版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
VPN协议原理及配置
课程内容
第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKEVPN协议原理及配置培训目标掌握VPN的概念和分类掌握实现IPVPN的相关协议掌握VPN的配置学习完本课程,您应该能够:VPN协议原理及配置合作伙伴InternetVPN的定义VPN——VirtualPrivateNetwork出差员工隧道专线办事处总部分支机构异地办事处VPN协议原理及配置VPN的分类按应用类型分类:AccessVPNIntranetVPNExtranetVPN按实现的层次分类:二层隧道VPN三层隧道VPNVPN协议原理及配置VPDNPOPPOP用户直接发起连接POPISP发起连接
总部隧道
适用范围:出差员工异地小型办公机构VPN协议原理及配置IntranetVPNInternet/ISPIPATM/FR隧道总部研究所办事处分支机构VPN协议原理及配置ExtranetVPNInternet/ISPIPATM/FR总部合作伙伴异地办事处分支机构VPN协议原理及配置按实现的层次分类二层隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GenericRoutingEncapsulationIPSEC:IPSecurityProtocolVPN协议原理及配置VPN设计原则安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性VPN协议原理及配置课程内容
第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKEVPN协议原理及配置L2TP协议概述L2TP:Layer2TunnelProtocol第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。特性灵活的身份验证机制以及高度的安全性多协议传输
支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性VPN协议原理及配置使用L2TP构建VPDNPSTN/ISDNLANLAN分支机构总部LACLNSQuidwayNASQuidwayRouterL2TP消息数据消息控制消息会话隧道出差员工LAC:L2TPAccessConcentratorL2TP的接入集中器LNS:L2TPNetworkServerL2TP的网络服务器LAC/LNSRadius:LAC/LNS的远端验证服务器LACRADIUSLNSRADIUSVPN协议原理及配置L2TP隧道和会话建立流程隧道、会话建立流程
L2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上,如果会话建立前隧道已经建立,则隧道不用重新建立。隧道建立流程:三次握手会话建立流程:三次握手LAC
LNSSCCRQ SCCRPSCCCNLAC
LNSICRQ ICRPICCNVPN协议原理及配置L2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNS LNS/LACHello ZLB隧道拆除流程会话维护流程LAC/LNS LNS/LACStopCNN ZLBLAC/LNS LNS/LACCDN ZLBVPN协议原理及配置L2TP协议栈结构及数据包的封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧解封装过程L2TP协议栈结构VPN协议原理及配置L2TP的配置任务及命令(1)LAC侧的配置设置用户名、密码及配置用户验证启用L2TP [Quidway]l2tpenable
创建L2TP组
[Quidway]l2tp-group
group-number
设置发起L2TP连接请求及LNS地址
[Quidway-l2tp1]startl2tp{ipip-address[ipip-address
…
]}{domaindomain-name|fullusernameuser-name}
VPN协议原理及配置L2TP的配置任务及命令(2)LNS侧的配置设置用户名、密码及配置用户验证启用L2TP
[Quidway]l2tpenable创建L2TP组
[Quidway]l2tp-group
group-number创建虚接口模板
[Quidway]interfacevirtual-templatevirtual-template-number
设置本端地址及为用户分配的地址池
[Quidway-Virtual-Template1]ipaddressX.X.X.Xnetmask
[Quidway-Virtual-Template1]remoteaddress{poolpool-number}VPN协议原理及配置L2TP的配置任务及命令(3)LNS侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名
L2TP组不为1:
[Quidway-l2tp1]
allowl2tpvirtual-templatevirtual-template-numberremoteremote-name[domaindomain-name]
L2TP组为1:
[Quidway-l2tp1]
allowl2tpvirtual-template
virtual-template-number[remote
remote-name][domain
domain-name]VPN协议原理及配置InternetL2TP的配置举例[LNS]local-user
[LNS-luser-]passwordsimpleHello[LNS]interfacevirtual-template1[LNS-virtual-template1]ipaddress[LNS-virtual-template1]pppauthentication-modechapdomain[LNS]domain[LNS-]schemelocal[LNS-]ippool100[LNS]l2tpenable
[LNS]l2tp-group1
[LNS-l2tp1]tunnelnameLNS
[LNS-l2tp1]allowl2tpvirtual-template1remoteLAC
[LNS-l2tp1]tunnelauthentication[LNS-l2tp1]tunnelpasswordsimplequidway[LAC]local-user
[LAC-luser-]passwordsimpleHello[LAC]domain[LAC-]schemelocal[LAC]l2tpenable
[LAC]l2tp-group1
