ImageVerifierCode 换一换
格式:PPT , 页数:193 ,大小:5.17MB ,
资源ID:9487094      下载积分:20 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/9487094.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(H3C-VPN原理及配置优秀PPT.ppt)为本站上传会员【丰****】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

H3C-VPN原理及配置优秀PPT.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,1,章,VPN,原理和配置,ISSUE 1.1,日期:,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,随着网络应用的发展,组织需要将,Intranet,、,Extranet,和,Internet,接入融合起来,组织越来越需要降低昂贵的专线网络布署、使用和维护费用,缩减布署周期,提高灵活性,引入,理解,VPN,的体系结构,掌握,GRE VPN,的工作原理和配置,掌握,L2TP

2、VPN,的工作原理和配置,掌握,IPSec VPN,的工作原理和配置,能够执行基本的,VPN,设计,课程目标,学习完本课程,您应该能够:,VPN,概述,GRE VPN,L2TP,IPSec VPN,VPN,设计规划,目录,VPN,概述,VPN,概念,VPN,的分类,主要,VPN,技术,VPN,(,Virtual Private Network,),合作伙伴,出差员工,隧道,专线,办事处,总部,分支机构,异地办事处,Internet,什么是,VPN,VPN,(,Virtual Private Network,,虚拟私有网),以共享的公共网络为基础,构建私有的专用网络,以虚拟的连接,而非以物理连接

3、贯通网络,处于私有的管理策略之下,具有独立的地址和路由规划,RFC 2764,描述了基于,IP,的,VPN,体系结构,VPN,的优势,可以快速构建网络,减小布署周期,与私有网络一样提供安全性,可靠性和可管理性,可利用,Internet,,无处不连通,处处可接入,简化用户侧的配置和维护工作,提高基础资源利用率,于客户可节约使用开销,于运营商可以有效利用基础设施,提供大量、多种业务,VPN,的关键概念术语,隧道(,Tunnel,),封装(,Encapsulation,),验证(,Authentication,),授权(,Authorization,),加密(,Encryption,),解密(,De

4、cryption,),VPN,的分类方法,按照业务用途分类:,Access VPN,,,Intranet VPN,,,Extranet VPN,按照运营模式:,CPE-Based VPN,,,Network-Based VPN,按照组网模型:,VPDN,,,VPRN,,,VLL,,,VPLS,按照网络层次:,Layer 1 VPN,,,Layer 2 VPN,,,Layer 3 VPN,,传输层,VPN,,应用层,VPN,Access VPN,POP,POP,用户直接发起连接,POP,ISP,发起连接,总部,隧道,Intranet VPN,总部,研究所,办事处,分支机构,Internet/IS

5、P IP,ATM/FR,Extranet VPN,总部,合作伙伴,异地办事处,分支机构,Internet/ISP IP,ATM/FR,CPE-Based VPN,隧道,总部,研究所,办事处,分支机构,Internet/ISP,网络,Network-Based VPN,隧道,总部,Internet/ISP,网络,研究所,办事处,分支机构,VLL,,虚拟专线,总部,研究所,办事处,分支机构,DLCI 500,DLCI 600,DLCI 700,DLCI 600/601/602,Internet/ISP,网络,VPRN,隧道,研究所,办事处,分支机构,网络层报文,Internet/ISP,网络,总部

6、VPDN,,虚拟私有拨号网络,适用范围:,出差员工,异地小型办公机构,POP,POP,用户直接发起连接,POP,ISP,发起连接,总部,隧道,VPLS,,虚拟私有,LAN,服务,ISP,网络,虚拟的,LAN,连接,研究所,办事处,分支机构,LAN,帧,不同网络层次的,VPN,一层,VPN,二层,VPN,三层,VPN,传输层,VPN,应用层,VPN,主要,VPN,技术,主要的二层,VPN,技术,L2TP,:二层隧道协议,PPTP,:点到点隧道协议,MPLS L2 VPN,主要的三层,VPN,技术,GRE,IPSec VPN,BGP/MPLS VPN,其它,VPN,技术,老式,VPN,技术,包括

