HCSCA107-HCNA-Security-CBSN-第七章-VPN技術(shù)簡介

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHCSCA107USG6000V100R001C30V2.5開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）陳靈光2011.7余雷第一版王銳2013.5朱恒2015.3陳昊優(yōu)化本頁不打印第七章

VPN技術(shù)簡介目標學(xué)完本課程后，您將能夠:了解VPN概念了解VPN有哪些關(guān)鍵技術(shù)了解VPN分類及應(yīng)用了解L2TP基本原理學(xué)問及基本配置方法駕馭GREVPN的基本原理及配置方法書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用VPN定義VPN

虛擬專用網(wǎng)(VirtualPrivateNetwork)是一種“通過共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個須要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過通道連接起來，構(gòu)成一個專用的、具有確定平安性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)”。虛擬 用戶不再須要擁有實際的專用長途數(shù)據(jù)線路，而是利用Internet的長途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)。專用網(wǎng)絡(luò) 用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。VPN常見技術(shù)隧道技術(shù)身份認證數(shù)據(jù)認證加解密技術(shù)密鑰管理技術(shù)隧道技術(shù)Internet企業(yè)總部分支機構(gòu)SOHO用戶出差人員加解密技術(shù)信息密碼學(xué)加密：明文變密文C=En(K,

P)信息明文密鑰信息密文密碼服務(wù)

保密性加密服務(wù)

完整性鑒別性抗抵賴性加密技術(shù)發(fā)展史

加密技術(shù)發(fā)展歷程密碼機雙軌算法凱撒密碼Scytale加密技術(shù)分類對稱加密加密、解密用同一個密鑰非對稱加密在加密和解密中運用兩個不同的密鑰，私鑰用來疼惜數(shù)據(jù)，公鑰則由同一系統(tǒng)的人公用，用來檢驗信息及其發(fā)送者的真實性和身份。密鑰私鑰公鑰對稱加密技術(shù)

共享密鑰共享密鑰abcdef密鑰＝1010110101……加密算法解密算法ED*$@g)(!34*^hcftibfabcdef發(fā)送者接收者常見的對稱加密算法流加密算法RC4分組加密算法DES3DESAESIDEARC2，RC5，RC6非對稱加密技術(shù)

查找公鑰庫接收者公鑰接受者私鑰abcdef公鑰＝1111010101……加密算法解密算法ED&^(#!b&%2(#c7(*@!Csabcdef發(fā)送者接收者私鑰＝1010110101……對稱與非對稱算法對比加解密速度快密鑰平安性高對稱密鑰算法非對稱密鑰算法密鑰分發(fā)問題加解密對速度敏感優(yōu)點缺點密鑰交換Huaweitr09vi16vsk會話密鑰明文密文會話密鑰接收者的公鑰tr09vi16vsk加密加密接收者的私鑰解密會話密鑰解密明文1234傳送發(fā)送者接收者Huawei數(shù)據(jù)認證--散列算法散列算法：把隨意長度的輸入變換成固定長度的輸出h=H(M)常見散列算法MD5SHA-1身份認證--數(shù)字簽名

明文發(fā)送者接收者

摘要哈希函數(shù)tr09vi16vskPGGjx&%9$數(shù)字簽名明文PGGjx&%9$數(shù)字簽名明文tr09vi16vsk新摘要哈希函數(shù)tr09vi16vsk=？相同1234567發(fā)送者的私鑰發(fā)送者的公鑰HuaweiHuaweiHuawei沒有篡改，是發(fā)送者發(fā)送的。身份認證--數(shù)字證書公鑰的載體數(shù)字證書的格式X.509由受信任的機構(gòu)頒發(fā)數(shù)字證書的存儲持有者：XXX公開密鑰:9f0a34...序列號:123465有效期:5/5/2008-5/5/2009頒發(fā)者:

