修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHCSCA107USG6000V100R001C30V2.5開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型（新開發(fā)/優(yōu)化）陳靈光2011.7余雷第一版王銳2013.5朱恒2015.3陳昊優(yōu)化本頁不打印第七章

VPN技術(shù)簡介目標(biāo)學(xué)完本課程后，您將能夠:了解VPN概念了解VPN有哪些關(guān)鍵技術(shù)了解VPN分類及應(yīng)用了解L2TP基本原理學(xué)問及基本配置方法駕馭GREVPN的基本原理及配置方法書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用VPN定義VPN

虛擬專用網(wǎng)(VirtualPrivateNetwork)是一種“通過共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個(gè)須要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過通道連接起來，構(gòu)成一個(gè)專用的、具有確定平安性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)”。虛擬 用戶不再須要擁有實(shí)際的專用長途數(shù)據(jù)線路，而是利用Internet的長途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)。專用網(wǎng)絡(luò) 用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。VPN常見技術(shù)隧道技術(shù)身份認(rèn)證數(shù)據(jù)認(rèn)證加解密技術(shù)密鑰管理技術(shù)隧道技術(shù)Internet企業(yè)總部分支機(jī)構(gòu)SOHO用戶出差人員加解密技術(shù)信息密碼學(xué)加密：明文變密文C=En(K,

P)信息明文密鑰信息密文密碼服務(wù)

保密性加密服務(wù)

完整性鑒別性抗抵賴性加密技術(shù)發(fā)展史

加密技術(shù)發(fā)展歷程密碼機(jī)雙軌算法凱撒密碼Scytale加密技術(shù)分類對(duì)稱加密加密、解密用同一個(gè)密鑰非對(duì)稱加密在加密和解密中運(yùn)用兩個(gè)不同的密鑰，私鑰用來疼惜數(shù)據(jù)，公鑰則由同一系統(tǒng)的人公用，用來檢驗(yàn)信息及其發(fā)送者的真實(shí)性和身份。密鑰私鑰公鑰對(duì)稱加密技術(shù)

共享密鑰共享密鑰abcdef密鑰＝1010110101……加密算法解密算法ED*$@g)(!34*^hcftibfabcdef發(fā)送者接收者常見的對(duì)稱加密算法流加密算法RC4分組加密算法DES3DESAESIDEARC2，RC5，RC6非對(duì)稱加密技術(shù)

查找公鑰庫接收者公鑰接受者私鑰abcdef公鑰＝1111010101……加密算法解密算法ED&^(#!b&%2(#c7(*@!Csabcdef發(fā)送者接收者私鑰＝1010110101……對(duì)稱與非對(duì)稱算法對(duì)比加解密速度快密鑰平安性高對(duì)稱密鑰算法非對(duì)稱密鑰算法密鑰分發(fā)問題加解密對(duì)速度敏感優(yōu)點(diǎn)缺點(diǎn)密鑰交換Huaweitr09vi16vsk會(huì)話密鑰明文密文會(huì)話密鑰接收者的公鑰tr09vi16vsk加密加密接收者的私鑰解密會(huì)話密鑰解密明文1234傳送發(fā)送者接收者Huawei數(shù)據(jù)認(rèn)證--散列算法散列算法：把隨意長度的輸入變換成固定長度的輸出h=H(M)常見散列算法MD5SHA-1身份認(rèn)證--數(shù)字簽名

明文發(fā)送者接收者

摘要哈希函數(shù)tr09vi16vskPGGjx&%9$數(shù)字簽名明文PGGjx&%9$數(shù)字簽名明文tr09vi16vsk新摘要哈希函數(shù)tr09vi16vsk=？相同1234567發(fā)送者的私鑰發(fā)送者的公鑰HuaweiHuaweiHuawei沒有篡改，是發(fā)送者發(fā)送的。身份認(rèn)證--數(shù)字證書公鑰的載體數(shù)字證書的格式X.509由受信任的機(jī)構(gòu)頒發(fā)數(shù)字證書的存儲(chǔ)持有者：XXX公開密鑰:9f0a34...序列號(hào):123465有效期:5/5/2008-5/5/2009頒發(fā)者:

