锐捷安全专项认证课程五(VPN技术)

VPNVPN技术技术VPNVPN技术技术学习目标学习目标ƒƒ通过本章的学习，希望您能够：通过本章的学习，希望您能够：¾¾了解什么是了解什么是VPNVPN技术技术¾¾了解了解GREGRE¾¾了解了解PPTP/L2TPPPTP/L2TP¾¾了解密码学了解密码学¾¾了解了解PKIPKI架构架构¾¾了解了解IPsecIPsec技术技术¾¾配置配置RGRG--WALLVPNWALLVPN网关网关本章内容本章内容ƒƒVPNVPN技术概述技术概述ƒƒGREGREƒƒPPTP/L2TPPPTP/L2TP密码学密码学ƒƒ密码学密码学ƒƒPKIPKI架构架构ƒƒIPsecIPsecƒƒ配置配置RGRGWALLVPNWALLVPN网关网关ƒƒ配置配置RGRG--WALLVPNWALLVPN网关网关课程议题课程议题VPNVPN技术概述技术概述VPNVPN技术概述技术概述什么是什么是VPNVPNƒƒ虚拟专用网络虚拟专用网络¾¾在公共网络的基础上构建在公共网络的基础上构建的一个专用网络的一个专用网络¾¾使各个专用网络看似无缝使各个专用网络看似无缝相连相连¾¾是一种在公共网络上提供是一种在公共网络上提供安全可靠连接的一种服务安全可靠连接的一种服务¾¾隧道技术隧道技术¾¾隧道技术隧道技术WhyVPNWhyVPN？？ƒƒ部署部署VPNVPN的动机的动机¾¾提供不同地域间站点的无提供不同地域间站点的无缝互联缝互联¾¾减少费用、节约成本减少费用、节约成本¾¾可伸缩性可伸缩性VPNVPN拓扑结构拓扑结构ƒƒ星型拓扑星型拓扑ƒƒ部分互联拓扑部分互联拓扑ƒƒ全互联拓扑全互联拓扑ƒƒ全互联拓扑全互联拓扑VPNVPN的类型的类型ƒƒ根据层次划分根据层次划分¾¾二层二层VPNVPNÌ传统的FR、ATMÌPPTPÌPPTPÌL2F/L2TPv2/L2TPv3ÌMPLSL2VPN¾¾三层三层VPNVPNÌIPsecÌGREÌMPLSL3VPN(BGP/MPLSVPN)¾¾七层七层VPNVPN¾¾七层七层VPNVPNÌSSLVPNVPNVPN的类型（续）的类型（续）ƒƒ根据接入方式划分根据接入方式划分¾¾站点到站点（站点到站点（SiteSite--toto--Site)Site)Ì替代了租用线Ì连接多个LANÌ连接多个LANÌ分支机构之间的连接ÌGRE、IPsec、MPLSL2/L3VPN、L2TPv3VPNVPN的类型（续）的类型（续）¾¾远程访问（远程访问（RemoteAccessRemoteAccess））Ì节省了远程用户的长途通信Ì节省了远程用户的长途通信费用Ì使远程办公用户接入到企业网网ÌPPTP、L2TPv2、IPsec、SSLVPN¾¾远程用户初始隧道远程用户初始隧道¾¾远程用户初始隧道远程用户初始隧道ÌIPsec、PPTP、L2TPÌ数据始终收到保护Ì客户端软件需求¾¾NASNAS初始隧道初始隧道ÌL2F、L2TPÌL2F、L2TPÌ无需客户端软件Ì远程用户到NAS的数据未收到保护到保护Ì需要ISP的介入VPNVPN的安全的安全隧道技术隧道技术ƒƒ隧道技术隧道技术ƒƒ数据加密数据加密ƒƒ数据验证数据验证ƒƒ身份验证身份验证ƒƒ身份验证身份验证ƒƒ具有安全机制的隧道具有安全机制的隧道¾¾IPsecIPsec、、PPTPPPTP、、SSLSSLƒƒ不具有安全机制的隧道不具有安全机制的隧道¾¾L2FL2F、、L2TPL2TP、、GREGRE、、MPLSL2/L3VPNMPLSL2/L3VPN课程议题课程议题GREGREGREGREGREGRE介绍介绍ƒƒGRE(GenericRoutingEncapsulation)GRE(GenericRoutingEncapsulation)介绍介绍¾¾三层隧道协议，三层隧道协议，IPIP协议号协议号4747¾¾虚拟的点对点隧道虚拟的点对点隧道¾¾支持多种协议的封装支持多种协议的封装¾¾支持对广播和组播报文的封装支持对广播和组播报文的封装¾¾SiteSite--toto--SiteVPNSiteVPN¾¾无加密及验证机制无加密及验证机制GREGRE封装封装ƒƒGREGRE封装封装1.1.