VPN协约基本知识及配置.ppt

《VPN协约基本知识及配置.ppt》由会员分享，可在线阅读，更多相关《VPN协约基本知识及配置.ppt（65页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、VPN协议原理及配置,2,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec & IKE,3,培训目标,掌握 VPN 的概念和分类 掌握实现 IP VPN 的相关协议 掌握 VPN 的配置,学习完本课程，您应该能够：,4,合作伙伴,Internet,VPN的定义,VPN Virtual Private Network,办事处,总部,分支机构,异地办事处,5,VPN的分类,按应用类型分类： Access VPN Intranet VPN Extranet VPN 按实现的层次分类： 二层隧道 VPN 三层隧道 VPN,6,VPDN,POP,POP,用户直接发起连

2、接,POP,ISP发起连接,总部,隧道,适用范围： 出差员工 异地小型办公机构,7,Intranet VPN,Internet/ ISP IP ATM/FR,总部,研究所,办事处,分支机构,8,Extranet VPN,Internet/ ISP IP ATM/FR,总部,合作伙伴,异地办事处,分支机构,9,按实现的层次分类,二层隧道VPN L2TP: Layer 2 Tunnel Protocol (RFC 2661) PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 三层隧道VPN GRE : Generic Rout

3、ing Encapsulation IPSEC : IP Security Protocol,10,VPN设计原则,安全性 隧道与加密 数据验证 用户验证 防火墙与攻击检测 可靠性 经济性 扩展性,11,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec & IKE,12,L2TP 协议概述,L2TP: Layer 2 Tunnel Protocol 第二层隧道协议，是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。 特性 灵活的身份验证机制以及高度的安全性 多协议传输 支持RADIUS服务器的验证 支持内部地址分配 网络计费的灵活性 可靠性,1

4、3,使用L2TP 构建VPDN,PSTN/ISDN,LAN,总部,LAC,LNS,Quidway NAS,Quidway Router,出差员工,LAC: L2TP Access Concentrator L2TP的接入集中器 LNS: L2TP Network Server L2TP的网络服务器 LAC/LNS Radius : LAC/LNS的远端验证服务器,LAC RADIUS,LNS RADIUS,14,L2TP隧道和会话建立流程,隧道、会话建立流程 L2TP的会话建立由PPP触发，隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。

5、隧道建立流程：三次握手 会话建立流程：三次握手,LACLNS SCCRQ SCCRP SCCCN,LACLNS ICRQ ICRP ICCN,15,L2TP隧道和会话维护和拆除流程,隧道维护流程,LAC/LNSLNS/LAC Hello ZLB,隧道拆除流程,会话维护流程,LAC/LNSLNS/LAC StopCNN ZLB,LAC/LNSLNS/LAC CDN ZLB,16,L2TP 协议栈结构及数据包的封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,

6、物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,17,L2TP的配置任务及命令（1）,LAC 侧的配置 设置用户名、密码及配置用户验证 启用L2TP Quidway l2tp enable 创建L2TP组 Quidway l2tp-group group-number 设置发起L2TP连接请求及LNS地址 Quidway-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | ful

7、lusername user-name ,18,L2TP 的配置任务及命令（2）,LNS 侧的配置 设置用户名、密码及配置用户验证 启用L2TP Quidway l2tp enable 创建L2TP组 Quidway l2tp-group group-number 创建虚接口模板 Quidway interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池 Quidway-Virtual-Template1 ip address X.X.X.X netmask Quidway-Virtual-Template1 remo

8、te address pool pool-number ,19,L2TP 的配置任务及命令（3）,LNS 侧的配置 设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为1： Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP组为1： Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain dom

9、ain-name ,20,Internet,L2TP的配置举例,LNS local-user LNS-luser- password simple Hello LNS interface virtual-template 1 LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0 LNS-virtual-template1 ppp authentication-mode chap domain LNS domain LNS-isp- scheme local LNS-isp- ip pool 1 192.168.0.2 192.16

10、8.0.100 LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authentication LNS-l2tp1 tunnel password simple quidway,LAC local-user LAC-luser- password simple Hello LAC domain LAC-isp- scheme local LAC l2tp enable LAC l2tp-gro

