构6当前6页，总共65页。IntranetVPNInternet/ISPIPATM/FR隧道总部研究所办事处分支机构7当前7页，总共65页。ExtranetVPNInternet/ISPIPATM/FR总部合作伙伴异地办事处分支机构8当前8页，总共65页。按实现的层次分类二层隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GenericRoutingEncapsulationIPSEC:IPSecurityProtocol9当前9页，总共65页。VPN设计原则安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性10当前10页，总共65页。课程内容

第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKE11当前11页，总共65页。L2TP协议概述L2TP:Layer2TunnelProtocol第二层隧道协议，是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。特性灵活的身份验证机制以及高度的安全性多协议传输

支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性12当前12页，总共65页。使用L2TP构建VPDNPSTN/ISDNLANLAN分支机构总部LACLNSQuidwayNASQuidwayRouterL2TP消息数据消息控制消息会话隧道出差员工LAC:L2TPAccessConcentratorL2TP的接入集中器LNS:L2TPNetworkServerL2TP的网络服务器LAC/LNSRadius:LAC/LNS的远端验证服务器LACRADIUSLNSRADIUS13当前13页，总共65页。L2TP隧道和会话建立流程隧道、会话建立流程

L2TP的会话建立由PPP触发，隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。隧道建立流程：三次握手会话建立流程：三次握手LAC

LNSSCCRQ SCCRPSCCCNLAC

LNSICRQ ICRPICCN14当前14页，总共65页。L2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNS LNS/LACHello ZLB隧道拆除流程会话维护流程LAC/LNS LNS/LACStopCNN ZLBLAC/LNS LNS/LACCDN ZLB15当前15页，总共65页。L2TP协议栈结构及数据包的封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧解封装过程L2TP协议栈结构16当前16页，总共65页。L2TP的配置任务及命令（1）LAC侧的配置设置用户名、密码及配置用户验证启用L2TP [Quidway]l2tpenable

创建L2TP组

[Quidway]l2tp-group

group-number

设置发起L2TP连接请求及LNS地址

[Quidway-l2tp1]startl2tp{ipip-address[ipip-address

…

]}{domaindomain-name|fullusernameuser-name}

17当前17页，总共65页。L2TP的配置任务及命令（2）LNS侧的配置设置用户名、密码及配置用户验证启用L2TP

[Quidway]l2tpenable创建L2TP组

[Quidway]l2tp-group

group-number创建虚接口模板

[Quidway]interfacevirtual-templatevirtual-template-number

设置本端地址及为用户分配的地址池

[Quidway-Virtual-Template1]ipaddressX.X.X.Xnetmask

[Quidway-Virtual-Template1]remoteaddress{poolpool-number}18当前18页，总共65页。L2TP的配置任务及命令（3）LNS侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名

L2TP组不为1：

[Quidway-l2tp1]

allowl2tpvirtual-templatevirtual-template-numberremoteremote-name[domaindomain-name]

L2TP组为1：

[Quidway-l2tp1]

allowl2tpvirtual-template

virtual-template-number[remote

remote-name][domain

domain-name]19当前19页，总共65页。InternetL2TP的配置举例[LNS]local-uservpdnuser@

[LNS-luser-vpdnuser@]passwordsimpleHello[LNS]interfacevirtual-template1[LNS-virtual-template1]ipaddress[LNS-virtual-template1]pppauthentication-modechapdomain[LNS]domain[LNS-]schemelocal[LNS-]ippool100[LNS]l2tpenable

[LNS]l2tp-group1

[LNS-l2tp1]tunnelnameLNS

[LNS-l2tp1]allowl2tpvirtual-template1remoteLAC

[LNS-l2tp1]tunnelauthentication[LNS-l2tp1]tunnelpasswordsimplequidway[LAC]local-uservpdnuser@

[LAC-luser-vpdnuser@]passwordsimpleHello[LAC]domain[LAC-]schemelocal[LAC]l2tpenable

