收藏 分销(赏)
立即下载 开通VIP

H3C-VPN原理及配置PPT学习课件.ppt

上传人:人****来 文档编号:9487068 上传时间:2025-03-28 格式:PPT 页数:193 大小:5.17MB 下载积分:20 金币
下载 相关 举报
H3C-VPN原理及配置PPT学习课件.ppt_第1页
第1页 / 共193页
H3C-VPN原理及配置PPT学习课件.ppt_第2页
第2页 / 共193页


点击查看更多>>
资源描述
,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,1,章,VPN,原理和配置,ISSUE 1.1,日期:,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,随着网络应用的发展,组织需要将,Intranet,、,Extranet,和,Internet,接入融合起来,组织越来越需要降低昂贵的专线网络布署、使用和维护费用,缩减布署周期,提高灵活性,引入,理解,VPN,的体系结构,掌握,GRE VPN,的工作原理和配置,掌握,L2TP VPN,的工作原理和配置,掌握,IPSec VPN,的工作原理和配置,能够执行基本的,VPN,设计,课程目标,学习完本课程,您应该能够:,VPN,概述,GRE VPN,L2TP,IPSec VPN,VPN,设计规划,目录,VPN,概述,VPN,概念,VPN,的分类,主要,VPN,技术,VPN,(,Virtual Private Network,),合作伙伴,出差员工,隧道,专线,办事处,总部,分支机构,异地办事处,Internet,什么是,VPN,VPN,(,Virtual Private Network,,虚拟私有网),以共享的公共网络为基础,构建私有的专用网络,以虚拟的连接,而非以物理连接贯通网络,处于私有的管理策略之下,具有独立的地址和路由规划,RFC 2764,描述了基于,IP,的,VPN,体系结构,VPN,的优势,可以快速构建网络,减小布署周期,与私有网络一样提供安全性,可靠性和可管理性,可利用,Internet,,无处不连通,处处可接入,简化用户侧的配置和维护工作,提高基础资源利用率,于客户可节约使用开销,于运营商可以有效利用基础设施,提供大量、多种业务,VPN,的关键概念术语,隧道(,Tunnel,),封装(,Encapsulation,),验证(,Authentication,),授权(,Authorization,),加密(,Encryption,),解密(,Decryption,),VPN,的分类方法,按照业务用途分类:,Access VPN,,,Intranet VPN,,,Extranet VPN,按照运营模式:,CPE-Based VPN,,,Network-Based VPN,按照组网模型:,VPDN,,,VPRN,,,VLL,,,VPLS,按照网络层次:,Layer 1 VPN,,,Layer 2 VPN,,,Layer 3 VPN,,传输层,VPN,,应用层,VPN,Access VPN,POP,POP,用户直接发起连接,POP,ISP,发起连接,总部,隧道,Intranet VPN,总部,研究所,办事处,分支机构,Internet/ISP IP,ATM/FR,Extranet VPN,总部,合作伙伴,异地办事处,分支机构,Internet/ISP IP,ATM/FR,CPE-Based VPN,隧道,总部,研究所,办事处,分支机构,Internet/ISP,网络,Network-Based VPN,隧道,总部,Internet/ISP,网络,研究所,办事处,分支机构,VLL,,虚拟专线,总部,研究所,办事处,分支机构,DLCI 500,DLCI 600,DLCI 700,DLCI 600/601/602,Internet/ISP,网络,VPRN,隧道,研究所,办事处,分支机构,网络层报文,Internet/ISP,网络,总部,VPDN,,虚拟私有拨号网络,适用范围:,出差员工,异地小型办公机构,POP,POP,用户直接发起连接,POP,ISP,发起连接,总部,隧道,VPLS,,虚拟私有,LAN,服务,ISP,网络,虚拟的,LAN,连接,研究所,办事处,分支机构,LAN,帧,不同网络层次的,VPN,一层,VPN,二层,VPN,三层,VPN,传输层,VPN,应用层,VPN,主要,VPN,技术,主要的二层,VPN,技术,L2TP,:二层隧道协议,PPTP,:点到点隧道协议,MPLS L2 VPN,主要的三层,VPN,技术,GRE,IPSec VPN,BGP/MPLS VPN,其它,VPN,技术,老式,VPN,技术,包括,ATM,,,Frame Relay,,,X.25,等分组交换技术,SSL,(,Secure Sockets Layer,),L2F,(,Layer 2 Forwarding,),DVPN,(,Dynamic Virtual Private