天津移动MPLSVPN培训教材PPT课件

1、基于.1，CISCO路由器的IPSEC VPN和BGP/MPLS VPN .2，目录，VPN配置文件IPSEC VPN，BGP/MPLS VPN， 作为IPSec基础的端到端的IPSEC VPN的动作原理和构成Easy VPN (远程接入VPN )的动作原理和构成BGP/MPLS VPN的动作原理BGP/MPLS VPN的配置例、3、VPN的背景、总公司： 使用专线连接总公司，需要花费大量费用，想节约成本的情况下可以用VPN连接，分公司、分公司、4、VPN的概要IP VPN (Virtual Private Network )利用开放的公共IP/MPLS网络专用可以理解为，IP/MPLS网、中

2、心站点、分公司、移动办公室、5、隧道机制、IP VPN通过隧道技术在公共IP/MPLS网络上模拟从一点到一点的专线。 隧道是利用一种协议传输另一种协议的技术，涉及乘客协议、隧道协议、运营商协议三种协议。封装的原始IP分组、新添加的IP报头、IPSec报头、乘客协议、隧道协议、承载协议、原始IP分组、IPSec封装后6、隧道带来的优点， 隧道确保VPN中分组的封装方法和要使用的地址与承载网络的封装方法和要使用的地址无关的因特网、封装的原始IP分组、新添加的IP报头、IPSec报头公共网络的地址、集线器站点、因特网基于该地址路由，从而能够使用私有网络的地址，其中，双方觉得已经通过专用信道而不是因特

3、网、隧道连接，7、隧道隧道协议如下：第2层隧道协议，例如第2层TP、第3层隧道协议，例如IPSec，在第2层和第3层之间的隧道协议，例如MPLS VPN，8，L2TP，L2TP 、原始分组、新添加的IP报头、L2TP报头、IP、IPX和应用程序包、PPP封装、原始分组、PPP报头、PPP报头、IP、ATM和帧中继，以及L2TP未加密数据。 9，L2TP的典型应用程序-VPDN，L2TP连接，PPP连接，用户开始PPP连接，接入服务器接入服务器封装化用户的PPP会话连接到L2TP隧道， L2TP隧道以通过公共IP网络的电信VPDN室结束的LNS用户的PPP session在通过企业内的认证服务器

4、认证后，可以访问企业内网络资源。 另外，要求IPSec和IPSec只能在IP层操作，并且乘客协议和承载协议都是IP协议，其中原始IP分组封装在一起，而非新添加的IP报头、IPSec报头、IP协议必须是IP协议的IPSec可以加密和汇总封装的数据包，从而进一步提高数据传输的安全性。 11、MPLS VPN的基本工作模式是在入口边缘路由器上给每个数据包加MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器去除标签，恢复原IP分组。 MPLS网、P1、P2、PE1、PE2、CE1、CE2、 10.1.1.1.1.1、MPLS标签、10.1.1、12、MPLS VPN的特征，MPLS标签位于二楼

5、和三楼之间，三楼标题、MPLS标签、二楼标题、二楼标题、三楼标题VPN的概要IPSec VPN、BGP/MPLS VPN、IPSec的基础端到端的IPSec VPN的动作原理和构成Easy VPN (远程接入VPN )的动作原理和构成、BGP/MPLS VPN的动作原理BGP/MPLS VPN的构成例、15 IP IPSec是开放标准的框架，在特定的通信对方之间通过IP层加密和数据摘要(hash )等方法，保证在互联网上传输包时的隐私、完整性、可靠性。IPSec只能在IP层工作，并且乘客协议和承载协议都必须是IP协议，并且必须是原始IP分组的封装和新添加的IP报头、IPSec报头、和IP协议通

6、过加密保证数据的隐私，隐私：防止信息泄露给未经授权的个人，通过加密将数据从明文转换为无法读取的密文，确保数据的隐私，互联网，4 eh idx 67 nmop 9e eru 78 iopotvbn 45 tr 真不知道，4 eh idx 67 nmop 9e eru 78 iopotvbn 45tr，土豆批发价格为2元1斤，17，对称加密， 如果加密密钥与解密密钥相同，则称为对称加密是因为对称加密的运算速度快，IPSec使用对称加密算法来加密数据，18、散列运算数据以保证完整性，完整性：数据未被非法篡改是通过对数据进行散列运算而类似于指纹的数据保证数据完整性，土豆1斤，hash，4ehIDx67

7、NMop9，土豆2元1斤，4ehIDx67NMop9，19，对数据和密钥进行散列运算，攻击者篡改数据后，根据修改后的数据生成新的摘要，由此，自己通过将数据与密钥一起进行混列运算，可以有效地防止上述攻击。 土豆2元1斤，散列，fefe23fgrNMop7，土豆2元1斤，fefe23fgrNMop7， 20、对称密钥交换、对称密码和散列请求通信双方相同的密钥，问题：如果有勇气在双方之间安全地传递密钥的方法、密钥、哈哈、直接传递密钥，则必须偷看、密钥、21、DH算法的基本原理、Router A、Router B、整数p 向对等端发送p，向对等端发送q，基于q、p和q生成g，基于p和q生成g，22，通