7、ATM,,,Frame Relay,,,X.25,等分组交换技术,SSL,(,Secure Sockets Layer,),L2F,(,Layer 2 Forwarding,),DVPN,(,Dynamic Virtual Private Network,,动态,VPN,),基于,VLAN,的,VPN,802.1QinQ,XOT,(,X.25 over TCP Protocol,),VPN,概述,GRE VPN,L2TP,IPSec VPN,VPN,设计规划,目录,GRE VPN,概述,GRE,封装,GRE VPN,工作原理,GRE VPN,配置,GRE VPN,典型应用,小结,GRE VP

8、N,GRE(Generic Routing Encapsulation),在任意一种网络协议上传送任意一种其它网络协议的封装方法,RFC 2784,可以用于任意的,VPN,实现,GRE VPN,直接使用,GRE,封装,在一种网络上传送其它协议,虚拟的隧道(,Tunnel,)接口,GRE,协议栈,协议,B,GRE,协议,A,链路层协议,载荷协议,封装协议,承载协议,协议,B,载荷,GRE,封装包格式,链路层,GRE,协议,B,协议,A,载荷,RFC 1701 GRE,头格式,C,R,K,S,s,Recur,Flags,Ver,Protocol Type,Checksum(optional),Of

9、fset(optional),Key(optional),Sequence Number(optional),Routing(optional),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,RFC 1701 SRE,格式,Address Family,SRE Offset,SRE Length,Routing Information,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,常见,GRE,载荷协议号,协议名,协议类型号

10、Reserved,0000,SNA,0004,OSI network layer,00FE,XNS,0600,IP,0800,DECnet(Phase IV),6003,Ethertalk(Appletalk),809B,Novell IPX,8137,Reserved,FFFF,RFC 2784 GRE,标准头格式,C,Reserved0,Ver,Protocol Type,Checksum(optional),Reserved1(optional),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,GRE,

11、扩展头格式,C,K,S,Reserved0,Ver,Protocol Type,Checksum(optional),Reserved1(optional),Key(optional),Sequence Number(optional),0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,载荷协议包,以,IP,作为承载协议的,GRE,封装,GRE,被当作一种,IP,协议对待,IP,用协议号,47,标识,GRE,链路层,GRE,IP,IP,协议号,47,以,IP,作为载荷协议的,GRE,封装,GRE,使用以太类型标识

12、载荷协议,载荷协议类型值,0 x0800,说明载荷协议为,IP,载荷,链路层,GRE,承载协议头,载荷协议,0 x0800,IP,IP over IP,的,GRE,封装,载荷,链路层,GRE,IP,载荷协议,0 x0800,IP,IP,协议号,47,GRE,隧道,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点,A,站点,B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IPX,数据流,IPX,包,IPX,包,GRE,封装包,IP over IP GRE,隧道,RTA,RTB,IP,公网,IP,私网,IP,私网,GRE Tunnel,站点,A,站点,B

13、S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,IP,私网之间的数据流,私网,IP,包,GRE,封装包,私网,IP,包,GRE,隧道处理流程,隧道起点路由查找,加封装,承载协议路由转发,中途转发,解封装,隧道终点载荷协议路由查找,GRE,隧道处理,隧道起点路由查找,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1

14、/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,Destination/Mask,Protocol,Cost,Next Hop,Interface,10.1.1.0/24,DERECT,0,-,LOOP0,10.1.2.0/24,DERECT,0,-,LOOP0,10.1.3.0/24,OSPF,2100,10.1.2.2,Tunnel0,202.1.1.0/24,DERECT,0,-,LOOP0,203.1.1.0/24,STATIC,0,202.1.1.2,S0/0,GRE,隧道处理,加封装,RTA,RTB

15、IP,公网,IP,私网,IP,私网,站点,A,站点,B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTA Tunnel0,接口参数:,GRE,封装,源接口,S0/0,,地址,202.1.1.1,目标地址,203.1.1.2,D,S,私网,IP,包,GRE,头,公网,IP,头,目的地,址:,203.1.1.2,源地址,:,202.1.1.1,S0/0,S0/0,E0/0,E0/0,GRE,隧道处理,承载协议路由转发,RTA,RTB,IP,公网,IP,私网,I

