H3C_原理及配置

1、第第1 1章章 VPN原理和配置原理和配置 ISSUE 1.1 日期： 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播 n 随着网络应用的发展，组织需要将随着网络应用的发展，组织需要将Intranet、 Extranet和和Internet接入融合起来接入融合起来 n 组织越来越需要降低昂贵的专线网络布署、使用和组织越来越需要降低昂贵的专线网络布署、使用和 维护费用，缩减布署周期，提高灵活性维护费用，缩减布署周期，提高灵活性 引入引入 n 理解理解VPN的体系结构的体系结构 n 掌握掌握GRE VPN的工作原理和配置的工作原理和配置 n 掌握掌握L2TP VPN的工作原理和配置的工

2、作原理和配置 n 掌握掌握IPSec VPN的工作原理和配置的工作原理和配置 n 能够执行基本的能够执行基本的VPN设计设计 课程目标课程目标 学习完本课程，您应该能够：学习完本课程，您应该能够： n VPN概述概述 n GRE VPN n L2TP n IPSec VPN n VPN设计规划设计规划 目录目录 5 VPN概述概述 lVPN概念 lVPN的分类 l主要VPN技术 6 VPN（Virtual Private Network） 合作伙伴合作伙伴 出差员工出差员工 隧道隧道 专线专线 办事处办事处 总部总部 分支机构分支机构 异地办事处异地办事处 Internet 7 什么是什么是V

3、PN l VPN（Virtual Private Network，虚拟私有网），虚拟私有网） l 以共享的公共网络为基础，构建私有的专用网络以共享的公共网络为基础，构建私有的专用网络 l 以虚拟的连接，而非以物理连接贯通网络以虚拟的连接，而非以物理连接贯通网络 l 处于私有的管理策略之下，具有独立的地址和路处于私有的管理策略之下，具有独立的地址和路 由规划由规划 l RFC 2764描述了基于描述了基于IP的的VPN体系结构体系结构 8 VPN的优势的优势 l 可以快速构建网络，减小布署周期可以快速构建网络，减小布署周期 l 与私有网络一样提供安全性，可靠性和可管理性与私有网络一样提供安全性，

4、可靠性和可管理性 l 可利用可利用Internet，无处不连通，处处可接入，无处不连通，处处可接入 l 简化用户侧的配置和维护工作简化用户侧的配置和维护工作 l 提高基础资源利用率提高基础资源利用率 l 于客户可节约使用开销于客户可节约使用开销 l 于运营商可以有效利用基础设施，提供大量、多种业务于运营商可以有效利用基础设施，提供大量、多种业务 9 VPN的关键概念术语的关键概念术语 l 隧道（隧道（Tunnel） l 封装（封装（Encapsulation） l 验证（验证（Authentication） l 授权（授权（Authorization） l 加密（加密（Encryption）

5、l 解密（解密（Decryption） 10 VPN的分类方法的分类方法 l 按照业务用途分类：按照业务用途分类：Access VPN，Intranet VPN，Extranet VPN l 按照运营模式：按照运营模式：CPE-Based VPN，Network- Based VPN l 按照组网模型：按照组网模型：VPDN，VPRN，VLL，VPLS l 按照网络层次：按照网络层次：Layer 1 VPN， Layer 2 VPN， Layer 3 VPN，传输层，传输层VPN，应用层，应用层VPN 11 Access VPN POP POP 用户直接发起连接用户直接发起连接 POP ISP

6、发起连接发起连接 总部总部 隧道隧道 12 Intranet VPN 总部总部 研究所研究所 办事处办事处 分支机构分支机构 Internet/ ISP IP ATM/FR 13 Extranet VPN 总部总部 合作伙伴合作伙伴 异地办事处异地办事处 分支机构分支机构 Internet/ ISP IP ATM/FR 14 CPE-Based VPN 隧道隧道 总部总部 研究所研究所 办事处办事处 分支机构分支机构 Internet/ ISP 网网 络络 15 Network-Based VPN 隧道隧道 总部总部 Internet/ ISP 网络 研究所研究所 办事处办事处 分支机构分支机

7、构 16 VLL，虚拟专线，虚拟专线 总部总部 研究所研究所 办事处办事处 分支机构分支机构 DLCI 500 DLCI 600 DLCI 700 DLCI 600/601/602 Internet/ ISP 网络网络 17 VPRN 隧道隧道 研究所研究所 办事处办事处 分支机构分支机构 网络层报文网络层报文 Internet/ ISP 网 络 总部 18 VPDN，虚拟私有拨号网络，虚拟私有拨号网络 适用范围：适用范围： 出差员工出差员工 异地小型办公机构异地小型办公机构 POP POP 用户直接发起连接用户直接发起连接 POP ISP发起连接发起连接 总部总部 隧道隧道 19 VPLS，

