IPVPN技术基础知识介绍

IPVPN技术Page2培训目标

学完本课程后，您应该能：

掌握

VPN

的概念和分类掌握实现

IP

VPN

的相关协议掌握

VPN

的配置Page3

目

录1.

VPN

概述2.

L2TP3.

GRE4.

IPSec

&

IKE办事处Page4InternetVPN的定义

出差员工VPN

——Virtual

Private

Network

隧道专线总部分支机构合作伙伴异地办事处Page5VPN的分类

按应用类型分类：

Access

VPNIntranet

VPNExtranet

VPN

按实现的层次分类：

二层隧道

VPN三层隧道

VPNPage6VPDN

隧道

ISP发起连接

POP

POP

POP

总部

用户直接发起连接

适用范围：

出差员工异地小型办公机构Page7Intranet

VPN

总部

研究所

Internet/

ISP

IP

ATM/FR

分支机构

隧道

办事处Page8Extranet

VPN

总部

异地办事处

Internet/

ISP

IP

ATM/FR

分支机构

合作伙伴Page9按实现的层次分类

二层隧道VPN

L2TP:

Layer

2

Tunnel

Protocol

(RFC

2661)PPTP:

Point

To

Point

Tunnel

ProtocolL2F:

Layer

2

Forwarding

三层隧道VPN

GRE

:

General

Routing

EncapsulationIPSEC

:

IP

Security

ProtocolPage10VPN设计原则

安全性

隧道与加密数据验证用户验证防火墙与攻击检测

可靠性经济性扩展性Page11

目

录1.

VPN

概述2.

L2TP3.

GRE4.

IPSec

&

IKEPage12L2TP

协议概述

L2TP:

Layer

2

Tunnel

Protocol

第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议特性

灵活的身份验证机制以及高度的安全性多协议传输支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性LANLANPage13使用L2TP

构建VPDNPSTN/ISDN分支机构总部LACLNSQuidway

NASQuidway

RouterL2TP

消息数据消息控制消息会话隧道出差员工LAC:

L2TPAccess

Concentrator

L2TP的接入集中器LNS:

L2TP

Network

Server

L2TP的网络服务器LAC/LNS

Radius

:

LAC/LNS的远端验证服务器RLAC

RADIUSRLNS

RADIUSPage14L2TP隧道和会话建立流程

隧道、会话建立流程：L2TP的会话建立由PPP触发，隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。

隧道建立流程：三次握手

会话建立流程：三次握手LACLNSSCCRQ

SCCRPSCCCNLNSLACICRQ

ICRPICCNPage15L2TP隧道和会话维护和拆除流程

隧道维护流程LAC/LNSLNS/LACHello

ZLB

隧道拆除流程

会话维护流程LAC/LNSLNS/LACStopCNN

ZLBLAC/LNSLNS/LACCDN

ZLB私有IPPPP链路层L2TPUDP公有IP链路层物理层物理层私有IPPPP物理层L2TPUDP公有IP链路层物理层Page16L2TP协议栈结构及数据包的封装过程私有IP

PPP

物理层私有IP链路层物理层ClientLACLNSServer

L2TP协议栈结构

LAC侧封装过程IP包(私有IP)

PPP

L2TP

UDP

IP包(公有IP)

LNS侧解封装过程Page17L2TP的配置任务及命令(1)

L2TP公共基本配置：

使能L2TP

l2tp

enable

创建L2TP组

l2tp-group

group-number

配置本端隧道名称

tunnel

name

namePage18L2TP的配置任务及命令(2)

LAC

配置

配置LAC发起连接请求的参数

start

l2tp

{

ip

X.X.X.X

[

ip

X.X.X.X

]

[

ip

X.X.X.X

]

...