[LAC]l2tp-group1

[LAC-l2tp1]tunnelnameLAC

[LAC-l2tp1]startl2tpipdomain

[LAC-l2tp1]tunnelauthentication[LAC-l2tp1]tunnelpasswordsimplequidway

LNSLACPSTN20当前20页，总共65页。L2TP的可选参数配置（1）LAC侧和LNS侧可选配的参数设置本端名称

[Quidway-l2tp1]

tunnelnamename启用隧道验证及设置密码

[Quidway-l2tp1]

tunnelauthentication

[Quidway-l2tp1]

tunnelpassword{simple|cipher}password

设置通道Hello报文发送时间间隔

[Quidway-l2tp1]

tunneltimerhellohello-interval

21当前21页，总共65页。L2TP的可选参数配置（2）LAC侧和LNS侧可选配的参数配置域名分隔符及查找顺序 设置前缀分隔符

[Quidway-l2tp1]l2tpdomainprefix-separatorseparator

设置后缀分隔符

[Quidway-l2tp1]l2tpdomainsuffix-separatorseparator

设置查找规则

[Quidway-l2tp1]l2tpmatch-order{dnis-domain|dnis|domain-dnis|domain}

强制挂断通道

<Quidway>

resetl2tptunnel{remote-name|tunnel-id}

22当前22页，总共65页。L2TP的可选参数配置（3）LNS侧可选配的参数强制本端CHAP验证

[Quidway-l2tp1]

mandatory-chap

强制LCP重新协商

[Quidway-l2tp1]

mandatory-lcp

23当前23页，总共65页。L2TP隧道和会话的验证过程呼叫建立PPPLCP协商通过LACCHAPChallenge用户CHAPResponse隧道验证(可选)SCCRP(LNSCHAPResponse&LNSCHAPChallenge)SCCRQ(LACCHAPChallenge)SCCCN(LACCHAPResponse)ICCN（用户CHAPResponse&PPP已经协商好的参数）LNSCHAPChallenge可选的第二次验证用户CHAPResponse验证通过PSTN/ISDNInternetLACLNS24当前24页，总共65页。L2TP显示和调试显示当前的L2TP通道的信息[Quidway]displayl2tptunnelLocalID RemoteIDRemNameRemAddressSessionsPort18AS801011701Totaltunnels=1

显示当前的L2TP会话的信息 [Quidway]displayl2tpsessionLocalID RemoteID TunnelID1 1 2

Totalsession=1

打开L2TP调试信息开关

<Quidway>debuggingl2tp{all|control|dump|error|event|hidden|payload|time-stamp}

25当前25页，总共65页。L2TP排错用户登录失败Tunnel建立失败在LAC端，LNS的地址设置不正确LNS（通常为路由器）端没有设置可以接收该隧道对端的L2TP组Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致PPP协商不通过LAC端设置的用户名与密码有误，或者是LNS端没有设置相应的用户LNS端不能分配地址，比如地址池设置的较小，或没有进行设置密码验证类型不一致数据传输失败，在建立连接后数据不能传输，如Ping不通对端用户设置的地址有误网络拥挤

26当前26页，总共65页。课程内容

第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKE27当前27页，总共65页。GREGRE(GenericRoutingEncapsulation):是对某些网络层协议（如：IP,IPX,AppleTalk等）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel。28当前28页，总共65页。GRE协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayload29当前29页，总共65页。使用GRE构建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企业总部分支机构30当前30页，总共65页。GRE的配置任务及命令创建虚拟Tunnel接口

[Quidway]interfacetunnelnumber

指定Tunnel的源端

[Quidway-Tunnel0]

source{ip-addr|interface-typeinterface-num}

指定Tunnel的目的端

[Quidway-Tunnel0]

destinationip-address

设置Tunnel接口的网络地址

[Quidway-Tunnel0]

ipaddressip-address

mask31当前31页，总共65页。GRE的配置举例[RouterB-Serial0/0]ipaddress[RouterB-Ethernet0/0]ipaddress[RouterB]interfacetunnel0

[RouterB-Tunnel0]ipaddress

[RouterB-Tunnel0]source

[RouterB-Tunnel0]destination

[RouterB]iproute-statictunnel0

[RouterA-Serial0/0]ipaddress[RouterA-Ethernet0/0]ipaddress

[Router]interfacetunnel0[RouterA-Tunnel0]ipaddress

[RouterA-Tunnel0]source

[RouterA-Tunnel0]destination[RouterA]iproute-statictunnel0

T0:/24InternetS0/0:/24S0/0:/24E0/0:/24E0/0:/24T0:/24AB32当前32页，总共65页。GRE的可选参数配置设置Tunnel接口报文的封装模式

