修訂記錄課程編碼適用產品產品版本課程版本ISSUEHCSCA107USG6000V100R001C30V2.5開發/優化者時間審核人開發類型（新開發/優化）陳靈光2011.7余雷第一版王銳2013.5朱恒2015.3陳昊優化本頁不打印第七章

VPN技術簡介目標學完本課程后，您將能夠:了解VPN概念了解VPN有哪些關鍵技術了解VPN分類及應用了解L2TP基本原理學問及基本配置方法駕馭GREVPN的基本原理及配置方法書目VPN技術簡介VPN分類VPN技術應用VPN定義VPN

虛擬專用網(VirtualPrivateNetwork)是一種“通過共享的公共網絡建立私有的數據通道，將各個須要接入這張虛擬網的網絡或終端通過通道連接起來，構成一個專用的、具有確定平安性和服務質量保證的網絡”。虛擬 用戶不再須要擁有實際的專用長途數據線路，而是利用Internet的長途數據線路建立自己的私有網絡。專用網絡 用戶可以為自己制定一個最符合自己需求的網絡。VPN常見技術隧道技術身份認證數據認證加解密技術密鑰管理技術隧道技術Internet企業總部分支機構SOHO用戶出差人員加解密技術信息密碼學加密：明文變密文C=En(K,

P)信息明文密鑰信息密文密碼服務

保密性加密服務

完整性鑒別性抗抵賴性加密技術發展史

加密技術發展歷程密碼機雙軌算法凱撒密碼Scytale加密技術分類對稱加密加密、解密用同一個密鑰非對稱加密在加密和解密中運用兩個不同的密鑰，私鑰用來疼惜數據，公鑰則由同一系統的人公用，用來檢驗信息及其發送者的真實性和身份。密鑰私鑰公鑰對稱加密技術

共享密鑰共享密鑰abcdef密鑰＝1010110101……加密算法解密算法ED*$@g)(!34*^hcftibfabcdef發送者接收者常見的對稱加密算法流加密算法RC4分組加密算法DES3DESAESIDEARC2，RC5，RC6非對稱加密技術

查找公鑰庫接收者公鑰接受者私鑰abcdef公鑰＝1111010101……加密算法解密算法ED&^(#!b&%2(#c7(*@!Csabcdef發送者接收者私鑰＝1010110101……對稱與非對稱算法對比加解密速度快密鑰平安性高對稱密鑰算法非對稱密鑰算法密鑰分發問題加解密對速度敏感優點缺點密鑰交換Huaweitr09vi16vsk會話密鑰明文密文會話密鑰接收者的公鑰tr09vi16vsk加密加密接收者的私鑰解密會話密鑰解密明文1234傳送發送者接收者Huawei數據認證--散列算法散列算法：把隨意長度的輸入變換成固定長度的輸出h=H(M)常見散列算法MD5SHA-1身份認證--數字簽名

明文發送者接收者

摘要哈希函數tr09vi16vskPGGjx&%9$數字簽名明文PGGjx&%9$數字簽名明文tr09vi16vsk新摘要哈希函數tr09vi16vsk=？相同1234567發送者的私鑰發送者的公鑰HuaweiHuaweiHuawei沒有篡改，是發送者發送的。身份認證--數字證書公鑰的載體數字證書的格式X.509由受信任的機構頒發數字證書的存儲持有者：XXX公開密鑰:9f0a34...序列號:123465有效期:5/5/2008-5/5/2009頒發者:

