1、VPN协议原理ISSUE 1.0http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 2l本课程主要介绍VPN协议原理以及分别介绍L2TP、GRE和IPSEC三种常见的实现VPN技术。http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 3学习指南l本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书,合理有效利用上述资料您将会取得良好的学习效果。http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 4参考资料lVRP 3.30 操作手册、命令手册l故障信息收集排错指导书。htt
2、p:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 5l学习完此课程,您将会:掌握 VPN 的概念和分类掌握实现 IP VPN 的相关协议。http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 6第第1章章 VPN概概述述第第2章章 L2TP第第3章章 GRE第第4章章 IPSec&IKEhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 7VPN的定义VPN Virtual Private NetworkInternet出差员工隧道专线办事处总部分支机构合作伙伴异地办事处http:/bbs.chinafm.or
3、g/(工管之家管理资料免费下载)Page 8VPN的分类l按应用类型分类:Access VPNIntranet VPNExtranet VPNl按实现的层次分类:二层隧道 VPN三层隧道 VPNhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 9VPDNl适用范围:l出差员工l异地小型办公机构POPPOP用户直接发起连接POPISP发起连接 总部隧道http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 10Intranet VPNInternet/ISP IPATM/FR隧道总部研究所办事处分支机构http:/bbs.chinafm.
4、org/(工管之家管理资料免费下载)Page 11Extranet VPNInternet/ISP IPATM/FR分支机构合作伙伴总部异地办事处http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 12按实现的层次分类l二层隧道VPNL2TP:Layer 2 Tunnel Protocol(RFC 2661)PPTP:Point To Point Tunnel ProtocolL2F:Layer 2 Forwardingl三层隧道VPN GRE:General Routing Encapsulation IPSEC:IP Security Protocol htt
5、p:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 13VPN设计原则l安全性隧道与加密数据验证用户验证防火墙与攻击检测l可靠性l经济性l扩展性http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 14第1章 VPN概述第第2 2章章 L2TPL2TP第3章 GRE第4章 IPSec&IKEhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 15L2TP 协议概述lL2TP:Layer 2 Tunnel Protocol 第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.l特性灵活的
6、身份验证机制以及高度的安全性多协议传输 支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 16使用L2TP 构建VPDNLAC:L2TP Access Concentrator L2TP的接入集中器的接入集中器 LNS:L2TP Network Server L2TP的网络服务器的网络服务器LAC/LNS Radius:LAC/LNS的远端验证服务器的远端验证服务器PSTN/ISDNLANLAN总部LACLNSQuidway NASQuidway RouterL2TP 消息数据消息控制消息会话隧道
7、出差员工LAC RADIUSLNS RADIUShttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 17L2TP隧道和会话建立流程l隧道、会话建立流程lL2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上,如果会话建立前隧道已经建立,则隧道不用重新建立。隧道建立流程:三次握手会话建立流程:三次握手LACLNSSCCRQSCCRPSCCCNLACLNSICRQ ICRPICCN http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 18L2TP隧道和会话维护和拆除流程l隧道维隧道维护流程护流程LAC/LNS
8、LNS/LAC HelloZLBl隧道拆除流程l会话维护流程LAC/LNSLNS/LAC StopCNNZLBLAC/LNSLNS/LAC CDNZLBhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 19L2TP 协议栈结构及数据包的封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层 物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧解封装过程L2TP协议栈结构http:/bbs.ch
9、inafm.org/(工管之家管理资料免费下载)Page 20L2TP隧道和会话的验证过程ICCN(用户 CHAP Response&PPP 已经协商好的参数)SCCCN(LAC CHAP Response)SCCRQ(LAC CHAP Challenge)呼叫建立PPP LCP 协商通过LAC CHAP Challenge用户 CHAP Response隧道验证(可选)LNS CHAP Challenge可选的第二次验证用户 CHAP Response验证通过PSTN/ISDNInternetLACLACLNSLNShttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Pa
10、ge 21第1章 VPN概述第2章 L2TP第第3 3章章 GREGRE第4章 IPSec&IKEhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 22GRElGRE(Generic Routing Encapsulation):是对某些网络层协议(如:IP,IPX,AppleTalk等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输lGRE 提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为tunnelhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Pag
11、e 23GRE 协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayloadhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 24使用GRE构建VPNOriginal Data PacketTransfer Protocol HeaderGRE HeaderInternetTunnel企业总部分支机构http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 25第1章 VPN概述第2章 L2TP第3章 GRE第第4 4章章 IPSec&IKEIPSec&IKEhtt
12、p:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 26IPSeclIPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议lIPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议lIPSec有隧道(tunnel)和传送(transport)两种工作方式 http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 27IPSec 的组成lIPSec 提供两个安全协议AH(Authentication Header)报文认证头协议 lMD5(Message D
13、igest 5)lSHA1(Secure Hash Algorithm)ESP(Encapsulation Security Payload)封装安全载荷协议 lDES(Data Encryption Standard)l3DESl 其他的加密算法:Blowfish,blowfish、cast http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 28IPSec 的安全特点l数据机密性(Confidentiality)l数据完整性(Data Integrity)l数据来源认证(Data Authentication)l反重放(Anti-Replay)http:/bb
14、s.chinafm.org/(工管之家管理资料免费下载)Page 29IPSec 基本概念l数据流(Data Flow)l安全联盟(Security Association)l安全参数索引(Security Parameter Index)l安全联盟生存时间(Life Time)l安全策略l安全提议http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 30AH协议数据IP 包头数据IP 包头AH数据原IP 包头AH新IP 包头传输模式隧道模式下一个头下一个头负载长度负载长度保留域保留域安全参数索引安全参数索引(SPI)(SPI)序列号序列号验证数据验证数据AH头结构
15、081631http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 31ESP 协议数据IP 包头加密后的数据IP 包头ESP头部ESP头新IP 包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证0 08 816162424安全参数索引安全参数索引(SPI)(SPI)序列号序列号有效载荷数据(可变)有效载荷数据(可变)填充字段填充字段(0-255(0-255字节)字节)填充字段长度填充字段长度下一个头下一个头验证数据验证数据ESP协议包结构数据原IP 包头加密部分http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 32IKEl
16、IKE(Internet Key Exchange,因特网密钥交换协议)l为IPSec提供了自动协商交换密钥、建立安全联盟的服务l通过数据交换来计算密钥 http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 33IKE的安全机制l完善的前向安全性l数据验证身份验证身份保护lDH交换和密钥分发http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 34IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份
17、发起方策略发起方策略接收方确认的策略接收方确认的策略发起方的密钥生成信息发起方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据发起方身份和验证数据接收方的身份和验证数据接收方的身份和验证数据Peer1Peer1Peer2Peer2http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 35DH交换及密钥产生ac=gamodpdamodppeer2peer2peer1peer1bd=gbmodpcbmodpd da amodp=cmodp=cb bmodp=gmodp=gababmodpmodp(g,p)(g,p)http:/bbs.china
18、fm.org/(工管之家管理资料免费下载)Page 36IKE在IPSec中的作用l降低手工配置的复杂度l安全联盟定时更新l密钥定时更新l允许IPSec提供反重放服务l允许在端与端之间动态认证http:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 37IPSec 与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的加密的IPIP报文报文IPIPIKEIKE的的SASA协商协商SASASASAhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)Page 38小结l在本课程中我们学习了VPN协议的定义和分类,还学习了实现VPN常见的L2TP、GRE和IPSEC三种协议。小结
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100