}

{

domaindomain-name

|

fullusername

user-name

}

配置用户验证

local-user

username

password

{

simple

|

cipher

}

password

配置隧道源接口

tunnel

source

interface-type

interface-numberPage19L2TP的配置任务及命令(3)

LNS

配置

配置LNS接收请求的参数

allow

l2tp

virtual-template

virtual-template-number

remoteremote-name

[

domain

domain-name

]

配置LNS侧的用户验证

local-user

username

password

{

simple

|

cipher

}

password

LCP重协商

mandatory-lcp

强制CHAP验证

mandatory-chap

为接入用户分配地址L2TP的配置任务及命令(4)

可选配的参数

启用隧道验证及配置密码

[Quidway-l2tp1]

tunnel

authentication

[Quidway-l2tp1]

tunnel

password

{

simple

|

cipher

}

password配置隧道Hello报文发送时间间隔

[Quidway-l2tp1]

tunnel

timer

hello

hello-interval配置域名分隔符及查找顺序

[Quidway]l2tp

domain

{

prefix-separator

|

suffix-separator

}delimiters配置流控功能

[Quidway-l2tp1]

tunnel

flow-control隐藏AVP数据Page21L2TP的配置举例

[Quidway]

local-user

vpdnuser

password

cipher

Hello

[Quidway]

aaa-enable

[Quidway]

aaa

authentication-scheme

login

default

local

[Quidway]

aaa

accounting-scheme

optionalLACLNSPSTN

Internet[Quidway]

l2tp

enable[Quidway]

l2tp-group

1[Quidway-l2tp1]

tunnel

name

lac-end[Quidway-l2tp1]

start

l2tp

ip

202.38.160.2

fullusername

vpdnuser[Quidway-l2tp1]

tunnel

authentication[Quidway-l2tp1]

tunnel

password

simple

quidway[Quidway]

local-user

vpdnuser

password

cipher

Hello[Quidway]

ip

pool

1

192.168.0.2

192.168.0.100[Quidway]

aaa-enable[Quidway]

aaa

authentication-scheme

login

default

local[Quidway]

aaa

accounting-scheme

optional[Quidway]

interface

virtual-template

1[Quidway-Virtual-Template1]

ip

address

192.168.0.1

255.255.255.0[Quidway-Virtual-Template1]

ppp

authentication-mode

chap[Quidway-Virtual-Template1]

remote

address

pool

1[Quidway]

l2tp

enable[Quidway]

l2tp-group

1[Quidway-l2tp1]

tunnel

name

lns-end[Quidway-l2tp1]

allow

l2tp

virtual-template

1

remote

lac-end[Quidway-l2tp1]

tunnel

authentication[Quidway-l2tp1]

tunnel

password

simple

quidwayPage22L2TP隧道和会话的验证过程

呼叫建立

PPP

LCP

协商通过LAC

CHAP

ChallengeSCCRQ

(LAC

CHAP

Challenge)SCCRP

(LNS

CHAP

Response

&

LNS

CHAP

Challenge)SCCCN

(LAC

CHAP

Response)

用户

CHAP

Response

ICCN（用户

CHAP

Response

&

PPP

已经协商好的参数）可选的第二次验证

LNS

CHAP

Challenge

用户

CHAP

Response

验证通过PSTN/ISDN

隧道验证(可选)InternetLACLNSPage23L2TP的调试

显示当前的L2TP隧道的信息[Quidway]

display

l2tp

tunnelSessions

PortLocalID

RemoteID

RemName

RemAddress

1

8

AS8010

172.168.10.21

1701Total

tunnels

=

1

显示当前的L2TP会话的信息[Quidway]

display

l2tp

sessionRemoteID1TunnelID

2LocalID

1

Total

session

=

1Page24L2TP故障处理

用户登录失败

Tunnel建立失败

在LAC端，LNS的地址配置不正确LNS（通常为路由器）端没有配置可以接收该通道对端的VPDN组Tunnel验证不通过，若配置了验证，应保证双方的通道密码一致

PPP协商不通过

LAC端配置的用户名与密码有误，或者是LNS端未设相应的用户LNS端不能分配地址，比如地址池配置的较小，或没有进行配置通道密码验证的类型不一致

数据传输失败，在建立连接后数据不能传输

LAC配置的地址有误网络拥挤Page25

目

录1.

VPN

概述2.

L2TP3.

GRE4.

