H3C-VPN原理及配置.ppt

《H3C-VPN原理及配置.ppt》由会员分享，可在线阅读，更多相关《H3C-VPN原理及配置.ppt（194页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、n 随着网络应用的发展，组织需要将随着网络应用的发展，组织需要将Intranet、Extranet和和Internet接入融合起来接入融合起来n 组织越来越需要降低昂贵的专线网络布署、使用和组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性维护费用，缩减布署周期，提高灵活性引入引入n 理解理解VPN的体系结构的体系结构n 掌握掌握GRE VPN的工作原理和配置的工作原理和配置n 掌握掌握L2TP VPN的工作原理和配置的工作原理和配置n 掌握掌握IPSec VPN的工作原理和配置的工作原理和配置n 能够执行基本的能够执行基本的VPN设计设计课程目标课程目标学习完本课

2、程，您应该能够：学习完本课程，您应该能够：n VPN概述概述n GRE VPNn L2TPn IPSec VPNn VPN设计规划设计规划目录目录5VPN概述概述lVPN概念lVPN的分类l主要VPN技术6VPN（Virtual Private Network）合作伙伴合作伙伴出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构异地办事处异地办事处I7什么是什么是VPNl VPN（Virtual Private Network，虚拟私有网），虚拟私有网） l 以共享的公共网络为基础，构建私有的专用网络以共享的公共网络为基础，构建私有的专用网络l 以虚拟的连接，而非以物理连接贯通

3、网络以虚拟的连接，而非以物理连接贯通网络l 处于私有的管理策略之下，具有独立的地址和路处于私有的管理策略之下，具有独立的地址和路由规划由规划l RFC 2764描述了基于描述了基于IP的的VPN体系结构体系结构8VPN的优势的优势l 可以快速构建网络，减小布署周期可以快速构建网络，减小布署周期l 与私有网络一样提供安全性，可靠性和可管理性与私有网络一样提供安全性，可靠性和可管理性l 可利用可利用Internet，无处不连通，处处可接入，无处不连通，处处可接入l 简化用户侧的配置和维护工作简化用户侧的配置和维护工作l 提高基础资源利用率提高基础资源利用率l 于客户可节约使用开销于客户可节约使用开

4、销l 于运营商可以有效利用基础设施，提供大量、多种业务于运营商可以有效利用基础设施，提供大量、多种业务9VPN的关键概念术语的关键概念术语l 隧道（隧道（Tunnel）l 封装（封装（Encapsulation） l 验证（验证（Authentication）l 授权（授权（Authorization） l 加密（加密（Encryption）l 解密（解密（Decryption） 10VPN的分类方法的分类方法l 按照业务用途分类：按照业务用途分类：Access VPN，Intranet VPN，Extranet VPNl 按照运营模式：按照运营模式：CPE-Based VPN，Network

5、-Based VPNl 按照组网模型：按照组网模型：VPDN，VPRN，VLL，VPLS l 按照网络层次：按照网络层次：Layer 1 VPN， Layer 2 VPN， Layer 3 VPN，传输层，传输层VPN，应用层，应用层VPN11Access VPNPOPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接 总部总部隧道隧道12Intranet VPN总部总部研究所研究所办事处办事处分支机构分支机构Internet/ ISP IPATM/FR13Extranet VPN总部总部合作伙伴合作伙伴异地办事处异地办事处分支机构分支机构Internet/ ISP IPATM

6、/FR14CPE-Based VPN隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构Internet/ ISP 网网络络15Network-Based VPN隧道隧道总部总部Internet/ ISP 网络研究所研究所办事处办事处分支机构分支机构16VLL，虚拟专线，虚拟专线总部总部研究所研究所办事处办事处分支机构分支机构DLCI 500DLCI 600DLCI 700DLCI 600/601/602Internet/ ISP 网络网络17VPRN隧道隧道研究所研究所办事处办事处分支机构分支机构网络层报文网络层报文Internet/ ISP 网络总部18VPDN，虚拟私有拨号网络，虚拟

7、私有拨号网络 适用范围：适用范围：出差员工出差员工异地小型办公机构异地小型办公机构POPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接 总部总部隧道隧道19VPLS，虚拟私有，虚拟私有LAN服务服务ISP 网络网络虚拟的虚拟的LAN连接连接研究所研究所办事处办事处分支机构分支机构LAN帧帧20不同网络层次的不同网络层次的VPNl 一层一层 VPNl 二层二层 VPNl 三层三层 VPNl 传输层传输层VPNl 应用层应用层VPN21主要主要VPN技术技术l 主要的二层主要的二层VPN技术技术L2TP：二层隧道协议 PPTP：点到点隧道协议MPLS L2 VPNl 主要的三层