根CA簽名:CA數字簽名證書路徑:信任鏈密鑰管理技術密鑰產生支配保存更換與銷毀密鑰管理系統一個完整的密鑰管理系統應當做到：密鑰難以被竊取和復制即使竊取了密鑰也沒有用，密鑰有運用范圍和時間的限制密鑰的支配和更換過程對用戶透亮，用戶不確定要親自掌管密鑰核心密鑰確定要接受分割分責的方式保存密鑰管理策略一個完整的密鑰管理策略應當做到：密碼策略限制是否允許用戶重新運用舊的密碼（強制密碼歷史），在兩次更改密碼之間的時間（最大密碼壽命以及最小密碼壽命），最小密碼長度以及用戶是否必需混合運用大小寫字母、數字和特殊字符（密碼必需滿足困難性要求）。帳戶鎖定策略確定了在特定時間段內鎖定帳戶之前，系統能夠接受多少次失敗的登錄嘗試法律要求和服務合同書目VPN技術簡介VPN分類VPN技術應用按業務用途劃分(1)AccessVPN 企業的內部人員移動或遠程辦公須要，或者商家要供應B2C的平安訪問服務。移動辦公人員VPDN網關總部企業數據中心VPN管理系統按業務用途劃分(2)IntranetVPN 企業內部各分支機構的互聯。總部大中型分支機構網關到網關企業數據中心VPN管理系統中小型分支機構網關到網關按業務用途劃分(3)ExtranetVPN 供應B2B（BusinesstoBusiness）之間的平安訪問服務?？偛靠蛻羝髽I數據中心VPN管理系統供應商按實現層次劃分數據鏈路層網絡層L3VPN:L2VPN:GREIPSecL2TPPPTPL2F書目VPN技術簡介VPN分類VPN技術應用3.1二層VPN技術及配置3.2三層VPN技術及配置VPDN概述VPDN（VirtualPrivateDialNetwork）是指利用公共網絡（如ISDN和PSTN）的撥號功能及接入網來實現虛擬專用網，從而為企業、小型ISP、移動辦公人員供應接入服務。VPDN隧道協議可分為PPTP、L2F和L2TP三種，目前運用最廣泛的是L2TP網絡設備與VPDN網關

客戶機與VPDN網關

客戶的PPP干脆連接到企業的網關上，目前可運用的協議有L2F與L2TP客戶機先建立與Internet的連接，再通過專用的客戶軟件（如Win2000支持的L2TP客戶端）與網關建立通道連接。L2TP概述L2TP(LayerTwoTunnelingProtocol)二層隧道協議為在用戶和企業的服務器之間透亮傳輸PPP報文而設置的隧道協議。供應了對PPP鏈路層數據包的通道（Tunnel）傳輸支持。結合了L2F協議和PPTP協議的各自優點，成為IETF有關二層隧道協議的工業標準。主要用途企業駐外機構和出差人員可從遠程經由公共網絡，通過虛擬隧道實現和企業總部之間的網絡連接L2TPVPN協議組件LAC:L2TPAccessConcentrator，L2TP接入集中器