[LAC-l2tp1]tunnelnameLAC
[LAC-l2tp1]startl2tpipdomain
[LAC-l2tp1]tunnelauthentication[LAC-l2tp1]tunnelpasswordsimplequidway
LNSLACPSTNVPN协议原理及配置L2TP的可选参数配置(1)LAC侧和LNS侧可选配的参数设置本端名称
[Quidway-l2tp1]
tunnelnamename启用隧道验证及设置密码
[Quidway-l2tp1]
tunnelauthentication
[Quidway-l2tp1]
tunnelpassword{simple|cipher}password
设置通道Hello报文发送时间间隔
[Quidway-l2tp1]
tunneltimerhellohello-interval
VPN协议原理及配置L2TP的可选参数配置(2)LAC侧和LNS侧可选配的参数配置域名分隔符及查找顺序 设置前缀分隔符
[Quidway-l2tp1]l2tpdomainprefix-separatorseparator
设置后缀分隔符
[Quidway-l2tp1]l2tpdomainsuffix-separatorseparator
设置查找规则
[Quidway-l2tp1]l2tpmatch-order{dnis-domain|dnis|domain-dnis|domain}
强制挂断通道
<Quidway>
resetl2tptunnel{remote-name|tunnel-id}
VPN协议原理及配置L2TP的可选参数配置(3)LNS侧可选配的参数强制本端CHAP验证
[Quidway-l2tp1]
mandatory-chap
强制LCP重新协商
[Quidway-l2tp1]
mandatory-lcp
VPN协议原理及配置L2TP隧道和会话的验证过程呼叫建立PPPLCP协商通过LACCHAPChallenge用户CHAPResponse隧道验证(可选)SCCRP(LNSCHAPResponse&LNSCHAPChallenge)SCCRQ(LACCHAPChallenge)SCCCN(LACCHAPResponse)ICCN(用户CHAPResponse&PPP已经协商好的参数)LNSCHAPChallenge可选的第二次验证用户CHAPResponse验证通过PSTN/ISDNInternetLACLNSVPN协议原理及配置L2TP显示和调试显示当前的L2TP通道的信息[Quidway]displayl2tptunnelLocalID RemoteIDRemNameRemAddressSessionsPort18AS801011701Totaltunnels=1
显示当前的L2TP会话的信息 [Quidway]displayl2tpsessionLocalID RemoteID TunnelID1 1 2
Totalsession=1
打开L2TP调试信息开关
<Quidway>debuggingl2tp{all|control|dump|error|event|hidden|payload|time-stamp}
VPN协议原理及配置L2TP排错用户登录失败Tunnel建立失败在LAC端,LNS的地址设置不正确LNS(通常为路由器)端没有设置可以接收该隧道对端的L2TP组Tunnel验证不通过,如果配置了验证,应该保证双方的隧道密码一致PPP协商不通过LAC端设置的用户名与密码有误,或者是LNS端没有设置相应的用户LNS端不能分配地址,比如地址池设置的较小,或没有进行设置密码验证类型不一致数据传输失败,在建立连接后数据不能传输,如Ping不通对端用户设置的地址有误网络拥挤
VPN协议原理及配置课程内容
第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKEVPN协议原理及配置GREGRE(GenericRoutingEncapsulation):是对某些网络层协议(如:IP,IPX,AppleTalk等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为tunnel。VPN协议原理及配置GRE协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayloadVPN协议原理及配置使用GRE构建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企业总部分支机构VPN协议原理及配置GRE的配置任务及命令创建虚拟Tunnel接口
[Quidway]interfacetunnelnumber
指定Tunnel的源端
[Quidway-Tunnel0]
source{ip-addr|interface-typeinterface-num}
指定Tunnel的目的端
[Quidway-Tunnel0]
destinationip-address
设置Tunnel接口的网络地址
[Quidway-Tunnel0]
ipaddressip-address
maskVPN协议原理及配置GRE的配置举例[RouterB-Serial0/0]ipaddress[RouterB-Ethernet0/0]ipaddress[RouterB]interfacetunnel0
[RouterB-Tunnel0]ipaddress
[RouterB-Tunnel0]source
[RouterB-Tunnel0]destination
[RouterB]iproute-statictunnel0
[RouterA-Serial0/0]ipaddress[RouterA-Ethernet0/0]ipaddress
[Router]interfacetunnel0[RouterA-Tunnel0]ipaddress
[RouterA-Tunnel0]source
[RouterA-Tunnel0]destination[RouterA]iproute-statictunnel0
T0:/24InternetS0/0:/24S0/0:/24E0/0:/24E0/0:/24T0:/24ABVPN协议原理及配置GRE的可选参数配置设置Tunnel接口报文的封装模式
[Quidway-Tunnel0]
tunnel-protocolgre设置Tunnel两端进行端到端校验
[Quidway-Tunnel0]
grechecksum设置Tunnel接口的识别关键字
[Quidway-Tunnel0]
grekeykey-number
配置通过Tunnel的路由静态路由配置动态路由配置
VPN协议原理及配置GRE的显示和调试显示Tunnel接口的工作状态
displayinterfacetunnel
number