8、主要的三层VPN技术技术GREIPSec VPNBGP/MPLS VPN22其它其它VPN技术技术l 老式老式VPN技术技术 包括ATM，Frame Relay，X.25等分组交换技术l SSL（Secure Sockets Layer）l L2F（Layer 2 Forwarding）l DVPN（Dynamic Virtual Private Network，动态，动态VPN）l 基于基于VLAN的的VPNl 802.1QinQl XOT（X.25 over TCP Protocol）n VPN概述概述n GRE VPNn L2TPn IPSec VPNn VPN设计规划设计规划目录目录2

9、4GRE VPNl概述lGRE封装lGRE VPN工作原理lGRE VPN配置lGRE VPN典型应用l小结25GRE VPNl GRE (Generic Routing Encapsulation)在任意一种网络协议上传送任意一种其它网络协议的封装方法 RFC 2784可以用于任意的VPN实现l GRE VPN直接使用GRE封装，在一种网络上传送其它协议虚拟的隧道（Tunnel）接口26GRE协议栈协议栈协议协议BGRE协议协议A链路层协议链路层协议载荷协议载荷协议封装协议封装协议承载协议承载协议协议协议B载荷载荷GRE封装包格式封装包格式链路层链路层GRE协议协议B协议协议A载荷载荷27R

10、FC 1701 GRE头格式头格式CR KS sRecurFlagsVerProtocol TypeChecksum (optional)Offset (optional)Key (optional)Sequence Number (optional)Routing (optional)0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 28RFC 1701 SRE格式格式Address FamilySRE OffsetSRE LengthRouting Information 0 1 2 3 4 5 6 7 8 9

11、0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 29常见常见GRE载荷协议号载荷协议号协议名协议类型号Reserved0000SNA0004OSI network layer00FEXNS0600IP0800DECnet (Phase IV)6003Ethertalk (Appletalk)809BNovell IPX8137ReservedFFFF30RFC 2784 GRE标准头格式标准头格式CReserved0VerProtocol TypeChecksum (optional)Reserved1 (optional)0 1 2 3 4 5 6 7

12、 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 31GRE扩展头格式扩展头格式CK SReserved0VerProtocol TypeChecksum (optional)Reserved1 (optional)Key (optional)Sequence Number (optional)0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 32载荷协议包载荷协议包以以IP作为承载协议的作为承载协议的GRE封装封装l GRE被当作一种被当作一种IP协议对待协议对待l

13、IP用协议号用协议号47标识标识GRE链路层链路层GREIPIP协议号协议号33以以IP作为载荷协议的作为载荷协议的GRE封装封装l GRE使用以太类型标识载荷协议使用以太类型标识载荷协议l 载荷协议类型值载荷协议类型值0 x0800说明载荷协议为说明载荷协议为IP载荷载荷链路层链路层GRE承载协议头承载协议头载荷协议载荷协议0 x0800IP34IP over IP的的GRE封装封装载荷载荷链路层链路层GREIP载荷协议载荷协议0 x0800IPIP协议号协议号35GRE隧道隧道RTARTBIPIPXIPXGRE Tunnel站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0

14、Tunnel0IPX数据流IPX包IPX包GRE封装包36IP over IP GRE隧道隧道RTARTBIP公网IP私网IP私网GRE Tunnel站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP私网之间的数据流私网IP包GRE封装包私网IP包37GRE隧道处理流程隧道处理流程l 隧道起点路由查找隧道起点路由查找l 加封装加封装l 承载协议路由转发承载协议路由转发l 中途转发中途转发l 解封装解封装l 隧道终点载荷协议路由

15、查找隧道终点载荷协议路由查找38GRE隧道处理隧道处理隧道起点路由查找隧道起点路由查找RTARTBIP公网IP私网IP私网站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.1.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202

16、.1.1.0/24DERECT0-LOOP0203.1.1.0/24STATIC0202.1.1.2S0/39GRE隧道处理隧道处理加封装加封装RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTA Tunnel0接口参数：接口参数： GRE封装封装 源接口源接口S0/0，地址，地址202.1.1.1 目标地址目标地址203.1.1.2D S私网私网IP包包GRE头头公网公网IP头头目的地目的地址：址： 203.1.1.2源