11、up 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip 202.38.160.2 domain LAC-l2tp1 tunnel authentication LAC-l2tp1 tunnel password simple quidway,LNS,LAC,PSTN,21,L2TP的可选参数配置（1）,LAC侧和LNS侧可选配的参数 设置本端名称 Quidway-l2tp1 tunnel name name 启用隧道验证及设置密码 Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunne

12、l password simple | cipher password 设置通道Hello报文发送时间间隔 Quidway-l2tp1 tunnel timer hello hello-interval,22,L2TP的可选参数配置（2）,LAC侧和LNS侧可选配的参数 配置域名分隔符及查找顺序 设置前缀分隔符 Quidway-l2tp1 l2tp domain prefix-separator separator 设置后缀分隔符 Quidway-l2tp1 l2tp domain suffix-separator separator 设置查找规则 Quidway-l2tp1 l2tp mat

13、ch-order dnis-domain | dnis | domain-dnis | domain 强制挂断通道 reset l2tp tunnel remote-name | tunnel-id ,23,L2TP的可选参数配置（3）,LNS侧可选配的参数 强制本端CHAP验证 Quidway-l2tp1 mandatory-chap 强制LCP重新协商 Quidway-l2tp1 mandatory-lcp,24,L2TP隧道和会话的验证过程,呼叫建立,PPP LCP 协商通过,LAC CHAP Challenge,用户 CHAP Response,隧道验证(可选),SCCRP (LNS

14、CHAP Response & LNS CHAP Challenge),SCCRQ (LAC CHAP Challenge),SCCCN (LAC CHAP Response),ICCN（用户 CHAP Response & PPP 已经协商好的参数）,LNS CHAP Challenge,可选的第二次验证,用户 CHAP Response,验证通过,PSTN /ISDN,Internet,LAC,LNS,25,L2TP显示和调试,显示当前的L2TP通道的信息,Quidway display l2tp tunnel LocalIDRemoteID RemName RemAddress Sess

15、ions Port 1 8 AS8010 172.168.10.2 1 1701 Total tunnels = 1,显示当前的L2TP会话的信息,Quidway display l2tp session LocalIDRemoteIDTunnelID 112 Total session = 1,打开L2TP调试信息开关 debugging l2tp all | control | dump | error | event | hidden | payload | time-stamp ,26,L2TP 排错,用户登录失败 Tunnel建立失败 在LAC端，LNS的地址设置不正确 LNS（通常

16、为路由器）端没有设置可以接收该隧道对端的L2TP组 Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致 PPP协商不通过 LAC端设置的用户名与密码有误，或者是LNS端没有设置相应的用户 LNS端不能分配地址，比如地址池设置的较小，或没有进行设置 密码验证类型不一致 数据传输失败，在建立连接后数据不能传输，如Ping不通对端 用户设置的地址有误 网络拥挤,27,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec & IKE,28,GRE,GRE (Generic Routing Encapsulation): 是对某些网络层协议（如：IP, I

17、PX, AppleTalk等）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。 GRE 提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel。,29,GRE 协议栈,乘客协议,封装协议,运输协议,GRE协议栈,隧道接口的报文格式,链路层,GRE,IP/IPX,IP,Payload,30,使用GRE构建VPN,Original Data Packet,Transfer Protocol Header,GRE Header,Internet,Tunnel,企业总部,分支机构,31,GRE的配置任务及命令

18、,创建虚拟Tunnel接口 Quidway interface tunnel number 指定Tunnel的源端 Quidway-Tunnel0 source ip-addr | interface-type interface-num 指定Tunnel的目的端 Quidway-Tunnel0 destination ip-address 设置Tunnel接口的网络地址 Quidway -Tunnel0 ip address ip-address mask,32,GRE的配置举例,RouterB-Serial0/0 ip address 202.38.160.2 255.255.255.0

19、RouterB-Ethernet0/0 ip address 10.1.2.1 255.255.255.0 RouterB interface tunnel 0 RouterB-Tunnel0 ip address 1.1.1.2 255.255.255.0 RouterB-Tunnel0 source 202.38.160.2 RouterB-Tunnel0 destination 202.38.160.1 RouterB ip route-static 10.1.1.0 255.255.255.0 tunnel0,RouterA-Serial0/0 ip address 202.38.16

