收藏
下载资源

天津移动MPLSVPN培训教材

上传人:206****923 文档编号:57359404 上传时间:2018-10-21 格式:PPT 页数:171 大小:2.45MB
返回 下载 相关 举报
天津移动MPLSVPN培训教材_第1页
第1页 / 共171页
天津移动MPLSVPN培训教材_第2页
第2页 / 共171页
天津移动MPLSVPN培训教材_第3页
第3页 / 共171页
天津移动MPLSVPN培训教材_第4页
第4页 / 共171页
天津移动MPLSVPN培训教材_第5页
第5页 / 共171页
点击查看更多>>
资源描述

《天津移动MPLSVPN培训教材》由会员分享,可在线阅读,更多相关《天津移动MPLSVPN培训教材(171页珍藏版)》请在金锄头文库上搜索。

1、基于CISCO路由器的 IPSEC VPN和BGP/MPLS VPN,目 录,VPN简介 IPSec VPN,BGP/MPLS VPN,IPSec基础 端到端IPSec VPN的工作原理及配置 Easy VPN(远程接入VPN)的工作原理及配置,BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例,VPN背景,总公司,租用专线,我们有很多分公司,如果用租用专线的方式把他们和总公司连起来,需要花很多钱,想节约成本的话,可以用VPN来连接,分公司,分公司,分公司,VPN简介,IP VPN (Virtual Private Network,虚拟专用网)就是利用开放的公众IP/MPL

2、S网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。,IP/MPLS网,中心站点,分支机构,移动办公人员,隧道机制,IP VPN可以理解为:通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线 。 隧道是利用一种协议来传输另外一种协议的技术,共涉及三种协议,包括:乘客协议、隧道协议和承载协议。,被封装的原始IP包,新增加的IP头,IPSec头,乘客协议,隧道协议,承载协议,原始IP包,经过IPSec封装后,隧道带来的好处,隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关,Internet,被封装的原始IP包,新增加的IP头,IPSec头,私

3、网地址,公网地址,中心站点,分支机构,Internet根据这个地址路由,可以使用私网地址,感觉双方是用专用通道连接起来的,而不是Internet,隧道,按隧道类型对VPN分类,隧道协议如下: 第二层隧道协议,如L2TP 第三层隧道协议,如IPSec 介于第二层和第三层之间的隧道协议,如MPLS VPN,L2TP,L2TP封装的乘客协议是位于第二层的PPP协议。,原始数据包,新增加的IP头,L2TP头,可以是IP、IPX和AppleTalk,PPP封装,原始数据包,PPP头,L2TP封装,原始数据包,PPP头,可以是IP、ATM和帧中继,L2TP没有对数据进行加密。,L2TP的典型应用-VPDN

4、,L2TP连接,PPP连接,用户发起PPP连接到接入服务器 接入服务器封装用户的PPP会话到L2TP隧道,L2TP隧道穿过公共IP网络,终止于电信VPDN机房的LNS 用户的PPP session经企业内部的认证服务器认证通过后即可访问企业内部网络资源,IPSec,IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议,被封装的原始IP包,新增加的IP头,IPSec头,必须是IP协议,必须是IP协议,IPSec可以对被封装的数据包进行加密和摘要等,以进一步提高数据传输的安全性,MPLS VPN的基本工作模式,在入口边缘路由器为每个包加上MPLS标签,核心路由器根据标签值进行转发,出口边

5、缘路由器再去掉标签,恢复原来的IP包 。,MPLS网,P1,P2,PE1,PE2,CE1,CE2,10.1.1.1,MPLS标签,10.1.1.1,10.1.1.1,MPLS VPN的特点,MPLS标签位于二层和三层之间,三层包头,MPLS 标签,二层包头,二层包头,三层包头,MPLS封装,三种VPN的比较,目 录,VPN简介 IPSec VPN,BGP/MPLS VPN,IPSec基础 端到端IPSec VPN的工作原理及配置 Easy VPN(远程接入VPN)的工作原理及配置,BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例,IPSec概述,IPSec是一种开放标准的

6、框架结构,特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段,来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。,IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议,被封装的原始IP包,新增加的IP头,IPSec头,必须是IP协议,必须是IP协议,通过加密保证数据的私密性,私密性:防止信息泄漏给未经授权的个人 通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性,Internet,4ehIDx67NMop9eR U78IOPotVB

7、n45TR,土豆批发价两块钱一斤,实在是 看不懂,4ehIDx67NMop9eR U78IOPotVBn45TR,土豆批发价两块钱一斤,对称加密,如果加密密钥与解密密钥相同,就称为对称加密 由于对称加密的运算速度快,所以IPSec使用对称加密算法来加密数据,对数据进行hash运算来保证完整性,完整性:数据没有被非法篡改 通过对数据进行hash运算,产生类似于指纹的数据摘要,以保证数据的完整性,土豆两块钱一斤,Hash,4ehIDx67NMop9,土豆两块钱一斤,4ehIDx67NMop9,对数据和密钥一起进行hash运算,攻击者篡改数据后,可以根据修改后的数据生成新的摘要,以此掩盖自己的攻击行