17、地址源地址： 202.1.1.1S0/0S0/0E0/0E0/40GRE隧道处理隧道处理承载协议路由转发承载协议路由转发RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.1.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel020

18、2.1.1.0/24DERECT0-LOOP0203.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/41GRE隧道处理隧道处理中途转发中途转发RTARTBIP公网IP私网IP私网站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/42GRE隧道处理隧道处理解封装解封装RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410

19、.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTB Tunnel0接口参数：接口参数： GRE封装封装 源接口源接口S0/0，地址，地址202.1.1.1 目标地址目标地址203.1.1.2D S私网私网IP包包GRE头头公网公网IP头头私网私网IP包包S0/0S0/0E0/0E0/43GRE隧道处理隧道处理隧道终点载荷协议路由查找隧道终点载荷协议路由查找RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/242

20、02.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.3.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.1.0/24OSPF210010.1.2.2Tunnel0203.1.1.0/24DERECT0-LOOP0202.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/44GRE穿越穿越NATRTARTBIP公网IP私网IP私网E1/0S0/0E0/0E0/0Tunnel0Tunnel0IP_addr_BIP_addr_ANAT网关网关S0/0

21、IP_addr_Rl RTA配置：配置：隧道源IP_addr_A隧道目的IP_addr_Bl RTB配置：配置：隧道源IP_addr_B隧道目的IP_addr_Rl NAT配置：配置：地址映射：IP_addr_A IP_addr_R45GRE VPN基本配置基本配置l 创建虚拟Tunnel接口 H3C interface tunnel number l 指定Tunnel的源端 H3C-Tunnel0 source ip-addr | interface-type interface-num l 指定Tunnel的目的端 H3C-Tunnel0 destination ip-address l

22、设置Tunnel接口的网络地址 H3C -Tunnel0 ip address ip-address maskl 配置通过Tunnel的路由46GRE VPN路由配置路由配置RTARTBIP公网IP私网IP私网站点站点A站点站点BS1/0S1/0E0/0E0/0Tunnel0Tunnel0载荷网路由AS承载网路由AS47虚假的虚假的Tunnel接口状态接口状态RTARTB站点站点A站点站点BE1/0E1/0E0/0E0/0Tunnel0Tunnel0备份隧道空闲！备份隧道空闲！服务器服务器RTCE1/0E0/0Tunnel0Tunnel1UPUPUPUP48GRE VPN高级配置高级配置l 设

23、置Tunnel接口报文的封装模式 H3C-Tunnel0 tunnel-protocol grel 设置Tunnel两端进行端到端校验 H3C-Tunnel0 gre checksuml 设置Tunnel接口的识别关键字 H3C-Tunnel0 gre key key-number l 配置Tunnel的keepalive功能 H3C-Tunnel0 keepalive interval times 49GRE VPN配置实例（待续）配置实例（待续）RTARTBIP公网IP私网IP私网站点站点A站点站点BS1/0S1/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1

24、.2.1/2410.1.2.2/2410.1.3.1/24132.108.5.2/24192.13.2.1/50GRE VPN配置实例配置实例RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0 RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0RTB interface tunnel 0 RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0 RTB-Tunnel0 source 132.108.5.2 RTB-Tunnel0 destination 192.1

25、3.2.1 RTB ip route-static 10.1.1.0 255.255.255.0 tunnel0 RTA-Serial1/0 ip address 192.13.2.1 255.255.255.0RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 RTA interface tunnel 0RTA-Tunnel0 ip address 10.1.2.1 255.255.255.0 RTA-Tunnel0 source 192.13.2.1 RTA-Tunnel0 destination 132.108.5.2RTA ip rout

26、e-static 10.1.3.0 255.255.255.0 tunnel0 51GRE VPN的显示和调试的显示和调试l 显示Tunnel接口的工作状态 display interface tunnel number 例如：H3C display interfaces tunnel 1 Tunnel1 is up, line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input, 640 bytes 0 input errors,

27、0 broadcast, 0 drops 10 packets output, 640 bytes 0 output errors, 0 broadcast, 0 no protocoll 打开Tunnel调试信息 debugging tunnel 52连接不连续的网络连接不连续的网络RTARTBIPIPXIPXGRE Tunnel站点站点A站点站点BTunnel0Tunnel0S0/0S0/0E0/0E0/53单一骨干承载多个上层协议单一骨干承载多个上层协议RTARTBIPIPXIPXGRE Tunnel站点站点A站点站点BTunnel0Tunnel0IPIPTeam1Team2Group1

