VPN协议原理实用培训教程(ppt 40页)(共41张).pptx

上传人：醉****

文档编号：12817713

上传时间：2022-04-26

格式：PPTX

页数：41

大小：1.59MB

( 4.5 )

《VPN协议原理实用培训教程(ppt 40页)(共41张).pptx》由会员分享，可在线阅读，更多相关《VPN协议原理实用培训教程(ppt 40页)(共41张).pptx（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 1VPN协议原理ISSUE 1.0HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 2l本课程主要介绍VPN协议原理以及分别介绍L2TP 、GRE和IPSEC三种常见的实现VPN技术。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 3学习指南l本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书，合理有效利用上述资料您将会取得良好的学习效果

2、。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 4参考资料lVRP 3.30 操作手册、命令手册l故障信息收集排错指导书。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 5l学习完此课程，您将会：掌握 VPN 的概念和分类掌握实现 IP VPN 的相关协议。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 6第第2章章 L2TP第第3章章 GRE第第4章章 IPSec & IKEHUAWEI TECHNOLOGIE

3、S CO., LTD.HUAWEI Confidential Page 7VPN的定义VPN Virtual Private NetworkInternet出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构合作伙伴合作伙伴异地办事处异地办事处HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 8VPN的分类l按应用类型分类：Access VPNIntranet VPNExtranet VPNl按实现的层次分类：二层隧道 VPN三层隧道 VPNHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Conf

4、idential Page 9VPDNl适用范围：l出差员工l异地小型办公机构POPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接总部总部隧道隧道HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 10Intranet VPNInternet/ ISP IPATM/FR隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 11Extranet VPNInternet/ ISP IPATM/FR分支机构分支机构

5、合作伙伴合作伙伴总部总部异地办事处异地办事处HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 12按实现的层次分类l二层隧道VPNL2TP: Layer 2 Tunnel Protocol (RFC 2661)PPTP: Point To Point Tunnel ProtocolL2F: Layer 2 Forwardingl三层隧道VPN GRE : General Routing Encapsulation IPSEC : IP Security Protocol HUAWEI TECHNOLOGIES CO., LTD.HUAW

6、EI Confidential Page 13VPN设计原则l安全性隧道与加密数据验证用户验证防火墙与攻击检测l可靠性l经济性l扩展性HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 14第第1章章 VPN概述概述第第3章章 GRE第第4章章 IPSec & IKEHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 15L2TP 协议概述lL2TP: Layer 2 Tunnel Protocol 第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.l特

7、性灵活的身份验证机制以及高度的安全性多协议传输支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 16使用L2TP 构建VPDNLAC: L2TP Access Concentrator L2TP的接入集中器的接入集中器 LNS: L2TP Network Server L2TP的网络服务器的网络服务器LAC/LNS Radius : LAC/LNS的远端验证服务器的远端验证服务器PSTN/ISDN总部总部LACLNSQuidway NASQuidway RouterL2

8、TP 消息消息数据消息数据消息控制消息控制消息会话会话隧道隧道出差员工出差员工RLAC RADIUSRLNS RADIUSHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 17L2TP隧道和会话建立流程l隧道、会话建立流程lL2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。隧道建立流程：三次握手会话建立流程：三次握手LACLNSSCCRQSCCRPSCCCNLACLNSICRQ ICRPICCN HUAWEI TECHNOLOGIES CO., LTD.

9、HUAWEI Confidential Page 18L2TP隧道和会话维护和拆除流程l隧道维护流程隧道维护流程LAC/LNSLNS/LAC HelloZLBl隧道拆除流程隧道拆除流程l会话维护流程会话维护流程LAC/LNSLNS/LAC StopCNNZLBLAC/LNSLNS/LAC CDNZLBHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 19L2TP 协议栈结构及数据包的封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理

10、层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧解封装过程L2TP协议栈结构HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 20L2TP隧道和会话的验证过程ICCN（用户（用户 CHAP Response & PPP 已经协商好的参数）已经协商好的参数）SCCCN (LAC CHAP Response)SCCRQ (LAC CHAP Challenge)呼叫建立呼叫建立PPP LCP 协商通过协商通过LAC CHAP Challenge用户用户 CHAP Res

11、ponse隧道验证隧道验证( (可选可选) )LNS CHAP Challenge可选的第二次验证可选的第二次验证用户用户 CHAP Response验证通过验证通过PSTN/ISDNInternetLACLNSHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 21第第1章章 VPN概述概述第第2章章 L2TP第第4章章 IPSec & IKEHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 22GRElGRE (Generic Routing Encapsulation): 是