8、虚拟私有，虚拟私有LAN服务服务 ISP 网络网络 虚拟的虚拟的LAN连接连接 研究所研究所 办事处办事处 分支机构分支机构 LAN帧帧 20 不同网络层次的不同网络层次的VPN l 一层一层 VPN l 二层二层 VPN l 三层三层 VPN l 传输层传输层VPN l 应用层应用层VPN 21 主要主要VPN技术技术 l 主要的二层主要的二层VPN技术技术 L2TP：二层隧道协议 PPTP：点到点隧道协议 MPLS L2 VPN l 主要的三层主要的三层VPN技术技术 GRE IPSec VPN BGP/MPLS VPN 22 其它其它VPN技术技术 l 老式老式VPN技术技术 包括ATM

9、，Frame Relay，X.25等分组交换技术 l SSL（Secure Sockets Layer） l L2F（Layer 2 Forwarding） l DVPN（Dynamic Virtual Private Network，动态，动态VPN） l 基于基于VLAN的的VPN l 802.1QinQ l XOT（X.25 over TCP Protocol） n VPN概述概述 n GRE VPN n L2TP n IPSec VPN n VPN设计规划设计规划 目录目录 24 GRE VPN l概述 lGRE封装 lGRE VPN工作原理 lGRE VPN配置 lGRE VPN典型

10、应用 l小结 25 GRE VPN l GRE (Generic Routing Encapsulation) 在任意一种网络协议上传送任意一种其它网络协议的封 装方法 RFC 2784 可以用于任意的VPN实现 l GRE VPN 直接使用GRE封装，在一种网络上传送其它协议 虚拟的隧道（Tunnel）接口 26 GRE协议栈协议栈 协议协议B GRE 协议协议A 链路层协议链路层协议 载荷协议载荷协议 封装协议封装协议 承载协议承载协议 协议协议B载荷载荷 GRE封装包格式封装包格式 链路层链路层GRE协议协议B协议协议A载荷载荷 27 RFC 1701 GRE头格式头格式 CR KS s

11、RecurFlagsVerProtocol Type Checksum (optional)Offset (optional) Key (optional) Sequence Number (optional) Routing (optional) 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 28 RFC 1701 SRE格式格式 Address FamilySRE OffsetSRE Length Routing Information 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6

12、7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 29 常见常见GRE载荷协议号载荷协议号 协议名协议类型号 Reserved0000 SNA0004 OSI network layer00FE XNS0600 IP0800 DECnet (Phase IV)6003 Ethertalk (Appletalk)809B Novell IPX8137 ReservedFFFF 30 RFC 2784 GRE标准头格式标准头格式 CReserved0VerProtocol Type Checksum (optional)Reserved1 (optional) 0 1 2 3 4 5

13、 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 31 GRE扩展头格式扩展头格式 CK SReserved0VerProtocol Type Checksum (optional)Reserved1 (optional) Key (optional) Sequence Number (optional) 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 32 载荷协议包载荷协议包 以以IP作为承载协议的作为承载协议的GRE封装封装 l GRE被当作一种

14、被当作一种IP协议对待协议对待 l IP用协议号用协议号47标识标识GRE 链路层链路层GREIP IP协议号协议号47 33 以以IP作为载荷协议的作为载荷协议的GRE封装封装 l GRE使用以太类型标识载荷协议使用以太类型标识载荷协议 l 载荷协议类型值载荷协议类型值0 x0800说明载荷协议为说明载荷协议为IP 载荷载荷链路层链路层GRE承载协议头承载协议头 载荷协议载荷协议0 x0800 IP 34 IP over IP的的GRE封装封装 载荷载荷链路层链路层GREIP 载荷协议载荷协议0 x0800 IP IP协议号协议号47 35 GRE隧道隧道 RTARTB IP IPXIPX

15、GRE Tunnel 站点站点A 站点站点B S0/0S0/0 E0/0 E0/0 Tunnel0Tunnel0 IPX数据流 IPX包 IPX包 GRE封装包 36 IP over IP GRE隧道隧道 RTA RTB IP公网 IP私网IP私网 GRE Tunnel 站点站点A站点站点B S0/0S0/0E0/0 E0/0 Tunnel0Tunnel0 10.1.1.1/24 10.1.2.1/2410.1.2.2/24 10.1.3.1/24203.1.1.2/24202.1.1.1/24 IP私网之间的数据流 私网IP包 GRE封装包 私网IP包 37 GRE隧道处理流程隧道处理流程