8、过身份认证来确保数据的真实性，真实性：数据确实可以通过身份认证来确保数据的真实性。 一般的认证方式有预共享密钥、预共享密钥RSA Signature、数字签名、 23、预共享密钥和预共享密钥，意味着通信双方在配置时手动输入相同的密钥。，Hash_L，路由器名等，本地，共享密钥，收到的Hash_L，24，数字证书，RSA密钥对，一个是只能公开的公钥，另一个是自己知道的秘密密钥。 用公钥加密的数据仅解开对应的私钥，反之亦然。 数字证书存储着公开密钥和用户名等身份信息。 数字证书，我是Router A，我的公开密钥是.25，数字签名认证，ID Information，加密，Hash_I，秘密密钥，公

9、开密钥，本地，远程，Hash，=，身份信息，Hash，和对称密钥，数字签名，身份信息，Hash，1，2，数字证书，数字签名，数字证书，26，AH，DES，3DES AES，MD5，SHA，DH1，DH2，IPSec框架，可选择的算法，IPSec安全协议，加密，数据摘要，对称密钥交换，27，IPSec安全协议， 只能进行数据摘要(hash )的数据加密ah-md5-hmac，ah-sha-hmac p esp-md5-hmac，esp-sha-hmac，IPSec安全协议介绍了如何使用加密和散列来保护数据。 28、IPSec封装模式和IPSec支持两种封装模式：传输模式和隧道模式传输模式。 通常

10、在主机和主机之间使用，而不更改原始IP标头。 IP报头、数据、原始IP分组、IP报头、数据、AH报头、AH、hash、AH对TTL等变化值以外的整个IP分组进行混列运算，并对IP报头、数据、ESP报头、hash、ESP trailer IPSec封装模式，IPSec支持两种封装模式：传输模式和隧道模式：添加新的IP报头，通常在专用网络和专用网络之间通过公共网络IP报头，数据，原始IP数据包，IP报头，数据，新的IP报头，AH，hash，IP报头，数据，ESP报头，hash，ESP，加密，hash，AH报头，新的IP报头，30，IPP IP标头、数据、AH标头、散列、散列、NAT :想修改源/目

11、的地IP地址，AH :不行！ 在IP地址中也有散列，31，IPSec和NAT，ESP模式中，ESP只通过地址映射与其一起工作。 如果要进行端口映射，则必须更改端口，但ESP已经加密或散列端口号，因此无法进行。IP标头、数据、ESP标头、ESP拖车、ESP auth、加密、TCP/UDP端口、NAT :端口号已加密、无法更改、忧郁、32、IPSec和NAT、ESP模式：启用IPSec NAT通过时IP报头、数据、ESP报头、ESP trailer、ESP auth、加密、TCP/UDP端口、NAT :端口号可更改的新的UDP报头、33、目录、VPN配置文件IPSec VPN MPLS VPN I

12、PSec的末端间IPSec VPN的工作原理和结构回顾Easy VPN (远程接入VPN )的工作原理和结构、BGP/MPLS VPN的工作原理BGP/为了成功建立问题IPSec VPN，两端的路由器必须采用相同的加密算法、混列算法、安全协议等，但在IPSec协议中并未描述双方应如何协商这些参数。 问题2 :在2: IPSec协议中，没有定义通信对方如何进行认证，路由器有可能与假的对方建立IPSec VPN。35、端到端IPSec VPN的操作原理，需要保护的业务流过路由器并触发路由器发起相关的协商过程。 启动互联网密钥交换(ike )阶段1，认证通信伙伴并在两端之间建立安全通道。 启动IKE

13、阶段2，在上述安全通道中协商IPSec参数。 用协商的IPSec参数加密数据流，散列等保护数据流。 什么是、主机a、主机b、路由器a、路由器b和端到端VPN？36，IKE阶段1，主机a，主机b，路由器b，10.0.1.3，10.0.2.3，IKE阶段1，协商用于构建IKE安全信道的参数，IKE安全37，IKE阶段1， 协商用于构建IKE安全通道的参数的加密算法Hash算法DH算法身份认证方法生存时间、38、IKE阶段1、policy 10 des MD 5d h1pre-share lifetime， 策略15 des MD 5d h1前共享生命周期、路由器a、路由器b、主机a、主机b、策略2

14、03 desshadh 1前共享生命周期、策略253 desshadh 2 上述IKE参数的组合称为IKE策略。 IKE协商是在通信对方之间找到相同的策略。39，IKE阶段1，主机a，主机b，路由器a，路由器b，10.0.1.3，10.0.2.3，IKE阶段1，协商用于建立IKE安全通道的参数交换对称密钥双方认证IKE 确立IKE安全通道时使用的参数交换对称密钥双方的认证，确立了IKE安全通道：主机a，主机b，路由器，10.0.1.3，10.0.2.3，IKE阶段2 协商了IPSec安全参数，确立了IPSec安全参数，41，IKE阶段2， 双方协商IPSec安全参数被称为变换集transform set，其包括加密算法Hash算法安全协议封装模式生存时间， tran