原始报文到达本地网关（隧道本端）原始报文到达本地网关（隧道本端）2.2.查找路由表查找路由表3.3.若出接口为若出接口为GREGRE隧道接口，则进行隧道接口，则进行GREGRE封装封装4.4.分装后后的报文通过分装后后的报文通过NewIPHeaderNewIPHeader被路由到远端网关（隧道对端）被路由到远端网关（隧道对端）5.5.远端接收到报文后验证其合法性远端接收到报文后验证其合法性6.6.远端进行解封装，将原始报文发送到远端进行解封装，将原始报文发送到目的地目的地目的地目的地在在RouterRouter上实现上实现GREGREitftltlidRouter(config)#interfacetunneltunnel-id¾¾创建创建GREGRE隧道接口，并进入接口视图隧道接口，并进入接口视图Router(config-if)#tunnelsource{interface|ip-address}¾¾配置隧道封装的源地址配置隧道封装的源地址{|p}tunneldestinationip-address¾¾配置隧道封装的目的地址配置隧道封装的目的地址配置隧道封装的目的地址配置隧道封装的目的地址在在RouterRouter上实现上实现GREGRE（续）（续）Router(configif)#ipaddressip-addressRouter(config-if)#¾¾配置隧道接口的地址配置隧道接口的地址tunnelkeyvalue¾¾配置隧道验证密钥配置隧道验证密钥tunnelchecksum¾¾配置隧道启用校验和配置隧道启用校验和GREGRE配置实例配置实例验证验证GREGRE配置配置RouterA#showinterfacetunnel1Tunnel1isUP,lineprotocolisUPHardwareisTunnelInterfaceaddressis:10.1.1.1/24MTU1472bytes,BW9KbitEncapsulationprotocolisTunnel,loopbacknotsetKeepaliveintervalis0sec,nosetCarrierdelayis0secRXloadis1,Txloadis1Tunnelsource60.1.1.1(FastEthernet1/0),destination70.1.1.1Tunnelprotocol/transportGRE/IP,key0x12d687,sequencingdisabledChecksmmingofpacketsdisabledQeeingstrategWFQChecksummingofpacketsdisabledQueueingstrategy:WFQ5minutesinputrate0bits/sec,0packets/sec5minutesoutputrate12bits/sec,0packets/sec0packetsinput0bytes0nobuffer0packetsinput,0bytes,0nobufferReceived0broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort19packetsoutput,988bytes,0underruns19packetsoutput,988bytes,0underruns0outputerrors,0collisions,0interfaceresets课程议题课程议题PPTP/L2TPPPTP/L2TPPPTP/L2TPPPTP/L2TPPPTPPPTP介绍介绍ƒƒPPTPPPTP介绍介绍¾¾由由MicrosoftMicrosoft发起，得到其他厂商的改进和支持，发起，得到其他厂商的改进和支持，RFC2637RFC2637