VPN原理及配置-PPT.ppt
《VPN原理及配置-PPT.ppt》由会员分享,可在线阅读,更多相关《VPN原理及配置-PPT.ppt(196页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、 VPN VPN原理和配置原理和配置原理和配置原理和配置2引入引入引入引入l随着网络应用的发展,组织需要将Intranet、Extranet和Internet接入融合起来l组织越来越需要降低昂贵的专线网络布署、使用和维护费用,缩减布署周期,提高灵活性lVPN诞生了。3学习目标学习目标学习目标学习目标l理解理解VPN的体系结构的体系结构l掌握掌握GRE VPN的工作原理和配置的工作原理和配置l掌握掌握L2TP VPN的工作原理和配置的工作原理和配置l掌握掌握IPSec VPN的工作原理和配置的工作原理和配置l能够执行基本的能够执行基本的VPN设计设计学习完本课程,您应该能够:学习完本课程,您应该
2、能够:4课程内容课程内容课程内容课程内容VPN概述概述GRE VPNL2TPIPSec VPNVPN设计规划设计规划5第一节第一节第一节第一节 VPNVPN概述概述概述概述lVPN概念术语概念术语lVPN的分类的分类l主要主要VPN技术技术6VPNVPN(Virtual Private NetworkVirtual Private Network)合作伙伴合作伙伴出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构异地办事处异地办事处Internet7什么是什么是什么是什么是VPNVPNlVPN(Virtual Private Network,虚拟私有网)l以共享的公共网络为基
3、础,构建私有的专用网络l以虚拟的连接,而非以物理连接贯通网络l处于私有的管理策略之下,具有独立的地址和路由规划l有所通,有所不通lRFC 2764描述了基于IP的VPN体系结构8VPNVPN的优势的优势的优势的优势l可以快速构建网络,减小布署周期l与私有网络一样提供安全性,可靠性和可管理性l可利用Internet,无处不连通,处处可接入l简化用户侧的配置和维护工作l提高基础资源利用率l于客户可节约使用开销l于运营商可以有效利用基础设施,提供大量、多种业务9VPNVPN的关键概念术语的关键概念术语的关键概念术语的关键概念术语l隧道(Tunnel)l封装(Encapsulation)l验证(Aut
4、hentication)l授权(Authorization)l加密(Encryption)l解密(Decryption)10VPNVPN的分类方法的分类方法的分类方法的分类方法l按照业务用途分类:Access VPN,Intranet VPN,Extranet VPNl按照运营模式:CPE-Based VPN,Network-Based VPNl按照组网模型:VPDN,VPRN,VLL,VPLS l按照网络层次:Layer 1 VPN,Layer 2 VPN,Layer 3 VPN,传输层VPN,应用层VPN11Access VPNAccess VPNPOPPOP用户直接发起连接用户直接发起连
5、接POPISP发起连接发起连接 总部总部隧道隧道12Intranet VPNIntranet VPN总部总部研究所研究所办事处办事处分支机构分支机构Internet/ISP IPATM/FR13Extranet VPNExtranet VPN总部总部合作伙伴合作伙伴异地办事处异地办事处分支机构分支机构Internet/ISP IPATM/FR14CPE-Based VPNCPE-Based VPN隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构Internet/ISP 网网络络15Internet/ISP 网络Network-Based VPNNetwork-Based VPN隧道隧道
6、总部总部研究所研究所办事处办事处分支机构分支机构16VLLVLL总部总部研究所研究所办事处办事处分支机构分支机构DLCI 500DLCI 600DLCI 700DLCI 600/601/602Internet/ISP 网网络络17VPRNVPRN隧道隧道研究所研究所办事处办事处分支机构分支机构网络层报文网络层报文Internet/ISP 网络18VPDNVPDN 适用范围:适用范围:出差员工出差员工异地小型办公机构异地小型办公机构POPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接 总部总部隧道隧道19ISP 网络网络VPLSVPLS虚拟的虚拟的LAN连接连接研究所研究所办
7、事处办事处分支机构分支机构LAN帧帧20不同网络层次的不同网络层次的不同网络层次的不同网络层次的VPNVPNl一层 VPNl二层 VPNl三层 VPNl传输层VPNl应用层VPN21主要主要主要主要VPNVPN技术技术技术技术l主要的二层VPN技术L2TPPPTPMPLS L2 VPNl主要的三层VPN技术GREIPSec VPNBGP/MPLS VPN22其它其它其它其它VPNVPN技术技术技术技术l老式VPN技术包括ATM,Frame Relay,X.25等分组交换技术lSSL(Secure Sockets Layer)lL2F(Layer 2 Forwarding)lDVPN(Dynam
8、ic Virtual Private Network,动态VPN)l基于VLAN的VPNl802.1QinQlXOT(X.25 over TCP Protocol)23课程内容课程内容课程内容课程内容VPN概述概述GRE VPNL2TPIPSec VPNVPN设计规划设计规划24第一节第一节第一节第一节 GRE VPNGRE VPNl概述概述lGRE封装封装lGRE VPN工作原理工作原理lGRE VPN配置配置lGRE VPN典型应用典型应用l小结小结25参考资料参考资料参考资料参考资料lRFC 1701lRFC 1702lRFC 2764lRFC 289026GRE VPNGRE VPNl
