VPN协议原理及配置

VPN协议原理及配置

目前一页\总数六十五页\编于十七点课程内容

第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKE2目前二页\总数六十五页\编于十七点培训目标掌握VPN的概念和分类掌握实现IPVPN的相关协议掌握VPN的配置学习完本课程，您应该能够：3目前三页\总数六十五页\编于十七点合作伙伴InternetVPN的定义VPN——VirtualPrivateNetwork出差员工隧道专线办事处总部分支机构异地办事处4目前四页\总数六十五页\编于十七点VPN的分类按应用类型分类：AccessVPNIntranetVPNExtranetVPN按实现的层次分类：二层隧道VPN三层隧道VPN5目前五页\总数六十五页\编于十七点VPDNPOPPOP用户直接发起连接POPISP发起连接

总部隧道

适用范围：出差员工异地小型办公机构6目前六页\总数六十五页\编于十七点IntranetVPNInternet/ISPIPATM/FR隧道总部研究所办事处分支机构7目前七页\总数六十五页\编于十七点ExtranetVPNInternet/ISPIPATM/FR总部合作伙伴异地办事处分支机构8目前八页\总数六十五页\编于十七点按实现的层次分类二层隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GenericRoutingEncapsulationIPSEC:IPSecurityProtocol9目前九页\总数六十五页\编于十七点VPN设计原则安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性10目前十页\总数六十五页\编于十七点课程内容

第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKE11目前十一页\总数六十五页\编于十七点L2TP协议概述L2TP:Layer2TunnelProtocol第二层隧道协议，是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。特性灵活的身份验证机制以及高度的安全性多协议传输

支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性12目前十二页\总数六十五页\编于十七点使用L2TP构建VPDNPSTN/ISDNLANLAN分支机构总部LACLNSQuidwayNASQuidwayRouterL2TP消息数据消息控制消息会话隧道出差员工LAC:L2TPAccessConcentratorL2TP的接入集中器LNS:L2TPNetworkServerL2TP的网络服务器LAC/LNSRadius:LAC/LNS的远端验证服务器LACRADIUSLNSRADIUS13目前十三页\总数六十五页\编于十七点L2TP隧道和会话建立流程隧道、会话建立流程

L2TP的会话建立由PPP触发，隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。隧道建立流程：三次握手会话建立流程：三次握手LAC

LNSSCCRQ SCCRPSCCCNLAC

LNSICRQ ICRPICCN14目前十四页\总数六十五页\编于十七点L2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNS LNS/LACHello ZLB隧道拆除流程会话维护流程LAC/LNS LNS/LACStopCNN ZLBLAC/LNS LNS/LACCDN ZLB15目前十五页\总数六十五页\编于十七点L2TP协议栈结构及数据包的封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧解封装过程L2TP协议栈结构16目前十六页\总数六十五页\编于十七点L2TP的配置任务及命令（1）LAC侧的配置设置用户名、密码及配置用户验证启用L2TP [Quidway]l2tpenable

创建L2TP组

[Quidway]l2tp-group

group-number

设置发起L2TP连接请求及LNS地址

[Quidway-l2tp1]startl2tp{ipip-address[ipip-address

…

]}{domaindomain-name|fullusernameuser-name}

17目前十七页\总数六十五页\编于十七点L2TP的配置任务及命令（2）LNS侧的配置设置用户名、密码及配置用户验证启用L2TP

[Quidway]l2tpenable创建L2TP组

[Quidway]l2tp-group

group-number创建虚接口模板

[Quidway]interfacevirtual-templatevirtual-template-number

设置本端地址及为用户分配的地址池

[Quidway-Virtual-Template1]ipaddressX.X.X.Xnetmask

[Quidway-Virtual-Template1]remoteaddress{poolpool-number}18目前十八页\总数六十五页\编于十七点L2TP的配置任务及命令（3）LNS侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名

L2TP组不为1：

[Quidway-l2tp1]

allowl2tpvirtual-templatevirtual-template-numberremoteremote-name[domaindomain-name]

L2TP组为1：

[Quidway-l2tp1]

allowl2tpvirtual-template

virtual-template-number[remote

remote-name][domain

domain-name]19目前十九页\总数六十五页\编于十七点InternetL2TP的配置举例[LNS]local-uservpdnuser@

[LNS-luser-vpdnuser@]passwordsimpleHello[LNS]interfacevirtual-template1[LNS-virtual-template1]ipaddress[LNS-virtual-template1]pppauthentication-modechapdomain[LNS]domain[LNS-]schemelocal[LNS-]ippool100[LNS]l2tpenable

[LNS]l2tp-group1

[LNS-l2tp1]tunnelnameLNS

[LNS-l2tp1]allowl2tpvirtual-template1remoteLAC

[LNS-l2tp1]tunnelauthentication[LNS-l2tp1]tunnelpasswordsimplequidway[LAC]local-uservpdnuser@