28、Group2S0/0S0/0E0/0E0/54扩大载荷协议的工作范围扩大载荷协议的工作范围RTARTBIP公网载荷协议载荷协议站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0T55GRE VPN的优点的优点l 可以当前最为普遍的可以当前最为普遍的IP网络作为承载网络网络作为承载网络 l 支持多种协议支持多种协议l 支持支持IP组播组播l 简单明了、容易布署简单明了、容易布署 56GRE VPN的缺点的缺点l 点对点隧道点对点隧道 l 静态配置隧道参数静态配置隧道参数l 布署复杂连接关系时代价巨大布署复杂连接关系时代价巨大l 缺乏安全性缺乏安全性l 不能分隔地址空间不能分隔地址

29、空间 n VPN概述概述n GRE VPNn L2TPn IPSec VPNn VPN设计规划设计规划目录目录58L2TPl概述l概念术语l协议封装l协议操作lL2TP多实例l配置和故障排除l小结59L2TPl Layer Two Tunnel Protocoll RFC 2661l 隧道传送隧道传送PPPl 验证和动态地址分配验证和动态地址分配l 无加密措施无加密措施l 点对网络特性点对网络特性60传统拨号接入传统拨号接入PSTN/ISDN分支机构分支机构总部总部NAS出差员工出差员工RADIUS61使用使用L2TP构建构建VPDN分支机构分支机构总部总部LACLNSNAS Router出差

30、员工出差员工LAC RADIUSLNS RADIUSPSTN/ISDN62L2TP功能组件功能组件l 远程系统（远程系统（Remote System）l LAC（L2TP Access Concentrator）l LNS（L2TP Network Server）l NAS（Network Access Server）63L2TP功能组件功能组件LACLNSNAS远程系统远程系统LAC RADIUSLNS RADIUS隧道隧道PSTN/ISDN64L2TP术语术语l 呼叫（呼叫（Call）l 隧道（隧道（Tunnel）l 控制连接（控制连接（Control Connection）l 会话（会话

31、（Session）l AVP（Attribute Value Pair）65呼叫呼叫PSTN/ISDNLACLNS呼叫呼叫LAC RADIUSLNS RADIUS66隧道和控制连接隧道和控制连接PSTN/ISDN控制连接控制连接隧道隧道LACLNS呼叫呼叫LAC RADIUSLNS RADIUS67会话会话PSTN/ISDN控制连接控制连接隧道隧道LACLNS呼叫呼叫LAC RADIUSLNS RADIUS会话会话68L2TP拓扑结构（拓扑结构（1）独立独立LAC方式方式PSTN/ISDNLACLNS69L2TP拓扑结构（拓扑结构（2）客户客户LAC方式方式LNS70L2TP头格式头格式0 1

32、 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1T LSO PVerTunnel IDSession IDNs (opt)Nr (opt)Offset Size (opt)Offset pad. (opt)Length (opt)71L2TP协议栈和封装过程协议栈和封装过程私有私有IPPPPL2TPUDP公有公有IP链路层链路层物理层物理层物理层物理层私有私有IPPPPIP包包(公有公有IP)UDPL2TPPPPIP包包(私有私有IP)链路层链路层私有私有IPPPP物理层物理层L2TPUDP公有公有IP链路层链路层物理层物

33、理层 物理层物理层私有私有IP链路层链路层物理层物理层ClientLACLNSServerLAC侧封装过程侧封装过程LNS侧解封装过程侧解封装过程L2TP协议栈结构协议栈结构72L2TP协议操作协议操作l 建立控制连接建立控制连接l 建立会话建立会话l 转发转发PPP帧帧l Keepalivel 关闭会话关闭会话l 关闭控制连接关闭控制连接73建立控制连接建立控制连接LACLNSSCCRQSCCRPSCCCNZLBl 控制连接的建立由控制连接的建立由PPP触发触发l 任意源端口任意源端口1701l 重定位为任意源端口重定位为任意源端口任意目标端口任意目标端口74建立会话建立会话LACLNSIC

34、RQICRPICCNZLBl 会话的建立以控制连接的建立为前提会话的建立以控制连接的建立为前提l 会话与呼叫有一一对应关系会话与呼叫有一一对应关系l 同一个隧道中可以建立多个会话同一个隧道中可以建立多个会话75转发转发PPP帧帧l 会话建立后，即可转发会话建立后，即可转发PPP帧帧l Tunnel ID和和Session ID用于区分不同隧道和不用于区分不同隧道和不同会话的数据同会话的数据76KeepaliveLACLNSHelloHellol L2TP用用Hello控制消息维护隧道的状态控制消息维护隧道的状态77关闭会话关闭会话LACLNSCDNZLB78关闭控制连接关闭控制连接LACLNS