根CA簽名:CA數(shù)字簽名證書路徑:信任鏈密鑰管理技術(shù)密鑰產(chǎn)生支配保存更換與銷毀密鑰管理系統(tǒng)一個(gè)完整的密鑰管理系統(tǒng)應(yīng)當(dāng)做到：密鑰難以被竊取和復(fù)制即使竊取了密鑰也沒有用，密鑰有運(yùn)用范圍和時(shí)間的限制密鑰的支配和更換過程對(duì)用戶透亮，用戶不確定要親自掌管密鑰核心密鑰確定要接受分割分責(zé)的方式保存密鑰管理策略一個(gè)完整的密鑰管理策略應(yīng)當(dāng)做到：密碼策略限制是否允許用戶重新運(yùn)用舊的密碼（強(qiáng)制密碼歷史），在兩次更改密碼之間的時(shí)間（最大密碼壽命以及最小密碼壽命），最小密碼長度以及用戶是否必需混合運(yùn)用大小寫字母、數(shù)字和特殊字符（密碼必需滿足困難性要求）。帳戶鎖定策略確定了在特定時(shí)間段內(nèi)鎖定帳戶之前，系統(tǒng)能夠接受多少次失敗的登錄嘗試法律要求和服務(wù)合同書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用按業(yè)務(wù)用途劃分(1)AccessVPN 企業(yè)的內(nèi)部人員移動(dòng)或遠(yuǎn)程辦公須要，或者商家要供應(yīng)B2C的平安訪問服務(wù)。移動(dòng)辦公人員VPDN網(wǎng)關(guān)總部企業(yè)數(shù)據(jù)中心VPN管理系統(tǒng)按業(yè)務(wù)用途劃分(2)IntranetVPN 企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)。總部大中型分支機(jī)構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)企業(yè)數(shù)據(jù)中心VPN管理系統(tǒng)中小型分支機(jī)構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)按業(yè)務(wù)用途劃分(3)ExtranetVPN 供應(yīng)B2B（BusinesstoBusiness）之間的平安訪問服務(wù)。總部客戶企業(yè)數(shù)據(jù)中心VPN管理系統(tǒng)供應(yīng)商按實(shí)現(xiàn)層次劃分?jǐn)?shù)據(jù)鏈路層網(wǎng)絡(luò)層L3VPN:L2VPN:GREIPSecL2TPPPTPL2F書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用3.1二層VPN技術(shù)及配置3.2三層VPN技術(shù)及配置VPDN概述VPDN（VirtualPrivateDialNetwork）是指利用公共網(wǎng)絡(luò)（如ISDN和PSTN）的撥號(hào)功能及接入網(wǎng)來實(shí)現(xiàn)虛擬專用網(wǎng)，從而為企業(yè)、小型ISP、移動(dòng)辦公人員供應(yīng)接入服務(wù)。VPDN隧道協(xié)議可分為PPTP、L2F和L2TP三種，目前運(yùn)用最廣泛的是L2TP網(wǎng)絡(luò)設(shè)備與VPDN網(wǎng)關(guān)

客戶機(jī)與VPDN網(wǎng)關(guān)

客戶的PPP干脆連接到企業(yè)的網(wǎng)關(guān)上，目前可運(yùn)用的協(xié)議有L2F與L2TP客戶機(jī)先建立與Internet的連接，再通過專用的客戶軟件（如Win2000支持的L2TP客戶端）與網(wǎng)關(guān)建立通道連接。L2TP概述L2TP(LayerTwoTunnelingProtocol)二層隧道協(xié)議為在用戶和企業(yè)的服務(wù)器之間透亮傳輸PPP報(bào)文而設(shè)置的隧道協(xié)議。供應(yīng)了對(duì)PPP鏈路層數(shù)據(jù)包的通道（Tunnel）傳輸支持。結(jié)合了L2F協(xié)議和PPTP協(xié)議的各自優(yōu)點(diǎn)，成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。主要用途企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接L2TPVPN協(xié)議組件LAC:L2TPAccessConcentrator，L2TP接入集中器