20、0.1 255.255.255.0 RouterA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 Router interface tunnel 0 RouterA-Tunnel0 ip address 1.1.1.1 255.255.255.0 RouterA-Tunnel0 source 202.38.160.1 RouterA-Tunnel0 destination 202.38.160.2 RouterA ip route-static 10.1.2.0 255.255.255.0 tunnel0,T0:1.1.1.2/24,Interne

21、t,S0/0: 202.38.160.2/24,S0/0:202.38.160.1/24,E0/0: 10.1.2.1/24,E0/0: 10.1.1.1/24,T0:1.1.1.1/24,A,B,33,GRE的可选参数配置,设置Tunnel接口报文的封装模式 Quidway-Tunnel0 tunnel-protocol gre 设置Tunnel两端进行端到端校验 Quidway-Tunnel0 gre checksum 设置Tunnel接口的识别关键字 Quidway-Tunnel0 gre key key-number 配置通过Tunnel的路由 静态路由配置 动态路由配置,34,GRE

22、的显示和调试,显示Tunnel接口的工作状态 display interface tunnel number 例如：Quidway display interfaces tunnel 1 Tunnel1 is up, line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input, 640 bytes 0 input errors, 0 broadcast, 0 drops 10 packets output, 640 bytes 0

23、output errors, 0 broadcast, 0 no protocol 打开Tunnel调试信息 debugging tunnel,35,课程内容,第一章 VPN 概述 第二章 L2TP 第三章 GRE 第四章 IPSec& IKE,36,IPSec,IPSec（IP Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH（协议号51） 和封装安全载荷协议ESP（协议号50）两个协议 IPSec有隧道（tunnel）和传输（transport）两种工作方式,37,IPSec 的组成,IPSec 提供两个安全协议

24、 AH (Authentication Header) 报文验证头协议 MD5 (Message Digest 5) SHA1 (Secure Hash Algorithm) ESP (Encapsulation Security Payload) 封装安全载荷协议 DES (Data Encryption Standard) 3DES (Triple DES) AES (Advanced Encryption Standard),38,IPSec 的安全特点,数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证 （Data Origin Au

25、thentication） 反重放（Anti-Replay）,39,IPSec 基本概念,数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全提议 (Security Proposal) 安全策略 (Security Policy),40,AH协议,数据,IP 包头,数据,IP 包头,AH,AH,新IP 包头,传输模式,隧道模式,AH头结构,0,8,16,31,41,ESP 协议,数据,IP 包头,加密后的数据,IP 包头,ESP头部,ESP头,

26、新IP 包头,传输模式,隧道模式,ESP尾部,ESP验证,ESP尾部,ESP验证,ESP协议包结构,42,IKE,IKE（Internet Key Exchange，因特网密钥交换协议） 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥,43,IKE的安全机制,完善的前向安全性 数据验证 身份验证 身份保护 DH交换和密钥分发,44,IKE的交换过程,SA交换,密钥交换,ID交换及验证,发送本地 IKE策略,身份验证和 交换过程验证,密钥生成,密钥生成,接受对端 确认的策略,查找匹配 的策略,身份验证和 交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发

27、起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,45,DH交换及密钥产生,a,c=gamodp,damodp,peer2,peer1,b,d=gbmodp,cbmodp,damodp= cbmodp=gabmodp,(g ,p),46,IKE在IPSec中的作用,降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证,47,IPSec 与IKE的关系,IKE,IPSec,IKE,IPSec,IKE的SA协商,SA,SA,48,IPSec配置前的准备

28、,确定需要保护的数据 确定使用安全保护的路径 确定使用哪种安全保护 确定安全保护的强度,Internet,49,IPSec 的配置任务,配置访问控制列表 定义安全提议 创建安全提议 选择安全协议 选择安全算法 选择报文封装形式 创建安全策略 手工创建安全策略 用IKE创建安全策略 在接口上应用安全策略,50,IPSec 的配置任务及命令（1）,配置访问控制列表 定义安全提议 创建安全提议 Quidway ipsec proposal proposal-name 选择报文封装形式 Quidway-ipsec-proposal-tran1 encapsulation-mode transport