9、GRE(Generic Routing Encapsulation)在任意一种网络协议上传送任意一种其它网络协议的封装方法 RFC 2784可以用于任意的VPN实现lGRE VPN直接使用GRE封装,在一种网络上传送其它协议虚拟的隧道(Tunnel)接口27GREGRE协议栈协议栈协议栈协议栈协议协议BGRE协议协议A链路层协议链路层协议载荷协议载荷协议封装协议封装协议承载协议承载协议协议协议B载荷载荷GRE封装包格式封装包格式链路层链路层GRE协议协议B协议协议A载荷载荷28RFC 1701 GRERFC 1701 GRE头格式头格式头格式头格式CRKSsRecurFlagsVerProto
10、col TypeChecksum(optional)Offset(optional)Key(optional)Sequence Number(optional)Routing(optional)01234567890123456789012345678901229RFC 1701 SRERFC 1701 SRE格式格式格式格式Address FamilySRE OffsetSRE LengthRouting Information 01234567890123456789012345678901230常见常见常见常见GREGRE载荷协议号载荷协议号载荷协议号载荷协议号协议名协议名协议类型号协议
11、类型号Reserved0000SNA0004OSI network layer00FEXNS0600IP0800DECnet(Phase IV)6003Ethertalk(Appletalk)809BNovell IPX8137ReservedFFFF31RFC 2784 GRERFC 2784 GRE标准头格式标准头格式标准头格式标准头格式CReserved0VerProtocol TypeChecksum(optional)Reserved1(optional)01234567890123456789012345678901232GREGRE扩展头格式扩展头格式扩展头格式扩展头格式CK S
12、Reserved0VerProtocol TypeChecksum(optional)Reserved1(optional)Key(optional)Sequence Number(optional)01234567890123456789012345678901233载荷协议包载荷协议包以以以以IPIP作为承载协议的作为承载协议的作为承载协议的作为承载协议的GREGRE封装封装封装封装lGRE被当作一种IP协议对待lIP用协议号47标识GRE链路层链路层GREIPIP协议号协议号4734以以以以IPIP作为载荷协议的作为载荷协议的作为载荷协议的作为载荷协议的GREGRE封装封装封装封装lGR
13、E使用以太类型标识载荷协议l载荷协议类型值0 x0800说明载荷协议为IP载荷载荷链路层链路层GRE承载协议头承载协议头载荷协议载荷协议0 x0800IP35IP over IPIP over IP的的的的GREGRE封装封装封装封装载荷载荷链路层链路层GREIP载荷协议载荷协议0 x0800IPIP协议号协议号4736GREGRE隧道隧道隧道隧道RTARTBIPIPXIPXGRE Tunnel站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel0IPX数据流IPX包IPX包GRE封装包37IP over IP GREIP over IP GRE隧道隧道隧道隧道RTA
14、RTBIP公网IP私网IP私网GRE Tunnel站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP私网之间的数据流私网IP包GRE封装包私网IP包38GREGRE隧道处理流程隧道处理流程隧道处理流程隧道处理流程l隧道起点路由查找l加封装l承载协议路由转发l中途转发l解封装l隧道终点载荷协议路由查找39GREGRE隧道处理隧道处理隧道处理隧道处理隧道起点路由查找隧道起点路由查找隧道起点路由查找隧道起点路由查找RTARTBIP公
15、网IP私网IP私网站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.1.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/24DERECT0-LOOP0203.1.1.0/24STATIC0202.1.1.2S0
16、/040GREGRE隧道处理隧道处理隧道处理隧道处理加封装加封装加封装加封装RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTA Tunnel0接口参数:接口参数:GRE封装封装 源接口源接口S0/0,地址,地址202.1.1.1 目标地址目标地址203.1.1.2D S私网私网IP包包GRE头头公网公网IP头头目的地目的地址:址:203.1.1.2源地址源地址:202.1.1.1S0/0S0/0E0/0E0/041GRE
17、GRE隧道处理隧道处理隧道处理隧道处理承载协议路由转发承载协议路由转发承载协议路由转发承载协议路由转发RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.1.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/2