[LAC-luser-vpdnuser@]passwordsimpleHello[LAC]domain[LAC-]schemelocal[LAC]l2tpenable

[LAC]l2tp-group1

[LAC-l2tp1]tunnelnameLAC

[LAC-l2tp1]startl2tpipdomain

[LAC-l2tp1]tunnelauthentication[LAC-l2tp1]tunnelpasswordsimplequidway

LNSLACPSTN20目前二十页\总数六十五页\编于十七点L2TP的可选参数配置（1）LAC侧和LNS侧可选配的参数设置本端名称

[Quidway-l2tp1]

tunnelnamename启用隧道验证及设置密码

[Quidway-l2tp1]

tunnelauthentication

[Quidway-l2tp1]

tunnelpassword{simple|cipher}password

设置通道Hello报文发送时间间隔

[Quidway-l2tp1]

tunneltimerhellohello-interval

21目前二十一页\总数六十五页\编于十七点L2TP的可选参数配置（2）LAC侧和LNS侧可选配的参数配置域名分隔符及查找顺序 设置前缀分隔符

[Quidway-l2tp1]l2tpdomainprefix-separatorseparator

设置后缀分隔符

[Quidway-l2tp1]l2tpdomainsuffix-separatorseparator

设置查找规则

[Quidway-l2tp1]l2tpmatch-order{dnis-domain|dnis|domain-dnis|domain}

强制挂断通道

<Quidway>

resetl2tptunnel{remote-name|tunnel-id}

22目前二十二页\总数六十五页\编于十七点L2TP的可选参数配置（3）LNS侧可选配的参数强制本端CHAP验证

[Quidway-l2tp1]

mandatory-chap

强制LCP重新协商

[Quidway-l2tp1]

mandatory-lcp

23目前二十三页\总数六十五页\编于十七点L2TP隧道和会话的验证过程呼叫建立PPPLCP协商通过LACCHAPChallenge用户CHAPResponse隧道验证(可选)SCCRP(LNSCHAPResponse&LNSCHAPChallenge)SCCRQ(LACCHAPChallenge)SCCCN(LACCHAPResponse)ICCN（用户CHAPResponse&PPP已经协商好的参数）LNSCHAPChallenge可选的第二次验证用户CHAPResponse验证通过PSTN/ISDNInternetLACLNS24目前二十四页\总数六十五页\编于十七点L2TP显示和调试显示当前的L2TP通道的信息[Quidway]displayl2tptunnelLocalID RemoteIDRemNameRemAddressSessionsPort18AS801011701Totaltunnels=1

显示当前的L2TP会话的信息 [Quidway]displayl2tpsessionLocalID RemoteID TunnelID1 1 2

Totalsession=1

打开L2TP调试信息开关

<Quidway>debuggingl2tp{all|control|dump|error|event|hidden|payload|time-stamp}

25目前二十五页\总数六十五页\编于十七点L2TP排错用户登录失败Tunnel建立失败在LAC端，LNS的地址设置不正确LNS（通常为路由器）端没有设置可以接收该隧道对端的L2TP组Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致PPP协商不通过LAC端设置的用户名与密码有误，或者是LNS端没有设置相应的用户LNS端不能分配地址，比如地址池设置的较小，或没有进行设置密码验证类型不一致数据传输失败，在建立连接后数据不能传输，如Ping不通对端用户设置的地址有误网络拥挤

26目前二十六页\总数六十五页\编于十七点课程内容

第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKE27目前二十七页\总数六十五页\编于十七点GREGRE(GenericRoutingEncapsulation):是对某些网络层协议（如：IP,IPX,AppleTalk等）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel。28目前二十八页\总数六十五页\编于十七点GRE协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayload29目前二十九页\总数六十五页\编于十七点使用GRE构建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企业总部分支机构30目前三十页\总数六十五页\编于十七点GRE的配置任务及命令创建虚拟Tunnel接口

[Quidway]interfacetunnelnumber

指定Tunnel的源端

[Quidway-Tunnel0]

source{ip-addr|interface-typeinterface-num}

指定Tunnel的目的端

[Quidway-Tunnel0]

destinationip-address

设置Tunnel接口的网络地址

[Quidway-Tunnel0]

ipaddressip-address

mask31目前三十一页\总数六十五页\编于十七点GRE的配置举例[RouterB-Serial0/0]ipaddress[RouterB-Ethernet0/0]ipaddress[RouterB]interfacetunnel0