Network,,动态,VPN,),基于,VLAN,的,VPN,802.1QinQ,XOT,(,X.25 over TCP Protocol,),VPN,概述,GRE VPN,L2TP,IPSec VPN,VPN,设计规划,目录,GRE VPN,概述,GRE,封装,GRE VPN,工作原理,GRE VPN,配置,GRE VPN,典型应用,小结,GRE VPN,GRE(Generic Routing Encapsulation),在任意一种网络协议上传送任意一种其它网络协议的封装方法,RFC 2784,可以用于任意的,VPN,实现,GRE VPN,直接使用,GRE,封装,在一种网络上传送其它协议,虚拟的隧道(,Tunnel,)接口,GRE,协议栈,协议,B,GRE,协议,A,链路层协议,载荷协议,封装协议,承载协议,协议,B,载荷,GRE,封装包格式,链路层,GRE,协议,B,协议,A,载荷,RFC 1701 GRE,头格式,C,R,K,S,s,Recur,Flags,Ver,Protocol Type,Checksum(optional),Offset(optional),Key(optional),Sequence Number(optional),Routing(optional),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,RFC 1701 SRE,格式,Address Family,SRE Offset,SRE Length,Routing Information,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,常见,GRE,载荷协议号,协议名,协议类型号,Reserved,0000,SNA,0004,OSI network layer,00FE,XNS,0600,IP,0800,DECnet(Phase IV),6003,Ethertalk(Appletalk),809B,Novell IPX,8137,Reserved,FFFF,RFC 2784 GRE,标准头格式,C,Reserved0,Ver,Protocol Type,Checksum(optional),Reserved1(optional),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,GRE,扩展头格式,C,K,S,Reserved0,Ver,Protocol Type,Checksum(optional),Reserved1(optional),Key(optional),Sequence Number(optional),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,载荷协议包,以,IP,作为承载协议的,GRE,封装,GRE,被当作一种,IP,协议对待,IP,用协议号,47,标识,GRE,链路层,GRE,IP,IP,协议号,47,以,IP,作为载荷协议的,GRE,封装,GRE,使用以太类型标识载荷协议,载荷协议类型值,0 x0800,说明载荷协议为,IP,载荷,链路层,GRE,承载协议头,载荷协议,0 x0800,IP,IP over IP,的,GRE,封装,载荷,链路层,GRE,IP,载荷协议,0 x0800,IP,IP,协议号,47,GRE,隧道,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点,A,站点,B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IPX,数据流,IPX,包,IPX,包,GRE,封装包,IP over IP GRE,隧道,RTA,RTB,IP,公网,IP,私网,IP,私网,GRE Tunnel,站点,A,站点,B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,IP,私网之间的数据流,私网,IP,包,GRE,封装包,私网,IP,包,GRE,隧道处理流程,隧道起点路由查找,加封装,承载协议路由转发,中途转发,解封装,隧道终点载荷协议路由查找,GRE,隧道处理,隧道起点路由查找,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,Destination/Mask,Protocol,Cost,Next Hop,Interface,10.1.1.0/24,DERECT,0,-,LOOP0,10.1.2.0/24,DERECT,0,-,LOOP0,10.1.3.0/24,OSPF,2100,10.1.2.2,Tunnel0,202.1.1.0/24,DERECT,0,-,LOOP0,203.1.1.0/24,STATIC,0,202.1.1.2,S0/0,GRE,隧道处理,加封装,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTA