《网络安全技术配置与应用》课件网络安全项目二任务四 Gre VPN配置

项目二任务四：GREVPN配置一、任务介绍二、虚拟专用网基础三、SitetoSiteGREVPN配置四、GREVPN应用五、任务配置一、任务介绍

根据任务网络拓扑及企业网络需求，应用GREVPN实现任务要求，理解GREVPN特点、结构，掌握隧道tunnel创建方法、GREVPN配置过程，理解GREVPN数据传输过程，学会应用GREVPN为企业构建远程传输网络。

二、虚拟专用网(VPN)基础二、虚拟专用网(VPN)基础是什么促使VPN技术产生？虚拟专用网（VPN,VirtualPrivateNetwork）属于远程访问技术，简单地说就是利用公用网络架设专用网络,通过加密、身份验证、访问控制等技术保证通道安全，通过对数据包目标地址的转换实现远程路由，可为企业节约办公成本，可通过硬件、软件等形式，按实现协议划分：VLANVPN（二层）L2TPVPN（二层）PP2PVPN（二层）GREVPN（三层）IPSECVPN（三层）SSLVPN（四层）按连接方式Sitetosite(站点对站点，网络到网络)Remoteaccess（远程接入，移动用户远程接入）二、虚拟专用网(VPN)基础VPN的核心：两层封装802.1qin802.1qIpinip二、虚拟专用网(VPN)基础PPTP－PointtoPointTunnelProtocol（点对点隧道协议）PPTP是Microsoft和其它厂家支持的标准PPTP是一个第2层的协议，将PPP数据桢封装在IP数据报内通过IP网络，如Internet传送，PPTP还可用于专用局域网络之间的连接。该草案由PPTP论坛的成员公司，包括微软，Ascend，3Com，和ECI等公司在1996年6月提交至IETF。单一隧道无压缩、无验证L2TP－Layer2TunnelProtocol（第2层隧道协议）L2TP是一种网络层协议，支持封装的PPP桢在IP，X.25，桢中继或ATM等的网络上进行传送。多隧道可压缩、可验证二、虚拟专用网(VPN)基础

——虚拟隧道虚拟专用网：虚拟(Virtual)：开辟隧道(tunnel)（虚线）专用(Private)：身份验证、数据加密VPN隧道:虚拟通道，逻辑链路，实现端到端的传输二、虚拟专用网(VPN)基础

——虚拟隧道如何开辟隧道?站点对站点隧道（site-to-site）：点对点，两端构成站点对站点：实现内网用户与内网用户的连接终端用户，私有地址无法直接通信点：边界（VPN网关）设备，建立网络隧道技术对用户透明，VPN实施在两端边界设备数据：VPN数据、非VPN数据DataData二、虚拟专用网(VPN)基础

——虚拟隧道站点对站点隧道：VPN数据非VPN数据哪个设备来区分数据？？

边界设备（VPN网关）DataDataInternetData二、虚拟专用网(VPN)基础

——虚拟隧道如何开辟隧道?远程接入隧道：点到端远程接入：实现移动用户对内网信息的访问端：终端用户公有地址，通过VPN客户端软件与远程设备（VPN网关）通信点：边界设备（VPN网关）与终端用户VPN客户端软件共同建立隧道数据：VPN数据、非VPN数据Data?Data二、虚拟专用网(VPN)基础

——虚拟隧道远程接入隧道：VPN数据接入VPN网关获取VPN网络地址数据传输非VPN数据哪个设备来区分数据？？

远程接入用户（VPN客户端软件）InternetDataDataData？？Data二、虚拟专用网(VPN)基础

——虚拟隧道哪个设备来区分数据？？

远程接入用户（VPN客户端软件）接入IPSECVPN

IPSECVPN客户端接入PPTPVPN

PPTPVPN客户端接入L2TPVPN

L2TPVPN客户端接入SSLVPN

SSLVPN客户端二、虚拟专用网(VPN)基础

——虚拟隧道二、虚拟专用网(VPN)基础

——专用网络开启的隧道如何成为专用网络？身份验证：802.1x、PPPChap数据加密：MD5、Sha二、虚拟专用网(VPN)基础

——GREVPNGRE(GenericRoutingEncapsulation)通用路由封装GRE是一个三层协议，能够将各种不同的数据包封装成IP包，然后通过IP网络进行传输。它能对IP包或非IP包进行再封装，在原始包头的前面增加一个GRE包头和一个新IP包头，采用明文传送，在IP中的协议号为47。二、虚拟专用网(VPN)基础

——GREVPNGRE头部的长度为4～20字节(GRE头部结构参照RFC1701定义)1、前4字节是必须出现的2、第5～20字节将根据第1字节的相关bit位信息，可选出现。3、GRE头部的长度将影响Tunnel口的mtu值二、虚拟专用网(VPN)基础

——GREVPNGRE采用了Tunnel（隧道）技术Tunnel是一个虚拟的点对点的连接，提供了一条通路使封装的数据报文能够在这个通路上传输，并且在一个Tunnel的两端分别对数据报进行封装及解封装。一个报文要想在Tunnel中传输，必须要经过加封装与解封装两个过程。二、虚拟专用网(VPN)基础

——GREVPN封装二、虚拟专用网(VPN)基础

——GREVPN封装Tunnel封装-PC1:原始数据包，R1Fa0/0:路由处理，内网IP无路由（ISP屏蔽），需添加静态路由转发至tunnelR1Tunnel:负责制定隧道的源IP地址和目的IP地址，实现路由、VPN封装R1S0/0/0:根据新IP包目的地址进行路由转发TCPDATATCPDATAGRE路由VPN封装二、虚拟专用网(VPN)基础

——GREVPN解封装二、虚拟专用网(VPN)基础

——GREVPN解封装Tunnel封装-R2S0/0/0:IP包与接口地址相同，接收去除IP头（47），若头部协议类型为47，对比tunnel接口的源、目的IP地址

R2Tunnel:匹配，理解解封GRE部分，得到原始IP包，并负责路由转发R1Fa0/0:如有路由则进行二层通信进行ARPTCPDATATCPDATAGRE路由VPN封装三、SitetoSiteGREVPN配置创建虚拟Tunnel接口Number可在<0-32767>之间取值定义Tunnel接口的IP地址Router(config)#interfacetunneltunnel_numberRouter(config-if)#ipaddressip_addrmask三、SitetoSiteGREVPN配置定义Tunnel通道的源地址定义Tunnel通道的目的地址Router(config-if)#tunnelsourcesource_ipRouter(config-if)#tunneldestinationdest_ip三、SitetoSiteGREVPN配置定义Tunnel接口报文的封装模式(可选)定义Tunnel接口的密钥(可选)Router(config-if)#tunnelmodegreRouter(config-if)#tunnelkeykey_number四、GREVPN应用1、多协议、多业务本地网通过单一骨干网传输

。2、扩大了包含步跳数限制协议（RIP）的应用范围

。3、组建VPN。四、GREVPN应用interfaceTunnel0//定义逻辑接口

ipaddress52tunnelsource//逻辑接口封装的源IP地址

tu