[RouterB-Tunnel0]ipaddress

[RouterB-Tunnel0]source

[RouterB-Tunnel0]destination

[RouterB]iproute-statictunnel0

[RouterA-Serial0/0]ipaddress[RouterA-Ethernet0/0]ipaddress

[Router]interfacetunnel0[RouterA-Tunnel0]ipaddress

[RouterA-Tunnel0]source

[RouterA-Tunnel0]destination[RouterA]iproute-statictunnel0

T0:/24InternetS0/0:/24S0/0:/24E0/0:/24E0/0:/24T0:/24AB32目前三十二页\总数六十五页\编于十七点GRE的可选参数配置设置Tunnel接口报文的封装模式

[Quidway-Tunnel0]

tunnel-protocolgre设置Tunnel两端进行端到端校验

[Quidway-Tunnel0]

grechecksum设置Tunnel接口的识别关键字

[Quidway-Tunnel0]

grekeykey-number

配置通过Tunnel的路由静态路由配置动态路由配置

33目前三十三页\总数六十五页\编于十七点GRE的显示和调试显示Tunnel接口的工作状态

displayinterfacetunnel

number

例如：[Quidway]displayinterfacestunnel1Tunnel1isup,lineprotocolisupMaximumTransmissionUnitis128Internetaddressis10packetsinput,640bytes0inputerrors,0broadcast,0drops10packetsoutput,640bytes0outputerrors,0broadcast,0noprotocol打开Tunnel调试信息

<Quidway>

debuggingtunnel

34目前三十四页\总数六十五页\编于十七点课程内容

第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKE35目前三十五页\总数六十五页\编于十七点IPSecIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和封装安全载荷协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传输（transport）两种工作方式36目前三十六页\总数六十五页\编于十七点IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文验证头协议

MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES(TripleDES)AES(AdvancedEncryptionStandard)37目前三十七页\总数六十五页\编于十七点IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证

（DataOriginAuthentication）反重放（Anti-Replay）38目前三十八页\总数六十五页\编于十七点IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全提议(SecurityProposal)安全策略(SecurityPolicy)39目前三十九页\总数六十五页\编于十七点AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构08163140目前四十页\总数六十五页\编于十七点ESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分41目前四十一页\总数六十五页\编于十七点IKE

IKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥42目前四十二页\总数六十五页\编于十七点IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发43目前四十三页\总数六十五页\编于十七点IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer244目前四十四页\总数六十五页\编于十七点DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)45目前四十五页\总数六十五页\编于十七点IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证46目前四十六页\总数六十五页\编于十七点IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASA47目前四十七页\总数六十五页\编于十七点IPSec配置前的准备确定需要保护的数据确定使用安全保护的路径确定使用哪种安全保护确定安全保护的强度Internet48目前四十八页\总数六十五页\编于十七点IPSec的配置任务配置访问控制列表定义安全提议创建安全提议选择安全协议

选择安全算法选择报文封装形式创建安全策略手工创建安全策略用IKE创建安全策略在接口上应用安全策略49目前四十九页\总数六十五页\编于十七点IPSec的配置任务及命令（1）配置访问控制列表定义安全提议创建安全提议

[Quidway]ipsecproposalproposal-name

选择报文封装形式

[Quidway-ipsec-proposal-tran1]

encapsulation-mode{transport|tunnel}

选择安全协议

[Quidway-ipsec-proposal-tran1]transform{ah|ah-esp|esp}

选择安全算法

[Quidway-ipsec-proposal-tran1]espencryption-algorithm{3des|des|aes}

[Quidway-ipsec-proposal-tran1]espauthentication-algorithm{md5|sha1}

[Quidway-ipsec-proposal-tran1]ahauthentication-algorithm{md5|sha1}

50目前五十页\总数六十五页\编于十七点IPSec的配置任务及命令（2）创建安全策略——手工创建安全策略手工创建安全策略

[Quidway]ipsecpolicypolicy-name

seq-number

manual

在安全策略中引用安全提议

[Quidway-ipsec-policy-manual-map1-10]proposalproposal-name1[posal-name6]在安全策略中引用访问控制列表

[Quidway-ipsec-policy-manual-map1-10]securityaclacl-number

配置隧道的起点和终点

[Quidway-ipsec-policy-manual-map1-10]tunnellocalip-address

[Quidway-ipsec-policy-manual-map1-10]tunnel

remote

ip-address

配置安全联盟的SPI[Quidway-ipsec-policy-manual-map1-10]saspi{inbound|outbound}{ah|esp}spi-number

51目前五十一页\总数六十五页\编于十七点IPSec的配置任务及命令（3）创建安全策略——手工创建安全策略配置安全联盟使用的密钥配置协议的验证密钥（以16进制方式输入）

[Quidway-ipsec-policy-manual-map1-10]saauthentication-hex{inbound|outbound}{ah|esp}hex-key配置协议的验证密钥（以字符串方式输入）