Tunnel0,接口参数:,GRE,封装,源接口,S0/0,,地址,202.1.1.1,目标地址,203.1.1.2,D,S,私网,IP,包,GRE,头,公网,IP,头,目的地,址:,203.1.1.2,源地址,:,202.1.1.1,S0/0,S0/0,E0/0,E0/0,GRE,隧道处理,承载协议路由转发,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,Destination/Mask,Protocol,Cost,Next Hop,Interface,10.1.1.0/24,DERECT,0,-,LOOP0,10.1.2.0/24,DERECT,0,-,LOOP0,10.1.3.0/24,OSPF,2100,10.1.2.2,Tunnel0,202.1.1.0/24,DERECT,0,-,LOOP0,203.1.1.0/24,STATIC,0,202.1.1.2,S0/0,S0/0,S0/0,E0/0,E0/0,GRE,隧道处理,中途转发,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,GRE,隧道处理,解封装,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTB Tunnel0,接口参数:,GRE,封装,源接口,S0/0,,地址,202.1.1.1,目标地址,203.1.1.2,D,S,私网,IP,包,GRE,头,公网,IP,头,私网,IP,包,S0/0,S0/0,E0/0,E0/0,GRE,隧道处理,隧道终点载荷协议路由查找,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,Destination/Mask,Protocol,Cost,Next Hop,Interface,10.1.3.0/24,DERECT,0,-,LOOP0,10.1.2.0/24,DERECT,0,-,LOOP0,10.1.1.0/24,OSPF,2100,10.1.2.2,Tunnel0,203.1.1.0/24,DERECT,0,-,LOOP0,202.1.1.0/24,STATIC,0,202.1.1.2,S0/0,S0/0,S0/0,E0/0,E0/0,GRE,穿越,NAT,RTA,RTB,IP,公网,IP,私网,IP,私网,E1/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IP_addr_B,IP_addr_A,NAT,网关,S0/0,IP_addr_R,RTA,配置:,隧道源,IP_addr_A,隧道目的,IP_addr_B,RTB,配置:,隧道源,IP_addr_B,隧道目的,IP_addr_R,NAT,配置:,地址映射:,IP_addr_A,IP_addr_R,GRE VPN,基本配置,创建虚拟,Tunnel,接口,H3C interface tunnel,number,指定,Tunnel,的源端,H3C-Tunnel0,source,ip-addr|interface-type interface-num,指定,Tunnel,的目的端,H3C-Tunnel0,destination,ip-address,设置,Tunnel,接口的网络地址,H3C-Tunnel0,ip address,ip-address,mask,配置通过,Tunnel,的路由,GRE VPN,路由配置,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,载荷网路由,AS,承载网路由,AS,虚假的,Tunnel,接口状态,RTA,RTB,站点,A,站点,B,E1/0,E1/0,E0/0,E0/0,Tunnel0,Tunnel0,备份隧道空闲!,服务器,服务器,RTC,E1/0,E0/0,Tunnel0,Tunnel1,UP,UP,UP,UP,GRE VPN,高级配置,设置,Tunnel,接口报文的封装模式,H3C-Tunnel0,tunnel-protocol gre,设置,Tunnel,两端进行端到端校验,H3C-Tunnel0,gre checksum,设置,Tunnel,接口的识别关键字,H3C-Tunnel0,gre key,key-number,配置,Tunnel,的,keepalive,功能,H3C-Tunnel0,keepalive,interval times,GRE VPN,配置实例(待续),RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,132.108.5.2/24,192.13.2.1/24,GRE