根CA簽名:CA數(shù)字簽名證書路徑:信任鏈密鑰管理技術(shù)密鑰產(chǎn)生支配保存更換與銷毀密鑰管理系統(tǒng)一個完整的密鑰管理系統(tǒng)應(yīng)當做到：密鑰難以被竊取和復(fù)制即使竊取了密鑰也沒有用，密鑰有運用范圍和時間的限制密鑰的支配和更換過程對用戶透亮，用戶不確定要親自掌管密鑰核心密鑰確定要接受分割分責(zé)的方式保存密鑰管理策略一個完整的密鑰管理策略應(yīng)當做到：密碼策略限制是否允許用戶重新運用舊的密碼（強制密碼歷史），在兩次更改密碼之間的時間（最大密碼壽命以及最小密碼壽命），最小密碼長度以及用戶是否必需混合運用大小寫字母、數(shù)字和特殊字符（密碼必需滿足困難性要求）。帳戶鎖定策略確定了在特定時間段內(nèi)鎖定帳戶之前，系統(tǒng)能夠接受多少次失敗的登錄嘗試法律要求和服務(wù)合同書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用按業(yè)務(wù)用途劃分(1)AccessVPN 企業(yè)的內(nèi)部人員移動或遠程辦公須要，或者商家要供應(yīng)B2C的平安訪問服務(wù)。移動辦公人員VPDN網(wǎng)關(guān)總部企業(yè)數(shù)據(jù)中心VPN管理系統(tǒng)按業(yè)務(wù)用途劃分(2)IntranetVPN 企業(yè)內(nèi)部各分支機構(gòu)的互聯(lián)?？偛看笾行头种C構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)企業(yè)數(shù)據(jù)中心VPN管理系統(tǒng)中小型分支機構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)按業(yè)務(wù)用途劃分(3)ExtranetVPN 供應(yīng)B2B（BusinesstoBusiness）之間的平安訪問服務(wù)?？偛靠蛻羝髽I(yè)數(shù)據(jù)中心VPN管理系統(tǒng)供應(yīng)商按實現(xiàn)層次劃分數(shù)據(jù)鏈路層網(wǎng)絡(luò)層L3VPN:L2VPN:GREIPSecL2TPPPTPL2F書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用3.1二層VPN技術(shù)及配置3.2三層VPN技術(shù)及配置VPDN概述VPDN（VirtualPrivateDialNetwork）是指利用公共網(wǎng)絡(luò)（如ISDN和PSTN）的撥號功能及接入網(wǎng)來實現(xiàn)虛擬專用網(wǎng)，從而為企業(yè)、小型ISP、移動辦公人員供應(yīng)接入服務(wù)。VPDN隧道協(xié)議可分為PPTP、L2F和L2TP三種，目前運用最廣泛的是L2TP網(wǎng)絡(luò)設(shè)備與VPDN網(wǎng)關(guān)

客戶機與VPDN網(wǎng)關(guān)

客戶的PPP干脆連接到企業(yè)的網(wǎng)關(guān)上，目前可運用的協(xié)議有L2F與L2TP客戶機先建立與Internet的連接，再通過專用的客戶軟件（如Win2000支持的L2TP客戶端）與網(wǎng)關(guān)建立通道連接。L2TP概述L2TP(LayerTwoTunnelingProtocol)二層隧道協(xié)議為在用戶和企業(yè)的服務(wù)器之間透亮傳輸PPP報文而設(shè)置的隧道協(xié)議。供應(yīng)了對PPP鏈路層數(shù)據(jù)包的通道（Tunnel）傳輸支持。結(jié)合了L2F協(xié)議和PPTP協(xié)議的各自優(yōu)點，成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標準。主要用途企業(yè)駐外機構(gòu)和出差人員可從遠程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬隧道實現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接L2TPVPN協(xié)議組件LAC:L2TPAccessConcentrator，L2TP接入集中器

