《华为技术培训教程-IP_VPN协议原理培训胶片》由会员分享,可在线阅读,更多相关《华为技术培训教程-IP_VPN协议原理培训胶片(39页珍藏版)》请在金锄头文库上搜索。
1、VPN协议原理,ISSUE 1.0,Page 1,本课程主要介绍VPN协议原理以及分别介绍L2TP 、GRE和IPSEC三种常见的实现VPN技术。,前 言,Page 2,学习指南,本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书,合理有效利用上述资料您将会取得良好的学习效果。,Page 3,参考资料,VRP 3.30 操作手册、命令手册 故障信息收集排错指导书 。,Page 4,学习完此课程,您将会: 掌握 VPN 的概念和分类 掌握实现 IP VPN 的相关协议。,目 标,Page 5,第1章 VPN概述 第2章 L2TP 第3章 GRE 第4章 IPSe
2、c & IKE,内容介绍,Page 6,VPN的定义,VPN Virtual Private Network,Page 7,VPN的分类,按应用类型分类: Access VPN Intranet VPN Extranet VPN 按实现的层次分类: 二层隧道 VPN 三层隧道 VPN,Page 8,VPDN,适用范围: 出差员工 异地小型办公机构,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,Page 9,Intranet VPN,Page 10,Extranet VPN,Page 11,按实现的层次分类,二层隧道VPN L2TP: Layer 2 Tunnel Pro
3、tocol (RFC 2661) PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 三层隧道VPN GRE : General Routing Encapsulation IPSEC : IP Security Protocol,Page 12,VPN设计原则,安全性 隧道与加密 数据验证 用户验证 防火墙与攻击检测 可靠性 经济性 扩展性,Page 13,第1章 VPN概述 第2章 L2TP 第3章 GRE 第4章 IPSec & IKE,内容介绍,Page 14,L2TP 协议概述,L2TP: Layer 2 Tunn
4、el Protocol 第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议. 特性 灵活的身份验证机制以及高度的安全性 多协议传输 支持RADIUS服务器的验证 支持内部地址分配 网络计费的灵活性 可靠性,Page 15,使用L2TP 构建VPDN,LAC: L2TP Access Concentrator L2TP的接入集中器 LNS: L2TP Network Server L2TP的网络服务器 LAC/LNS Radius : LAC/LNS的远端验证服务器,Page 16,L2TP隧道和会话建立流程,隧道、会话建立流程 L2TP的会话建立由PPP触发,隧道建
5、立由会话触发。由于多个会话可以复用在一条隧道上,如果会话建立前隧道已经建立,则隧道不用重新建立。 隧道建立流程:三次握手 会话建立流程:三次握手,LAC LNS SCCRQ SCCRP SCCCN,LAC LNS ICRQ ICRP ICCN,Page 17,L2TP隧道和会话维护和拆除流程,隧道维护流程,LAC/LNS LNS/LAC Hello ZLB,隧道拆除流程,会话维护流程,LAC/LNS LNS/LAC StopCNN ZLB,LAC/LNS LNS/LAC CDN ZLB,Page 18,L2TP 协议栈结构及数据包的封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层
6、,物理层,物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,Page 19,L2TP隧道和会话的验证过程,Page 20,第1章 VPN概述 第2章 L2TP 第3章 GRE 第4章 IPSec & IKE,内容介绍,Page 21,GRE,GRE (Generic Routing Encapsulation): 是对某些网络层协议(如:IP
7、, IPX, AppleTalk等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输,GRE 提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为tunnel,Page 22,GRE 协议栈,乘客协议,封装协议,运输协议,GRE协议栈,隧道接口的报文格式,链路层,GRE,IP/IPX,IP,Payload,Page 23,使用GRE构建VPN,Page 24,第1章 VPN概述 第2章 L2TP 第3章 GRE 第4章 IPSec & IKE,内容介绍,Page 25,IPSec,IPSec(IP Security)
8、是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH(协议号51) 和报文安全封装协议ESP(协议号50)两个协议 IPSec有隧道(tunnel)和传送(transport)两种工作方式,Page 26,IPSec 的组成,IPSec 提供两个安全协议 AH (Authentication Header)报文认证头协议 MD5(Message Digest 5) SHA1(Secure Hash Algorithm) ESP (Encapsulation Security Payload)封装安全载荷协议 DES (Data Encry
9、ption Standard) 3DES 其他的加密算法:Blowfish ,blowfish、cast ,Page 27,IPSec 的安全特点,数据机密性(Confidentiality) 数据完整性(Data Integrity) 数据来源认证 (Data Authentication) 反重放(Anti-Replay),Page 28,IPSec 基本概念,数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全策略 安全提议,Page 29
10、,AH协议,数据,IP 包头,数据,IP 包头,AH,数据,原IP 包头,AH,新IP 包头,传输模式,隧道模式,AH头结构,0,8,16,31,Page 30,ESP 协议,数据,IP 包头,加密后的数据,IP 包头,ESP头部,ESP头,新IP 包头,传输模式,隧道模式,ESP尾部,ESP验证,ESP尾部,ESP验证,ESP协议包结构,数据,原IP 包头,加密部分,Page 31,IKE,IKE(Internet Key Exchange,因特网密钥交换协议) 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥,Page 32,IKE的安全机制,完善的前向安全性
11、 数据验证 身份验证 身份保护 DH交换和密钥分发,Page 33,IKE的交换过程,SA交换,密钥交换,ID交换及验证,发送本地 IKE策略,身份验证和 交换过程验证,密钥生成,密钥生成,接受对端 确认的策略,查找匹配 的策略,身份验证和 交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,Page 34,DH交换及密钥产生,a,c=gamodp,damodp,peer2,peer1,b,d=gbmodp,cbmodp,damodp= cbmodp=gabmodp,(g ,p),Page 35,IKE在IPSec中的作用,降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证,Page 36,IPSec 与IKE的关系,Page 37,小结,在本课程中我们学习了VPN协议的定义和分类,还学习了实现VPN常见的L2TP、GRE和IPSEC三种协议。,小结,