VPN,配置实例,RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0,RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0,RTB interface tunnel 0,RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0,RTB-Tunnel0 source 132.108.5.2,RTB-Tunnel0 destination 192.13.2.1,RTB ip route-static 10.1.1.0 255.255.255.0 tunnel0,RTA-Serial1/0 ip address 192.13.2.1 255.255.255.0,RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0,RTA interface tunnel 0,RTA-Tunnel0 ip address 10.1.2.1 255.255.255.0,RTA-Tunnel0 source 192.13.2.1,RTA-Tunnel0 destination 132.108.5.2,RTA ip route-static 10.1.3.0 255.255.255.0 tunnel0,GRE VPN,的显示和调试,显示,Tunnel,接口的工作状态,display interface tunnel number,例如:,H3C display interfaces tunnel 1,Tunnel1 is up,line protocol is up,Maximum Transmission Unit is 128,Internet address is 1.1.1.1 255.255.255.0,10 packets input,640 bytes,0 input errors,0 broadcast,0 drops,10 packets output,640 bytes,0 output errors,0 broadcast,0 no protocol,打开,Tunnel,调试信息,debugging tunnel,连接不连续的网络,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点,A,站点,B,Tunnel0,Tunnel0,S0/0,S0/0,E0/0,E0/0,单一骨干承载多个上层协议,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点,A,站点,B,Tunnel0,Tunnel0,IP,IP,Team1,Team2,Group1,Group2,S0/0,S0/0,E0/0,E0/0,扩大载荷协议的工作范围,RTA,RTB,IP,公网,载荷协议,载荷协议,站点,A,站点,B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,GRE VPN,的优点,可以当前最为普遍的,IP,网络作为承载网络,支持多种协议,支持,IP,组播,简单明了、容易布署,GRE VPN,的缺点,点对点隧道,静态配置隧道参数,布署复杂连接关系时代价巨大,缺乏安全性,不能分隔地址空间,VPN,概述,GRE VPN,L2TP,IPSec VPN,VPN,设计规划,目录,L2TP,概述,概念术语,协议封装,协议操作,L2TP,多实例,配置和故障排除,小结,L2TP,Layer Two Tunnel Protocol,RFC 2661,隧道传送,PPP,验证和动态地址分配,无加密措施,点对网络特性,传统拨号接入,PSTN/ISDN,LAN,LAN,分支机构,总部,NAS,出差员工,RADIUS,使用,L2TP,构建,VPDN,LAN,LAN,分支机构,总部,LAC,LNS,NAS,Router,出差员工,LAC RADIUS,LNS RADIUS,PSTN/ISDN,L2TP,功能组件,远程系统(,Remote System,),LAC,(,L2TP Access Concentrator,),LNS,(,L2TP Network Server,),NAS,(,Network Access Server,),L2TP,功能组件,LAN,LAC,LNS,NAS,远程系统,LAC RADIUS,LNS RADIUS,隧道,PSTN/ISDN,L2TP,术语,呼叫(,Call,),隧道(,Tunnel,),控制连接(,Control Connection,),会话(,Session,),AVP,(,Attribute Value Pair,),呼叫,PSTN/ISDN,LAN,LAC,LNS,呼叫,LAC RADIUS,LNS RADIUS,隧道和控制连接,PSTN/ISDN,控制连接,隧道,LAN,LAC,LNS,呼叫,LAC RADIUS,LNS RADIUS,会话,PSTN/ISDN,控制连接,隧道,LAN,LAC,LNS,呼叫,LAC RADIUS,LNS RADIUS,会话,L2TP,拓扑结构(,1,),独立,LAC,方式,PSTN/ISDN,LAN,LAC,LNS,L2TP,拓扑结构(,2,),客户,LAC,方式,LAN,LNS,L2TP,头格式,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,T,L,S,O,P,Ver,Tunnel ID,Session ID,Ns(opt),Nr(opt),Offset Size(opt),Offset pad.