数据网组建与维护 课件 项目9 异地互联组建VPN

项目9

异地互联组建VPN用微课学•数据网组建与维护—基于华为eNSP（工作手册式）2项目9异地互联组建VPN

项目描述：某企业有位于两地的总公司和分公司两个机构，分别构建了本地局域网，路由器ZGS_AR_01和FGS_AR_01为本地局域网的出口路由器，企业网终端连接行政部、研发部和生产部等部门，网络拓扑如图9-1所示，网络功能需要满足以下需求。1）各个部门单独划分子网。2）总公司和分公司局域网通过IPSec隧道构建VPN，采用较低的成本，实现异地网络数据安全互通。图9-1企业VPN网络拓扑

任务1GRE隧道实现虚拟专用网9.1.1虚拟专用网

9.1.2GRE隧道VPN的原理与配置任务2增强VPN网络安全9.2.1IPSecVPN技术原理

9.2.2IPSecVPN配置

主要内容任务1GRE隧道实现虚拟专用网5知识目标：正确描述VPN的应用场景、优点和分类。正确描述GREVPN的特点。可描述GRE封装和解封装报文的过程。

正确判断GRE隧道的源地址和目的地址。技能目标：能配置GRE隧道实现VPN的网络互联。能使用抓包工具分析GER数据包。素养目标：提高网络安全的意识。具备严谨细致、精益求精的网络工匠精神。任务1

GRE隧道实现虚拟专用网学习目标6本任务通过学习VPN的概念、优点和分类，学习GREVPN的应用、报文封装和配置案例，带领大家掌握GRE隧道实现VPN的网络互联的方法。任务分析任务1

GRE隧道实现虚拟专用网

任务1GRE隧道实现虚拟专用网9.1.1虚拟专用网

9.1.2GRE隧道VPN的原理与配置任务2增强VPN网络安全9.2.1IPSecVPN技术原理

9.2.2IPSecVPN配置

主要内容8

9.1.1虚拟专用网虚拟专用网（VirtualPrivateNetwork，VPN）技术是指在公用网络中建立专用的数据通信网络的技术。所谓虚拟是相对物理上端到端的专有连接而言的，其仅在用户通信时才在公共互联网（如Internet）的基础设施上临时创建逻辑通道进行连接；所谓专用是相对共用而言的，是逻辑上专用，而非物理上的专用。1、VPN的概念9

9.1.1虚拟专用网2、VPN的优点VPN和传统的公网Internet相比具有如下优势：1）安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。2）成本低：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。3）支持移动业务：支持出差VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。4）可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。10

9.1.1虚拟专用网3、VPN的分类图9-3租用运营商VPN专线若根据VPN建设单位不同可以划分为以下两种类型。1）租用运营商VPN专线：

运营商的专线网络大多数都是使用的MPLSVPN。企业通过购买运营商提供的VPN专线服务实现总部和分部间的通信需求。11

9.1.1虚拟专用网图9-4

企业自建VPN网络2）企业自建VPN网络：

企业自己基于Internet自建VPN网络，常见的如IPsecVPN、GREVPN等。企业自己购买VPN网络设备，搭建自己的VPN网络，实现总部和分部的通信，或者是满足出差员工和总部的通信。12任务训练1.说一说，VPN的应用场景是什么？2.VPN的优点有哪些？3.企业自建VPN网络会采用哪些方案？

