VPN原理详解课件

1、VPN原理详解ppt课件VPN原理详解ppt课件本课程主要介绍VPN协议原理以及分别介绍L2TP 、GRE和IPSEC三种常见的实现VPN技术。前 言.2本课程主要介绍VPN协议原理以及分别介绍L2TP 、GRE和学习指南本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书，合理有效利用上述资料您将会取得良好的学习效果。.3学习指南本课程全套资料包括培训胶片、配套原理教材、多媒体课件参考资料VRP 3.30 操作手册、命令手册故障信息收集排错指导书 。.4参考资料VRP 3.30 操作手册、命令手册.6学习完此课程，您将会：掌握 VPN 的概念和分类掌握实现 I

2、P VPN 的相关协议。目 标.5学习完此课程，您将会：目 标.7第1章 VPN概述第2章 L2TP第3章 GRE第4章 IPSec & IKE内容介绍.6第1章 VPN概述内容介绍.8VPN的定义VPN Virtual Private NetworkInternet出差员工隧道专线办事处总部分支机构合作伙伴异地办事处.7VPN的定义VPN Virtual Private NeVPN的分类按应用类型分类：Access VPNIntranet VPNExtranet VPN按实现的层次分类：二层隧道 VPN三层隧道 VPN.8VPN的分类按应用类型分类：.10VPDN适用范围：出差员工异地小型办

3、公机构POPPOP用户直接发起连接POPISP发起连接 总部隧道.9VPDN适用范围：POPPOP用户直接发起连接POPISP发Intranet VPNInternet/ ISP IPATM/FR隧道总部研究所办事处分支机构.10Intranet VPNInternet/ ISP IP隧道Extranet VPNInternet/ ISP IPATM/FR分支机构合作伙伴总部异地办事处.11Extranet VPNInternet/ ISP IP分支按实现的层次分类二层隧道VPNL2TP: Layer 2 Tunnel Protocol (RFC 2661)PPTP: Point To Poi

4、nt Tunnel ProtocolL2F: Layer 2 Forwarding三层隧道VPN GRE : General Routing Encapsulation IPSEC : IP Security Protocol .12按实现的层次分类二层隧道VPN.14VPN设计原则安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性.13VPN设计原则安全性.15第1章 VPN概述第2章 L2TP第3章 GRE第4章 IPSec & IKE内容介绍.14第1章 VPN概述内容介绍.16L2TP 协议概述L2TP: Layer 2 Tunnel Protocol 第二层隧道协议,

5、是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.特性灵活的身份验证机制以及高度的安全性多协议传输 支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性.15L2TP 协议概述L2TP: Layer 2 Tunnel 使用L2TP 构建VPDNLAC: L2TP Access Concentrator L2TP的接入集中器 LNS: L2TP Network Server L2TP的网络服务器LAC/LNS Radius : LAC/LNS的远端验证服务器PSTN/ISDNLAN总部LACLNSQuidway NASQuidway RouterL2TP 消息数据消息

6、控制消息会话隧道出差员工LAC RADIUSLNS RADIUS.16使用L2TP 构建VPDNLAC: L2TP AccessL2TP隧道和会话建立流程隧道、会话建立流程L2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。隧道建立流程：三次握手会话建立流程：三次握手LACLNSSCCRQSCCRPSCCCNLACLNSICRQ ICRPICCN .17L2TP隧道和会话建立流程隧道、会话建立流程LACLNSL2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNSLNS/LAC HelloZLB隧道拆除流程会话

7、维护流程LAC/LNSLNS/LAC StopCNNZLBLAC/LNSLNS/LAC CDNZLB.18L2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNSL2TP 协议栈结构及数据包的封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧解封装过程L2TP协议栈结构.19L2TP 协议栈结构及数据包的封装过程私有IPPPPL2TPL2TP隧道和会话的验证过程ICC

8、N（用户 CHAP Response & PPP 已经协商好的参数）SCCCN (LAC CHAP Response)SCCRQ (LAC CHAP Challenge)呼叫建立PPP LCP 协商通过LAC CHAP Challenge用户 CHAP Response隧道验证(可选)LNS CHAP Challenge可选的第二次验证用户 CHAP Response验证通过PSTN/ISDNInternetLACLNS.20L2TP隧道和会话的验证过程ICCN（用户 CHAP Res第1章 VPN概述第2章 L2TP第3章 GRE第4章 IPSec & IKE内容介绍.21第1章 VPN概述

9、内容介绍.23GREGRE (Generic Routing Encapsulation): 是对某些网络层协议（如：IP, IPX, AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输GRE 提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel.22GREGRE (Generic Routing EncapsGRE 协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayload.23GRE 协议栈IP/IPXGR

10、EIP链路层协议乘客协议封装协使用GRE构建VPNOriginal Data PacketTransfer Protocol HeaderGRE HeaderInternetTunnel企业总部分支机构.24使用GRE构建VPNOriginal Data Packet第1章 VPN概述第2章 L2TP第3章 GRE第4章 IPSec & IKE内容介绍.25第1章 VPN概述内容介绍.27IPSecIPSec（IP Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51） 和报文安全封装协议ESP（协议号50）两

11、个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式 .26IPSecIPSec（IP Security）是IETF制定IPSec 的组成IPSec 提供两个安全协议AH (Authentication Header)报文认证头协议 MD5(Message Digest 5)SHA1(Secure Hash Algorithm)ESP (Encapsulation Security Payload)封装安全载荷协议 DES (Data Encryption Standard) 3DES 其他的加密算法：Blowfish ，blowfish、cast .27IPSec

12、的组成IPSec 提供两个安全协议.29IPSec 的安全特点数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证 （Data Authentication） 反重放（Anti-Replay） .28IPSec 的安全特点数据机密性（ConfidentialiIPSec 基本概念数据流 (Data Flow)安全联盟 (Security Association)安全参数索引 (Security Parameter Index)安全联盟生存时间 (Life Time)安全策略安全提议.29IPSec 基本概念数据流 (Data Flow).31A

13、H协议数据IP 包头数据IP 包头AH数据原IP 包头AH新IP 包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631.30AH协议数据IP 包头数据IP 包头AH数据原IP 包头AHESP 协议数据IP 包头加密后的数据IP 包头ESP头部ESP头新IP 包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP 包头加密部分.31ESP 协议数据IP 包头加密后的数据IP 包头ESP头部EIKE IKE

14、（Internet Key Exchange，因特网密钥交换协议） 为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥 .32IKE IKE（Internet Key Exchange，IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发.33IKE的安全机制完善的前向安全性.35IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2.34IKE的交换过程SA交换密钥交换ID交换及验证发送本地身份验DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp= cbmodp=gabmodp(g ,p).35DH交换及密钥产生ac=gamodpdamodppeer2pIKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之