¾¾大多数实现由远程用户初始隧道大多数实现由远程用户初始隧道¾¾由由WindowsWindows服务器和少数厂商支持服务器和少数厂商支持¾¾远程接入远程接入VPNVPNPPTPPPTP技术概述技术概述ƒƒPPTPPPTP技术概述技术概述概概¾¾二层隧道协议，支持对二层隧道协议，支持对PPPPPP帧的封装帧的封装¾¾继承了继承了PPPPPP的安全机制，的安全机制，PAP/CHAPPAP/CHAP，压缩，压缩承了承了的安机制，的安机制，，缩，缩¾¾用户数据使用用户数据使用MPPEMPPE，，RC4RC4算法，支持算法，支持4040位和位和128128位位¾¾动态协议：控制连接和数据隧道动态协议：控制连接和数据隧道¾¾控制连接：隧道的建立、维护、拆除，使用控制连接：隧道的建立、维护、拆除，使用TCP1723TCP1723¾¾数据隧道：用户数据的传输，使用增强的数据隧道：用户数据的传输，使用增强的GREGRE，封装，封装PPPPPP帧帧PPTPPPTP技术概述（续）技术概述（续）L2TPL2TP介绍介绍L2TPL2TP介绍介绍ƒƒL2TPL2TP介绍介绍¾¾前身为前身为L2FL2F¾¾IETFIETF开发的标准协议开发的标准协议RFC2661RFC2661多数厂商支持多数厂商支持¾¾IETFIETF开发的标准协议开发的标准协议RFC2661RFC2661，多数厂商支持，多数厂商支持¾¾LACLAC和和LNSLNS¾¾客户端初始隧道（自发隧道）客户端初始隧道（自发隧道）¾¾客户端初始隧道（自发隧道）客户端初始隧道（自发隧道）¾¾NASNAS初始隧道（强制隧道）初始隧道（强制隧道）¾¾远程接入远程接入VPNVPN¾¾远程接入远程接入VPNVPNL2TPL2TP介绍（续）介绍（续）L2TPL2TP技术概述技术概述ƒƒL2TPL2TP技术概述技术概述¾¾二层隧道协议，支持对二层隧道协议，支持对PPPPPP帧的封装帧的封装¾¾继承了继承了PPPPPP的安全机制，的安全机制，PAP/CHAPPAP/CHAP，压缩，压缩¾¾用户数据作为明文传送，无加密机制用户数据作为明文传送，无加密机制¾¾控制连接：隧道的建立、维护、拆除，使用控制连接：隧道的建立、维护、拆除，使用UDP1701UDP1701¾¾数据隧道：用户数据的传输，使用数据隧道：用户数据的传输，使用UDP1701UDP1701，封装，封装PPPPPP帧帧L2TPL2TP技术概述（续）技术概述（续）课程议题课程议题密码学密码学密码学密码学密码学密码学ƒƒ我们需要哪些安全机制？我们需要哪些安全机制？¾¾认证认证¾¾完整性完整性¾¾机密性机密性ƒƒ密码学是安全通信的基础密码学是安全通信的基础¾¾对称加密对称加密¾¾非对称加密非对称加密¾¾哈希函数（哈希函数（HashHash））加密加密ƒƒ加密机制如何工作加密机制如何工作¾¾算法（数学函数）和密钥（秘密值）算法（数学函数）和密钥（秘密值）ƒƒ加密机制的健壮性加密机制的健壮性¾¾算法是公开的，密钥是保密的算法是公开的，密钥是保密的¾¾密钥长度与性能密钥长度与性能对称加密对称加密ƒƒ对称加密对称加密¾¾加密与解密使用相同的密钥加密与解密使用相同的密钥¾¾多用于加密数据信息多用于加密数据信息¾¾加密算法：加密算法：ÌDES、3DES、AES、RC4对称加密（续）对称加密（续）ƒƒ加密算法加密算法¾¾DESDES（（DataEncryptionStandardDataEncryptionStandard））Ì使用56bit的密钥Ì对64bit的报文块进行加密Ì对64bit的报文块进行加密¾¾3DES3DES（（TripleDataEncryptionStandardTripleDataEncryptionStandard））Ì使用三个不同的56bit（168bit）密钥对一个64bit的报文块加密三次Ì安全性高¾¾AESAES（（AdvancedEncryptionStandardAdvancedEncry