16、P,私网,站点,A,站点,B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,Destination/Mask,Protocol,Cost,Next Hop,Interface,10.1.1.0/24,DERECT,0,-,LOOP0,10.1.2.0/24,DERECT,0,-,LOOP0,10.1.3.0/24,OSPF,2100,10.1.2.2,Tunnel0,202.1.1.0/24,DERECT,0,-,LOOP0,203.1.1.0/24,STATI

17、C,0,202.1.1.2,S0/0,S0/0,S0/0,E0/0,E0/0,GRE,隧道处理,中途转发,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,GRE,隧道处理,解封装,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,

18、10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTB Tunnel0,接口参数:,GRE,封装,源接口,S0/0,,地址,202.1.1.1,目标地址,203.1.1.2,D,S,私网,IP,包,GRE,头,公网,IP,头,私网,IP,包,S0/0,S0/0,E0/0,E0/0,GRE,隧道处理,隧道终点载荷协议路由查找,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/

19、24,Destination/Mask,Protocol,Cost,Next Hop,Interface,10.1.3.0/24,DERECT,0,-,LOOP0,10.1.2.0/24,DERECT,0,-,LOOP0,10.1.1.0/24,OSPF,2100,10.1.2.2,Tunnel0,203.1.1.0/24,DERECT,0,-,LOOP0,202.1.1.0/24,STATIC,0,202.1.1.2,S0/0,S0/0,S0/0,E0/0,E0/0,GRE,穿越,NAT,RTA,RTB,IP,公网,IP,私网,IP,私网,E1/0,S0/0,E0/0,E0/0,Tunnel

20、0,Tunnel0,IP_addr_B,IP_addr_A,NAT,网关,S0/0,IP_addr_R,RTA,配置:,隧道源,IP_addr_A,隧道目的,IP_addr_B,RTB,配置:,隧道源,IP_addr_B,隧道目的,IP_addr_R,NAT,配置:,地址映射:,IP_addr_A,IP_addr_R,GRE VPN,基本配置,创建虚拟,Tunnel,接口,H3C interface tunnel,number,指定,Tunnel,的源端,H3C-Tunnel0,source,ip-addr|interface-type interface-num,指定,Tunnel,的目的端

21、H3C-Tunnel0,destination,ip-address,设置,Tunnel,接口的网络地址,H3C-Tunnel0,ip address,ip-address,mask,配置通过,Tunnel,的路由,GRE VPN,路由配置,RTA,RTB,IP,公网,IP,私网,IP,私网,站点,A,站点,B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,载荷网路由,AS,承载网路由,AS,虚假的,Tunnel,接口状态,RTA,RTB,站点,A,站点,B,E1/0,E1/0,E0/0,E0/0,Tunnel0,Tunnel0,备份隧道空闲!,服务器,服务器,RT

22、C,E1/0,E0/0,Tunnel0,Tunnel1,UP,UP,UP,UP,GRE VPN,高级配置,设置,Tunnel,接口报文的封装模式,H3C-Tunnel0,tunnel-protocol gre,设置,Tunnel,两端进行端到端校验,H3C-Tunnel0,gre checksum,设置,Tunnel,接口的识别关键字,H3C-Tunnel0,gre key,key-number,配置,Tunnel,的,keepalive,功能,H3C-Tunnel0,keepalive,interval times,GRE VPN,配置实例(待续),RTA,RTB,IP,公网,IP,私网,I

23、P,私网,站点,A,站点,B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,132.108.5.2/24,192.13.2.1/24,GRE VPN,配置实例,RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0,RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0,RTB interface tunnel 0,RTB-Tunnel0 ip address 10.1.2.2 255

