收藏 分销(赏)
立即下载 开通VIP

H3C-VPN原理及配置.ppt

上传人:精**** 文档编号:9487078 上传时间:2025-03-28 格式:PPT 页数:194 大小:2.83MB 下载积分:20 金币
下载 相关 举报
H3C-VPN原理及配置.ppt_第1页
第1页 / 共194页
H3C-VPN原理及配置.ppt_第2页
第2页 / 共194页


点击查看更多>>
资源描述
,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第1章,VPN,原理和配置,ISSUE 1.1,日期:,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,随着网络应用的发展,组织需要将,Intranet,、,Extranet,和,Internet,接入融合起来,组织越来越需要降低昂贵的专线网络布署、使用和维护费用,缩减布署周期,提高灵活性,引入,理解,VPN,的体系结构,掌握,GRE VPN,的工作原理和配置,掌握,L2TP VPN,的工作原理和配置,掌握,IPSec,VPN,的工作原理和配置,能够执行基本的,VPN,设计,课程目标,学习完本课程,您应该能够:,VPN,概述,GRE VPN,L2TP,IPSec,VPN,VPN,设计规划,目录,VPN概述,VPN概念,VPN的分类,主要VPN技术,VPN(Virtual Private Network),合作伙伴,出差员工,隧道,专线,办事处,总部,分支机构,异地办事处,Internet,什么是VPN,VPN(Virtual Private Network,虚拟私有网),以共享的公共网络为基础,构建私有的专用网络,以虚拟的连接,而非以物理连接贯通网络,处于私有的管理策略之下,具有独立的地址和路由规划,RFC 2764描述了基于IP的VPN体系结构,VPN的优势,可以快速构建网络,减小布署周期,与私有网络一样提供安全性,可靠性和可管理性,可利用Internet,无处不连通,处处可接入,简化用户侧的配置和维护工作,提高基础资源利用率,于客户可节约使用开销,于运营商可以有效利用基础设施,提供大量、多种业务,VPN的关键概念术语,隧道(Tunnel),封装(Encapsulation),验证(Authentication),授权(Authorization),加密(Encryption),解密(Decryption),VPN的分类方法,按照业务用途分类:Access VPN,Intranet VPN,Extranet VPN,按照运营模式:CPE-Based VPN,Network-Based VPN,按照组网模型:VPDN,VPRN,VLL,VPLS,按照网络层次:Layer 1 VPN,Layer 2 VPN,Layer 3 VPN,传输层VPN,应用层VPN,Access VPN,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,Intranet VPN,总部,研究所,办事处,分支机构,Internet/ISP IP,ATM/FR,Extranet VPN,总部,合作伙伴,异地办事处,分支机构,Internet/ISP IP,ATM/FR,CPE-Based VPN,隧道,总部,研究所,办事处,分支机构,Internet/ISP 网络,Network-Based VPN,隧道,总部,Internet/ISP 网络,研究所,办事处,分支机构,VLL,虚拟专线,总部,研究所,办事处,分支机构,DLCI 500,DLCI 600,DLCI 700,DLCI 600/601/602,Internet/ISP 网络,VPRN,隧道,研究所,办事处,分支机构,网络层报文,Internet/ISP 网络,总部,VPDN,虚拟私有拨号网络,适用范围:,出差员工,异地小型办公机构,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,VPLS,虚拟私有LAN服务,ISP 网络,虚拟的LAN连接,研究所,办事处,分支机构,LAN帧,不同网络层次的VPN,一层 VPN,二层 VPN,三层 VPN,传输层VPN,应用层VPN,主要VPN技术,主要的二层VPN技术,L2TP,:二层隧道协议,PPTP,:点到点隧道协议,MPLS L2 VPN,主要的三层VPN技术,GRE,IPSec VPN,BGP/MPLS VPN,其它VPN技术,老式,VPN,技术,包括,ATM,,,Frame Relay,,,X.25,等分组交换技术,SSL,(,Secure Sockets Layer,),L2F(Layer 2 Forwarding),DVPN,(,Dynamic Virtual Private Network,,动态,VPN,),基于,VLAN,的,VPN,802.1QinQ,XOT,(,X.25 over TCP Protocol,),VPN,概述,GRE VPN,L2TP,IPSec,VPN,VPN,设计规划,目录,GRE VPN,概述,GRE封装,GRE VPN工作原理,GRE VPN配置,GRE VPN典型应用,小结,GRE VPN,GRE(Generic Routing Encapsulation),在任意一种网络协议上传送任意一种其它网络协议的封装方法,RFC 2784,可以用于任意的VPN实现,GRE VPN,直接使用GRE封装,在一种网络上传送其它协议,虚拟的隧道(Tunnel)接口,GRE协议栈,协议B,GRE,协议A,链路层协议,载荷协议,封装协议,承载协议,协议B载荷,GRE封装包格式,链路层,GRE,协议B,协议A,载荷,RFC 1701 