16、l 隧道起点路由查找隧道起点路由查找 l 加封装加封装 l 承载协议路由转发承载协议路由转发 l 中途转发中途转发 l 解封装解封装 l 隧道终点载荷协议路由查找隧道终点载荷协议路由查找 38 GRE隧道处理隧道处理隧道起点路由查找隧道起点路由查找 RTARTB IP公网 IP私网IP私网 站点站点A站点站点B S0/0S0/0E0/0 E0/0 Tunnel0Tunnel0 10.1.1.1/24 10.1.2.1/2410.1.2.2/24 10.1.3.1/24203.1.1.2/24202.1.1.1/24 Destination/Mask ProtocolCostNext HopIn

17、terface 10.1.1.0/24DERECT0-LOOP0 10.1.2.0/24DERECT0-LOOP0 10.1.3.0/24OSPF210010.1.2.2Tunnel0 202.1.1.0/24DERECT0-LOOP0 203.1.1.0/24STATIC0202.1.1.2S0/0 39 GRE隧道处理隧道处理加封装加封装 RTARTB IP公网 IP私网IP私网 站点站点A站点站点B Tunnel0Tunnel0 10.1.1.1/24 10.1.2.1/2410.1.2.2/24 10.1.3.1/24203.1.1.2/24202.1.1.1/24 RTA Tunne

18、l0接口参数：接口参数： GRE封装封装 源接口源接口S0/0，地址，地址202.1.1.1 目标地址目标地址203.1.1.2 D S 私网私网IP包包GRE头头公网公网IP头头 目的地目的地址：址： 203.1.1.2 源地址源地址： 202.1.1.1 S0/0S0/0E0/0 E0/0 40 GRE隧道处理隧道处理承载协议路由转发承载协议路由转发 RTARTB IP公网 IP私网IP私网 站点站点A站点站点B Tunnel0Tunnel0 10.1.1.1/24 10.1.2.1/2410.1.2.2/24 10.1.3.1/24203.1.1.2/24202.1.1.1/24 Des

19、tination/Mask ProtocolCostNext HopInterface 10.1.1.0/24DERECT0-LOOP0 10.1.2.0/24DERECT0-LOOP0 10.1.3.0/24OSPF210010.1.2.2Tunnel0 202.1.1.0/24DERECT0-LOOP0 203.1.1.0/24STATIC0202.1.1.2S0/0 S0/0S0/0E0/0 E0/0 41 GRE隧道处理隧道处理中途转发中途转发 RTA RTB IP公网 IP私网 IP私网 站点站点A 站点站点B S0/0 S0/0 E0/0 E0/0 Tunnel0 Tunnel0

20、10.1.1.1/24 10.1.2.1/24 10.1.2.2/24 10.1.3.1/24203.1.1.2/24 202.1.1.1/24 42 GRE隧道处理隧道处理解封装解封装 RTARTB IP公网 IP私网IP私网 站点站点A站点站点B Tunnel0Tunnel0 10.1.1.1/24 10.1.2.1/2410.1.2.2/24 10.1.3.1/24203.1.1.2/24202.1.1.1/24 RTB Tunnel0接口参数：接口参数： GRE封装封装 源接口源接口S0/0，地址，地址202.1.1.1 目标地址目标地址203.1.1.2 D S 私网私网IP包包GR

21、E头头公网公网IP头头私网私网IP包包 S0/0S0/0E0/0 E0/0 43 GRE隧道处理隧道处理隧道终点载荷协议路由查找隧道终点载荷协议路由查找 RTARTB IP公网 IP私网IP私网 站点站点A站点站点B Tunnel0Tunnel0 10.1.1.1/24 10.1.2.1/2410.1.2.2/24 10.1.3.1/24203.1.1.2/24202.1.1.1/24 Destination/Mask ProtocolCostNext HopInterface 10.1.3.0/24DERECT0-LOOP0 10.1.2.0/24DERECT0-LOOP0 10.1.1.0

22、/24OSPF210010.1.2.2Tunnel0 203.1.1.0/24DERECT0-LOOP0 202.1.1.0/24STATIC0202.1.1.2S0/0 S0/0S0/0E0/0 E0/0 44 GRE穿越穿越NAT RTARTB IP公网 IP私网IP私网 E1/0 S0/0E0/0 E0/0 Tunnel0Tunnel0 IP_addr_B IP_addr_A NAT网关网关 S0/0 IP_addr_R l RTA配置：配置： 隧道源 IP_addr_A 隧道目的 IP_addr_B l RTB配置：配置： 隧道源 IP_addr_B 隧道目的 IP_addr_R l