29、| tunnel 选择安全协议 Quidway-ipsec-proposal-tran1 transform ah | ah-esp | esp 选择安全算法 Quidway-ipsec-proposal-tran1 esp encryption-algorithm 3des | des | aes Quidway-ipsec-proposal-tran1 esp authentication-algorithm md5 | sha1 Quidway-ipsec-proposal-tran1 ah authentication-algorithm md5 | sha1 ,51,IPSec 的配

30、置任务及命令（2）,创建安全策略手工创建安全策略 手工创建安全策略 Quidway ipsec policy policy-name seq-number manual 在安全策略中引用安全提议 Quidway-ipsec-policy-manual-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表 Quidway-ipsec-policy-manual-map1-10 security acl acl-number 配置隧道的起点和终点 Quidway-ipsec-policy-manu

31、al-map1-10 tunnel local ip-address Quidway-ipsec-policy-manual-map1-10 tunnel remote ip-address 配置安全联盟的SPI Quidway-ipsec-policy-manual-map1-10 sa spi inbound | outbound ah | esp spi-number,52,IPSec 的配置任务及命令（3）,创建安全策略手工创建安全策略 配置安全联盟使用的密钥 配置协议的验证密钥（以16进制方式输入） Quidway-ipsec-policy-manual-map1-10sa auth

32、entication-hex inbound | outbound ah | esp hex-key 配置协议的验证密钥（以字符串方式输入） Quidway-ipsec-policy-manual-map1-10sa string-key inbound | outbound ah | esp string-key 配置ESP协议的加密密钥（以16进制方式输入） Quidway-ipsec-policy-manual-map1-10sa encryption-hex inbound | outbound esp hex-key,53,IPSec 的配置任务及命令（4）,创建安全策略用IKE创建

33、安全策略 用IKE创建安全策略 Quidway ipsec policy policy-name seq-number isakmp 在安全策略中引用安全提议 Quidway-ipsec-policy-isakmp-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表 Quidway-ipsec-policy-isakmp-map1-10 security acl acl-number 在安全策略中引用IKE对等体 Quidway-ipsec-policy-isakmp-map1-10 ike

34、-peer peer-name 在接口上应用安全策略 Quidway-Serial0/0 ipsec policy policy-name,54,IKE的配置任务,配置本端安全网关的名字 定义IKE安全提议（系统提供一条缺省的IKE安全提议） 配置IKE对等体,55,IKE的配置任务,配置本端安全网关的名字 定义IKE安全提议（系统提供一条缺省的IKE安全提议） 创建IKE安全提议 选择加密算法 选择验证方法 选择验证算法 选择Diffie-Hellman组标识 配置ISAKMP SA生存周期（可选） 配置IKE对等体 创建IKE对等体 配置IKE协商模式 配置身份验证字 配置ike协商过程中

35、使用的ID类型 指定对端安全网关设备的ID 配置本端及对端安全网关设备的IP地址 配置NAT穿越功能 配置最大连接数,56,IKE的配置任务及命令（1）,配置本端安全网关的名字 Quidway ike local-name id 定义IKE安全提议（系统提供一条缺省的IKE安全提议） 创建IKE安全提议 Quidway ike proposal proposal-number 选择加密算法 Quidway-ike-proposal-1 encryption-algorithm des-cbc| 3des-cbc 选择验证方法 Quidway-ike-proposal-1authenticati

36、on-method pre-share | rsa-signature 选择验证算法 Quidway-ike-proposal-1 authentication-algorithm md5 | sha 选择Diffie-Hellman组标识 Quidway-ike-proposal-1 dh group1 | group2 配置ISAKMP SA生存周期（可选） Quidway-ike-proposal-1 sa duration seconds,57,IKE的配置任务（2）,配置IKE对等体 创建IKE对等体 Quidway ike peer peer-name 配置IKE协商模式 Quid

