GRE VPN和IPsec VPN多媒體課件

VPNVPN的工作原理假設(shè)每個LAN都是一個島嶼假設(shè)你生活在海洋環(huán)保的一個島嶼上，周圍還有成千上萬其他島嶼，有些島嶼靠的很近，有些島嶼相隔遙遠(yuǎn)。通常的出行方式是，從你所在的島嶼乘船前往要拜訪的島嶼。但乘船出行意味著幾乎毫無隱私可言，因?yàn)槟愕娜魏涡袆佣急蝗丝丛谘劾铩＜僭O(shè)每個島嶼都標(biāo)示一個私有局域網(wǎng)，而海洋是Internet。你乘船出行類似通過Internet連接到某臺Web服務(wù)器或者其他設(shè)備。你無法控制控制組成Internet的電纜盒路由器，就像你無法控制船上的其他人一樣。因此，如果使用公共資源鏈接2個私有網(wǎng)絡(luò)，將很容易受到安全問題的困擾。于是你決定建造通往另一個島嶼的橋梁，以便2個島嶼的人們可以方便、安全、直接的往來。即使要連接的島嶼靠的的很近，建造和維護(hù)橋梁的費(fèi)用也不低，但對安全可靠的通信需要使你決定還是架橋。這與使用專線非常相似，橋梁（專線）與海洋（Internet）是分開的，但它們能夠連接各個島嶼。VPN的工作原理

那VPN與他有什么關(guān)系呢？你可以不用架橋，但你可以用每個島嶼的人分發(fā)一艘小型水艇，這些水艇具有如下特點(diǎn)（速度快；無論前往何處，都便于攜帶；能夠?qū)⒛阃耆[藏起來，不被其他船只發(fā)現(xiàn)；具有可靠性；）雖然水艇在海上行駛時還有其他船只也在海上通行，但2個島嶼的居民只要愿意，可以隨時往來于2個島嶼，且隱私權(quán)和安全性都能夠得到保證。