35、StopCCNZLB79L2TP的验证过程的验证过程呼叫建立呼叫建立PPP LCP 协商通过协商通过LAC CHAP Challenge用户用户 CHAP Response隧道验证隧道验证(可选可选)SCCRP (LNS CHAP Response & LNS CHAP Challenge)SCCRQ (LAC CHAP Challenge)SCCCN (LAC CHAP Response)ICCN（用户（用户 CHAP Response & PPP 已经协商好的参数）已经协商好的参数）LNS CHAP Challenge可选的第二次验证可选的第二次验证用户用户 CHAP Response验证

36、通过验证通过LACLNSPSTN/ISDN80L2TP多实例多实例l L2TP协议上加入多实例技术，让协议上加入多实例技术，让L2TP支持在一台设备将支持在一台设备将不同的用户划分在不同的不同的用户划分在不同的VPN，各个，各个VPN之内的数据可以之内的数据可以互通，且在互通，且在LNS两个不同两个不同VPN之间的数据不能互相访问，之间的数据不能互相访问，即使即使L2TP接入是同一个设备。接入是同一个设备。VPN 1 总部总部ClientLNSHOSTInternetL2TP TUNNELClientVPN 2总部总部VPN 1HOSTVPN 210.1.1.*10.1.1.*10.1.2.*

37、10.1.2.*81L2TP基本配置任务基本配置任务l LAC侧侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组设置发起L2TP连接请求及LNS地址l LNS侧侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组创建虚接口模板设置本端地址及分配的地址池设置接收呼叫的虚接口模板、通道对端名称和域名82L2TP基本配置命令（未完）基本配置命令（未完）l LAC 侧的配置侧的配置设置用户名、密码及配置用户验证设置用户名、密码及配置用户验证启用启用L2TPH3C l2tp enable 创建创建L2TP组组 H3C l2tp-group group-number 设置发起设置发起L2T

38、P连接请求及连接请求及LNS地址地址H3C-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | fullusername user-name 83L2TP 的基本配置命令（未完）的基本配置命令（未完）l LNS 侧的配置设置用户名、密码及配置用户验证设置用户名、密码及配置用户验证启用启用L2TP H3C l2tp enable创建创建L2TP组组 H3C l2tp-group group-number创建虚接口模板创建虚接口模板H3C interface virtual-template virtual-templa

39、te-number 设置本端地址及为用户分配的地址池设置本端地址及为用户分配的地址池 H3C-Virtual-Template1 ip address X.X.X.X netmask H3C-Virtual-Template1 remote address pool pool-number 84L2TP 的基本配置命令的基本配置命令l LNS 侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为组不为1： H3C-l2tp1 allow l2tp virtual-template virtual-template-number r

40、emote remote-name domain domain-name L2TP组为组为1： H3C-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name 85L2TP可选配置任务可选配置任务l LAC和和LNS侧可选配的参数侧可选配的参数设置本端名称启用隧道验证及设置密码设置通道Hello报文发送时间间隔设置域名分隔符及查找顺序强制挂断通道l LNS侧可选配的参数侧可选配的参数强制本端CHAP认证强制LCP重新协商86L2TP的可选配置命令（未完）的可选

41、配置命令（未完）l LAC侧和LNS侧可选配的参数 设置本端名称设置本端名称 H3C-l2tp1 tunnel name name 启用隧道验证及设置密码启用隧道验证及设置密码 H3C-l2tp1 tunnel authentication H3C-l2tp1 tunnel password simple | cipher password 设置通道设置通道Hello报文发送时间间隔报文发送时间间隔 H3C-l2tp1 tunnel timer hello hello-interval 87L2TP的可选配置命令（未完）的可选配置命令（未完）l LAC侧和LNS侧可选配的参数 配置域名分隔符及

42、查找顺序配置域名分隔符及查找顺序设置前缀分隔符设置前缀分隔符 H3C-l2tp1 l2tp domain prefix-separator separator 设置后缀分隔符设置后缀分隔符 H3C-l2tp1 l2tp domain suffix-separator separator 设置查找规则设置查找规则 H3C-l2tp1 l2tp match-order dnis-domain | dnis | domain-dnis | domain 强制挂断通道强制挂断通道 reset l2tp tunnel remote-name | tunnel-id 88L2TP的可选配置命令的可选配置命