[Quidway-ipsec-policy-manual-map1-10]sastring-key{inbound|outbound}{ah|esp}string-key配置ESP协议的加密密钥（以16进制方式输入）

[Quidway-ipsec-policy-manual-map1-10]saencryption-hex{inbound|outbound}esphex-key

52目前五十二页\总数六十五页\编于十七点IPSec的配置任务及命令（4）创建安全策略——用IKE创建安全策略用IKE创建安全策略

[Quidway]ipsecpolicypolicy-name

seq-numberisakmp

在安全策略中引用安全提议

[Quidway-ipsec-policy-isakmp-map1-10]proposalproposal-name1[posal-name6]在安全策略中引用访问控制列表

[Quidway-ipsec-policy-isakmp-map1-10]securityaclacl-number

在安全策略中引用IKE对等体

[Quidway-ipsec-policy-isakmp-map1-10]ike-peerpeer-name

在接口上应用安全策略

[Quidway-Serial0/0]ipsecpolicypolicy-name

53目前五十三页\总数六十五页\编于十七点IKE的配置任务配置本端安全网关的名字定义IKE安全提议（系统提供一条缺省的IKE安全提议）配置IKE对等体54目前五十四页\总数六十五页\编于十七点IKE的配置任务配置本端安全网关的名字定义IKE安全提议（系统提供一条缺省的IKE安全提议）创建IKE安全提议选择加密算法选择验证方法选择验证算法选择Diffie-Hellman组标识

配置ISAKMPSA生存周期（可选）

配置IKE对等体创建IKE对等体配置IKE协商模式配置身份验证字配置ike协商过程中使用的ID类型指定对端安全网关设备的ID配置本端及对端安全网关设备的IP地址配置NAT穿越功能配置最大连接数

55目前五十五页\总数六十五页\编于十七点IKE的配置任务及命令（1）配置本端安全网关的名字

[Quidway]

ikelocal-nameid

定义IKE安全提议（系统提供一条缺省的IKE安全提议）创建IKE安全提议

[Quidway]ikeproposal

proposal-number

选择加密算法

[Quidway-ike-proposal-1]

encryption-algorithm{des-cbc|3des-cbc}

选择验证方法

[Quidway-ike-proposal-1]authentication-method{pre-share|rsa-signature}

选择验证算法

[Quidway-ike-proposal-1]

authentication-algorithm{md5

|

sha}

选择Diffie-Hellman组标识

[Quidway-ike-proposal-1]

dh{group1|group2}

配置ISAKMPSA生存周期（可选）

[Quidway-ike-proposal-1]

sadurationseconds

56目前五十六页\总数六十五页\编于十七点IKE的配置任务（2）配置IKE对等体创建IKE对等体

[Quidway]ikepeerpeer-name

配置IKE协商模式

[Quidway-ike-peer-1]exchange-mode[aggressive|main]

配置身份验证字

[Quidway-ike-peer-1]pre-shared-keykey

配置ike协商过程中使用的ID类型

[Quidway-ike-peer-1]id-type[ip|name]

指定对端安全网关设备的ID[Quidway-ike-peer-1]remote-namename

配置本端及对端安全网关设备的IP地址

[Quidway-ike-peer-1]local-addressip-address

[Quidway-ike-peer-1]remote-addressip-address

57目前五十七页\总数六十五页\编于十七点IKE的配置任务（3）配置IKE对等体配置NAT穿越功能

[Quidway-ike-peer-1]nat-traversal

配置最大连接数

[Quidway-ike-peer-1]max-connectionsnumber58目前五十八页\总数六十五页\编于十七点IPSec的配置举例InternetS0/0:/24S0/0:/24E0/0:/24E0/0:/24ABPC1：/24PC2:/24[Quidway]aclnumber3000[Quidway-acl-adv-3000]rulepermitipsource55destination55[Quidway-acl-adv-3000]ruledenyipsourceanydestinationany[Quidway]iproute-static

[Quidway]ipsecproposaltran1

[Quidway-ipsec-proposal-tran1]encapsulation-modetunnel

[Quidway-ipsec-proposal-tran1]transformesp

[Quidway-ipsec-proposal-tran1]espencryption-algorithmdes[Quidway-ipsec-proposal-tran1]espauthentication-algorithmsha1[Quidway-ipsec-proposal-tran1]quit[Quidway]ikepeerpeer[Quidway-ike-peer-peer]pre-share-keyabcde[Quidway-ike-peer-peer]remote-address[Quidway]ipsecpolicymap110isakmp

[Quidway-ipsec-policy-isakmp-map1-10]proposaltran1

[Quidway-ipsec-policy-isakmp-map1-10]securityacl101[Quidway-ipsec-policy-isakmp-map1-10]ike-peerpeer[Quidway-ipsec-policy-isakmp-map1-10]quit[Quidway]interfaceserial0/