24、255.255.0,RTB-Tunnel0 source 132.108.5.2,RTB-Tunnel0 destination 192.13.2.1,RTB ip route-static 10.1.1.0 255.255.255.0 tunnel0,RTA-Serial1/0 ip address 192.13.2.1 255.255.255.0,RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0,RTA interface tunnel 0,RTA-Tunnel0 ip address 10.1.2.1 255.255.255.0,RTA

25、Tunnel0 source 192.13.2.1,RTA-Tunnel0 destination 132.108.5.2,RTA ip route-static 10.1.3.0 255.255.255.0 tunnel0,GRE VPN,的显示和调试,显示,Tunnel,接口的工作状态,display interface tunnel number,例如:,H3C display interfaces tunnel 1,Tunnel1 is up,line protocol is up,Maximum Transmission Unit is 128,Internet address i

26、s 1.1.1.1 255.255.255.0,10 packets input,640 bytes,0 input errors,0 broadcast,0 drops,10 packets output,640 bytes,0 output errors,0 broadcast,0 no protocol,打开,Tunnel,调试信息,debugging tunnel,连接不连续的网络,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点,A,站点,B,Tunnel0,Tunnel0,S0/0,S0/0,E0/0,E0/0,单一骨干承载多个上层协议,RTA,RTB,IP,IPX

27、IPX,GRE Tunnel,站点,A,站点,B,Tunnel0,Tunnel0,IP,IP,Team1,Team2,Group1,Group2,S0/0,S0/0,E0/0,E0/0,扩大载荷协议的工作范围,RTA,RTB,IP,公网,载荷协议,载荷协议,站点,A,站点,B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,GRE VPN,的优点,可以当前最为普遍的,IP,网络作为承载网络,支持多种协议,支持,IP,组播,简单明了、容易布署,GRE VPN,的缺点,点对点隧道,静态配置隧道参数,布署复杂连接关系时代价巨大,缺乏安全性,不能分隔地址空间,VPN,概述,G

28、RE VPN,L2TP,IPSec VPN,VPN,设计规划,目录,L2TP,概述,概念术语,协议封装,协议操作,L2TP,多实例,配置和故障排除,小结,L2TP,Layer Two Tunnel Protocol,RFC 2661,隧道传送,PPP,验证和动态地址分配,无加密措施,点对网络特性,传统拨号接入,PSTN/ISDN,LAN,LAN,分支机构,总部,NAS,出差员工,RADIUS,使用,L2TP,构建,VPDN,LAN,LAN,分支机构,总部,LAC,LNS,NAS,Router,出差员工,LAC RADIUS,LNS RADIUS,PSTN/ISDN,L2TP,功能组件,远程系统

29、Remote System,),LAC,(,L2TP Access Concentrator,),LNS,(,L2TP Network Server,),NAS,(,Network Access Server,),L2TP,功能组件,LAN,LAC,LNS,NAS,远程系统,LAC RADIUS,LNS RADIUS,隧道,PSTN/ISDN,L2TP,术语,呼叫(,Call,),隧道(,Tunnel,),控制连接(,Control Connection,),会话(,Session,),AVP,(,Attribute Value Pair,),呼叫,PSTN/ISDN,LAN,LAC,LN

30、S,呼叫,LAC RADIUS,LNS RADIUS,隧道和控制连接,PSTN/ISDN,控制连接,隧道,LAN,LAC,LNS,呼叫,LAC RADIUS,LNS RADIUS,会话,PSTN/ISDN,控制连接,隧道,LAN,LAC,LNS,呼叫,LAC RADIUS,LNS RADIUS,会话,L2TP,拓扑结构(,1,),独立,LAC,方式,PSTN/ISDN,LAN,LAC,LNS,L2TP,拓扑结构(,2,),客户,LAC,方式,LAN,LNS,L2TP,头格式,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,

31、0,1,T,L,S,O,P,Ver,Tunnel ID,Session ID,Ns(opt),Nr(opt),Offset Size(opt),Offset pad.(opt),Length(opt),L2TP,协议栈和封装过程,私有,IP,PPP,L2TP,UDP,公有,IP,链路层,物理层,物理层,私有,IP,PPP,IP,包,(,公有,IP),UDP,L2TP,PPP,IP,包,(,私有,IP),链路层,私有,IP,PPP,物理层,L2TP,UDP,公有,IP,链路层,物理层,物理层,私有,IP,链路层,物理层,Client,LAC,LNS,Server,LAC,侧封装过程,LNS,侧解