43、令l LNS侧可选配的参数强制本端强制本端CHAP验证验证 H3C-l2tp1 mandatory-chap 强制强制LCP重新协商重新协商 H3C-l2tp1 mandatory-lcp 89L2TP配置例子（未完）配置例子（未完）LACLNSLAC local-user vpdnuserH3C.com LAC-luser-vpdnuserH3C.com password simple HelloLAC domain H3C.comLAC-isp-H3C.com scheme localLAC l2tp enable LAC l2tp-group 1 LAC-l2tp1 tunnel nam

44、e LAC LAC-l2tp1 start l2tp ip 202.38.160.2 domain H3C.com LAC-l2tp1 tunnel authenticationLAC-l2tp1 tunnel password simple H3C PSTN/ISDN90L2TP配置例子配置例子LNS local-user vpdnuserH3C.com LNS-luser-vpdnuserH3C.com password simple Hello LNS interface virtual-template 1LNS-virtual-template1 ip address 192.168

45、.0.1 255.255.255.0LNS-virtual-template1 ppp authentication-mode chap domain H3C.comLNS domain H3C.comLNS-isp-H3C.com scheme localLNS-isp-H3C.com ip pool 1 192.168.0.2 192.168.0.100LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1

46、tunnel authenticationLNS-l2tp1 tunnel password simple H3CLACLNSPSTN/ISDN91L2TP信息显示和调试信息显示和调试l 显示当前的L2TP通道的信息 H3C display l2tp tunnelLocalID RemoteID RemName RemAddress Sessions Port 1 8 AS8010 172.168.10.2 1 1701Total tunnels = 1 l 显示当前的L2TP会话的信息 H3C display l2tp sessionLocalIDRemoteIDTunnelID 112 T

47、otal session = 1 l 打开L2TP调试信息开关 debugging l2tp all | control | dump | error | event | hidden | payload | time-stamp 92L2TP 故障排除故障排除l 用户登录失败 Tunnel建立失败建立失败 在在LAC端，端，LNS的地址设置不正确的地址设置不正确 LNS（通常为路由器）端没有设置可以接收该隧道对端的（通常为路由器）端没有设置可以接收该隧道对端的L2TP组组 Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致验证不通过，如果配置了验证，应该保证双方的隧道密码一致

48、 PPP协商不通过协商不通过 LAC端设置的用户名与密码有误，或者是端设置的用户名与密码有误，或者是LNS端没有设置相应的用户端没有设置相应的用户 LNS端不能分配地址，比如地址池设置的较小，或没有进行设置端不能分配地址，比如地址池设置的较小，或没有进行设置 密码验证类型不一致密码验证类型不一致l 数据传输失败，在建立连接后数据不能传输，如Ping不通对端 用户设置的地址有误用户设置的地址有误网络拥挤网络拥挤 93L2TP特点特点l 方面远程漫游用户接入方面远程漫游用户接入l 节约费用节约费用l 可以由可以由ISP或组织自身提供接入和验证或组织自身提供接入和验证l L2TP不提供对数据本身的安

49、全性保证不提供对数据本身的安全性保证n VPN概述概述n GRE VPNn L2TPn IPSec VPNn VPN设计规划设计规划目录目录95IPSec VPNl概述l概念和术语lIPSeclIKEl配置IPSec VPNlIPSec VPN典型应用l小结96IPSec VPNl IP无安全保障无安全保障l RFC 2401IPSec体系体系l 安全协议安全协议AH和和ESPl 隧道模式（隧道模式（Tunnel Mode）和传输模式）和传输模式（Transport Mode）隧道模式适宜于建立安全VPN隧道传输模式适用于两台主机之间的数据保护l 动态密钥交换动态密钥交换IKE97基本概念和术

50、语（待续）基本概念和术语（待续）l 机密性机密性l 完整性完整性l 身份验证身份验证l 对称和非对称加密算法对称和非对称加密算法l 密钥和密钥交换密钥和密钥交换l 单向散列函数单向散列函数98基本概念和术语基本概念和术语l 完美前向保密完美前向保密l 加密的代价和加密的代价和DoS攻击攻击l 重播式攻击重播式攻击l 加密的实现层次加密的实现层次99安全性基本要求安全性基本要求l 机密性机密性防止数据被未获得授权的查看者理解 通过加密算法实现l 完整性完整性防止数据在存储和传输的过程中受到非法的篡改 使用单向散列函数l 身份验证身份验证判断一份数据是否源于正确的创建者 单向散列函数、数字签名和公