9.1.1虚拟专用网

任务1GRE隧道实现虚拟专用网9.1.1虚拟专用网

9.1.2GRE隧道VPN的原理与配置任务2增强VPN网络安全9.2.1IPSecVPN技术原理

9.2.2IPSecVPN配置

主要内容14GREVPN（GenericRoutingEncapsulation）即通用路由封装协议，采用隧道技术对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE解决了跨越异种网络的报文传输问题。1.GREVPN的概念9.1.2GRE隧道VPN的原理与配置图9-5GREVPN的应用场景15GRE封装报文时，封装前的报文称为净荷，封装前的报文协议称为乘客协议，然后先封装GRE头部，GRE成为封装协议，也叫运载协议，最后负责对封装后的报文进行转发的协议称为传输协议。2.GRE报文封装9.1.2GRE隧道VPN的原理与配置图9-6GRE报文结构16企业有北京总部和广州分支这两个局域网通过Internet连接，路由器R1和R3是两个局域网的出口路由器，路由器R2是互联网中的路由器。现需要在路由器R1和R3之间建立一条GRE隧道穿越公网搭建VPN。3.GREVPN案例9.1.2GRE隧道VPN的原理与配置图9-7GREVPN的网络拓扑17操作步骤：（1）R1的上创建到广州网络的GRE隧道接口[R1]interfaceTunnel0/0/1--指定隧道接口编号[R1-Tunnel0/0/1]tunnel-protocolgre--隧道使用GRE协议[R1-Tunnel0/0/1]ipaddress172.16.20.124--指定隧道接口的地址[R1-Tunnel0/0/1]source30.0.0.1--指定隧道的起点（源地址）[R1-Tunnel0/0/1]destination30.0.0.9--指定隧道的终点（目的地址）（2）R3的上创建到北京网络的GRE隧道接口[R3]interfacetunnel0/0/1--指定隧道接口编号[R3-Tunnel0/0/1]tunnel-protocolgre--隧道使用GRE协议[R3-Tunnel0/0/1]ipaddress172.16.20.224--指定隧道接口的地址[R3-Tunnel0/0/1]source30.0.0.9--指定隧道的起点（源地址）[R3-Tunnel0/0/1]destination30.0.0.1--指定隧道的终点（目的地址）[R3-Tunnel0/0/1]quit（3）R1的上的接口IP和路由配置[R1]interfacegigabitethernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress30.0.0.130[R1-GigabitEthernet0/0/0]interfaceethernet0/0/0[R1-Ethernet0/0/0]ipaddress172.16.1.124[R1-Ethernet0/0/0]quit[R1]iproute-static0.0.0.0030.0.0.2--配置到互联网的静态路由[R1]iproute-static172.16.2.024172.16.20.2--添加到广州网络的静态路由，数据走GRE隧道9.1.2GRE隧道VPN的原理与配置（4）R2的上的接口IP配置[R2]interfacegigabitethernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress30.0.0.230[R2-GigabitEthernet0/0/0]interfacegigabitethernet0/0/1[R2-GigabitEthernet0/0/1]ipaddress30.0.0.1030（5）R3的上的接口IP和路由配置[R3]interfacegigabitethernet0/0/0[R3-GigabitEthernet0/0/0]ipaddress30.0.0.930[R3-GigabitEthernet0/0/0]interfaceethernet0/0/0[R3-Ethernet0/0/0]ipaddress172.16.2.124[R3-Ethernet0/0/0]quit[R3]iproute-static0.0.0.02430.0.0.10--配置到互联网的静态路由[R3]iproute-static172.16.1.024172.16.20.1--配置添加到北京网络的路由，数据走GRE隧道18（6）测试。

用PC1去pingPC2，可以ping通。再抓包分析GRE隧道中的数据包格式。选择R2路由器，单击“数据抓包”，再单击“GE0/0/0”接口。开始抓包后，用PC1去pingPC2，观察捕获的数据包，查看GRE封装，如下图所示。9.1.2GRE隧道VPN的原理与配置19任务训练按照图9-9所示的拓扑，在路由器R1和R3上配置GRE隧道搭建VPN，让PC1和PC2能够互相访问。图9-9GREVPN应用示例9.1.2GRE隧道VPN的原理与配置任务2

增强VPN网络安全21知识目标：可说出IPSecVPN的应用场景。可描述IPSecVPN两种封装模式的应用。可归纳GREoverIPSec的配置步骤。技能目标：能熟练配置隧道模式的IPSecVPN。能熟练配置GREoverIPSec实现数据安全传输。会抓包分析IPSecVPN数据包。素养目标：提高网络安全的意识。具备严谨细致、精益求精的网络工匠精神。任务2增强VPN网络安全学习目标22本任务通过学习IPSecVPN的概念、架构、封装模式和配置案例，带领大家掌握隧道模式IPSecVPN和GREoverIPSec的配置，能灵活应用IPSecVPN解决实际应用问题。任务分析任务2增强VPN网络安全