32、封装过程,L2TP,协议栈结构,L2TP,协议操作,建立控制连接,建立会话,转发,PPP,帧,Keepalive,关闭会话,关闭控制连接,建立控制连接,LAC,LNS,SCCRQ,SCCRP,SCCCN,ZLB,控制连接的建立由,PPP,触发,任意源端口,1701,重定位为任意源端口,任意目标端口,建立会话,LAC,LNS,ICRQ,ICRP,ICCN,ZLB,会话的建立以控制连接的建立为前提,会话与呼叫有一一对应关系,同一个隧道中可以建立多个会话,转发,PPP,帧,会话建立后,即可转发,PPP,帧,Tunnel ID,和,Session ID,用于区分不同隧道和不同会话的数据,Keepali

33、ve,LAC,LNS,Hello,Hello,L2TP,用,Hello,控制消息维护隧道的状态,关闭会话,LAC,LNS,CDN,ZLB,关闭控制连接,LAC,LNS,StopCCN,ZLB,L2TP,的验证过程,呼叫建立,PPP LCP,协商通过,LAC CHAP Challenge,用户,CHAP Response,隧道验证,(,可选,),SCCRP(LNS CHAP Response&LNS CHAP Challenge),SCCRQ(LAC CHAP Challenge),SCCCN(LAC CHAP Response),ICCN,(用户,CHAP Response&PPP,已经协商好

34、的参数),LNS CHAP Challenge,可选的第二次验证,用户,CHAP Response,验证通过,LAC,LNS,PSTN/ISDN,L2TP,多实例,L2TP,协议上加入多实例技术,让,L2TP,支持在一台设备将不同的用户划分在不同的,VPN,,各个,VPN,之内的数据可以互通,且在,LNS,两个不同,VPN,之间的数据不能互相访问,即使,L2TP,接入是同一个设备。,VPN 1,总部,Client,LNS,HOST,Internet,L2TP TUNNEL,Client,VPN 2,总部,VPN 1,HOST,VPN 2,10.1.1.*,10.1.1.*,10.1.2.*,1

35、0.1.2.*,L2TP,基本配置任务,LAC,侧,设置用户名、密码及配置用户验证,启用,L2TP,创建,L2TP,组,设置发起,L2TP,连接请求及,LNS,地址,LNS,侧,设置用户名、密码及配置用户验证,启用,L2TP,创建,L2TP,组,创建虚接口模板,设置本端地址及分配的地址池,设置接收呼叫的虚接口模板、通道对端名称和域名,L2TP,基本配置命令(未完),LAC,侧的配置,设置用户名、密码及配置用户验证,启用,L2TP,H3C l2tp enable,创建,L2TP,组,H3C l2tp-group,group-number,设置发起,L2TP,连接请求及,LNS,地址,H3C-l2

36、tp1start l2tp ip,ip-address,ip,ip-address,domain,domain-name,|fullusername,user-name,L2TP,的基本配置命令(未完),LNS,侧的配置,设置用户名、密码及配置用户验证,启用,L2TP,H3C l2tp enable,创建,L2TP,组,H3C l2tp-group,group-number,创建虚接口模板,H3C interface virtual-template,virtual-template-number,设置本端地址及为用户分配的地址池,H3C-Virtual-Template1 ip addres

37、s,X.X.X.X netmask,H3C-Virtual-Template1 remote address pool,pool-number,L2TP,的基本配置命令,LNS,侧的配置,设置接收呼叫的虚拟接口模板、通道对端名称和域名,L2TP,组不为,1,:,H3C-l2tp1,allow l2tp virtual-template,virtual-template-number,remote,remote-name,domain,domain-name,L2TP,组为,1,:,H3C-l2tp1,allow l2tp virtual-template,virtual-template-nu