23、NAT配置：配置： 地址映射： IP_addr_A IP_addr_R 45 GRE VPN基本配置基本配置 l 创建虚拟Tunnel接口 H3C interface tunnel number l 指定Tunnel的源端 H3C-Tunnel0 source ip-addr | interface-type interface-num l 指定Tunnel的目的端 H3C-Tunnel0 destination ip-address l 设置Tunnel接口的网络地址 H3C -Tunnel0 ip address ip-address mask l 配置通过Tunnel的路由 46 GRE

24、 VPN路由配置路由配置 RTARTB IP公网 IP私网IP私网 站点站点A站点站点B S1/0S1/0E0/0 E0/0 Tunnel0Tunnel0 载荷网路由AS 承载网路由AS 47 虚假的虚假的Tunnel接口状态接口状态 RTA RTB 站点站点A 站点站点B E1/0 E1/0 E0/0 E0/0 Tunnel0 Tunnel0 备份隧道空闲！备份隧道空闲！ 服务器 服务器 RTC E1/0 E0/0 Tunnel0 Tunnel1 UP UP UP UP 48 GRE VPN高级配置高级配置 l 设置Tunnel接口报文的封装模式 H3C-Tunnel0 tunnel-pro

25、tocol gre l 设置Tunnel两端进行端到端校验 H3C-Tunnel0 gre checksum l 设置Tunnel接口的识别关键字 H3C-Tunnel0 gre key key-number l 配置Tunnel的keepalive功能 H3C-Tunnel0 keepalive interval times 49 GRE VPN配置实例（待续）配置实例（待续） RTARTB IP公网 IP私网IP私网 站点站点A站点站点B S1/0S1/0E0/0 E0/0 Tunnel0Tunnel0 10.1.1.1/24 10.1.2.1/2410.1.2.2/24 10.1.3.1

26、/24132.108.5.2/24 192.13.2.1/24 50 GRE VPN配置实例配置实例 RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0 RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0 RTB interface tunnel 0 RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0 RTB-Tunnel0 source 132.108.5.2 RTB-Tunnel0 destination 192.13.2.1 RTB ip route-

27、static 10.1.1.0 255.255.255.0 tunnel0 RTA-Serial1/0 ip address 192.13.2.1 255.255.255.0 RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 RTA interface tunnel 0 RTA-Tunnel0 ip address 10.1.2.1 255.255.255.0 RTA-Tunnel0 source 192.13.2.1 RTA-Tunnel0 destination 132.108.5.2 RTA ip route-static 10.1.3.

28、0 255.255.255.0 tunnel0 51 GRE VPN的显示和调试的显示和调试 l 显示Tunnel接口的工作状态 display interface tunnel number 例如：H3C display interfaces tunnel 1 Tunnel1 is up, line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input, 640 bytes 0 input errors, 0 broadcast, 0

29、 drops 10 packets output, 640 bytes 0 output errors, 0 broadcast, 0 no protocol l 打开Tunnel调试信息 debugging tunnel 52 连接不连续的网络连接不连续的网络 RTARTB IP IPXIPX GRE Tunnel 站点站点A站点站点B Tunnel0Tunnel0 S0/0S0/0 E0/0 E0/0 53 单一骨干承载多个上层协议单一骨干承载多个上层协议 RTARTB IP IPX IPX GRE Tunnel 站点站点A站点站点B Tunnel0Tunnel0 IPIP Team1 T

30、eam2 Group1Group2 S0/0S0/0 E0/0 E0/0 54 扩大载荷协议的工作范围扩大载荷协议的工作范围 RTA RTB IP公网 载荷协议 载荷协议 站点站点A 站点站点B S0/0 S0/0 E0/0 E0/0 Tunnel0 Tunnel0 55 GRE VPN的优点的优点 l 可以当前最为普遍的可以当前最为普遍的IP网络作为承载网络网络作为承载网络 l 支持多种协议支持多种协议 l 支持支持IP组播组播 l 简单明了、容易布署简单明了、容易布署 56 GRE VPN的缺点的缺点 l 点对点隧道点对点隧道 l 静态配置隧道参数静态配置隧道参数 l 布署复杂连接关系时代

31、价巨大布署复杂连接关系时代价巨大 l 缺乏安全性缺乏安全性 l 不能分隔地址空间不能分隔地址空间 n VPN概述概述 n GRE VPN n L2TP n IPSec VPN n VPN设计规划设计规划 目录目录 58 L2TP l概述 l概念术语 l协议封装 l协议操作 lL2TP多实例 l配置和故障排除 l小结 59 L2TP l Layer Two Tunnel Protocol l RFC 2661 l 隧道传送隧道传送PPP l 验证和动态地址分配验证和动态地址分配 l 无加密措施无加密措施 l 点对网络特性点对网络特性 60 传统拨号接入传统拨号接入 PSTN/ISDN 分支机构分