[Quidway-Tunnel0]

tunnel-protocolgre设置Tunnel两端进行端到端校验

[Quidway-Tunnel0]

grechecksum设置Tunnel接口的识别关键字

[Quidway-Tunnel0]

grekeykey-number

配置通过Tunnel的路由静态路由配置动态路由配置

33当前33页，总共65页。GRE的显示和调试显示Tunnel接口的工作状态

displayinterfacetunnel

number

例如：[Quidway]displayinterfacestunnel1Tunnel1isup,lineprotocolisupMaximumTransmissionUnitis128Internetaddressis10packetsinput,640bytes0inputerrors,0broadcast,0drops10packetsoutput,640bytes0outputerrors,0broadcast,0noprotocol打开Tunnel调试信息

<Quidway>

debuggingtunnel

34当前34页，总共65页。课程内容

第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKE35当前35页，总共65页。IPSecIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和封装安全载荷协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传输（transport）两种工作方式36当前36页，总共65页。IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文验证头协议

MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES(TripleDES)AES(AdvancedEncryptionStandard)37当前37页，总共65页。IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证

（DataOriginAuthentication）反重放（Anti-Replay）38当前38页，总共65页。IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全提议(SecurityProposal)安全策略(SecurityPolicy)39当前39页，总共65页。AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构08163140当前40页，总共65页。ESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分41当前41页，总共65页。IKE

IKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥42当前42页，总共65页。IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发43当前43页，总共65页。IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer244当前44页，总共65页。DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)45当前45页，总共65页。IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证46当前46页，总共65页。IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASA47当前47页，总共65页。IPSec配置前的准备确定需要保护的数据确定使用安全保护的路径确定使用哪种安全保护确定安全保护的强度Internet48当前48页，总共65页。IPSec的配置任务配置访问控制列表定义安全提议创建安全提议选择安全协议

选择安全算法选择报文封装形式创建安全策略手工创建安全策略用IKE创建安全策略在接口上应用安全策略49当前49页，总共65页。IPSec的配置任务及命令（1）配置访问控制列表定义安全提议创建安全提议

[Quidway]ipsecproposalproposal-name

选择报文封装形式

[Quidway-ipsec-proposal-tran1]

encapsulation-mode{transport|tunnel}

选择安全协议

[Quidway-ipsec-proposal-tran1]transform{ah|ah-esp|esp}

选择安全算法

[Quidway-ipsec-proposal-tran1]espencryption-algorithm{3des|des|aes}

[Quidway-ipsec-proposal-tran1]espauthentication-algorithm{md5|sha1}

[Quidway-ipsec-proposal-tran1]ahauthentication-algorithm{md5|sha1}

50当前50页，总共65页。IPSec的配置任务及命令（2）创建安全策略——手工创建安全策略手工创建安全策略

[Quidway]ipsecpolicypolicy-name

seq-number

manual

在安全策略中引用安全提议

[Quidway-ipsec-policy-manual-map1-10]proposalproposal-name1[posal-name6]在安全策略中引用访问控制列表

[Quidway-ipsec-policy-manual-map1-10]securityaclacl-number

配置隧道的起点和终点

[Quidway-ipsec-policy-manual-map1-10]tunnellocalip-address

[Quidway-ipsec-policy-manual-map1-10]tunnel

remote

ip-address

配置安全联盟的SPI[Quidway-ipsec-policy-manual-map1-10]saspi{inbound|outbound}{ah|esp}spi-number

51当前51页，总共65页。IPSec的配置任务及命令（3）创建安全策略——手工创建安全策略配置安全联盟使用的密钥配置协议的验证密钥（以16进制方式输入）

[Quidway-ipsec-policy-manual-map1-10]saauthentication-hex{inbound|outbound}{ah|esp}hex-key配置协议的验证密钥（以字符串方式输入）

[Quidway-ipsec-policy-manual-map1-10]sastring-key{inbound|outbound}{ah|esp}string-key配置ESP协议的加密密钥（以16进制方式输入）

[Quidway-ipsec-policy-manual-map1-10]saencryption-hex{inbound|outbound}esphex-key