LNS:L2TPNetworkServer，L2TP網(wǎng)絡(luò)服務(wù)器PSTN/ADSL總部LACLNSL2TP

消息數(shù)據(jù)消息控制消息會話隧道出差員工LACRADIUSLNSRADIUSL2TP協(xié)議棧結(jié)構(gòu)及封裝過程L2TP協(xié)議棧結(jié)構(gòu)L2TP封裝過程私有IPPPPL2TPUDP公有IP鏈路層物理層物理層私有IPPPP私有IP頭UDPL2TPPPP公有IP頭鏈路層私有IPPPP物理層L2TPUDP公有IP鏈路層物理層物理層私有IP鏈路層物理層ClientLACLNSServerDataL2TP會話建立過程1.CallSetup2.PPPLCPSetup3.PAPorCHAPAuthenticationPCLACLACRADIUSServerLNSLNSRADIUSServer4.AccessRequest5.AccessAccept6.Tunnelestablishment7.PAPorCHAPAuthentication(challenge/response)8.Tunnelestablishment9.UserPAPorCHAPAuthentication(challenge/response)10.AccessRequest11.AccessAccept12.CHAPAuthenticationtwice(challenge/response)13.AccessRequest14.AccessAccept15.AuthenticationpassesClient-Initialized方式L2TPVPNVPN用戶相當于貨車，LNS相當于檢查站LNS：你可以通行了VPN用戶：好的，我自己把貨物送過去移動辦公L2TPTUNNEL總部服務(wù)器LNSClient-Initialized方式L2TP配置組網(wǎng)需求某公司建有自己的VPN網(wǎng)絡(luò)，在公司總部的公網(wǎng)出口處，放置了一臺VPN網(wǎng)關(guān)，即USG防火墻。要求出差人員能夠通過L2TP隧道與公司內(nèi)部業(yè)務(wù)服務(wù)器進行通信。LNS側(cè)接受本地驗證方式。其中：LNS設(shè)備為USG防火墻INTERNET總部LNSG1/0/1/16G1/0/0/24移動辦公L2TP配置思路——Client配置“LNS服務(wù)器IP”禁用IPSec安全協(xié)議配置認證模式配置是否啟用隧道驗證功能配置用戶名/密碼L2TP配置思路——LNS基礎(chǔ)配置配置虛擬接口模板使能L2TP功能配置L2TP組配置VPDN組賬號配置域間防火墻安全策略L2TPVPN典型配置—LNS(1)創(chuàng)建虛擬接口模板。[LNS]interfaceVirtual-Template1[LNS-Virtual-Template1]ipaddress24[LNS-Virtual-Template1]pppauthentication-modechap[LNS-Virtual-Template1]remoteaddresspool1將虛擬接口模板加入平安區(qū)域。（步驟省略）配置L2TP組。[LNS]l2tpenable[LNS]l2tp-group1[LNS-l2tp1]allowl2tpvirtual-template1（remoteClient01）[LNS-l2tp1]tunnelauthentication[LNS-l2tp1]tunnelpasswordsimplehello[LNS-l2tp1]tunnelnamelnsL2TPVPN典型配置—LNS(2)配置用戶名及密碼（應(yīng)與用戶側(cè)的設(shè)置一樣）[LNS]user-manageuservpdnuser[LNS-localuser-vpdnuser]passwordAdmin@123[LNS-localuser-vpdnuser]parent-group/default配置給用戶支配的地址池[LNS]aaa[LNS-aaa]domaindefault[LNS-aaa-domain-default]ippool19配置防火墻平安策略（略）L2TPVPN典型配置—LNS(Web)啟用L2TP服務(wù)配置L2TP組單擊“新建”，創(chuàng)建一個L2TP的用戶。L2TPVPN典型配置—LNS(Web)PPP協(xié)商的本端IP地址，相當于叮囑行配置中的虛接口模板地址。運用CHAP認證。配置LNS端其它參數(shù)NAS-Initialized方式L2TPVPNLAC相當于托運處LAC：你的貨物可以通過，有什么須要幫忙的？VPN用戶：請把這些貨物托運到XX街XX號L2TPTUNNEL遠地用戶分支結(jié)構(gòu)LACLNSPSTN以太網(wǎng)PPPPPPOE總部服務(wù)器書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用3.1二層VPN技術(shù)及配置3.2三層VPN技術(shù)及配置GRE協(xié)議概述GRE(GenericRoutingEncapsulation):是對某些網(wǎng)絡(luò)層協(xié)議（如：IP,IPX,AppleTalk等）的數(shù)據(jù)報進行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸INTERNET總部GRETunnel防火墻A防火墻BIPX網(wǎng)絡(luò)IPX網(wǎng)絡(luò)鏈路層GREIPXIPPayloadGRE的實現(xiàn)-隧道接口隧道接口（Tunnel接口）是為實現(xiàn)報文的封裝而供應(yīng)的一種點對點類型的虛擬接口，與Loopback接口類似，都是一種邏輯接口目的地址隧道接口IP地址封裝類型源地址GRE的實現(xiàn)-封裝與解封裝FWAFWBGRETUNNELNexthop:tunnel協(xié)議字段:47封裝解封GREVPN典型應(yīng)用場景描述運行IP協(xié)議的兩個子網(wǎng)網(wǎng)絡(luò)1和網(wǎng)絡(luò)2，通過在防火墻A和防火墻B之間運用三層隧道協(xié)議GRE實現(xiàn)互聯(lián)。INTERNET總部GRETunnelG1/0/1/24Tunnel1/24Tunnel1/24G1/0/1/24防火墻A防火墻B/24/24GREVPN配置思路基礎(chǔ)配置配置tunnel邏輯接口配置到對端網(wǎng)絡(luò)內(nèi)網(wǎng)網(wǎng)段的路由放開相應(yīng)的域間規(guī)則GREVPN典型配置(叮囑行)配置防火墻A?；九渲茫裕?。創(chuàng)建并配置Tunnel1接口[USG_A]interfacetunnel1[USG_A-Tunnel1]ipaddress24[USG_A-Tunnel1]tunnel-protocolgre[USG_A-Tunnel1]source[USG_A-Tunnel1]destination配置從防