32、支机构 总部总部 NAS 出差员工出差员工 RADIUS 61 使用使用L2TP构建构建VPDN 分支机构分支机构 总部总部 LAC LNS NAS Router 出差员工出差员工 LAC RADIUSLNS RADIUS PSTN/ISDN 62 L2TP功能组件功能组件 l 远程系统（远程系统（Remote System） l LAC（L2TP Access Concentrator） l LNS（L2TP Network Server） l NAS（Network Access Server） 63 L2TP功能组件功能组件 LACLNS NAS 远程系统远程系统 LAC RADIUSL

33、NS RADIUS 隧道隧道 PSTN/ISDN 64 L2TP术语术语 l 呼叫（呼叫（Call） l 隧道（隧道（Tunnel） l 控制连接（控制连接（Control Connection） l 会话（会话（Session） l AVP（Attribute Value Pair） 65 呼叫呼叫 PSTN/ISDN LACLNS 呼叫呼叫 LAC RADIUSLNS RADIUS 66 隧道和控制连接隧道和控制连接 PSTN/ISDN 控制连接控制连接隧道隧道 LACLNS 呼叫呼叫 LAC RADIUSLNS RADIUS 67 会话会话 PSTN/ISDN 控制连接控制连接隧道隧道

34、LACLNS 呼叫呼叫 LAC RADIUSLNS RADIUS 会话会话 68 L2TP拓扑结构（拓扑结构（1）独立独立LAC方式方式 PSTN/ISDN LACLNS 69 L2TP拓扑结构（拓扑结构（2）客户客户LAC方式方式 LNS 70 L2TP头格式头格式 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 T LSO P Ver Tunnel IDSession ID Ns (opt)Nr (opt) Offset Size (opt)Offset pad. (opt) Length (opt) 71 L

35、2TP协议栈和封装过程协议栈和封装过程 私有私有IP PPP L2TP UDP 公有公有IP 链路层链路层 物理层物理层 物理层物理层 私有私有IP PPP IP包包(公有公有IP)UDPL2TPPPPIP包包(私有私有IP) 链路层链路层 私有私有IP PPP 物理层物理层 L2TP UDP 公有公有IP 链路层链路层 物理层物理层 物理层物理层 私有私有IP 链路层链路层 物理层物理层 ClientLACLNSServer LAC侧封装过程侧封装过程 LNS侧解封装过程侧解封装过程 L2TP协议栈结构协议栈结构 72 L2TP协议操作协议操作 l 建立控制连接建立控制连接 l 建立会话建立

36、会话 l 转发转发PPP帧帧 l Keepalive l 关闭会话关闭会话 l 关闭控制连接关闭控制连接 73 建立控制连接建立控制连接 LAC LNS SCCRQ SCCRP SCCCN ZLB l 控制连接的建立由控制连接的建立由PPP触发触发 l 任意源端口任意源端口1701 l 重定位为任意源端口重定位为任意源端口任意目标端口任意目标端口 74 建立会话建立会话 LAC LNS ICRQ ICRP ICCN ZLB l 会话的建立以控制连接的建立为前提会话的建立以控制连接的建立为前提 l 会话与呼叫有一一对应关系会话与呼叫有一一对应关系 l 同一个隧道中可以建立多个会话同一个隧道中可以

37、建立多个会话 75 转发转发PPP帧帧 l 会话建立后，即可转发会话建立后，即可转发PPP帧帧 l Tunnel ID和和Session ID用于区分不同隧道和不用于区分不同隧道和不 同会话的数据同会话的数据 76 Keepalive LAC LNS Hello Hello l L2TP用用Hello控制消息维护隧道的状态控制消息维护隧道的状态 77 关闭会话关闭会话 LAC LNS CDN ZLB 78 关闭控制连接关闭控制连接 LAC LNS StopCCN ZLB 79 L2TP的验证过程的验证过程 呼叫建立呼叫建立 PPP LCP 协商通过协商通过 LAC CHAP Challenge

38、 用户用户 CHAP Response 隧道验证隧道验证(可选可选) SCCRP (LNS CHAP Response AOt yHidYTV dkd;AOt 奉天承运奉天承运 皇帝诏曰皇帝诏曰 加密加密解密解密 共享密钥共享密钥 102 非对称加密算法非对称加密算法 加密方加密方解密方解密方 奉天承运奉天承运 皇帝诏曰皇帝诏曰 解密方的解密方的 公开密钥公开密钥 yHidYTV dkd;AOt yHidYTV dkd;AOt 奉天承运奉天承运 皇帝诏曰皇帝诏曰 加密加密解密解密 解密方的解密方的 私有密钥私有密钥 l 加密和解密的密钥不同加密和解密的密钥不同 103 单向散列函数单向散列函数