52当前52页，总共65页。IPSec的配置任务及命令（4）创建安全策略——用IKE创建安全策略用IKE创建安全策略

[Quidway]ipsecpolicypolicy-name

seq-numberisakmp

在安全策略中引用安全提议

[Quidway-ipsec-policy-isakmp-map1-10]proposalproposal-name1[posal-name6]在安全策略中引用访问控制列表

[Quidway-ipsec-policy-isakmp-map1-10]securityaclacl-number

在安全策略中引用IKE对等体

[Quidway-ipsec-policy-isakmp-map1-10]ike-peerpeer-name

在接口上应用安全策略

[Quidway-Serial0/0]ipsecpolicypolicy-name

53当前53页，总共65页。IKE的配置任务配置本端安全网关的名字定义IKE安全提议（系统提供一条缺省的IKE安全提议）配置IKE对等体54当前54页，总共65页。IKE的配置任务配置本端安全网关的名字定义IKE安全提议（系统提供一条缺省的IKE安全提议）创建IKE安全提议选择加密算法选择验证方法选择验证算法选择Diffie-Hellman组标识

配置ISAKMPSA生存周期（可选）

配置IKE对等体创建IKE对等体配置IKE协商模式配置身份验证字配置ike协商过程中使用的ID类型指定对端安全网关设备的ID配置本端及对端安全网关设备的IP地址配置NAT穿越功能配置最大连接数

55当前55页，总共65页。IKE的配置任务及命令（1）配置本端安全网关的名字

[Quidway]

ikelocal-nameid

定义IKE安全提议（系统提供一条缺省的IKE安全提议）创建IKE安全提议

[Quidway]ikeproposal

proposal-number

选择加密算法

[Quidway-ike-proposal-1]

encryption-algorithm{des-cbc|3des-cbc}

选择验证方法

[Quidway-ike-proposal-1]authentication-method{pre-share|rsa-signature}

选择验证算法

[Quidway-ike-proposal-1]

authentication-algorithm{md5

|

sha}

选择Diffie-Hellman组标识

[Quidway-ike-proposal-1]

dh{group1|group2}

配置ISAKMPSA生存周期（可选）

[Quidway-ike-proposal-1]

sadurationseconds

56当前56页，总共65页。IKE的配置任务（2）配置IKE对等体创建IKE对等体

[Quidway]ikepeerpeer-name

配置IKE协商模式

[Quidway-ike-peer-1]exchange-mode[aggressive|main]

配置身份验证字

[Quidway-ike-peer-1]pre-shared-keykey

配置ike协商过程中使用的ID类型

[Quidway-ike-peer-1]id-type[ip|name]

指定对端安全网关设备的ID[Quidway-ike-peer-1]remote-namename

配置本端及对端安全网关设备的IP地址

[Quidway-ike-peer-1]local-addressip-address

[Quidway-ike-peer-1]remote-addressip-address

57当前57页，总共65页。IKE的配置任务（3）配置IKE对等体配置NAT穿越功能

[Quidway-ike-peer-1]nat-traversal

配置最大连接数

[Quidway-ike-peer-1]max-connectionsnumber58当前58页，总共65页。IPSec的配置举例InternetS0/0:/24S0/0:/24E0/0:/24E0/0:/24ABPC1：/24PC2:/24[Quidway]aclnumber3000[Quidway-acl-adv-3000]rulepermitipsource55destination55[Quidway-acl-adv-3000]ruledenyipsourceanydestinationany[Quidway]iproute-static

[Quidway]ipsecproposaltran1

[Quidway-ipsec-proposal-tran1]encapsulation-modetunnel

[Quidway-ipsec-proposal-tran1]transformesp

[Quidway-ipsec-proposal-tran1]espencryption-algorithmdes[Quidway-ipsec-proposal-tran1]espauthentication-algorithmsha1[Quidway-ipsec-proposal-tran1]quit[Quidway]ikepeerpeer[Quidway-ike-peer-peer]pre-share-keyabcde[Quidway-ike-peer-peer]remote-address[Quidway]ipsecpolicymap110isakmp

[Quidway-ipsec-policy-isakmp-map1-10]proposaltran1

[Quidway-ipsec-policy-isakmp-map1-10]securityacl101[Quidway-ipsec-policy-isakmp-map1-10]ike-peerpeer[Quidway-ipsec-policy-isakmp-map1-10]quit[Quidway]interfaceser