LNS:L2TPNetworkServer，L2TP網(wǎng)絡(luò)服務(wù)器PSTN/ADSL總部LACLNSL2TP

消息數(shù)據(jù)消息控制消息會(huì)話隧道出差員工LACRADIUSLNSRADIUSL2TP協(xié)議棧結(jié)構(gòu)及封裝過程L2TP協(xié)議棧結(jié)構(gòu)L2TP封裝過程私有IPPPPL2TPUDP公有IP鏈路層物理層物理層私有IPPPP私有IP頭UDPL2TPPPP公有IP頭鏈路層私有IPPPP物理層L2TPUDP公有IP鏈路層物理層物理層私有IP鏈路層物理層ClientLACLNSServerDataL2TP會(huì)話建立過程1.CallSetup2.PPPLCPSetup3.PAPorCHAPAuthenticationPCLACLACRADIUSServerLNSLNSRADIUSServer4.AccessRequest5.AccessAccept6.Tunnelestablishment7.PAPorCHAPAuthentication(challenge/response)8.Tunnelestablishment9.UserPAPorCHAPAuthentication(challenge/response)10.AccessRequest11.AccessAccept12.CHAPAuthenticationtwice(challenge/response)13.AccessRequest14.AccessAccept15.AuthenticationpassesClient-Initialized方式L2TPVPNVPN用戶相當(dāng)于貨車，LNS相當(dāng)于檢查站LNS：你可以通行了VPN用戶：好的，我自己把貨物送過去移動(dòng)辦公L2TPTUNNEL總部服務(wù)器LNSClient-Initialized方式L2TP配置組網(wǎng)需求某公司建有自己的VPN網(wǎng)絡(luò)，在公司總部的公網(wǎng)出口處，放置了一臺(tái)VPN網(wǎng)關(guān)，即USG防火墻。要求出差人員能夠通過L2TP隧道與公司內(nèi)部業(yè)務(wù)服務(wù)器進(jìn)行通信。LNS側(cè)接受本地驗(yàn)證方式。其中：LNS設(shè)備為USG防火墻INTERNET總部LNSG1/0/1/16G1/0/0/24移動(dòng)辦公L2TP配置思路——Client配置“LNS服務(wù)器IP”禁用IPSec安全協(xié)議配置認(rèn)證模式配置是否啟用隧道驗(yàn)證功能配置用戶名/密碼L2TP配置思路——LNS基礎(chǔ)配置配置虛擬接口模板使能L2TP功能配置L2TP組配置VPDN組賬號(hào)配置域間防火墻安全策略L2TPVPN典型配置—LNS(1)創(chuàng)建虛擬接口模板。[LNS]interfaceVirtual-Template1[LNS-Virtual-Template1]ipaddress24[LNS-Virtual-Template1]pppauthentication-modechap[LNS-Virtual-Template1]remoteaddresspool1將虛擬接口模板加入平安區(qū)域。（步驟省略）配置L2TP組。[LNS]l2tpenable[LNS]l2tp-group1[LNS-l2tp1]allowl2tpvirtual-template1（remoteClient01）[LNS-l2tp1]tunnelauthentication[LNS-l2tp1]tunnelpasswordsimplehello[LNS-l2tp1]tunnelnamelnsL2TPVPN典型配置—LNS(2)配置用戶名及密碼（應(yīng)與用戶側(cè)的設(shè)置一樣）[LNS]user-manageuservpdnuser[LNS-localuser-vpdnuser]passwordAdmin@123[LNS-localuser-vpdnuser]parent-group/default配置給用戶支配的地址池[LNS]aaa[LNS-aaa]domaindefault[LNS-aaa-domain-default]ippool19配置防火墻平安策略（略）L2TPVPN典型配置—LNS(Web)啟用L2TP服務(wù)配置L2TP組單擊“新建”，創(chuàng)建一個(gè)L2TP的用戶。L2TPVPN典型配置—LNS(Web)PPP協(xié)商的本端IP地址，相當(dāng)于叮囑行配置中的虛接口模板地址。運(yùn)用CHAP認(rèn)證。配置LNS端其它參數(shù)NAS-Initialized方式L2TPVPNLAC相當(dāng)于托運(yùn)處LAC：你的貨物可以通過，有什么須要幫忙的？VPN用戶：請(qǐng)把這些貨物托運(yùn)到XX街XX號(hào)L2TPTUNNEL遠(yuǎn)地用戶分支結(jié)構(gòu)LACLNSPSTN以太網(wǎng)PPPPPPOE總部服務(wù)器書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用3.1二層VPN技術(shù)及配置3.2三層VPN技術(shù)及配置GRE協(xié)議概述GRE(GenericRoutingEncapsulation):是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如：IP,IPX,AppleTalk等）的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸INTERNET總部GRETunnel防火墻A防火墻BIPX網(wǎng)絡(luò)IPX網(wǎng)絡(luò)鏈路層GREIPXIPPayloadGRE的實(shí)現(xiàn)-隧道接口隧道接口（Tunnel接口）是為實(shí)現(xiàn)報(bào)文的封裝而供應(yīng)的一種點(diǎn)對(duì)點(diǎn)類型的虛擬接口，與Loopback接口類似，都是一種邏輯接口目的地址隧道接口IP地址封裝類型源地址GRE的實(shí)現(xiàn)-封裝與解封裝FWAFWBGRETUNNELNexthop:tunnel協(xié)議字段:47封裝解封GREVPN典型應(yīng)用場景描述運(yùn)行IP協(xié)議的兩個(gè)子網(wǎng)網(wǎng)絡(luò)1和網(wǎng)絡(luò)2，通過在防火墻A和防火墻B之間運(yùn)用三層隧道協(xié)議GRE實(shí)現(xiàn)互聯(lián)。INTERNET總部GRETunnelG1/0/1/24Tunnel1/24Tunnel1/24G1/0/1/24防火墻A防火墻B/24/24GREVPN配置思路基礎(chǔ)配置配置tunnel邏輯接口配置到對(duì)端網(wǎng)絡(luò)內(nèi)網(wǎng)網(wǎng)段的路由放開相應(yīng)的域間規(guī)則GREVPN典型配置(叮囑行)配置防火墻A。基本配置（略）。創(chuàng)建并配置Tunnel1接口[USG_A]interfacetunnel1[USG_A-Tunnel1]ipaddress24[USG_A-Tunnel1]tunnel-protocolgre[USG_A-Tunnel1]source[USG_A-Tunnel1]destination配置從防