37、way-ike-peer-1 exchange-mode aggressive | main 配置身份验证字 Quidway-ike-peer-1 pre-shared-key key 配置ike协商过程中使用的ID类型 Quidway-ike-peer-1 id-type ip | name 指定对端安全网关设备的ID Quidway-ike-peer-1 remote-name name 配置本端及对端安全网关设备的IP地址 Quidway-ike-peer-1 local-address ip-address Quidway-ike-peer-1 remote-address ip-ad

38、dress,58,IKE的配置任务（3）,配置IKE对等体 配置NAT穿越功能 Quidway-ike-peer-1 nat-traversal 配置最大连接数 Quidway-ike-peer-1 max-connections number,59,IPSec 的配置举例,Internet,S0/0: 202.38.160.2/24,S0/0: 202.38.160.1/24,E0/0: 10.1.2.1/24,E0/0: 10.1.1.1/24,A,B,PC1：10.1.1.2/24,PC2: 10.1.2.2/24,Quidway acl number 3000 Quidway-acl-

39、adv-3000 rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 Quidway-acl-adv-3000 rule deny ip source any destination any Quidway ip route-static 10.1.2.0 255.255.255.0 202.38.160.2 Quidway ipsec proposal tran1 Quidway-ipsec-proposal-tran1 encapsulation-mode tunnel Quidway-ipsec-

40、proposal-tran1 transform esp Quidway-ipsec-proposal-tran1 esp encryption-algorithm des Quidway-ipsec-proposal-tran1 esp authentication-algorithm sha1 Quidway-ipsec-proposal-tran1 quit Quidway ike peer peer Quidway-ike-peer-peer pre-share-key abcde Quidway-ike-peer-peer remote-address 202.38.160.2 Qu

41、idway ipsec policy map1 10 isakmp Quidway-ipsec-policy-isakmp-map1-10 proposal tran1 Quidway-ipsec-policy-isakmp-map1-10 security acl 101 Quidway-ipsec-policy-isakmp-map1-10 ike-peer peer Quidway-ipsec-policy-isakmp-map1-10 quit Quidway interface serial0/0 Quidway-Serial0/0 ip address 202.38.160.1 2

42、55.255.255.0 Quidway-Serial0/0 ipsec policy map1 Quidway interface ethernet0/0 Quidway-Ethernet0/0 ip address 10.1.1.1 255.255.255.0,60,IPSec 的显示与调试,IPSec显示与调试 显示安全联盟的相关信息 display ipsec sa brief | remote ip-address | policy policy-name seq-number | duration 显示IPSec处理报文的统计信息 display ipsec statistics

43、显示安全提议的信息 display ipsec proposal proposal-name 显示安全策略的信息 display ipsec policy brief | name policy-name seq-number 打开IPSec的调试功能 debugging ipsec sa | packet policy policy-name seq-number | parameters ip-address protocol spi-number | misc ,61,IPSec 的显示与调试,清除IPSec的报文统计信息 reset ipsec statistics 删除安全联盟 re

44、set ipsec sa remote ip-address | policy policy-name seq-number | parameters dest-address protocol spi ,62,IKE 的显示与调试,显示当前已建立的安全通道 display ike sa 显示每个IKE提议配置的参数 display ike proposal 删除安全隧道 reset ike sa connection-id 打开IKE的调试信息 debugging ike error | exchange | message | misc| transport ,63,IPSec故障诊断与排

45、错,非法用户身份信息 检查协商两端接口上配置的安全策略中的ACL内容是否相容。 建议用户将两端的ACL配置成互为镜像的。 提议不匹配 对于阶段1，检查IKE proposal是否有与对方匹配的。 对于阶段2协商，检查双方接口上应用的IPsec安全策略的参数是否匹配，引用的IPsec安全提议的协议、加密算法和验证算法是否有匹配的。 无法建立安全通道 使用reset ike sa命令清除错误存在的SA，重新发起协商。,64,小结,VPN概述 L2TP协议原理及配置方法 GRE协议原理及配置方法 IPSec协议原理及配置方法 VPN配置常见故障处理,华为3Com技术有限公司,华为3Com公司网址: www.huawei- 华为3Com技术论坛网址: forum.huawei-,