18、4DERECT0-LOOP0203.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/042GREGRE隧道处理隧道处理隧道处理隧道处理中途转发中途转发中途转发中途转发RTARTBIP公网IP私网IP私网站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/2443GREGRE隧道处理隧道处理隧道处理隧道处理解封装解封装解封装解封装RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0T
19、unnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTB Tunnel0接口参数:接口参数:GRE封装封装 源接口源接口S0/0,地址,地址202.1.1.1 目标地址目标地址203.1.1.2D S私网私网IP包包GRE头头公网公网IP头头私网私网IP包包S0/0S0/0E0/0E0/044GREGRE隧道处理隧道处理隧道处理隧道处理隧道终点载荷协议路由查找隧道终点载荷协议路由查找隧道终点载荷协议路由查找隧道终点载荷协议路由查找RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel
20、0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.3.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.1.0/24OSPF210010.1.2.2Tunnel0203.1.1.0/24DERECT0-LOOP0202.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/045GREGRE穿越穿越穿越穿越NATNATR
21、TARTBIP公网IP私网IP私网E1/0S0/0E0/0E0/0Tunnel0Tunnel0IP_addr_BIP_addr_ANAT网关网关S0/0IP_addr_RlRTA配置:隧道源IP_addr_A隧道目的IP_addr_BlRTB配置:隧道源IP_addr_B隧道目的IP_addr_RlNAT配置:地址映射:IP_addr_A IP_addr_R46GRE VPNGRE VPN基本配置基本配置基本配置基本配置l创建虚拟创建虚拟Tunnel接口接口 Quidway interface tunnel number l指定指定Tunnel的源端的源端 Quidway-Tunnel0 so
22、urce ip-addr|interface-type interface-num l指定指定Tunnel的目的端的目的端 Quidway-Tunnel0 destination ip-address l设置设置Tunnel接口的网络地址接口的网络地址 Quidway-Tunnel0 ip address ip-address maskl配置通过配置通过Tunnel的路由的路由47GRE VPNGRE VPN路由配置路由配置路由配置路由配置RTARTBIP公网IP私网IP私网站点站点A站点站点BS1/0S1/0E0/0E0/0Tunnel0Tunnel0载荷网路由AS承载网路由AS48虚假的虚
23、假的虚假的虚假的TunnelTunnel接口状态接口状态接口状态接口状态RTARTB站点站点A站点站点BE1/0E1/0E0/0E0/0Tunnel0Tunnel0备份隧道空闲!备份隧道空闲!服务器服务器RTCE1/0E0/0Tunnel0Tunnel1UPUPUPUP49GRE VPNGRE VPN高级配置高级配置高级配置高级配置l设置设置Tunnel接口报文的封装模式接口报文的封装模式 Quidway-Tunnel0 tunnel-protocol grel设置设置Tunnel两端进行端到端校验两端进行端到端校验 Quidway-Tunnel0 gre checksuml设置设置Tunne
24、l接口的识别关键字接口的识别关键字 Quidway-Tunnel0 gre key key-number l配置配置Tunnel的的keepalive功能功能 Quidway-Tunnel0 keepalive interval times 50GRE VPNGRE VPN配置实例(待续)配置实例(待续)配置实例(待续)配置实例(待续)RTARTBIP公网IP私网IP私网站点站点A站点站点BS1/0S1/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24132.108.5.2/24192.13.2.1/2451
25、GRE VPNGRE VPN配置实例配置实例配置实例配置实例RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0 RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0RTB interface tunnel 0 RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0 RTB-Tunnel0 source 132.108.5.2 RTB-Tunnel0 destination 192.13.2.1 RTB ip route-static 10.1.1.0 255.25
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 原理 配置 PPT
限制150内