例如:[Quidway]displayinterfacestunnel1Tunnel1isup,lineprotocolisupMaximumTransmissionUnitis128Internetaddressis10packetsinput,640bytes0inputerrors,0broadcast,0drops10packetsoutput,640bytes0outputerrors,0broadcast,0noprotocol打开Tunnel调试信息
<Quidway>
debuggingtunnel
VPN协议原理及配置课程内容
第一章VPN概述第二章L2TP第三章GRE第四章IPSec&IKEVPN协议原理及配置IPSecIPSec(IPSecurity)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH(协议号51)和封装安全载荷协议ESP(协议号50)两个协议IPSec有隧道(tunnel)和传输(transport)两种工作方式VPN协议原理及配置IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文验证头协议
MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES(TripleDES)AES(AdvancedEncryptionStandard)VPN协议原理及配置IPSec的安全特点数据机密性(Confidentiality)数据完整性(DataIntegrity)数据来源认证
(DataOriginAuthentication)反重放(Anti-Replay)VPN协议原理及配置IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全提议(SecurityProposal)安全策略(SecurityPolicy)VPN协议原理及配置AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631VPN协议原理及配置ESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据(可变)填充字段(0-255字节)填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分VPN协议原理及配置IKE
IKE(InternetKeyExchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥VPN协议原理及配置IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发VPN协议原理及配置IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2VPN协议原理及配置DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)VPN协议原理及配置IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证VPN协议原理及配置IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASAVPN协议原理及配置IPSec配置前的准备确定需要保护的数据确定使用安全保护的路径确定使用哪种安全保护确定安全保护的强度InternetVPN协议原理及配置IPSec的配置任务配置访问控制列表定义安全提议创建安全提议选择安全协议
选择安全算法选择报文封装形式创建安全策略手工创建安全策略用IKE创建安全策略在接口上应用安全策略VPN协议原理及配置IPSec的配置任务及命令(1)配置访问控制列表定义安全提议创建安全提议
[Quidway]ipsecproposalproposal-name
选择报文封装形式
[Quidway-ipsec-proposal-tran1]
encapsulation-mode{transport|tunnel}
选择安全协议
[Quidway-ipsec-proposal-tran1]transform{ah|ah-esp|esp}
选择安全算法
[Quidway-ipsec-proposal-tran1]espencryption-algorithm{3des|des|aes}
[Quidway-ipsec-proposal-tran1]espauthentication-algorithm{md5|sha1}
[Quidway-ipsec-proposal-tran1]ahauthentication-algorithm{md5|sha1}
VPN协议原理及配置IPSec的配置任务及命令(2)创建安全策略——手工创建安全策略手工创建安全策略
[Quidway]ipsecpolicypolicy-name
seq-number
manual
在安全策略中引用安全提议
[Quidway-ipsec-policy-manual-map1-10]proposalproposal-name1[proposal-name2...proposal-name6]在安全策略中引用访问控制列表
[Quidway-ipsec-policy-manual-map1-10]securityaclacl-number
配置隧道的起点和终点
[Quidway-ipsec-policy-manual-map1-10]tunnellocalip-address
[Quidway-ipsec-policy-manual-map1-10]tunnel
remote
ip-address
配置安全联盟的SPI[Quidway-ipsec-policy-manual-map1-10]saspi{inbound|outbound}{ah|esp}spi-number
VPN协议原理及配置IPSec的配置任务及命令(3)创建安全策略——手工创建安全策略配置安全联盟使用的密钥配置协议的验证密钥(以16进制方式输入)
[Quidway-ipsec-policy-manual-map1-10]saauthentication-hex{inbound|outbound}{ah|esp}hex-key配置协议的验证密钥(以字符串方式输入)
[Quidway-ipsec-policy-manual-map1-10]sastring-key{inbound|outbound}{ah|esp}string-key配置ESP协议的加密密钥(以16进制方式输入)
[Quidway-ipsec-policy-manual-map1-10]saencryption-hex{inbound|outbound}esphex-key
