IPVPN技术基础知识介绍

IPVPN技术Page2培训目标

学完本课程后，您应该能：

掌握

VPN

的概念和分类掌握实现

IP

VPN

的相关协议掌握

VPN

的配置Page3

目

录1.

VPN

概述2.

L2TP3.

GRE4.

IPSec

&

IKEPage5VPN的分类

按应用类型分类：

Access

VPNIntranet

VPNExtranet

VPN

按实现的层次分类：

二层隧道

VPN三层隧道

VPNPage9按实现的层次分类

二层隧道VPN

L2TP:

Layer

2

Tunnel

Protocol

(RFC

2661)PPTP:

Point

To

Point

Tunnel

ProtocolL2F:

Layer

2

Forwarding

三层隧道VPN

GRE

:

General

Routing

EncapsulationIPSEC

:

IP

Security

ProtocolPage10VPN设计原则

安全性

隧道与加密数据验证用户验证防火墙与攻击检测

可靠性经济性扩展性Page11

目

录1.

VPN

概述2.

L2TP3.

GRE4.

IPSec

&

IKEPage12L2TP

协议概述

L2TP:

Layer

2

Tunnel

Protocol

第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议特性

灵活的身份验证机制以及高度的安全性多协议传输支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性Page14L2TP隧道和会话建立流程

隧道、会话建立流程：L2TP的会话建立由PPP触发，隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。

隧道建立流程：三次握手

会话建立流程：三次握手LACLNSSCCRQ

SCCRPSCCCNLNSLACICRQ

ICRPICCNPage15L2TP隧道和会话维护和拆除流程

隧道维护流程LAC/LNSLNS/LACHello

ZLB

隧道拆除流程

会话维护流程LAC/LNSLNS/LACStopCNN

ZLBLAC/LNSLNS/LACCDN

ZLB私有IPPPP链路层L2TPUDP公有IP链路层物理层物理层私有IPPPP物理层L2TPUDP公有IP链路层物理层Page16L2TP协议栈结构及数据包的封装过程私有IP

PPP

物理层私有IP链路层物理层ClientLACLNSServer

L2TP协议栈结构

LAC侧封装过程IP包(私有IP)

PPP

L2TP

UDP

IP包(公有IP)

LNS侧解封装过程Page17L2TP的配置任务及命令(1)

L2TP公共基本配置：

使能L2TP

l2tp

enable

创建L2TP组

l2tp-group

group-number

配置本端隧道名称

tunnel

name

namePage18L2TP的配置任务及命令(2)

LAC

配置

配置LAC发起连接请求的参数

start

l2tp

{

ip

X.X.X.X

[

ip

X.X.X.X

]

[

ip

X.X.X.X

]

...

}

{

domaindomain-name

|

fullusername

user-name

}

配置用户验证

local-user

username

password

{

simple

|

cipher

}

password

配置隧道源接口

tunnel

source

interface-type

interface-numberPage19L2TP的配置任务及命令(3)

LNS

配置

配置LNS接收请求的参数

allow

l2tp

virtual-template

virtual-template-number

remoteremote-name

[

domain

domain-name

]

配置LNS侧的用户验证

local-user

username

password

{

simple

|

cipher

}

password

LCP重协商

mandatory-lcp

强制CHAP验证

mandatory-chap

为接入用户分配地址L2TP的配置任务及命令(4)

可选配的参数

启用隧道验证及配置密码

[Quidway-l2tp1]

tunnel

authentication

[Quidway-l2tp1]

tunnel

password

{

simple

|

cipher

}

password配置隧道Hello报文发送时间间隔

[Quidway-l2tp1]

tunnel

timer

hello

hello-interval配置域名分隔符及查找顺序

[Quidway]l2tp

domain

{

prefix-separator

|

suffix-separator

}delimiters配置流控功能

[Quidway-l2tp1]

tunnel

flow-control隐藏AVP数据Page23L2TP的调试

显示当前的L2TP隧道的信息[Quidway]