(opt),Length(opt),L2TP,协议栈和封装过程,私有,IP,PPP,L2TP,UDP,公有,IP,链路层,物理层,物理层,私有,IP,PPP,IP,包,(,公有,IP),UDP,L2TP,PPP,IP,包,(,私有,IP),链路层,私有,IP,PPP,物理层,L2TP,UDP,公有,IP,链路层,物理层,物理层,私有,IP,链路层,物理层,Client,LAC,LNS,Server,LAC,侧封装过程,LNS,侧解封装过程,L2TP,协议栈结构,L2TP,协议操作,建立控制连接,建立会话,转发,PPP,帧,Keepalive,关闭会话,关闭控制连接,建立控制连接,LAC,LNS,SCCRQ,SCCRP,SCCCN,ZLB,控制连接的建立由,PPP,触发,任意源端口,1701,重定位为任意源端口,任意目标端口,建立会话,LAC,LNS,ICRQ,ICRP,ICCN,ZLB,会话的建立以控制连接的建立为前提,会话与呼叫有一一对应关系,同一个隧道中可以建立多个会话,转发,PPP,帧,会话建立后,即可转发,PPP,帧,Tunnel ID,和,Session ID,用于区分不同隧道和不同会话的数据,Keepalive,LAC,LNS,Hello,Hello,L2TP,用,Hello,控制消息维护隧道的状态,关闭会话,LAC,LNS,CDN,ZLB,关闭控制连接,LAC,LNS,StopCCN,ZLB,L2TP,的验证过程,呼叫建立,PPP LCP,协商通过,LAC CHAP Challenge,用户,CHAP Response,隧道验证,(,可选,),SCCRP(LNS CHAP Response&LNS CHAP Challenge),SCCRQ(LAC CHAP Challenge),SCCCN(LAC CHAP Response),ICCN,(用户,CHAP Response&PPP,已经协商好的参数),LNS CHAP Challenge,可选的第二次验证,用户,CHAP Response,验证通过,LAC,LNS,PSTN/ISDN,L2TP,多实例,L2TP,协议上加入多实例技术,让,L2TP,支持在一台设备将不同的用户划分在不同的,VPN,,各个,VPN,之内的数据可以互通,且在,LNS,两个不同,VPN,之间的数据不能互相访问,即使,L2TP,接入是同一个设备。,VPN 1,总部,Client,LNS,HOST,Internet,L2TP TUNNEL,Client,VPN 2,总部,VPN 1,HOST,VPN 2,10.1.1.*,10.1.1.*,10.1.2.*,10.1.2.*,L2TP,基本配置任务,LAC,侧,设置用户名、密码及配置用户验证,启用,L2TP,创建,L2TP,组,设置发起,L2TP,连接请求及,LNS,地址,LNS,侧,设置用户名、密码及配置用户验证,启用,L2TP,创建,L2TP,组,创建虚接口模板,设置本端地址及分配的地址池,设置接收呼叫的虚接口模板、通道对端名称和域名,L2TP,基本配置命令(未完),LAC,侧的配置,设置用户名、密码及配置用户验证,启用,L2TP,H3C l2tp enable,创建,L2TP,组,H3C l2tp-group,group-number,设置发起,L2TP,连接请求及,LNS,地址,H3C-l2tp1start l2tp ip,ip-address,ip,ip-address,domain,domain-name,|fullusername,user-name,L2TP,的基本配置命令(未完),LNS,侧的配置,设置用户名、密码及配置用户验证,启用,L2TP,H3C l2tp enable,创建,L2TP,组,H3C l2tp-group,group-number,创建虚接口模板,H3C interface virtual-template,virtual-template-number,设置本端地址及为用户分配的地址池,H3C-Virtual-Template1 ip address,X.X.X.X netmask,H3C-Virtual-Template1 remote address pool,pool-number,L2TP,的基本配置命令,LNS,侧的配置,设置接收呼叫的虚拟接口模板、通道对端名称和域名,L2TP,组不为,1,:,H3C-l2tp1,allow