VPN协议原理及配置IPSec的配置任务及命令(4)创建安全策略——用IKE创建安全策略用IKE创建安全策略
[Quidway]ipsecpolicypolicy-name
seq-numberisakmp
在安全策略中引用安全提议
[Quidway-ipsec-policy-isakmp-map1-10]proposalproposal-name1[proposal-name2...proposal-name6]在安全策略中引用访问控制列表
[Quidway-ipsec-policy-isakmp-map1-10]securityaclacl-number
在安全策略中引用IKE对等体
[Quidway-ipsec-policy-isakmp-map1-10]ike-peerpeer-name
在接口上应用安全策略
[Quidway-Serial0/0]ipsecpolicypolicy-name
VPN协议原理及配置IKE的配置任务配置本端安全网关的名字定义IKE安全提议(系统提供一条缺省的IKE安全提议)配置IKE对等体VPN协议原理及配置IKE的配置任务配置本端安全网关的名字定义IKE安全提议(系统提供一条缺省的IKE安全提议)创建IKE安全提议选择加密算法选择验证方法选择验证算法选择Diffie-Hellman组标识
配置ISAKMPSA生存周期(可选)
配置IKE对等体创建IKE对等体配置IKE协商模式配置身份验证字配置ike协商过程中使用的ID类型指定对端安全网关设备的ID配置本端及对端安全网关设备的IP地址配置NAT穿越功能配置最大连接数
VPN协议原理及配置IKE的配置任务及命令(1)配置本端安全网关的名字
[Quidway]
ikelocal-nameid
定义IKE安全提议(系统提供一条缺省的IKE安全提议)创建IKE安全提议
[Quidway]ikeproposal
proposal-number
选择加密算法
[Quidway-ike-proposal-1]
encryption-algorithm{des-cbc|3des-cbc}
选择验证方法
[Quidway-ike-proposal-1]authentication-method{pre-share|rsa-signature}
选择验证算法
[Quidway-ike-proposal-1]
authentication-algorithm{md5
|
sha}
选择Diffie-Hellman组标识
[Quidway-ike-proposal-1]
dh{group1|group2}
配置ISAKMPSA生存周期(可选)
[Quidway-ike-proposal-1]
sadurationseconds
VPN协议原理及配置IKE的配置任务(2)配置IKE对等体创建IKE对等体
[Quidway]ikepeerpeer-name
配置IKE协商模式
[Quidway-ike-peer-1]exchange-mode[aggressive|main]
配置身份验证字
[Quidway-ike-peer-1]pre-shared-keykey
配置ike协商过程中使用的ID类型
[Quidway-ike-peer-1]id-type[ip|name]
指定对端安全网关设备的ID[Quidway-ike-peer-1]remote-namename
配置本端及对端安全网关设备的IP地址
[Quidway-ike-peer-1]local-addressip-address
[Quidway-ike-peer-1]remote-addressip-address
VPN协议原理及配置IKE的配置任务(3)配置IKE对等体配置NAT穿越功能
[Quidway-ike-peer-1]nat-traversal
配置最大连接数
[Quidway-ike-peer-1]max-connectionsnumberVPN协议原理及配置IPSec的配置举例InternetS0/0:/24S0/0:/24E0/0:/24E0/0:/24ABPC1:/24PC2:/24[Quidway]aclnumber3000[Quidway-acl-adv-3000]rulepermitipsource55destination55[Quidway-acl-adv-3000]ruledenyipsourceanydestinationany[Quidway]iproute-static
[Quidway]ipsecproposaltran1
[Quidway-ipsec-proposal-tran1]encapsulation-modetunnel
[Quidway-ipsec-proposal-tran1]transformesp
[Quidway-ipsec-proposal-tran1]espencryption-algorithmdes[Quidway-ipsec-proposal-tran1]espauthentication-algorithmsha1[Quidway-ipsec-proposal-tran1]quit[Quidway]ikepeerpeer[Quidway-ike-peer-peer]pre-share-keyabcde[Quidway-ike-peer-peer]remote-address[Quidway]ipsecpolicymap110isakmp
[Quidway-ipsec-policy-isakmp-map1-10]proposaltran1
[Quidway-ipsec-policy-isakmp-map1-10]securityacl101[Quidway-ipsec-policy-isakmp-map1-10]ike-peerpeer[Quidway-ipsec-policy-isakmp-map1-10]quit[Quidway]interfaceserial0/0[Quidway-Se
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 南理工课程设计挂了
- 施工组织设计课程设计了
- 基础会计课程设计实训
- 摩擦片的冲压课程设计
- 共享盈利模式课程设计
- 8维修合同范本
- 牙科管理制度
- 招标文件电缆采购合同
- 影像编辑与调色服务合同
- 鱼塘承包合同协议的全面解析
- DB3301T 0170-2018 道路交通指示标识英文译写规范
- DB31T 685-2019 养老机构设施与服务要求
- 产教融合实训基地建设与管理办法
- 电力管道、电力井施工方案
- 扈三娘人物形象分析
- 病媒生物防制效果评估报告
- 刀具更换作业指导书
- Q∕SY 1836-2015 锅炉 加热炉燃油(气)燃烧器及安全联锁保护装置检测规范
- 电力电子与电力传动毕业论文范文
- ECE汽车技术中文标准法规目录
- 《海马》-美术课件
评论
0/150
提交评论