IPSec

&

IKEPage26GRE

GRE

(Generic

Routing

Encapsulation):

是对某些网络层协议（如：IP,

IPX,

AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE

提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel。Page27GRE协议栈乘客协议封装协议运输协议

IP/IPX

GRE

IP链路层协议

GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayloadPage28使用GRE构建VPNOriginal

Data

PacketGRE

Header

Transfer

Protocol

Header

TunnelInternet企业总部

分支机构Page29GRE的配置任务及命令

创建虚拟Tunnel接口

[Quidway]

interface

tunnel

tunnel-number配置Tunnel接口的源端地址

[Quidway

-Tunnel0]

source

ip-address配置Tunnel接口的目的地址

[Quidway

-Tunnel0]

destination

ip-address配置Tunnel接口的网络地址

[Quidway

-Tunnel0]

ip

address

{

ip-address

mask

|unnumbered

interface-type

interface-number

}Page30[RouterB-Ethernet0]ip

address

10.10.1.1

255.255.255.0[RouterB-Tunnel0]ip

address

3.3.3.1

255.255.255.0[RouterB-Tunnel0]source

1.1.1.1[RouterB-Tunnel0]destination

2.2.2.1[RouterB]ip

route-static

2.2.2.1

24

s0[RouterB]ip

route-static

10.10.2.0

24

3.3.3.2GRE的配置举例

[RouterA-Serial0]ip

address

2.2.2.1

255.255.255.0[RouterA-Ethernet0]ip

address

10.10.2.1

255.255.255.0[RouterA-Tunnel0]ip

address

3.3.3.2

255.255.255.0[RouterA-Tunnel0]source

2.2.2.1[RouterA-Tunnel0]destination

1.1.1.1[RouterA]ip

route-static

1.1.1.1

24

s0

[RouterA]ip

route-static

10.10.1.0

24

3.3.3.1Internet

[RouterB-Serial0]ip

address

1.1.1.1

255.255.255.0T0:3.3.3.1/24S0:

1.1.1.1/24S0:2.2.2.1/24E0:

10.10.1.1/24E0:

10.10.2.1/24T0:3.3.3.2/24ABPage31GRE的可选参数配置

Tunnel接口的识别关键字

[Quidway

-Tunnel0]

gre

key

key-numberPage32GRE的调试

[Quidway]

display

interface

Tunnel

1

Tunnel1

is

up,

line

protocol

is

up

Maximum

Transmission

Unit

is

128

Internet

address

is

3.1.1.1

255.255.255.0

10

packets

input,

640

bytes

0

input

errors,

0

broadcast,

0

drops

10

packets

output,

640

bytes

0

output

errors,

0

broadcast,

0

no

protocolPage33

目

录1.

VPN

概述2.

L2TP3.

GRE4.

IPSec

&

IKEPage34IPSec

IPSec（IP

Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）

和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式Page35IPSec的组成

IPSec

提供两个安全协议

AH

(Authentication

Header)报文认证头协议

MD5(Message

Digest

5)SHA1(Secure

Hash

Algorithm)

ESP

(Encapsulation

Security

Payload)封装安全载荷协议

DES

(Data

Encryption

Standard)3DES

其他的加密算法：Blowfish

，blowfish、cast

…Page36IPSec的安全特点

数据机密性（Confidentiality）数据完整性（Data

Integrity）数据来源认证

（Data

Authentication）反重放（Anti-Replay）Page37IPSec基本概念

数据流

(Data

Flow)安全联盟

(Security

Association)安全参数索引

(Security

Parameter

Index)安全联盟生存时间

(Life

Time)安全策略(Crypto

Map)安全提议(Transform

Mode)Page38AH协议数据IP

包头数据IP

包头AH数据原IP

包头AH新IP

包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)

序列号

验证数据AH头结构081631Page39数据IP

包头IP

包头ESP头部新IP

包头ESP协议

传输模式隧道模式ESP尾部

ESP验证ESP头

0816ESP尾部

ESP验证

24

安全参数索引(SPI)

序列号有效载荷数据（可变）

填充字段(0-255字节）下一个头

填充字段长度验证数据ESP协议包结构数据原IP

包头加密后的数据

加密部分Page40IKE

IKE（Internet

Key

Exchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥Page41IKE的安全机制

完善的前向安全性数据验证

身份验证身份保护

DH交换和密钥分发Page42IKE的交换过程SA交换

密钥交换ID交换及验证发送本地

IKE策略

身份验证和交换过程验证密钥生成

接受对端确认的策略查找匹配

的策略

密钥生成

身份验证和交换过程验证确认对方使

用的算法产生密钥验证对方

身份

发起方策略接收方确认的策略发起方的密钥生成信息

接收方的密钥生成信息

发起方身份和验证数据接收方的身份和验证数据Peer1Peer2Page43DH交换及密钥产生

peer1

ac=gamodp

damodp

peer2

bd=gbmodp

cbmodpdamodp=

cbmodp=gabmodp(g

,p)Page44IKE在IPSec中的作用

降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证Page45TCP

UDP

IPSecTCP

UDP

IPSec

IP加密的IP报文IPSec与IKE的关系

IKE的SA协商IKE

SA

IKESAPage46

确定需要保护的数据确定使用安全保护的路径确定使用那种安全保护确定安全保护的强度IPSec配置前的准备

InternetIPSec的配置任务及命令(1)