display

l2tp

tunnelSessions

PortLocalID

RemoteID

RemName

RemAddress

1

8

AS8010

172.168.10.21

1701Total

tunnels

=

1

显示当前的L2TP会话的信息[Quidway]

display

l2tp

sessionRemoteID1TunnelID

2LocalID

1

Total

session

=

1Page24L2TP故障处理

用户登录失败

Tunnel建立失败

在LAC端，LNS的地址配置不正确LNS（通常为路由器）端没有配置可以接收该通道对端的VPDN组Tunnel验证不通过，若配置了验证，应保证双方的通道密码一致

PPP协商不通过

LAC端配置的用户名与密码有误，或者是LNS端未设相应的用户LNS端不能分配地址，比如地址池配置的较小，或没有进行配置通道密码验证的类型不一致

数据传输失败，在建立连接后数据不能传输

LAC配置的地址有误网络拥挤Page25

目

录1.

VPN

概述2.

L2TP3.

GRE4.

IPSec

&

IKEPage26GRE

GRE

(Generic

Routing

Encapsulation):

是对某些网络层协议（如：IP,

IPX,

AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE

提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel。Page27GRE协议栈乘客协议封装协议运输协议

IP/IPX

GRE

IP链路层协议

GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayloadPage29GRE的配置任务及命令

创建虚拟Tunnel接口

[Quidway]

interface

tunnel

tunnel-number配置Tunnel接口的源端地址

[Quidway

-Tunnel0]

source

ip-address配置Tunnel接口的目的地址

[Quidway

-Tunnel0]

destination

ip-address配置Tunnel接口的网络地址

[Quidway

-Tunnel0]

ip

address

{

ip-address

mask

|unnumbered

interface-type

interface-number

}Page31GRE的可选参数配置

Tunnel接口的识别关键字

[Quidway

-Tunnel0]

gre

key

key-numberPage32GRE的调试

[Quidway]

display

interface

Tunnel

1

Tunnel1

is

up,

line

protocol

is

up

Maximum

Transmission

Unit

is

128

Internet

address

is

3.1.1.1

255.255.255.0

10

packets

input,

640

bytes

0

input

errors,

0

broadcast,

0

drops

10

packets

output,

640

bytes

0

output

errors,

0

broadcast,

0

no

protocolPage33

目

录1.

VPN

概述2.

L2TP3.

GRE4.

IPSec

&

IKEPage34IPSec

IPSec（IP

Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）

和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式Page35IPSec的组成

IPSec

提供两个安全协议

AH

(Authentication

Header)报文认证头协议

MD5(Message

Digest

5)SHA1(Secure

Hash

Algorithm)

ESP

(Encapsulation

Security

Payload)封装安全载荷协议

DES

(Data

Encryption

Standard)3DES

其他的加密算法：Blowfish

，blowfish、cast

…Page36IPSec的安全特点

数据机密性（Confidentiality）数据完整性（Data

Integrity）数据来源认证

（Data

Authentication）反重放（Anti-Replay）Page37IPSec基本概念

数据流

(Data

Flow)安全联盟

(Security

Association)安全参数索引

(Security

Parameter

Index)安全联盟生存时间

(Life

Time)安全策略(Crypto

Map)安全提议(Transform

Mode)Page38AH协议数据IP

包头数据IP

包头AH数据原IP

包头AH新IP

包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)

序列号

验证数据AH头结构081631Page40IKE

IKE（Internet

Key

Exchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥Page41IKE的安全机制

完善的前向安全性数据验证

身份验证身份保护

DH交换和密钥分发Page43DH交换及密钥产生

peer1

ac=gamodp

damodp

peer2

bd=gbmodp

cbmodpdamodp=

cbmodp=gabmodp(g

,p)Page44IKE在IPSec中的作用

降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证IPSec的配置任务及命令(1)