39、 发送方发送方接收方接收方 奉天承运奉天承运 皇帝诏曰皇帝诏曰 共享密钥共享密钥 yYaIPyq ZoyWIt yYaIPyq ZoyWIt 单向散列单向散列 函数函数 共享密钥共享密钥 单向散列单向散列 函数函数 yYaIPyq ZoyWIt 奉天承运奉天承运 皇帝诏曰皇帝诏曰 奉天承运奉天承运 皇帝诏曰皇帝诏曰 yYaIPyq ZoyWIt ？ 104 Diffie-Hellman交换交换 a c=gamod(p) peer2peer1 b d=gbmod(p) (g ,p) damod(p) cbmod(p) damod(p)= cbmodp=gabmodp 105 加密的实现层次加密的

40、实现层次 应用层应用层 传输层传输层 网络层网络层 链路层链路层 应用层应用层 传输层传输层 网络层网络层 链路层链路层 网络层网络层 链路层链路层 网络层网络层 链路层链路层 传输层传输层 加密盒加密盒 加密盒加密盒 安全网关安全网关安全网关安全网关 SSH、S/MIME SSL IPSec 106 IPSec VPN的体系结构的体系结构 l 安全协议安全协议 负责保护数据 AH/ESP l 工作模式工作模式 传输模式：实现端到端保护 隧道模式：实现站点到站点保护 l 密钥交换密钥交换 IKE：为安全协议执行协商 107 IPSec传输模式传输模式 RTARTB IP IPXIPX 站点站点

41、A站点站点B 普通报文普通报文 加密报文加密报文 108 IPSec隧道模式隧道模式 RTARTB IP IPXIPX IPSec Tunnel 站点站点A站点站点B 普通报文普通报文 加密报文加密报文 109 IPSec SA l SA（Security Association，安全联盟），安全联盟） l 由一个（由一个（SPI，IP目的地址，安全协议标识符）三目的地址，安全协议标识符）三 元组唯一标识元组唯一标识 l 决定了对报文进行何种处理决定了对报文进行何种处理 协议、算法、密钥 l 每个每个IPSec SA都是单向的都是单向的 l 手工建立手工建立 或或 IKE协商生成协商生成 l

42、IPSec对数据流提供的安全服务通过对数据流提供的安全服务通过SA来实现来实现 110 IPSec处理流程处理流程 查找查找SPD策略策略 数据包入站数据包入站 查找查找IPSec SA 查找查找IKE SA 创建创建IKE SA 创建创建IPSec SA 执行安全服务执行安全服务 （AH/ESP/AH+ESP） 转发转发 丢弃丢弃 旁路安旁路安 全服务全服务 丢弃丢弃 需要提需要提 供安全供安全 服务服务 没有找没有找 到到 没有找没有找 到到 找到找到 找到找到 111 AH l AH（Authentication Header） l RFC 2402 l 数据的完整性校验和源验证数据的完

43、整性校验和源验证 l 有限的抗重播能力有限的抗重播能力 l 不能提供数据加密功能不能提供数据加密功能 112 AH头格式头格式 Next Header Payload Len RESERVED Security Parameters Index (SPI) Sequence Number Field Authentication Data (variable) 081631 l AH用用IP协议号协议号51标识标识 113 传输模式传输模式AH封装封装 载荷数据载荷数据TCP原始原始IP头头 载荷数据载荷数据原始原始IP头头TCPAH头头 l 验证计算前，所有可变字段预先置验证计算前，所有可变

44、字段预先置0 Authentication Data 密钥密钥AH头头 单向散列单向散列 函数函数 载荷数据载荷数据TCP原始原始IP头头原始原始IP包包 AH处理后的包处理后的包 114 隧道模式隧道模式AH封装封装 载荷数据载荷数据TCP原始原始IP头头 Authentication Data 密钥密钥AH头头 单向散列单向散列 函数函数 新新IP头头 载荷数据载荷数据TCP原始原始IP头头AH头头新新IP头头 l 验证计算前，所有可变字段预先置验证计算前，所有可变字段预先置0 载荷数据载荷数据TCP原始原始IP头头原始原始IP包包 AH处理后的包处理后的包 115 ESP l ESP（E