l2tp virtual-template,virtual-template-number,remote,remote-name,domain,domain-name,L2TP,组为,1,:,H3C-l2tp1,allow l2tp virtual-template,virtual-template-number,remote,remote-name,domain,domain-name,L2TP,可选配置任务,LAC,和,LNS,侧可选配的参数,设置本端名称,启用隧道验证及设置密码,设置通道,Hello,报文发送时间间隔,设置域名分隔符及查找顺序,强制挂断通道,LNS,侧可选配的参数,强制本端,CHAP,认证,强制,LCP,重新协商,L2TP,的可选配置命令(未完),LAC,侧和,LNS,侧可选配的参数,设置本端名称,H3C-l2tp1,tunnel name,name,启用隧道验证及设置密码,H3C-l2tp1,tunnel authentication,H3C-l2tp1,tunnel password,simple|cipher,password,设置通道,Hello,报文发送时间间隔,H3C-l2tp1,tunnel timer hello,hello-interval,L2TP,的可选配置命令(未完),LAC,侧和,LNS,侧可选配的参数,配置域名分隔符及查找顺序,设置前缀分隔符,H3C-l2tp1 l2tp domain prefix-separator,separator,设置后缀分隔符,H3C-l2tp1 l2tp domain suffix-separator,separator,设置查找规则,H3C-l2tp1 l2tp match-order dnis-domain|dnis|domain-dnis|domain,强制挂断通道,reset l2tp tunnel,remote-name,|,tunnel-id,L2TP,的可选配置命令,LNS,侧可选配的参数,强制本端,CHAP,验证,H3C-l2tp1,mandatory-chap,强制,LCP,重新协商,H3C-l2tp1,mandatory-lcp,L2TP,配置例子(未完),LAC,LNS,LAC local-user vpdnuserH3C.com,LAC-luser-vpdnuserH3C.com password simple Hello,LAC domain H3C.com,LAC-isp-H3C.com scheme local,LAC l2tp enable,LAC l2tp-group 1,LAC-l2tp1 tunnel name LAC,LAC-l2tp1 start l2tp ip 202.38.160.2 domain H3C.com,LAC-l2tp1 tunnel authentication,LAC-l2tp1 tunnel password simple H3C,PSTN/ISDN,L2TP,配置例子,LNS local-user vpdnuserH3C.com,LNS-luser-vpdnuserH3C.com password simple Hello,LNS interface virtual-template 1,LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0,LNS-virtual-template1 ppp authentication-mode chap domain H3C.com,LNS domain H3C.com,LNS-isp-H3C.com scheme local,LNS-isp-H3C.com ip pool 1 192.168.0.2 192.168.0.100,LNS l2tp enable,LNS l2tp-group 1,LNS-l2tp1 tunnel name LNS,LNS-l2tp1 allow l2tp virtual-template 1 remote LAC,LNS-l2tp1 tunnel authentication,LNS-l2tp1 tunnel password simple H3C,LAC,LNS,PSTN/ISDN,L2TP,信息显示和调试,显示当前的,L2TP,通道的信息,H3C display l2tp tunnel,LocalIDRemoteID RemName RemAddress Sessions Port,1 8 AS8010 172.168.10.2 1 1701,Total tunnels=1,显示当前的,L2TP,会话的信息,H3C display l2tp session,LocalIDRemoteIDTunnelID,112,Total session=1,打开,L2TP,调试信息开关,debugging l2tp