GRE头格式,C,R,K,S,s,Recur,Flags,Ver,Protocol Type,Checksum(optional),Offset(optional),Key(optional),Sequence Number(optional),Routing(optional),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,RFC 1701 SRE格式,Address Family,SRE Offset,SRE Length,Routing Information,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,常见GRE载荷协议号,协议名,协议类型号,Reserved,0000,SNA,0004,OSI network layer,00FE,XNS,0600,IP,0800,DECnet(Phase IV),6003,Ethertalk(Appletalk),809B,Novell IPX,8137,Reserved,FFFF,RFC 2784 GRE标准头格式,C,Reserved0,Ver,Protocol Type,Checksum(optional),Reserved1(optional),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,GRE扩展头格式,C,K,S,Reserved0,Ver,Protocol Type,Checksum(optional),Reserved1(optional),Key(optional),Sequence Number(optional),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,载荷协议包,以IP作为承载协议的GRE封装,GRE被当作一种IP协议对待,IP用协议号47标识GRE,链路层,GRE,IP,IP协议号47,以IP作为载荷协议的GRE封装,GRE使用以太类型标识载荷协议,载荷协议类型值0 x0800说明载荷协议为IP,载荷,链路层,GRE,承载协议头,载荷协议0 x0800,IP,IP over IP的GRE封装,载荷,链路层,GRE,IP,载荷协议0 x0800,IP,IP协议号47,GRE隧道,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IPX数据流,IPX包,IPX包,GRE封装包,IP over IP GRE隧道,RTA,RTB,IP公网,IP私网,IP私网,GRE Tunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,IP私网之间的数据流,私网IP包,GRE封装包,私网IP包,GRE隧道处理流程,隧道起点路由查找,加封装,承载协议路由转发,中途转发,解封装,隧道终点载荷协议路由查找,GRE隧道处理隧道起点路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,Destination/Mask,Protocol,Cost,Next Hop,Interface,10.1.1.0/24,DERECT,0,-,LOOP0,10.1.2.0/24,DERECT,0,-,LOOP0,10.1.3.0/24,OSPF,2100,10.1.2.2,Tunnel0,202.1.1.0/24,DERECT,0,-,LOOP0,203.1.1.0/24,STATIC,0,202.1.1.2,S0/0,GRE隧道处理加封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTA Tunnel0接口参数:,GRE,封装,源接口,S0/0,,地址,202.1.1.1,目标地址,203.1.1.2,D,S,私网IP包,GRE头,公网IP头,目的地,址:,203.1.1.2,源地址,:,202.1.1.1,S0/0,S0/0,E0/0,E0/0,GRE隧道处理承载协议路由转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,Destination/Mask,Protocol,Cost,Next Hop,Interface,10.1.1.0/24,DERECT,0,-,LOOP0,10.1.2.0/24,DERECT,0,-,LOOP0,10.1.3.0/24,OSPF,2100,10.1.2.2,Tunnel0,202.1.1.0/24,DERECT,0,-,LOOP0,203.1.1.0/24,STATIC,0,202.1.1.2,S0/0,S0/0,S0/0,E0/0,E0/0,GRE隧道处理中途转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,GRE隧道处理解封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTB Tunnel0接口参数:,GRE,封装,源接口,S0/0,,地址,202.1.1.1,目标地址,203.1.1.2,D,S,私网IP包,GRE头,公网IP头,私网IP包,S0/0,S0/0,E0/0,E0/0,GRE隧道处理隧道终点载荷协议路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,Destination/Mask,Protocol,Cost,Next