LNS:L2TPNetworkServer，L2TP網絡服務器PSTN/ADSL總部LACLNSL2TP

消息數據消息控制消息會話隧道出差員工LACRADIUSLNSRADIUSL2TP協議棧結構及封裝過程L2TP協議棧結構L2TP封裝過程私有IPPPPL2TPUDP公有IP鏈路層物理層物理層私有IPPPP私有IP頭UDPL2TPPPP公有IP頭鏈路層私有IPPPP物理層L2TPUDP公有IP鏈路層物理層物理層私有IP鏈路層物理層ClientLACLNSServerDataL2TP會話建立過程1.CallSetup2.PPPLCPSetup3.PAPorCHAPAuthenticationPCLACLACRADIUSServerLNSLNSRADIUSServer4.AccessRequest5.AccessAccept6.Tunnelestablishment7.PAPorCHAPAuthentication(challenge/response)8.Tunnelestablishment9.UserPAPorCHAPAuthentication(challenge/response)10.AccessRequest11.AccessAccept12.CHAPAuthenticationtwice(challenge/response)13.AccessRequest14.AccessAccept15.AuthenticationpassesClient-Initialized方式L2TPVPNVPN用戶相當于貨車，LNS相當于檢查站LNS：你可以通行了VPN用戶：好的，我自己把貨物送過去移動辦公L2TPTUNNEL總部服務器LNSClient-Initialized方式L2TP配置組網需求某公司建有自己的VPN網絡，在公司總部的公網出口處，放置了一臺VPN網關，即USG防火墻。要求出差人員能夠通過L2TP隧道與公司內部業務服務器進行通信。LNS側接受本地驗證方式。其中：LNS設備為USG防火墻INTERNET總部LNSG1/0/1/16G1/0/0/24移動辦公L2TP配置思路——Client配置“LNS服務器IP”禁用IPSec安全協議配置認證模式配置是否啟用隧道驗證功能配置用戶名/密碼L2TP配置思路——LNS基礎配置配置虛擬接口模板使能L2TP功能配置L2TP組配置VPDN組賬號配置域間防火墻安全策略L2TPVPN典型配置—LNS(1)創建虛擬接口模板。[LNS]interfaceVirtual-Template1[LNS-Virtual-Template1]ipaddress24[LNS-Virtual-Template1]pppauthentication-modechap[LNS-Virtual-Template1]remoteaddresspool1將虛擬接口模板加入平安區域。（步驟省略）配置L2TP組。[LNS]l2tpenable[LNS]l2tp-group1[LNS-l2tp1]allowl2tpvirtual-template1（remoteClient01）[LNS-l2tp1]tunnelauthentication[LNS-l2tp1]tunnelpasswordsimplehello[LNS-l2tp1]tunnelnamelnsL2TPVPN典型配置—LNS(2)配置用戶名及密碼（應與用戶側的設置一樣）[LNS]user-manageuservpdnuser[LNS-localuser-vpdnuser]passwordAdmin@123[LNS-localuser-vpdnuser]parent-group/default配置給用戶支配的地址池[LNS]aaa[LNS-aaa]domaindefault[LNS-aaa-domain-default]ippool19配置防火墻平安策略（略）L2TPVPN典型配置—LNS(Web)啟用L2TP服務配置L2TP組單擊“新建”，創建一個L2TP的用戶。L2TPVPN典型配置—LNS(Web)PPP協商的本端IP地址，相當于叮囑行配置中的虛接口模板地址。運用CHAP認證。配置LNS端其它參數NAS-Initialized方式L2TPVPNLAC相當于托運處LAC：你的貨物可以通過，有什么須要幫忙的？VPN用戶：請把這些貨物托運到XX街XX號L2TPTUNNEL遠地用戶分支結構LACLNSPSTN以太網PPPPPPOE總部服務器書目VPN技術簡介VPN分類VPN技術應用3.1二層VPN技術及配置3.2三層VPN技術及配置GRE協議概述GRE(GenericRoutingEncapsulation):是對某些網絡層協議（如：IP,IPX,AppleTalk等）的數據報進行封裝，使這些被封裝的數據報能夠在另一個網絡層協議（如IP）中傳輸INTERNET總部GRETunnel防火墻A防火墻BIPX網絡IPX網絡鏈路層GREIPXIPPayloadGRE的實現-隧道接口隧道接口（Tunnel接口）是為實現報文的封裝而供應的一種點對點類型的虛擬接口，與Loopback接口類似，都是一種邏輯接口目的地址隧道接口IP地址封裝類型源地址GRE的實現-封裝與解封裝FWAFWBGRETUNNELNexthop:tunnel協議字段:47封裝解封GREVPN典型應用場景描述運行IP協議的兩個子網網絡1和網絡2，通過在防火墻A和防火墻B之間運用三層隧道協議GRE實現互聯。INTERNET總部GRETunnelG1/0/1/24Tunnel1/24Tunnel1/24G1/0/1/24防火墻A防火墻B/24/24GREVPN配置思路基礎配置配置tunnel邏輯接口配置到對端網絡內網網段的路由放開相應的域間規則GREVPN典型配置(叮囑行)配置防火墻A?；九渲茫裕?。創建并配置Tunnel1接口[USG_A]interfacetunnel1[USG_A-Tunnel1]ipaddress24[USG_A-Tunnel1]tunnel-protocolgre[USG_A-Tunnel1]source[USG_A-Tunnel1]destination配置從防