任务1GRE隧道实现虚拟专用网9.1.1虚拟专用网

9.1.2GRE隧道VPN的原理与配置任务2增强VPN网络安全9.2.1IPSecVPN技术原理

9.2.2IPSecVPN配置

主要内容24

IPSec是IETF定义的一个框架。通信双方在IP层通过加密、完整性校验、数据源认证等方式，保证了IP数据报文在网络上传输的机密性、完整性和防重放。机密性（Confidentiality）指对数据进行加密保护，用密文的形式传送数据。完整性（Dataintegrity）指对接收的数据进行认证，以判定报文是否被篡改。防重放（Anti-replay）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。1.IPSecVPN的概念9.2.1IPSecVPN技术原理图9-10IPsecVPN应用场景25IPSec框架由各种协议组和协商而成。该框架涉及到的主要有加密算法、验证算法、封装协议、封装模式、密钥有效期等。IPSec通过AH和ESP这两个安全协议来实现IP数据报的安全传送、通过IKE协议提供密钥协商，建立和维护安全联盟SA等服务。2.IPSecVPN的架构9.2.1IPSecVPN技术原理图9-11IPsec架构26

（1）传输模式

传输模式（TransportMode）是IPSec的默认模式，又称端到端（End-to-End）模式，它只适用于PC到PC的场景。3.IPSecVPN的两种封装模式9.2.1IPSecVPN技术原理图9-12IPsec传输模式示意图

在传输模式下，AH或ESP报头位于IP报头和传输层报头之间。

特点：IP包头没有包装，只是传输的实际数据载荷包装在VPN报文中。因此，攻击者在截获数据后无法破解数据内容，但可以清楚地了解通信双方的地址信息。27

（2）隧道模式

隧道模式（TunnelMode）使用在两台路由器（网关）之间，站点到站点（Site-to-Site）的通信。参与通信的两个路由器为本地网络提供安全通信服务，用于总公司和分公司跨广域网通信、移动用户访问公司内部资源等多种情况VPN加密数据传输。3.IPSecVPN的两种封装模式9.2.1IPSecVPN技术原理图9-13IPsec隧道模式示意图

在隧道模式下，IPSec会另外生成一个新的IP报头，并封装在AH或ESP之前。

隧道模式为整个IP包提供保护，为IP协议本身而不只是上层协议提供安全保护，所以当攻击者截获数据时，他们不仅不能理解实际负载数据的内容，还不能理解实际通信双方的地址信息。28

GRE本身并不支持加密，因而通过GRE隧道传输的流量是不加密的。将IPSec技术与GRE相结合，可以先建立GRE隧道对报文进行GRE封装，然后再建立IPSec隧道对报文进行加密，以保证报文传输的完整性和私密性，这种技术称之为GREoverIPSec。4.GREoverIPSec9.2.1IPSecVPN技术原理图9-14GREoverIPSec的应用场景299.2.1IPSecVPN技术原理任务训练1.简述IPSecVPN的技术优势。2.说一说，IPSecVPN的两种传输模式和应用场景。3.描述一下GREoverIPSec应用的场景。