8、为。 通过把数据和密钥一起进行hash运算,可以有效抵御上述攻击。,土豆两块钱一斤,Hash,fefe23fgrNMop7,土豆两块钱一斤,fefe23fgrNMop7,对称密钥交换,对称加密和hash都要求通信双方具有相同的密钥,问题:怎样在双方之间安全地传递密钥?,密钥,哈哈,要是敢直接传递密钥,我就只好偷看了,密钥,DH算法的基本原理,Router A,Router B,生成一个整数 p,生成一个整数 q,把 p发送到对端,p,把 q发送到对端,q,根据p、q生成g,根据p、q生成g,通过身份认证保证数据的真实性,真实性:数据确实是由特定的对端发出 通过身份认证可以保证数据的真实性。常用

9、的身份认证方式包括: Pre-shared key,预共享密钥 RSA Signature,数字签名,预共享密钥,预共享密钥,是指通信双方在配置时手工输入相同的密钥。,Hash_L,+ 路由器名等,本地,Hash,共享 密钥,远端,生成的Hash_L,Hash,=,+ 对端路由器名,共享 密钥,接收到的Hash_L,数字证书,RSA密钥对,一个是可以向大家公开的公钥,另一个是只有自己知道的私钥。 用公钥加密过的数据只有对应的私钥才能解开,反之亦然。 数字证书中存储了公钥,以及用户名等身份信息。,数字 证书,我是Router A,我的公钥是.,数字签名认证,+ IDInformation,加密,

10、Hash_I,解密,Hash_I,私钥,公钥,本地,远端,Hash,=,+ 身份信息,Hash,对称 密钥,数字签名,+ 身份信息,Hash,1,2,数字 证书,+,Internet,对称 密钥,数字签名,数字 证书,IPSec框架结构,ESP,AH,DES,3DES,AES,MD5,SHA,DH1,DH2,IPSec框架,可选择的算法,IPSec安全协议,加密,数据摘要,对称密钥交换,IPSec安全协议,AH (Authentication Header) 只能进行数据摘要(hash) ,不能实现数据加密 ah-md5-hmac、ah-sha-hmac ESP (Encapsulating

11、Security Payload) 能够进行数据加密和数据摘要(hash) esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、,IPSec安全协议描述了如何利用加密和hash来保护数据安全,IPSec封装模式,IPSec支持两种封装模式:传输模式和隧道模式 传输模式:不改变原有的IP包头,通常用于主机与主机之间。,IP头,数据,原始IP包,IP头,数据,AH头,AH,hash,AH对除了TTL等变化值以外的整个IP包进行hash运算,IP头,数据,ESP头,hash,ESP trailer,ESP auth,ESP,加密,hash,IPSec封装模式,IPS

12、ec支持两种封装模式:传输模式和隧道模式 隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。,IP头,数据,原始IP包,IP头,数据,新IP头,AH,hash,IP头,数据,ESP头,hash,ESP trailer,ESP auth,ESP,加密,hash,AH头,新IP头,IPSec与NAT,AH模式无法与NAT一起运行 AH对包括IP地址在内的整个IP包进行hash运算,而NAT会改变IP地址,从而破坏AH的hash值。,IP头,数据,AH头,hash,hash,NAT:我要修改源/目的IP地址,AH:不行!我对IP地址也进行了hash,IPSec与NAT,ESP模式下:

13、 只进行地址映射时,ESP可与它一起工作。 进行端口映射时,需要修改端口,而ESP已经对端口号进行了加密和/或hash,所以将无法进行。,IP头,数据,ESP头,ESP trailer,ESP auth,加密,TCP/UDP端口,NAT:端口号被加密了,没法改,真郁闷,IPSec与NAT,ESP模式下: 启用IPSec NAT穿越后,会在ESP头前增加一个UDP头,就可以进行端口映射。,IP头,数据,ESP头,ESP trailer,ESP auth,加密,TCP/UDP端口,NAT:可以改端口号了,太棒了,新UDP头,目 录,VPN简介 IPSec VPN,BGP/MPLS VPN,IPSe

14、c基础 端到端IPSec VPN的工作原理及配置 Easy VPN(远程接入VPN)的工作原理及配置,BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例,对上一节的回顾,IPSec协议框架包括加密、hash、对称密钥交换、安全协议等四个部分,这些部分都可以采用多种算法来实现。,问题1:要成功建立IPSec VPN,两端路由器必须采用相同 的加密算法、hash算法和安全协议等,但IPSec协议中并没有描述双方应如何协商这些参数。,问题2: IPSec协议中没有定义通信双方如何进行身份认证,路由器有可能会和一个假冒的对端建立IPSec VPN。,端到端IPSec VPN的工作原

15、理,需要保护的流量流经路由器,触发路由器启动相关的协商过程。 启动IKE (Internet key exchange)阶段1,对通信双方进行身份认证,并在两端之间建立一条安全的通道。 启动IKE阶段2,在上述安全通道上协商IPSec参数。 按协商好的IPSec参数对数据流进行加密、hash等保护。,Host A,Host B,Router A,Router B,什么是端到端的VPN?,IKE阶段1,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全 通道所使用的参数,协商建立IKE安全 通道所使用的参数,IKE阶段1,协商建立IKE安全通道所使用的参数,包括: 加密算法 Hash算法 DH算法 身份认证方法 存活时间,IKE阶段1,Policy 10 DES MD5 DH1 Pre-share lifetime,Policy 15 DES MD5 DH1 Pre-share lifetime,Router A,Router B,host A,host B,Policy 20 3DES SHA DH1 Pre-share lifetime,Policy 25 3DES SHA DH2 Pre-share lifetime,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 幼儿/小学教育 > 其它小学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号