Hop,Interface,10.1.3.0/24,DERECT,0,-,LOOP0,10.1.2.0/24,DERECT,0,-,LOOP0,10.1.1.0/24,OSPF,2100,10.1.2.2,Tunnel0,203.1.1.0/24,DERECT,0,-,LOOP0,202.1.1.0/24,STATIC,0,202.1.1.2,S0/0,S0/0,S0/0,E0/0,E0/0,GRE穿越NAT,RTA,RTB,IP公网,IP私网,IP私网,E1/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IP_addr_B,IP_addr_A,NAT网关,S0/0,IP_addr_R,RTA配置:,隧道源IP_addr_A,隧道目的IP_addr_B,RTB配置:,隧道源IP_addr_B,隧道目的IP_addr_R,NAT配置:,地址映射:,IP_addr_A,IP_addr_R,GRE VPN基本配置,创建虚拟Tunnel接口,H3C interface tunnel,number,指定Tunnel的源端,H3C-Tunnel0,source,ip-addr|interface-type interface-num,指定Tunnel的目的端,H3C-Tunnel0,destination,ip-address,设置Tunnel接口的网络地址,H3C-Tunnel0,ip address,ip-address,mask,配置通过Tunnel的路由,GRE VPN路由配置,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,载荷网路由AS,承载网路由AS,虚假的Tunnel接口状态,RTA,RTB,站点A,站点B,E1/0,E1/0,E0/0,E0/0,Tunnel0,Tunnel0,备份隧道空闲!,服务器,服务器,RTC,E1/0,E0/0,Tunnel0,Tunnel1,UP,UP,UP,UP,GRE VPN高级配置,设置Tunnel接口报文的封装模式,H3C-Tunnel0,tunnel-protocol gre,设置Tunnel两端进行端到端校验,H3C-Tunnel0,gre checksum,设置Tunnel接口的识别关键字,H3C-Tunnel0,gre key,key-number,配置Tunnel的keepalive功能,H3C-Tunnel0,keepalive,interval times,GRE VPN配置实例(待续),RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,132.108.5.2/24,192.13.2.1/24,GRE VPN配置实例,RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0,RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0,RTB interface tunnel 0,RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0,RTB-Tunnel0 source 132.108.5.2,RTB-Tunnel0 destination 192.13.2.1,RTB ip route-static 10.1.1.0 255.255.255.0 tunnel0,RTA-Serial1/0 ip address 192.13.2.1 255.255.255.0,RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0,RTA interface tunnel 0,RTA-Tunnel0 ip address 10.1.2.1 255.255.255.0,RTA-Tunnel0 source 192.13.2.1,RTA-Tunnel0 destination 132.108.5.2,RTA ip route-static 10.1.3.0 255.255.255.0 tunnel0,GRE VPN的显示和调试,显示Tunnel接口的工作状态,display interface tunnel number,例如:H3C display interfaces tunnel 1,Tunnel1 is up,line protocol is up,Maximum Transmission Unit is 128,Internet address is 1.1.1.1 255.255.255.0,10 packets input,640 bytes,0 input errors,0 broadcast,0 drops,10 packets output,640 bytes,0 output errors,0 broadcast,0 no protocol,打开Tunnel调试信息,debugging tunnel,连接不连续的网络,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,Tunnel0,Tunnel0,S0/0,S0/0,E0/0,E0/0,单一骨干承载多个上层协议,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,Tunnel0,Tunnel0,IP,IP,Team1,Team2,Group1,Group2,S0/0,S0/0,E0/0,E0/0,扩大载荷协议的工作范围,RTA,RTB,IP公网,载荷协议,载荷协议,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,GRE