45、ncapsulating Security Payload） l RFC 2406 l 保证数据的机密性保证数据的机密性 l 数据的完整性校验和源验证数据的完整性校验和源验证 l 一定的抗重播能力一定的抗重播能力 116 ESP头格式头格式 l ESP用用IP协议号协议号50标识标识 Padding(0-255 bytes） Sequence Number Security Parameters Index (SPI) Authentication Data Next HeaderPad length Payload Data (variable) 24168031 117 传输模式传输模式E

46、SP封装封装 Authentication Data 加密密钥加密密钥 加密算法加密算法 载荷数据载荷数据TCP 原始原始IP头头ESP尾尾 ESP Auth 密文密文 ESP尾尾 ESP头头密文密文验证密钥验证密钥 ESP头头密文密文 载荷数据载荷数据TCP原始原始IP头头原始原始IP包包 验证算法验证算法 118 隧道模式隧道模式ESP封装封装 Authentication Data 加密密钥加密密钥 加密算法加密算法 载荷数据载荷数据TCP原始原始IP头头 新新IP头头ESP尾尾 ESP Auth 密文密文 ESP尾尾 ESP头头密文密文验证密钥验证密钥 ESP头头密文密文 载荷数据载荷

47、数据TCP原始原始IP头头原始原始IP包包 验证算法验证算法 119 IKE l IKE（Internet Key Exchange） l RFC 2409 l 使用使用Diffie-Hellman交换交换 l 完善的前向安全性完善的前向安全性 l UDP端口端口500 120 IKE的作用的作用 l 在不安全的网络上安全地分发密钥，验证身份在不安全的网络上安全地分发密钥，验证身份 l 为为IPSec提供了自动协商交换密钥、建立提供了自动协商交换密钥、建立SA的服务的服务 l 定时更新定时更新SA l 定时更新密钥定时更新密钥 l 允许允许IPSec提供反重播服务提供反重播服务 121 IKE

48、与与IPSec的关系的关系 IKE TCPUDP IPSec IKE TCPUDP IPSec 加密的加密的IP报文报文 IP IKE的的SA协商协商 SA SA 122 IKE协商的两个阶段协商的两个阶段 l 阶段一阶段一 在网络上建立一个IKE SA，为阶段二协商提供保护 主模式（Main Mode）和野蛮模式（Aggressive Mode） l 阶段二阶段二 在阶段一建立的IKE SA的保护下完成IPSec SA的协商 快速模式（Quick Mode） 123 Cookie l IKE交换开始时，双方的初始消息都包含一个交换开始时，双方的初始消息都包含一个 Cookie l 响应方收到

49、包含这个响应方收到包含这个Cookie的下一条消息时，才的下一条消息时，才 开始真正的开始真正的DH交换过程交换过程 l 一定程度上阻止一定程度上阻止DoS攻击攻击 l 野蛮模式无法抵抗野蛮模式无法抵抗DoS 124 IKE主模式主模式 策略协商策略协商 DH交换交换 ID交换及验证交换及验证 发送本地发送本地 IKE策略策略 身份验证和身份验证和 交换过程验证交换过程验证 密钥生成密钥生成 密钥生成密钥生成 接受对端接受对端 确认的策略确认的策略 查找匹配查找匹配 的策略的策略 身份验证和身份验证和 交换过程验证交换过程验证 确认对方使确认对方使 用的算法用的算法 产生密钥产生密钥 验证对方

50、验证对方 身份身份 发起方策略发起方策略 接收方确认的策略接收方确认的策略 发起方的密钥生成信息发起方的密钥生成信息 接收方的密钥生成信息接收方的密钥生成信息 发起方身份和验证数据发起方身份和验证数据 接收方的身份和验证数据接收方的身份和验证数据 Peer1Peer2 125 策略协商的内容策略协商的内容 l加密算法加密算法 DES/3DES/AES l散列算法散列算法 MD5/SHA l验证方法验证方法 预共享密钥/RSA/DSA lDH交换组交换组 1MODP 768位 2MODP 1024位 3EC2N 155字节 4EC2N 185字节 5MODP 1680位 lIKE SA生存时间（

51、生存时间（Life Time） 126 IKE野蛮模式野蛮模式 发送本地发送本地IKE策略策略 开始开始DH交换交换 验证验证 接受对端确认的策略接受对端确认的策略 密钥生成密钥生成 验证验证 查找匹配的策略查找匹配的策略 继续继续DH交换交换 验证验证 发起方策略发起方策略 DH公共值公共值 接收方确认的策略、接收方确认的策略、 DH公共值、验证载荷公共值、验证载荷 验证载荷验证载荷 Peer1Peer2 127 IKE的优点的优点 l 允许端到端动态验证允许端到端动态验证 l 降低手工布署的复杂度降低手工布署的复杂度 l 定时更新定时更新SA l 定时更新密钥定时更新密钥 l 允许允许IP