任务1GRE隧道实现虚拟专用网9.1.1虚拟专用网

9.1.2GRE隧道VPN的原理与配置任务2增强VPN网络安全9.2.1IPSecVPN技术原理

9.2.2IPSecVPN配置

主要内容1）定义数据流。因为部分流量无需满足完整性和机密性要求，所以需要对流量进行过滤，可以通过配置ACL来定义选择出需要IPSec保护的数据量。2）配置IPSec安全提议。IPSec提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式。安全协议包括AH和ESP，两者可以单独使用或一起使用。AH支持MD5和SHA-1认证算法；ESP支持两种认证算法（MD5和SHA-1）和三种加密算法（DES、3DES和AES）。3）创建IKE对等实体。指定用于自动协商所使用的密码和隧道的终点地址。为了能够正常传输数据流，安全隧道两端的对等体必须使用相同的安全协议、认证算法、加密算法和封装模式。4）配置IPSec安全策略。在IPSec策略中，会应用前面IPSec提议中定义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识。IPSec策略可分成manual和isakmp两个模式，manual模式是指手工建立SA的策略，isakmp模式是指由IKE自动协商生成各参数。5）接口应用IPSec安全策略。6）添加到远程网络的路由。311.IPSecVPN配置步骤：9.2.2IPSecVPN配置请在路由器AR1和AR2上配置IPSec隧道，使得北京和广州的网络能跨Internet通信。322.IPSecVPN配置案例9.2.2IPSecVPN配置图9-15IPSecVPN网络拓扑（1）3台路由器上配置好接口IP（略）。（2）AR1上的IPSec配置。1）定义要保护的数据流[AR1]acl3000[AR1-acl-adv-3000]rulepermitipsource172.16.1.00.0.0.255destination172.16.2.00.0.0.255[AR1-acl-adv-3000]ruledenyip[AR1-acl-adv-3000]q2）确定安全提议[AR1]ipsecproposalpro1--创建安全提议，名为prol[AR1-ipsec-proposal-prol]espauthentication-algorithmsha1--指定ESP的身份验证算法为SHA-1[AR1-ipsec-proposal-prol]espencryption-algorithmaes-128--指定ESP的数据加密算法为AES-128[AR1-ipsec-proposal-prol]q3）创建对等实体[AR1]ikepeertoguangzhouv1--创建对等实体名称和版本[AR1-ike-peer-toguangzhou]pre-shared-keysimple111--预享秘钥为111[AR1-ike-peer-toguangzhou]remote-address30.0.0.9--指定隧道的终点IP地址[AR1-ike-peer-toguangzhou]q33操作步骤：9.2.2IPSecVPN配置4）配置安全策略[AR1]ipsecpolicypolicy110isakmp--策略名为policy1，索引号为10，策略模式为isakmp[AR1-ipsec-policy-isakmp-policy1-10]ike-peertoguangzhou--指定IKE对等实体[AR1-ipsec-policy-isakmp-policy1-10]proposalpro1--指定安全提议[AR1-ipsec-policy-isakmp-policy1-10]securityacl3000--指定数据流[AR1-ipsec-policy-isakmp-policy1-10]q5）接口应用安全策略[AR1]intg0/0/0[AR1-GigabitEthernet0/0/0]ipsecpolicypolicy1--安全策略应用到接口上[AR1-GigabitEthernet0/0/0]q6）添加远程路由[AR1]iproute-static30.0.0.83030.0.0.2[AR1]iproute-static172.16.2.02430.0.0.2---------注：只配置1条默认路由也可。路由AR2做类似的配置。349.2.2IPSecVPN配置（4）抓包测试。抓包分析IPSec隧道中的数据包格式。右击ISP路由器，单击“数据抓包”，再单击“GE0/0/0”接口启用抓包软件，这时用PC2pingPC2，观察捕获的数据包，如下图所示。查看到隧道中的数据包被封装在安全载荷中，不能看到数据包的内网地址信息。

在该案例中，创建好隧道接口，再将IPSec策略绑定到隧道接口，通过隧道的数据就是要保护的数据流，这样就不需要使用ACL确定保护流了。353.GREoverIPSec配置案例9.2.2IPSecVPN配置图9-17GREoverIPSec案例的网络拓扑（1）AR1、AR2和ISP上配置物理接口的IP地址（略）。（2）AR1上的GREoverIPSec配置。1）配置GRETunnel接口[AR1]intTunnel0/0/0[AR1-Tunnel0/0/0]ipadd172.16.20.124[AR1-Tunnel0/0/0]tunnel-protocolipsec[AR1-Tunnel0/0/0]source30.0.0.1[AR1-Tunnel0/0/0]destination30.0.0.92）配置路由[AR1]iproute-static0.0.0.0030.0.0.2[AR1]iproute-static172.16.2.024172.16.20.23）确定IPSec安全提议[AR1]ipsecproposalprop[AR1-ipsec-proposal-prol]quit4）创建IKE对等实体[AR1]ikepeertoguangzhouv2[AR1-ike-peer-toguangzhou]peer-id-typeip[AR1-ike-peer-toguangzhou]pre-shared-keysimple111[AR1-ike-peer-toguangzhou]q5）配置IPSec安全策略[AR1]ipsecprofileprofile1[AR1-ipsec-policy-isakmp-policy1-10]ike-peertoguangzhou[AR1-ipsec-policy-isakmp-policy1-10]proposalprop[AR1-ipsec-policy-isakmp-policy1-10]q6）在Tunnel接口上应用安全策略[AR1]intTunnel0/0/0[AR1-Tunnel0/0/0]ipsecprofileprofile1[AR1-Tunnel0/0/0]q36操作步骤：9.2.2IPSecVPN配置（3）AR2上的GREoverIPSec配置。1）配置GRETunnel接口[AR2]intTunnel0/0/0[AR2-Tunnel0/0/0]ipadd172.16.20.224[AR2-Tunnel0/0/0]tunnel-protocolipsec[AR2-Tunnel0/0/0]source30.0.0.9[AR2-Tunnel0/0/0]destination30.0.0.12