创建加密访问控制列表定义安全提议

[Quidway]

ipsec

proposal

proposal-name设置安全协议对IP报文的封装模式

[Quidway-ipsec-proposal-trans]

encapsulation-mode

{

transport

|

tunnel

}选择安全协议

[Quidway-ipsec-proposal-trans]

transform

{

ah

|

esp

|

ah-

esp

}

设置AH协议采用的认证算法ah

authentication-algorithm

{

md5

|

sha1

}ESP协议采用的认证算法esp

authentication-algorithm

{

md5

|

sha1

}ESP协议采用的加密算法esp

encryption-algorithm

{

3des

|

des

|

aes

}Page48IPSec的配置任务及命令(2)

创建安全策略

[Quidway]

ipsec

policy

policy-name

sequence-number

[

manual

|

isakmp

]

[

template

template-name

]

配置安全策略引用的访问控制列表[Quidway-ipsec-policy-policy1-10]

security

acl

access-list-number配置安全策略中引用的安全提议[Quidway-ipsec-policy-policy1-10]

proposal

proposal-name1[

proposal-name2...proposal-name6

]指定安全隧道的起点和终点[Quidway-ipsec-policy-policy1-10]

tunnel

local

ip-address[Quidway-ipsec-policy-policy1-10]

tunnel

remote

ip-address

在接口上应用安全策略组

[Quidway-Serial0]

ipsec

policy

policy-namePage49IKE的配置任务及命令

创建IKE安全提议[Quidway]

ike

proposal

policy-number

选择加密算法

[Quidway-ike-proposal-10]

encryption-algorithm

{

des-cbc

|

3des-cbc

}

选择认证方法

[Quidway-ike-proposal-10]

authentication-method

{

pre-share

}

选择哈希散列算法

[Quidway-ike-proposal-10]

authentication-algorithm

{

md5

|

sha

}

选择DH的组标识[Quidway-ike-proposal-10]

dh

{

group1

|

group2

}

设置IKE协商安全联盟的生存周期[Quidway-ike-proposal-10]

sa

duration

seconds

配置IKE

keepalive定时器[Quidway]

ike

sa

keepalive-timer

{

interval

|

timeout

}

secondsPage50IPSec的配置举例

AB

E0:

10.1.1.2/24E0:

10.1.1.1/24S0:202.38.163.1/24

InternetS0:

202.38.162.1/24E0:

10.1.2.1/24

E0:

10.1.2.2/24[RouterA-Ethernet0]

ip

address

10.1.1.1

255.255.255.0[RouterA-Serial0]

ip

address

202.38.163.1

255.255.255.0[RouterA]

acl

3000[RouterA

-acl-3000]

rule

permit

ip

source

10.1.1.0

0.0.0.255

destination10.1.2.0

0.0.0.255[RouterA

-acl-3000]

rule

deny

ip

source

any

destination

any[RouterA

]

ipsec

proposal

tran1[RouterA

-ipsec-proposal-tran1]

encapsulation-mode

tunnel[RouterA

-ipsec-proposal-tran1]

transform

esp[RouterA

-ipsec-proposal-tran1]

esp

encryption-algorithm

des[RouterA-ipsec-proposal-tran1]

esp

authentication-algorithm

sha1[RouterA]

ipsec

policy

policy1

10

manual[RouterA

-ipsec-policy-policy1-10]

security

acl

3000[RouterA

-ipsec-policy-policy1-10]

tunnel

local

202.38.163.1[RouterA

-ipsec-policy-policy1-10]

tunnel

remote

202.38.162.1[RouterA

-ipsec-policy-policy1-10]

proposal

tran1[RouterA]

ike

proposal

10[RouterA

-ike-proposal-10]

authentication-algorithm

md5[RouterA

-ike-proposal-10]

authentication-method

pre-share[RouterA

-ike-proposal-10]

dh

group1[RouterA

-ike-proposal-10]

sa

duration

5000[R