VPN的优点,可以当前最为普遍的IP网络作为承载网络,支持多种协议,支持IP组播,简单明了、容易布署,GRE VPN的缺点,点对点隧道,静态配置隧道参数,布署复杂连接关系时代价巨大,缺乏安全性,不能分隔地址空间,VPN,概述,GRE VPN,L2TP,IPSec,VPN,VPN,设计规划,目录,L2TP,概述,概念术语,协议封装,协议操作,L2TP多实例,配置和故障排除,小结,L2TP,Layer Two Tunnel Protocol,RFC 2661,隧道传送PPP,验证和动态地址分配,无加密措施,点对网络特性,传统拨号接入,PSTN/ISDN,LAN,LAN,分支机构,总部,NAS,出差员工,RADIUS,使用L2TP构建VPDN,LAN,LAN,分支机构,总部,LAC,LNS,NAS,Router,出差员工,LAC RADIUS,LNS RADIUS,PSTN/ISDN,L2TP功能组件,远程系统(Remote System),LAC(L2TP Access Concentrator),LNS(L2TP Network Server),NAS(Network Access Server),L2TP功能组件,LAN,LAC,LNS,NAS,远程系统,LAC RADIUS,LNS RADIUS,隧道,PSTN/ISDN,L2TP术语,呼叫(Call),隧道(Tunnel),控制连接(Control Connection),会话(Session),AVP(Attribute Value Pair),呼叫,PSTN/ISDN,LAN,LAC,LNS,呼叫,LAC RADIUS,LNS RADIUS,隧道和控制连接,PSTN/ISDN,控制连接,隧道,LAN,LAC,LNS,呼叫,LAC RADIUS,LNS RADIUS,会话,PSTN/ISDN,控制连接,隧道,LAN,LAC,LNS,呼叫,LAC RADIUS,LNS RADIUS,会话,L2TP拓扑结构(1)独立LAC方式,PSTN/ISDN,LAN,LAC,LNS,L2TP拓扑结构(2)客户LAC方式,LAN,LNS,L2TP头格式,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,T,L,S,O,P,Ver,Tunnel ID,Session ID,Ns(opt),Nr(opt),Offset Size(opt),Offset pad.(opt),Length(opt),L2TP协议栈和封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,L2TP协议操作,建立控制连接,建立会话,转发PPP帧,Keepalive,关闭会话,关闭控制连接,建立控制连接,LAC,LNS,SCCRQ,SCCRP,SCCCN,ZLB,控制连接的建立由PPP触发,任意源端口1701,重定位为任意源端口任意目标端口,建立会话,LAC,LNS,ICRQ,ICRP,ICCN,ZLB,会话的建立以控制连接的建立为前提,会话与呼叫有一一对应关系,同一个隧道中可以建立多个会话,转发PPP帧,会话建立后,即可转发PPP帧,Tunnel ID和Session ID用于区分不同隧道和不同会话的数据,Keepalive,LAC,LNS,Hello,Hello,L2TP用Hello控制消息维护隧道的状态,关闭会话,LAC,LNS,CDN,ZLB,关闭控制连接,LAC,LNS,StopCCN,ZLB,L2TP的验证过程,呼叫建立,PPP LCP 协商通过,LAC CHAP Challenge,用户 CHAP Response,隧道验证(可选),SCCRP(LNS CHAP Response&LNS CHAP Challenge),SCCRQ(LAC CHAP Challenge),SCCCN(LAC CHAP Response),ICCN(用户 CHAP Response&PPP 已经协商好的参数),LNS CHAP Challenge,可选的第二次验证,用户 CHAP Response,验证通过,LAC,LNS,PSTN/ISDN,L2TP多实例,L2TP协议上加入多实例技术,让L2TP支持在一台设备将不同的用户划分在不同的VPN,各个VPN之内的数据可以互通,且在LNS两个不同VPN之间的数据不能互相访问,即使L2TP接入是同一个设备。,VPN 1 总部,Client,LNS,HOST,Internet,L2TP TUNNEL,Client,VPN 2总部,VPN 1,HOST,VPN 2,10.1.1.*,10.1.1.*,10.1.2.*,10.1.2.*,L2TP基本配置任务,LAC侧,设置用户名、密码及配置用户验证,启用L2TP,创建L2TP组,设置发起L2TP连接请求及LNS地址,LNS侧,设置用户名、密码及配置用户验证,启用L2TP,创建L2TP组,创建虚接口模板,设置本端地址及分配的地址池,设置接收呼叫的虚接口模板、通道对端名称和域名,L2TP基本配置命令(未完),LAC 侧的配置,设置用户名、密码及配置用户验证,启用L2TP,H3C l2tp enable,创建L2TP组,H3C l2tp-group,group-number,设置发起L2TP连接请求及LNS地址,H3C-l2tp1start l2tp ip,ip-address,ip,ip-address,domain,domain-name,|fullusername,user-name,L2TP 的基本配置命令(未完),LNS 侧的配置,设置用户名、密码及配置用户验证,启用L2TP,H3C l2tp enable,创建L2TP组,H3C l2tp-group,group-number,创建虚接口模板,H3C