all|control|dump|error|event|hidden|payload|time-stamp,L2TP,故障排除,用户登录失败,Tunnel,建立失败,在,LAC,端,,LNS,的地址设置不正确,LNS,(通常为路由器)端没有设置可以接收该隧道对端的,L2TP,组,Tunnel,验证不通过,如果配置了验证,应该保证双方的隧道密码一致,PPP,协商不通过,LAC,端设置的用户名与密码有误,或者是,LNS,端没有设置相应的用户,LNS,端不能分配地址,比如地址池设置的较小,或没有进行设置,密码验证类型不一致,数据传输失败,在建立连接后数据不能传输,如,Ping,不通对端,用户设置的地址有误,网络拥挤,L2TP,特点,方面远程漫游用户接入,节约费用,可以由,ISP,或组织自身提供接入和验证,L2TP,不提供对数据本身的安全性保证,VPN,概述,GRE VPN,L2TP,IPSec VPN,VPN,设计规划,目录,IPSec VPN,概述,概念和术语,IPSec,IKE,配置,IPSec VPN,IPSec VPN,典型应用,小结,IPSec VPN,IP,无安全保障,RFC 2401IPSec,体系,安全协议,AH,和,ESP,隧道模式(,Tunnel Mode,)和传输模式(,Transport Mode,),隧道模式适宜于建立安全,VPN,隧道,传输模式适用于两台主机之间的数据保护,动态密钥交换,IKE,基本概念和术语(待续),机密性,完整性,身份验证,对称和非对称加密算法,密钥和密钥交换,单向散列函数,基本概念和术语,完美前向保密,加密的代价和,DoS,攻击,重播式攻击,加密的实现层次,安全性基本要求,机密性,防止数据被未获得授权的查看者理解,通过加密算法实现,完整性,防止数据,在存储和传输的过程中,受到非法的篡改,使用单向散列函数,身份验证,判断一份数据是否源于正确的创建者,单向散列函数、数字签名和公开密钥加密,加密算法,对称加密算法,块加密算法,流加密算法,非对称加密算法,如,RSA,算法,对称加密算法,双方共享一个密钥,加密方,解密方,奉天承运,皇帝诏曰,共享密钥,yHidYTV,dkd;AOt,yHidYTV,dkd;AOt,奉天承运,皇帝诏曰,加密,解密,共享密钥,非对称加密算法,加密方,解密方,奉天承运,皇帝诏曰,解密方的公开密钥,yHidYTV,dkd;AOt,yHidYTV,dkd;AOt,奉天承运,皇帝诏曰,加密,解密,解密方的私有密钥,加密和解密的密钥不同,单向散列函数,发送方,接收方,奉天承运,皇帝诏曰,共享密钥,yYaIPyq,ZoyWIt,yYaIPyq,ZoyWIt,单向散列函数,共享密钥,单向散列函数,yYaIPyq,ZoyWIt,奉天承运,皇帝诏曰,奉天承运,皇帝诏曰,yYaIPyq,ZoyWIt,?,Diffie-Hellman,交换,a,c=g,a,mod(p),peer2,peer1,b,d=g,b,mod(p),(g,p),d,a,mod(p),c,b,mod(p),d,a,mod(p)=c,b,modp=g,ab,modp,加密的实现层次,应用层,传输层,网络层,链路层,应用层,传输层,网络层,链路层,网络层,链路层,网络层,链路层,传输层,加密盒,加密盒,安全网关,安全网关,SSH,、,S/MIME,SSL,IPSec,IPSec VPN,的体系结构,安全协议,负责保护数据,AH/ESP,工作模式,传输模式:实现端到端保护,隧道模式:实现站点到站点保护,密钥交换,IKE,:为安全协议执行协商,IPSec,传输模式,RTA,RTB,IP,IPX,IPX,站点,A,站点,B,普通报文,加密报文,IPSec,隧道模式,RTA,RTB,IP,IPX,IPX,IPSec Tunnel,站点,A,站点,B,普通报文,加密报文,IPSec SA,SA,(,Security Association,,安全联盟),由一个(,SPI,,,IP,目的地址,安全协议标识符)三元组唯一标识,决定了对报文进行何种处理,协议、算法、密钥,每个,IPSec SA,都是单向的,手工建立 或,IKE,协商生成,IPSec,对数据流提供的安全服务通过,SA,来实现,IPSec,处理流程,查找,SPD,策略,数据包入站,查找,IPSec SA,查找,IKE SA,创建,IKE SA,创建,IPSec SA,执行安全服务,(,AH/ESP/AH+ESP,),转发,丢弃,旁路安全服务,丢弃,需要提供安全服务,没有找到,没有找到,找到,找到,AH,AH,(,Authentication Header,),RFC 2402,数据的完整性校验和源验证,有限的抗重播能
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员

开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:4009-655-100  投诉/维权电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服