12、对某些网络层协议（如：IP, IPX, AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输lGRE 提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnelHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 23GRE 协议栈IP/IPXGREIP链路层协议链路层协议乘客协议乘客协议封装协议封装协议运输协议运输协议GREGRE协议栈协议栈隧道接口的报文格式隧道接口的报文格式链路层链路层GREIP/IPXIPPayloadHUAWEI

13、TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 24使用GRE构建VPNOriginal Data PacketTransfer Protocol HeaderGRE HeaderInternetTunnel企业总部企业总部分支机构分支机构HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 25第第1章章 VPN概述概述第第2章章 L2TP第第3章章 GREHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 26IPSeclIPSec（I

14、P Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议lIPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议lIPSec有隧道（tunnel）和传送（transport）两种工作方式 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 27IPSec 的组成lIPSec 提供两个安全协议AH (Authentication Header)报文认证头协议 MD5(Message Digest 5) SHA1(Secure Hash Algorithm)ESP

15、 (Encapsulation Security Payload)封装安全载荷协议 DES (Data Encryption Standard) 3DES 其他的加密算法：Blowfish ，blowfish、cast HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 28IPSec 的安全特点l数据机密性（Confidentiality） l数据完整性（Data Integrity） l数据来源认证（Data Authentication） l反重放（Anti-Replay） HUAWEI TECHNOLOGIES CO., LTD

16、.HUAWEI Confidential Page 29IPSec 基本概念l数据流 (Data Flow)l安全联盟 (Security Association)l安全参数索引 (Security Parameter Index)l安全联盟生存时间 (Life Time)l安全策略l安全提议HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 30AH协议数据数据IP IP 包头包头数据数据IP 包头包头AH数据数据原原IP IP 包头包头AH新新IP IP 包头包头传输模式传输模式隧道模式隧道模式下一个头下一个头负载长度负载长度保留域保

17、留域安全参数索引安全参数索引(SPI)(SPI)序列号序列号验证数据验证数据AHAH头结构头结构081631HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 31ESP 协议数据数据IP IP 包头包头加密后的数据加密后的数据IP IP 包头包头ESPESP头部头部ESPESP头头新新IP IP 包头包头传输模式传输模式隧道模式隧道模式ESPESP尾部尾部ESPESP验证验证ESPESP尾部尾部ESPESP验证验证0 08 816162424安全参数索引安全参数索引(SPI)(SPI)序列号序列号有效载荷数据（可变）有效载荷数据（可变）

18、填充字段填充字段(0-255(0-255字节）字节）填充字段长度填充字段长度下一个头下一个头验证数据验证数据ESPESP协议包结构协议包结构数据数据原原IP IP 包头包头加密部分加密部分HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 32IKEl IKE（Internet Key Exchange，因特网密钥交换协议） l为IPSec提供了自动协商交换密钥、建立安全联盟的服务l通过数据交换来计算密钥 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 33IKE的安全机制l完善

19、的前向安全性l数据验证身份验证身份保护lDH交换和密钥分发HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 34IKE的交换过程SA交换交换密钥交换密钥交换ID交换及验证交换及验证发送本地发送本地IKEIKE策略策略身份验证和身份验证和交换过程验证交换过程验证密钥生成密钥生成密钥生成密钥生成接受对端接受对端确认的策略确认的策略查找匹配查找匹配的策略的策略身份验证和身份验证和交换过程验证交换过程验证确认对方使确认对方使用的算法用的算法产生密钥产生密钥验证对方验证对方身份身份发起方策略发起方策略接收方确认的策略接收方确认的策略发起方的密钥生

20、成信息发起方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据发起方身份和验证数据接收方的身份和验证数据接收方的身份和验证数据Peer1Peer2HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 35DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp= cbmodp=gabmodp(g ,p)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 36IKE在IPSec中的作用l降低手工配置的复杂度l安全联盟定时更新l密钥定时更新l允许IPSec提供反重放服务l允许在端与端之间动态认证HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 37IPSec 与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的加密的IP报文报文IPIKE的的SA协商协商SASAHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 38小结l在本课程中我们学习了VPN协议的定义和分类，还学习了实现VPN常见的L2TP、GRE和IPSEC三种协议。谢谢谢谢更多资源

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

20 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: VPN协议原理实用培训教程(ppt40页)(共41张)

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：VPN协议原理实用培训教程(ppt 40页)(共41张).pptx
链接地址：https://www.taowenge.com/p-12817713.html