interface virtual-template,virtual-template-number,设置本端地址及为用户分配的地址池,H3C-Virtual-Template1 ip address,X.X.X.X netmask,H3C-Virtual-Template1 remote address pool,pool-number,L2TP 的基本配置命令,LNS 侧的配置,设置接收呼叫的虚拟接口模板、通道对端名称和域名,L2TP组不为1:,H3C-l2tp1,allow l2tp virtual-template,virtual-template-number,remote,remote-name,domain,domain-name,L2TP组为1:,H3C-l2tp1,allow l2tp virtual-template,virtual-template-number,remote,remote-name,domain,domain-name,L2TP可选配置任务,LAC和LNS侧可选配的参数,设置本端名称,启用隧道验证及设置密码,设置通道Hello报文发送时间间隔,设置域名分隔符及查找顺序,强制挂断通道,LNS侧可选配的参数,强制本端CHAP认证,强制LCP重新协商,L2TP的可选配置命令(未完),LAC侧和LNS侧可选配的参数,设置本端名称,H3C-l2tp1,tunnel name,name,启用隧道验证及设置密码,H3C-l2tp1,tunnel authentication,H3C-l2tp1,tunnel password,simple|cipher,password,设置通道Hello报文发送时间间隔,H3C-l2tp1,tunnel timer hello,hello-interval,L2TP的可选配置命令(未完),LAC侧和LNS侧可选配的参数,配置域名分隔符及查找顺序,设置前缀分隔符,H3C-l2tp1 l2tp domain prefix-separator,separator,设置后缀分隔符,H3C-l2tp1 l2tp domain suffix-separator,separator,设置查找规则,H3C-l2tp1 l2tp match-order dnis-domain|dnis|domain-dnis|domain,强制挂断通道,reset l2tp tunnel,remote-name,|,tunnel-id,L2TP的可选配置命令,LNS侧可选配的参数,强制本端CHAP验证,H3C-l2tp1,mandatory-chap,强制LCP重新协商,H3C-l2tp1,mandatory-lcp,L2TP配置例子(未完),LAC,LNS,LAC local-user vpdnuserH3C.com,LAC-luser-vpdnuserH3C.com password simple Hello,LAC domain H3C.com,LAC-isp-H3C.com scheme local,LAC l2tp enable,LAC l2tp-group 1,LAC-l2tp1 tunnel name LAC,LAC-l2tp1 start l2tp ip 202.38.160.2 domain H3C.com,LAC-l2tp1 tunnel authentication,LAC-l2tp1 tunnel password simple H3C,PSTN/ISDN,L2TP配置例子,LNS local-user vpdnuserH3C.com,LNS-luser-vpdnuserH3C.com password simple Hello,LNS interface virtual-template 1,LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0,LNS-virtual-template1 ppp authentication-mode chap domain H3C.com,LNS domain H3C.com,LNS-isp-H3C.com scheme local,LNS-isp-H3C.com ip pool 1 192.168.0.2 192.168.0.100,LNS l2tp enable,LNS l2tp-group 1,LNS-l2tp1 tunnel name LNS,LNS-l2tp1 allow l2tp virtual-template 1 remote LAC,LNS-l2tp1 tunnel authentication,LNS-l2tp1 tunnel password simple H3C,LAC,LNS,PSTN/ISDN,L2TP信息显示和调试,显示当前的L2TP通道的信息,H3C display l2tp tunnel,LocalIDRemoteID RemName RemAddress Sessions Port,1 8 AS8010 172.168.10.2 1 1701,Total tunnels=1,显示当前的L2TP会话的信息,H3C display l2tp session,LocalIDRemoteIDTunnelID,112,Total session=1,打开L2TP调试信息开关,debugging l2tp all|control|dump|error|event|hidden|payload|time-stamp,L2TP 