38、mber,remote,remote-name,domain,domain-name,L2TP,可选配置任务,LAC,和,LNS,侧可选配的参数,设置本端名称,启用隧道验证及设置密码,设置通道,Hello,报文发送时间间隔,设置域名分隔符及查找顺序,强制挂断通道,LNS,侧可选配的参数,强制本端,CHAP,认证,强制,LCP,重新协商,L2TP,的可选配置命令(未完),LAC,侧和,LNS,侧可选配的参数,设置本端名称,H3C-l2tp1,tunnel name,name,启用隧道验证及设置密码,H3C-l2tp1,tunnel authentication,H3C-l2tp1,tunnel

39、password,simple|cipher,password,设置通道,Hello,报文发送时间间隔,H3C-l2tp1,tunnel timer hello,hello-interval,L2TP,的可选配置命令(未完),LAC,侧和,LNS,侧可选配的参数,配置域名分隔符及查找顺序,设置前缀分隔符,H3C-l2tp1 l2tp domain prefix-separator,separator,设置后缀分隔符,H3C-l2tp1 l2tp domain suffix-separator,separator,设置查找规则,H3C-l2tp1 l2tp match-order dnis-do

40、main|dnis|domain-dnis|domain,强制挂断通道,reset l2tp tunnel,remote-name,|,tunnel-id,L2TP,的可选配置命令,LNS,侧可选配的参数,强制本端,CHAP,验证,H3C-l2tp1,mandatory-chap,强制,LCP,重新协商,H3C-l2tp1,mandatory-lcp,L2TP,配置例子(未完),LAC,LNS,LAC local-user vpdnuserH3C.com,LAC-luser-vpdnuserH3C.com password simple Hello,LAC domain H3C.com,LAC

41、isp-H3C.com scheme local,LAC l2tp enable,LAC l2tp-group 1,LAC-l2tp1 tunnel name LAC,LAC-l2tp1 start l2tp ip 202.38.160.2 domain H3C.com,LAC-l2tp1 tunnel authentication,LAC-l2tp1 tunnel password simple H3C,PSTN/ISDN,L2TP,配置例子,LNS local-user vpdnuserH3C.com,LNS-luser-vpdnuserH3C.com password simple H

42、ello,LNS interface virtual-template 1,LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0,LNS-virtual-template1 ppp authentication-mode chap domain H3C.com,LNS domain H3C.com,LNS-isp-H3C.com scheme local,LNS-isp-H3C.com ip pool 1 192.168.0.2 192.168.0.100,LNS l2tp enable,LNS l2tp-group 1,LNS-

43、l2tp1 tunnel name LNS,LNS-l2tp1 allow l2tp virtual-template 1 remote LAC,LNS-l2tp1 tunnel authentication,LNS-l2tp1 tunnel password simple H3C,LAC,LNS,PSTN/ISDN,L2TP,信息显示和调试,显示当前的,L2TP,通道的信息,H3C display l2tp tunnel,LocalIDRemoteID RemName RemAddress Sessions Port,1 8 AS8010 172.168.10.2 1 1701,Total

44、tunnels=1,显示当前的,L2TP,会话的信息,H3C display l2tp session,LocalIDRemoteIDTunnelID,112,Total session=1,打开,L2TP,调试信息开关,debugging l2tp all|control|dump|error|event|hidden|payload|time-stamp,L2TP,故障排除,用户登录失败,Tunnel,建立失败,在,LAC,端,,LNS,的地址设置不正确,LNS,(通常为路由器)端没有设置可以接收该隧道对端的,L2TP,组,Tunnel,验证不通过,如果配置了验证,应该保证双方的隧道密码一

45、致,PPP,协商不通过,LAC,端设置的用户名与密码有误,或者是,LNS,端没有设置相应的用户,LNS,端不能分配地址,比如地址池设置的较小,或没有进行设置,密码验证类型不一致,数据传输失败,在建立连接后数据不能传输,如,Ping,不通对端,用户设置的地址有误,网络拥挤,L2TP,特点,方面远程漫游用户接入,节约费用,可以由,ISP,或组织自身提供接入和验证,L2TP,不提供对数据本身的安全性保证,VPN,概述,GRE VPN,L2TP,IPSec VPN,VPN,设计规划,目录,IPSec VPN,概述,概念和术语,IPSec,IKE,配置,IPSec VPN,IPSec VPN,典型应用,