52、Sec提供抗重播服务提供抗重播服务 128 NAT与与IPSec/IKE的不兼容性的不兼容性 l NAT网关修改网关修改IPSec报文的报文的IP地址地址 IPSec完整性检查失败 l NAT网关修改网关修改IKE的的UDP端口号端口号500 IKE协商验证失败 l 其它问题其它问题 129 使用使用NAT穿越穿越 RTB IPXIPX IPSec Tunnel RTA NAT网关网关 IPUDPIPSec报文报文 130 IPSec配置前准备配置前准备 l 确定需要保护的数据确定需要保护的数据 l 确定使用安全保护的路径确定使用安全保护的路径 l 确定使用哪种安全保护确定使用哪种安全保护 l

53、 确定安全保护的强度确定安全保护的强度 131 IPSec的配置任务的配置任务 l 配置访问控制列表配置访问控制列表 l 定义安全提议定义安全提议 创建安全提议 选择安全协议 选择安全算法 选择报文封装形式 l 创建安全策略创建安全策略 手工创建安全策略 用IKE创建安全策略 l 在接口上应用安全策略在接口上应用安全策略 132 配置访问控制列表配置访问控制列表 l 双方列表对称双方列表对称 本端：本端： acl number 3101 rule 1 permit ip source 173.1.1.1 0.0.0.0 destination 173.2.2.2 0.0.0.0 对端：对端：

54、acl number 3101 rule 1 permit ip source 173.2.2.2 0.0.0.0 destination 173.1.1.1 0.0.0.0 133 定义安全提议定义安全提议 创建安全提议创建安全提议 H3C ipsec proposal proposal-name 选择报文封装形式选择报文封装形式 H3C-ipsec-proposal-tran1 encapsulation-mode transport | tunnel 选择安全协议选择安全协议 H3C-ipsec-proposal-tran1 transform ah | ah-esp | esp 选择安

55、全算法选择安全算法 H3C-ipsec-proposal-tran1 esp encryption-algorithm 3des | des | aes H3C-ipsec-proposal-tran1 esp authentication-algorithm md5 | sha1 H3C-ipsec-proposal-tran1 ah authentication-algorithm md5 | sha1 134 创建安全策略创建安全策略手工创建（未完）手工创建（未完） 手工创建安全策略手工创建安全策略 H3C ipsec policy policy-name seq-number manu

56、al 在安全策略中引用安全提议在安全策略中引用安全提议 H3C-ipsec-policy-manual-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表在安全策略中引用访问控制列表 H3C-ipsec-policy-manual-map1-10 security acl acl-number 配置隧道的起点和终点配置隧道的起点和终点 H3C-ipsec-policy-manual-map1-10 tunnel local ip-address H3C-ipsec-policy-manual

57、-map1-10 tunnel remote ip-address 配置安全联盟的配置安全联盟的SPI H3C-ipsec-policy-manual-map1-10 sa spi inbound | outbound ah | esp spi-number 135 创建安全策略创建安全策略手工创建手工创建 配置安全联盟使用的密钥配置安全联盟使用的密钥 配置协议的验证密钥（以配置协议的验证密钥（以16进制方式输入）进制方式输入） H3C-ipsec-policy-manual-map1-10sa authentication-hex inbound | outbound ah | esp he

58、x-key 配置协议的验证密钥（以字符串方式输入）配置协议的验证密钥（以字符串方式输入） H3C-ipsec-policy-manual-map1-10sa string-key inbound | outbound ah | esp string-key 配置配置ESP协议的加密密钥（以协议的加密密钥（以16进制方式输入）进制方式输入） H3C-ipsec-policy-manual-map1-10sa encryption-hex inbound | outbound esp hex-key 136 创建安全策略创建安全策略用用IKE创建创建 用用IKE创建安全策略创建安全策略 H3C i

59、psec policy policy-name seq-number isakmp 在安全策略中引用安全提议在安全策略中引用安全提议 H3C-ipsec-policy-isakmp-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表在安全策略中引用访问控制列表 H3C-ipsec-policy-isakmp-map1-10 security acl acl-number 在安全策略中引用在安全策略中引用IKE对等体对等体 H3C-ipsec-policy-isakmp-map1-10 ike-peer peer-name 137 在接口上应用安全策略在接口上应用安全策略 l 在接口上应用安全策略 H3C-Serial0/0 ipsec policy policy-name 138 IKE配置任务（未完）配置任务（未完） l 配置本端安全网关的名字配置本端安全网关的名字 l 定义定义IKE安全提议安全提议 创建IKE安全提议 选择加密算法 选择验证方法 选择验证算法 选择Di