故障排除,用户登录失败,Tunnel建立失败,在LAC端,LNS的地址设置不正确,LNS(通常为路由器)端没有设置可以接收该隧道对端的L2TP组,Tunnel验证不通过,如果配置了验证,应该保证双方的隧道密码一致,PPP协商不通过,LAC端设置的用户名与密码有误,或者是LNS端没有设置相应的用户,LNS端不能分配地址,比如地址池设置的较小,或没有进行设置,密码验证类型不一致,数据传输失败,在建立连接后数据不能传输,如Ping不通对端,用户设置的地址有误,网络拥挤,L2TP特点,方面远程漫游用户接入,节约费用,可以由ISP或组织自身提供接入和验证,L2TP不提供对数据本身的安全性保证,VPN,概述,GRE VPN,L2TP,IPSec,VPN,VPN,设计规划,目录,IPSec VPN,概述,概念和术语,IPSec,IKE,配置IPSec VPN,IPSec VPN典型应用,小结,IPSec VPN,IP无安全保障,RFC 2401IPSec体系,安全协议AH和ESP,隧道模式(Tunnel Mode)和传输模式(Transport Mode),隧道模式适宜于建立安全VPN隧道,传输模式适用于两台主机之间的数据保护,动态密钥交换IKE,基本概念和术语(待续),机密性,完整性,身份验证,对称和非对称加密算法,密钥和密钥交换,单向散列函数,基本概念和术语,完美前向保密,加密的代价和DoS攻击,重播式攻击,加密的实现层次,安全性基本要求,机密性,防止数据被未获得授权的查看者理解,通过加密算法实现,完整性,防止数据在存储和传输的过程中受到非法的篡改,使用单向散列函数,身份验证,判断一份数据是否源于正确的创建者,单向散列函数、数字签名和公开密钥加密,加密算法,对称加密算法,块加密算法,流加密算法,非对称加密算法,如RSA算法,对称加密算法,双方共享一个密钥,加密方,解密方,奉天承运,皇帝诏曰,共享密钥,yHidYTV,dkd;AOt,yHidYTV,dkd;AOt,奉天承运,皇帝诏曰,加密,解密,共享密钥,非对称加密算法,加密方,解密方,奉天承运,皇帝诏曰,解密方的公开密钥,yHidYTV,dkd;AOt,yHidYTV,dkd;AOt,奉天承运,皇帝诏曰,加密,解密,解密方的私有密钥,加密和解密的密钥不同,单向散列函数,发送方,接收方,奉天承运,皇帝诏曰,共享密钥,yYaIPyq,ZoyWIt,yYaIPyq,ZoyWIt,单向散列函数,共享密钥,单向散列函数,yYaIPyq,ZoyWIt,奉天承运,皇帝诏曰,奉天承运,皇帝诏曰,yYaIPyq,ZoyWIt,?,Diffie-Hellman交换,a,c=g,a,mod(p),peer2,peer1,b,d=g,b,mod(p),(g,p),d,a,mod(p),c,b,mod(p),d,a,mod(p)=c,b,modp=g,ab,modp,加密的实现层次,应用层,传输层,网络层,链路层,应用层,传输层,网络层,链路层,网络层,链路层,网络层,链路层,传输层,加密盒,加密盒,安全网关,安全网关,SSH、S/MIME,SSL,IPSec,IPSec VPN的体系结构,安全协议,负责保护数据,AH/ESP,工作模式,传输模式:实现端到端保护,隧道模式:实现站点到站点保护,密钥交换,IKE:为安全协议执行协商,IPSec传输模式,RTA,RTB,IP,IPX,IPX,站点A,站点B,普通报文,加密报文,IPSec隧道模式,RTA,RTB,IP,IPX,IPX,IPSec Tunnel,站点A,站点B,普通报文,加密报文,IPSec SA,SA(Security Association,安全联盟),由一个(SPI,IP目的地址,安全协议标识符)三元组唯一标识,决定了对报文进行何种处理,协议、算法、密钥,每个IPSec SA都是单向的,手工建立 或 IKE协商生成,IPSec对数据流提供的安全服务通过SA来实现,IPSec处理流程,查找SPD策略,数据包入站,查找IPSec SA,查找IKE SA,创建IKE SA,创建IPSec SA,执行安全服务,(AH/ESP/AH+ESP),转发,丢弃,旁路安全服务,丢弃,需要提供安全服务,没有找到,没有找到,找到,找到,AH,AH(Authentication Header),RFC 2402,数据的完整性校验和源验证,有限的抗重播能力,不能提供数据加密功能,AH头格式,Next Header,Payload Len,RESERVED,Security Parameters Index(SPI),Sequence Number Field,Authentication Data(variable),0,8,16,31,AH用IP协议号51标识,传输模式AH封装,载荷数据,TCP,原始IP头,载荷数据,原始IP头,TCP,AH头,验证计算前,所有可变字段预先置0,Authentication Data,密钥,AH头,单向散列函数,载荷数据,TCP,原始IP头,原始IP包,AH处理后的包,隧道模式AH封装,载荷数据,TCP,原始IP头,Authentication Data,密钥,AH头,单向散列函数,新IP头,载荷数据,TCP,原始IP头,AH头,新IP头,验证计算前,所有可变字段预先置0,载荷数据,TCP,原始IP头,原始IP包,AH处理后的包,ESP,ESP(Encapsulating Security Payload),RFC 2406,保证数据的机密性,数据的完整性校验和源验证,一定的抗重播能力,ESP头格式,ESP用IP协议号50标识,Padding(0-
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员

开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:4009-655-100  投诉/维权电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服