46、小结,IPSec VPN,IP,无安全保障,RFC 2401IPSec,体系,安全协议,AH,和,ESP,隧道模式(,Tunnel Mode,)和传输模式(,Transport Mode,),隧道模式适宜于建立安全,VPN,隧道,传输模式适用于两台主机之间的数据保护,动态密钥交换,IKE,基本概念和术语(待续),机密性,完整性,身份验证,对称和非对称加密算法,密钥和密钥交换,单向散列函数,基本概念和术语,完美前向保密,加密的代价和,DoS,攻击,重播式攻击,加密的实现层次,安全性基本要求,机密性,防止数据被未获得授权的查看者理解,通过加密算法实现,完整性,防止数据,在存储和传输的过程中,受到非

47、法的篡改,使用单向散列函数,身份验证,判断一份数据是否源于正确的创建者,单向散列函数、数字签名和公开密钥加密,加密算法,对称加密算法,块加密算法,流加密算法,非对称加密算法,如,RSA,算法,对称加密算法,双方共享一个密钥,加密方,解密方,奉天承运,皇帝诏曰,共享密钥,yHidYTV,dkd;AOt,yHidYTV,dkd;AOt,奉天承运,皇帝诏曰,加密,解密,共享密钥,非对称加密算法,加密方,解密方,奉天承运,皇帝诏曰,解密方的公开密钥,yHidYTV,dkd;AOt,yHidYTV,dkd;AOt,奉天承运,皇帝诏曰,加密,解密,解密方的私有密钥,加密和解密的密钥不同,单向散列函数,发送

48、方,接收方,奉天承运,皇帝诏曰,共享密钥,yYaIPyq,ZoyWIt,yYaIPyq,ZoyWIt,单向散列函数,共享密钥,单向散列函数,yYaIPyq,ZoyWIt,奉天承运,皇帝诏曰,奉天承运,皇帝诏曰,yYaIPyq,ZoyWIt,?,Diffie-Hellman,交换,a,c=g,a,mod(p),peer2,peer1,b,d=g,b,mod(p),(g,p),d,a,mod(p),c,b,mod(p),d,a,mod(p)=c,b,modp=g,ab,modp,加密的实现层次,应用层,传输层,网络层,链路层,应用层,传输层,网络层,链路层,网络层,链路层,网络层,链路层,传输层,

49、加密盒,加密盒,安全网关,安全网关,SSH,、,S/MIME,SSL,IPSec,IPSec VPN,的体系结构,安全协议,负责保护数据,AH/ESP,工作模式,传输模式:实现端到端保护,隧道模式:实现站点到站点保护,密钥交换,IKE,:为安全协议执行协商,IPSec,传输模式,RTA,RTB,IP,IPX,IPX,站点,A,站点,B,普通报文,加密报文,IPSec,隧道模式,RTA,RTB,IP,IPX,IPX,IPSec Tunnel,站点,A,站点,B,普通报文,加密报文,IPSec SA,SA,(,Security Association,,安全联盟),由一个(,SPI,,,IP,目的

50、地址,安全协议标识符)三元组唯一标识,决定了对报文进行何种处理,协议、算法、密钥,每个,IPSec SA,都是单向的,手工建立 或,IKE,协商生成,IPSec,对数据流提供的安全服务通过,SA,来实现,IPSec,处理流程,查找,SPD,策略,数据包入站,查找,IPSec SA,查找,IKE SA,创建,IKE SA,创建,IPSec SA,执行安全服务,(,AH/ESP/AH+ESP,),转发,丢弃,旁路安全服务,丢弃,需要提供安全服务,没有找到,没有找到,找到,找到,AH,AH,(,Authentication Header,),RFC 2402,数据的完整性校验和源验证,有限的抗重播能

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服