VPN的性能特點(diǎn)節(jié)約成本：組織可使用經(jīng)濟(jì)的ISP將遠(yuǎn)程辦事處和遠(yuǎn)程用戶連接到公司總部，從而避免使用昂貴的專用WAN鏈路（橋梁）和大量調(diào)制解調(diào)器---------------------水艇和建造橋梁比起來當(dāng)然是水艇的成本低廉。安全性：使用先進(jìn)的加密和身份驗(yàn)證協(xié)議防止數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問。--------橋梁屬于公用地方，水艇屬于私人領(lǐng)域。可擴(kuò)展性：VPN使用ISP和運(yùn)營商的Internet基礎(chǔ)設(shè)施，組織可輕松地添加新用戶。組織無論大小，無需大規(guī)模添加基礎(chǔ)設(shè)即可大幅度擴(kuò)充容量。----------橋梁的承載能力有限，想要擴(kuò)建必要耗費(fèi)大量的人力物力，這樣必然又增加了成本，而水艇可擴(kuò)性就比橋梁容易多了。VPN的各種分類按接入方式劃分一般，用戶可能是專線網(wǎng)，也可能是撥號上網(wǎng)。建立在IP網(wǎng)上的VPN也有對應(yīng)的2種接入方式。（1）專線VPN：它是為已經(jīng)通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案。這是一種“永在線”的VPN，可以節(jié)省傳統(tǒng)的長途專線費(fèi)用。（2）撥號VPN（又稱VPDN）：它是向利用撥號PSTN或ISDN接入ISP的用戶提供的VPN業(yè)務(wù)。這是一種“按需連接”的VPN，可以節(jié)省用戶的長途電話費(fèi)用。需要指出的是，因?yàn)橛脩粢话闶锹斡脩?，是“按需連接的，因此VPDN通常需要做身份認(rèn)證（比如利用CHAP和RADIUS）VPN的各種分類按協(xié)議實(shí)現(xiàn)類型劃根據(jù)分層模型，VPN可以在第二層建立，也可以在第三層建立第二層隧道協(xié)議：這包括點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）、多協(xié)議標(biāo)記交換（MPLS）第三層隧道協(xié)議：這包括通用路由封裝協(xié)議（GRE）、IP安全（IPSec）第二層隧道協(xié)議和第三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，其中GRE、IPSec和MPLS主要用于實(shí)現(xiàn)專線VPN業(yè)務(wù)，L2TP主要用于實(shí)現(xiàn)撥號VPN業(yè)務(wù)（但可以用用于實(shí)現(xiàn)專線VPN業(yè)務(wù)），這些協(xié)議之間本身并不沖突，可以結(jié)合使用VPN的關(guān)鍵概念術(shù)語隧道（Tunnel）封裝（Encapsulation）驗(yàn)證（Authentication）授權(quán)（Authorization）加密（Encryption）解密（Decryption）GREVPNGRE(GenericRoutingEncapsulation)在任意一種網(wǎng)絡(luò)協(xié)議上傳送任意一種其它網(wǎng)絡(luò)協(xié)議的封裝方法RFC2784定義了標(biāo)準(zhǔn)GRE封裝GREVPN直接使用GRE封裝建立GRE隧道，在一種協(xié)議的網(wǎng)絡(luò)上傳送其它協(xié)議虛擬的隧道（Tunnel）接口GRE隧道的工作過程GRE隧道處理流程隧道起點(diǎn)路由查找加封裝承載協(xié)議路由轉(zhuǎn)發(fā)中途轉(zhuǎn)發(fā)解封裝隧道終點(diǎn)路由查找隧道起點(diǎn)路由查找加封裝解封裝隧道終點(diǎn)路由查找GREVPN配置案例R1初始配置interfaceFastEthernet0/1ipaddress192.168.1.1255.255.255.0!interfaceFastEthernet0/0ipaddress219.1.2.2255.255.255.252!iproute0.0.0.00.0.0.0219.1.2.1ISP初始配置interfaceFastEthernet0/0ipaddress219.1.2.1255.255.255.252!interfaceFastEthernet0/1ipaddress61.1.2.1255.255.255.252R2初始配置interfaceFastEthernet0/1ipaddress192.168.2.1255.255.255.0!interfaceFastEthernet0/0ipaddress61.1.2.2255.255.255.252!iproute0.0.0.00.0.0.061.1.2.1R1的GRE配置interfaceTunnel0ipaddress192.168.0.1255.255.255.252tunnelsourceFastEthernet0/0tunneldestination61.1.2.2!iproute192.168.2.0255.255.255.0192.168.0.2R2的GRE配置interfaceTunnel0ipaddress192.168.0.2255.255.255.252tunnelsourceFastEthernet0/0tunneldestination219.1.2.2!iproute192.168.1.0255.255.255.0192.168.0.1GREVPN的特點(diǎn)IPSec安全協(xié)議IPSec是一個保護(hù)IP通信的協(xié)議族，提供了加密、完整性和身份驗(yàn)證功能。IPSec規(guī)范了如何確保VPN通信的安全。兩種主要的IPSec框架協(xié)議驗(yàn)證驗(yàn)證報頭（AH）：不要求或不允許有機(jī)密性的使用。AH為2個系統(tǒng)之間傳輸?shù)腎P分組提供數(shù)據(jù)驗(yàn)證和完整性。它驗(yàn)證從R1向R2傳輸?shù)南⒃趥鬏數(shù)倪^程中沒有被篡改，還驗(yàn)證數(shù)據(jù)是否來自R1或R2。AH不是提供數(shù)據(jù)機(jī)密性。單獨(dú)使用時，AH協(xié)議提供的保護(hù)比較弱，因此需要與ESP協(xié)議結(jié)合使用，以便提供數(shù)據(jù)加密盒篡改檢測等安全功能。兩種主要的IPSec框架協(xié)議封裝安全負(fù)載（ESP）：通過加密IP分組提供機(jī)密性和身份驗(yàn)證。IP分組加密隱藏了數(shù)據(jù)及源主機(jī)和目標(biāo)主機(jī)的身份。ESP可驗(yàn)證內(nèi)部IP分組和ESP報頭，從而提供數(shù)據(jù)來源驗(yàn)證和數(shù)據(jù)完整性。IPSec的配置任務(wù)IPSecVPN配置案例R1初始配置interfaceFastEthernet0/1ipaddress192.168.1.1255.255.255.0!interfaceFastEthernet0/0ipaddress219.1.2.2255.255.255.252!iproute0.0.0.00.0.0.0219.1.2.1ISP初始配置interfaceFastEthernet0/0ipaddress219.1.2.1255.255.255.252!interfaceFastEthernet0/1ipaddress61.1.2.1255.255.255.252!R2初始配置interfaceFastEthernet0/1ipaddress192.168.2.1255.255.255.0!interfaceFastEthernet0/0ipaddress61.1.2.2255.255.255.252!iproute0.0.0.00.0.0.061.1.2.1R1的IKE和ACL配置cryptoisakmppolicy1（建立IKE協(xié)商策略1是策略編號）encrionpre-share（告訴路由器使用預(yù)先共享的密鑰）group1!cryptoisakmpkeyciscoaddress61.1.2.2（cisco是設(shè)置的共享密鑰）!access-list100permitiphost192.168.1.2host192.168.2.2R1的IPSec配置cryptoipsectransform-setR1esp-aesesp-sha-hmac（R1是傳輸模式的名稱）!cryptomapR11ipsec-isakmp（R1標(biāo)示給cryptomap起的名字。1是優(yōu)先級。ipsec-isakmp是ipsec連接采用IKE自動協(xié)商）setpeer61.1.2.2（指定VPN鏈路對端的IP）settransform-setR1matchaddress100（ACL的編號）!interfaceFastEthernet0/0cryptomapR1（把cryptomap應(yīng)用到端口）R2的IKE和ACL配置cryptoisakmppolicy1encryptionaeshashshaauthenticationpre-sharegroup1!cryptoisakmpkeyciscoaddress219.1.2.2!access-list100permitiphost192.168.2.2hos