VPN技术-学习课件

Oracle·WDPe·WDPVPNOracle高校大数据课程系列本课目标讲解不同种类VPN实现原理及使用方法Coursecatalogue课程目录1IPSECVPN配置2其他类VPN概述3IPSECVPN概述IPSECVPNA.RFC2401描述了IPSec（IPSecurity）的体系结构B.IPSec是一种网络层安全保障机制C.IPSec可以实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能D.IPSec可以引入多种验证算法、加密算法和密钥管理机制E.IPSecVPN是利用IPSec隧道实现的L3VPNF.不支持组播，配置复杂等缺点传输模式A.IPSec对IP数据包的负荷部分进行加密处理，而不会生成新的外层IP报头。B.常见的应用场景：主机到主机的安全通信。隧道模式A.IPSec对IP数据包（私网）进行整体安全保护，且生成新的外层IP报头（公网）B.常见的应用场景：路由器上配置隧道模式的IPSec，实现站点到站点的安全VPNAH（AuthenticationHeader）介绍A.提供数据的完整性校验和源验证B.不能提供数据加密功能C.可提供有限的抗重播能力D.IP协议号51VLAN的作用PCAPCBPCCPCD技术部销售部A.减小广播域B.增强安全性C.灵活构建虚拟局域网802.1.Q帧A.在标准以太网帧头部增加TAG字段B.标记协议标识（TPID）固定值0x8100,表示该帧载有802.1Q标记信息C.标记控制信息（TCI）VLANID：12比特，表示VID，可用范围1－4094Priority：3比特，表示优先级Canonicalformatindicator：1比特，表示总线型以太网、FDDI、令牌环网单交换机vlan标签操作PCAPCBPCCPCD不带VLAN标签的以太网帧A.PC端发出的数据包是不带vlan标签的B.在进入交换机端口时，附加缺省VLAN标签C.出交换机端口时，去掉VLAN标签Tag=20Tag=10VLAN20VLAN20VLAN10VLAN10ACCESSA.Access一般用于连接用户终端，承载标准的以太网帧，只能关联一个VLANB.只允许缺省VLAN通过，仅接收和发送一个VLAN的数据帧PCAPCBPCCPCDAccess端口Tag=20Tag=10TRUNKA.Trunk一般用于交换机互联，承载802.1Q帧B.允许多个VLAN通过，可以接收和发送多个VLAN的数据帧PCAPCBPCCPCDTrunk端口PVID:20Trunk端口PVID:20Tag=10E1/0/1E1/0/2E1/0/1E1/0/2E1/0/24E1/0/24SWASWBVLAN间路由A.VLAN间用户存在互访需求A.在二层交换机上不同VLAN的用户不能互相通信B.VLAN间路由将VLAN和IP子网关联，把VLAN间通信转换为不同子网间通信同一个VLAN的用户具有相同的IP子网,不同VLAN用户IP子网不同用户的网关指向路由设备网关上有VLAN信息路由设备可以是三层交换机或者单臂路由器不适当的VLAN间路由路由器与每个VLAN建立一条物理连接，浪费大量的端口三层交换机实现VLAN间路由•三层交换以内置的三层路由转发引擎执行VLAN间路由功能单臂路由实现VLAN间路由A.路由器的下联口为每个VLAN创建一个子接口B.子接口封装协议是802.1Q，并指定对应的VLANC.每个子接口配置IP地址，作为对应VLAN内主机的网关Coursecatalogue课程目录1VLAN配置2ACL、包过滤3VLAN概述创建和查看VLANA.创建VLANSwitch(config)#vlanvlan-idB.命名VLANSwitch(config-vlan)#namevlan-nameC.查看VLANSwitch#showvlan设置ACCESSVLAN1A.进入端口配置模式Swtich(config)#interfacefastethernet0/20将端口模式设置为接入端口Switch(config-if)#switchportmodeaccessB.将端口添加到特定VLANSwitch(config-if)#switchportaccessvlanvlan-id设置ACCESSVLAN2A.进入到一组需要添加到VLAN的端口中Swtich(config)#interfacerange接口编号B.将端口模式设置为接入端口Switch(config-range-if)#switchportmodeaccessC.将一组端口划分到指定VLANSwitch(config-range-if)#swtichportaccessvlanvlan-id配置TRUNKA.进入需要配置的端口Swtich(config)#interfacefastethernet0/20B.将端口的模式设置为TrunkSwitch(config-if)#switchportmodetrunkC.定义Trunk的VLAN列表（可选）Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list辅助命令A.删除VLANSwitch(config)#novlanVLAN-idB.查看接口下配置的vlanSwitch#showinterfacesfastethernet0/20三层交换机vlan间路由配置A.创建VLANSwitch(config)#vlanvlan-idB.进入VLAN的SVI接口配置模式Switch(config)#interfacevlanvlan-idC.给SVI接口配置IP地址Switch(config-if)#ipaddressip-addressmaskD.下联二层交换机的接口配置为trunkSwitch(config)#interfacefastethernet0/24Switch(config-if)#switchportmodetrunkCoursecatalogue课程目录1VLAN配置2ACL、包过滤3VLAN概述ACL定义A.AccessControllist访问控制列表通过ACL定义数据的特征，识别数据流通过调用ACL，对识别的数据流进行控制B.ACL作用包过滤，允许或者拒绝特定的数据流经网络设备，保证网络安全其它，QoS、策略路由、路由过滤ACL分类A.标准IPACL编号，1~99定义字段，源IP地址信息B.扩展IPACL编号100~199定义字段，源IP地址、目的IP地址、协议、源端口、目的端口ACL工作机制A.ACL的组成由一组具有相同编号或者名字的访问控制规则组成（ACL规则）规则中定义检查字段由Permit/deny定义执行的动作B.ACL工作原理通过编号或者名字调用ACL网络设备根据ACL规则检查报文，并采取相应操作从上至下当报文匹配某条规则后，将执行操作，跳出匹配过程缺省最后隐含一条“denyany”的规则包过滤防火墙A.缺省情况下，网络设备会转发所有数据B.在接口下绑定IPaccess-group（包过滤）命令，对流经该接口的数据进行过滤F1/0F1/1INOUTC.In对从该接口进入设备内部的数据包进行包过滤D.Out对从该接口向外发送数据时进行包过滤E.一个接口在一个方向只能应用一个ACL包过滤相关调试命令A.显示全部的访问控制列表Router#showaccess-listsB.显示指定的访问控制列表Router#showaccess-lists1-199C.显示接口的访问列表应用Router#showaccess-groupinterface接口号课后实验描述现有AB两家公司，A公司网络中所有网关，利用VLAN技术都应用在三层交换机SW2上，技术部和服务器分属不同的VLAN，路由器上的NAT操作按照以前实验要求做即可。在B公司网络中，也做了同样的部署，不同点在于，会计部和销售部利用包过滤防火墙禁止互相访问。PC5模拟公网资源，会计部可以访问到A公司的WEB服务器，但是会计部不可以访问到PC5，销售部可以访问到PC5,但是无法访问到A公司的WEB服务器。课后实验拓扑图