创建加密访问控制列表定义安全提议

[Quidway]

ipsec

proposal

proposal-name设置安全协议对IP报文的封装模式

[Quidway-ipsec-proposal-trans]

encapsulation-mode

{

transport

|

tunnel

}选择安全协议

[Quidway-ipsec-proposal-trans]

transform

{

ah

|

esp

|

ah-

esp

}

设置AH协议采用的认证算法ah

authentication-algorithm

{

md5

|

sha1

}ESP协议采用的认证算法esp

authentication-algorithm

{

md5

|

sha1

}ESP协议采用的加密算法esp

encryption-algorithm

{

3des

|

des

|

aes

}Page48IPSec的配置任务及命令(2)

创建安全策略

[Quidway]

ipsec

policy

policy-name

sequence-number

[

manual

|

isakmp

]

[

template

template-name

]

配置安全策略引用的访问控制列表[Quidway-ipsec-policy-policy1-10]

security

acl

access-list-number配置安全策略中引用的安全提议[Quidway-ipsec-policy-policy1-10]

proposal

proposal-name1[

proposal-name2...proposal-name6

]指定安全隧道的起点和终点[Quidway-ipsec-policy-policy1-10]

tunnel

local

ip-address[Quidway-ipsec-policy-policy1-10]

tunnel

remote

ip-address

在接口上应用安全策略组

[Quidway-Serial0]

ipsec

policy

policy-namePage49IKE的配置任务及命令

创建IKE安全提议[Quidway]

ike

proposal

policy-number

选择加密算法

[Quidway-ike-proposal-10]

encryption-algorithm

{

des-cbc

|

3des-cbc

}

选择认证方法

[Quidway-ike-proposal-10]

authentication-method

{

pre-share

}

选择哈希散列算法

[Quidway-ike-proposal-10]

authentication-algorithm

{

md5

|

sha

}

选择DH的组标识[Quidway-ike-proposal-10]

dh

{

group1

|

group2

}

设置IKE协商安全联盟的生存周期[Quidway-ike-proposal-10]

sa

duration

seconds

配置IKE

keepalive定时器[Quidway]

ike

sa

keepalive-timer

{

interval

|

timeout

}

secondsPage50IPSec的配置举例

AB

E0:

10.1.1.2/24E0:

10.1.1.1/24S0:202.38.163.1/24

InternetS0:

202.38.162.1/24E0:

10.1.2.1/24

E0:

10.1.2.2/24[RouterA-Ethernet0]

ip

address

10.1.1.1

255.255.255.0[RouterA-Serial0]

ip

address

202.38.163.1

255.255.255.0[RouterA]

acl

3000[RouterA

-acl-3000]

rule

permit

ip

source

10.1.1.0

0.0.0.255

destination10.1.2.0

0.0.0.255[RouterA

-acl-3000]

rule

deny

ip

source

any

destination

any[RouterA

]

ipsec

proposal

tran1[RouterA

-ipsec-proposal-tran1]

encapsulation-mode

tunnel[RouterA

-ipsec-proposal-tran1]

transform

esp[RouterA

-ipsec-proposal-tran1]

esp

encryption-algorithm

des[RouterA-ipsec-proposal-tran1]

esp

authentication-algorithm

sha1[RouterA]

ipsec

policy

policy1

10

manual[RouterA

-ipsec-policy-policy1-10]

security

acl

3000[RouterA

-ipsec-policy-policy1-10]

tunnel

local

202.38.163.1[RouterA

-ipsec-policy-policy1-10]

tunnel

remote

202.38.162.1[RouterA

-ipsec-policy-policy1-10]

proposal

tran1[RouterA]

ike

proposal

10[RouterA

-ike-proposal-10]

authentication-algorithm

md5[RouterA

-ike-proposal-10]

authentication-method

pre-share[RouterA

-ike-proposal-10]

dh

group1[RouterA

-ike-proposal-10]

sa

duration

5000[RouterA]

ike

sa

keepalive-timer

interval

100[RouterA]

ike

sa

keepalive-timer

timeout

300[RouterA

-Serial0]

ipsec

policy

policy1[RouterA]

ip

route-static

10.1.2.0

255.255.255.0

202.38.162.1Page51IPSec的监控与调试

显示安全联盟的相关信息

display

ipsec

sa

{

all

|

brief

|

remote

ip-address

|

policy

policy-name

[

sequence-number

]

}[Qui