VPN原理及配置

VPN原理和配置2引入随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性VPN诞生了。3学习目标理解VPN的体系结构掌握GREVPN的工作原理和配置掌握L2TPVPN的工作原理和配置掌握IPSecVPN的工作原理和配置能够执行基本的VPN设计学习完本课程，您应该能够：4课程内容VPN概述GREVPNL2TPIPSecVPNVPN设计规划5第一节VPN概述VPN概念术语VPN的分类主要VPN技术6VPN（VirtualPrivateNetwork）合作伙伴出差员工隧道专线办事处总部分支机构异地办事处Internet7什么是VPNVPN（VirtualPrivateNetwork，虚拟私有网）以共享的公共网络为基础，构建私有的专用网络以虚拟的连接，而非以物理连接贯通网络处于私有的管理策略之下，具有独立的地址和路由规划有所通，有所不通RFC2764描述了基于IP的VPN体系结构8VPN的优势可以快速构建网络，减小布署周期与私有网络一样提供安全性，可靠性和可管理性可利用Internet，无处不连通，处处可接入简化用户侧的配置和维护工作提高基础资源利用率于客户可节约使用开销于运营商可以有效利用基础设施，提供大量、多种业务9VPN的关键概念术语隧道（Tunnel）封装（Encapsulation）验证（Authentication）授权（Authorization）加密（Encryption）解密（Decryption）10VPN的分类方法按照业务用途分类：AccessVPN，IntranetVPN，ExtranetVPN按照运营模式：CPE-BasedVPN，Network-BasedVPN按照组网模型：VPDN，VPRN，VLL，VPLS按照网络层次：Layer1VPN，Layer2VPN，Layer3VPN，传输层VPN，应用层VPN11AccessVPNPOPPOP用户直接发起连接POPISP发起连接总部隧道12IntranetVPN总部研究所办事处分支机构Internet/ISPIPATM/FR13ExtranetVPN总部合作伙伴异地办事处分支机构Internet/ISPIPATM/FR14CPE-BasedVPN隧道总部研究所办事处分支机构Internet/ISP网络15Internet/ISP网络Network-BasedVPN隧道总部研究所办事处分支机构16VLL总部研究所办事处分支机构DLCI500DLCI600DLCI700DLCI600/601/602Internet/ISP网络17VPRN隧道研究所办事处分支机构网络层报文Internet/ISP网络18VPDN适用范围：•出差员工•异地小型办公机构POPPOP用户直接发起连接POPISP发起连接总部隧道19ISP网络VPLS虚拟的LAN连接研究所办事处分支机构LAN帧20不同网络层次的VPN一层VPN二层VPN三层VPN传输层VPN应用层VPN21主要VPN技术主要的二层VPN技术L2TPPPTPMPLSL2VPN主要的三层VPN技术GREIPSecVPNBGP/MPLSVPN22其它VPN技术老式VPN技术包括ATM，FrameRelay，X.25等分组交换技术SSL（SecureSocketsLayer）L2F（Layer2Forwarding）DVPN（DynamicVirtualPrivateNetwork，动态VPN）基于VLAN的VPN802.1QinQXOT（X.25overTCPProtocol）23课程内容VPN概述GREVPNL2TPIPSecVPNVPN设计规划24第一节GREVPN概述GRE封装GREVPN工作原理GREVPN配置GREVPN典型应用小结25参考资料RFC1701RFC1702RFC2764RFC289026GREVPNGRE(GenericRoutingEncapsulation)在任意一种网络协议上传送任意一种其它网络协议的封装方法RFC2784可以用于任意的VPN实现GREVPN直接使用GRE封装，在一种网络上传送其它协议虚拟的隧道（Tunnel）接口27GRE协议栈协议BGRE协议A链路层协议载荷协议封装协议承载协议协议B载荷GRE封装包格式链路层GRE协议B协议A载荷28RFC1701GRE头格式CRKSsRecurFlagsVerProtocolTypeChecksum(optional)Offset(optional)Key(optional)SequenceNumber(optional)Routing(optional)01234567890123456789012345678901229RFC1701SRE格式AddressFamilySREOffsetSRELengthRoutingInformation…01234567890123456789012345678901230常见GRE载荷协议号协议名协议类型号Reserved0000SNA0004OSInetworklayer00FEXNS0600IP0800DECnet(PhaseIV)6003Ethertalk(Appletalk)809BNovellIPX8137ReservedFFFF31RFC2784GRE标准头格式CReserved0VerProtocolTypeChecksum(optional)Reserved1(optional)01234567890123456789012345678901232GRE扩展头格式CKSReserved0VerProtocolTypeChecksum(optional)Reserved1(optional)Key(optional)SequenceNumber(optional)01234567890123456789012345678901233载荷协议包以IP作为承载协议的GRE封装GRE被当作一种IP协议对待IP用协议号47标识GRE链路层GREIPIP协议号4734以IP作为载荷协议的GRE封装GRE使用以太类型标识载荷协议载荷协议类型值0x0800说明载荷协议为IP载荷链路层GRE承载协议头载荷协议0x0800IP35IPoverIP的GRE封装载荷链路层GREIP载荷协议0x0800IPIP协议号4736GRE隧道RTARTBIPIPXIPXGRETunnel站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel0IPX数据流IPX包IPX包GRE封装包37IPoverIPGRE隧道RTARTBIP公网IP私网IP私网GRETunnel站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP私网之间的数据流私网IP包GRE封装包私网IP包38GRE隧道处理流程隧道起点路由查找加封装承载协议路由转发中途转发解封装隧道终点载荷协议路由查找39GRE隧道处理——隧道起点路由查找RTARTBIP公网IP私网IP私网站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/MaskProtocolCostNextHopInterface10.1.1.0/24DERECT0--LOOP010.1.2.0/24DERECT0--LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/24DERECT0--LOOP0203.1.1.0/24STATIC0202.1.1.2S0/040GRE隧道处理——加封装RTARTBIP公网IP私网IP私网站点A站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTATunnel0接口参数：•GRE封装•源接口S0/0，地址202.1.1.1•目标地址203.1.1.2DS私网IP包GRE头公网IP头目的地址：203.1.1.2源地址：202.1.1.1S0/0S0/0E0/0E0/041GRE隧道处理——承载协议路由转发RTARTBIP公网IP私网IP私网站点A站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/MaskProtocolCostNextHopInterface10.1.1.0/24DERECT0--LOOP010.1.2.0/24DERECT0--LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/24DERECT0--LOOP0203.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/042GRE隧道处理——中途转发RTARTBIP公网IP私网IP私网站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/2443GRE隧道处理——解封装RTARTBIP公网IP私网IP私网站点A站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTBTunnel0接口参数：•GRE封装•源接口S0/0，地址202.1.1.1•目标地址203.1.1.2DS私网IP包GRE头公网IP头私网IP包S0/0S0/0E0/0E0/044GRE隧道处理——隧道终点载荷协议路由查找RTARTBIP公网IP私网IP私网站点A站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/MaskProtocolCostNextHopInterface10.1.3.0/24DERECT0--LOOP010.1.2.0/24DERECT0--LOOP010.1.1.0/24OSPF210010.1.2.2Tunnel0203.1.1.0/24DERECT0--LOOP0202.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/045GRE穿越NATRTARTBIP公网IP私网IP私网E1/0S0/0E0/0E0/0Tunnel0Tunnel0IP_addr_BIP_addr_ANAT网关S0/0IP_addr_RRTA配置：隧道源IP_addr_A隧道目的IP_addr_BRTB配置：隧道源IP_addr_B隧道目的IP_addr_RNAT配置：地址映射：IP_addr_AIP_addr_R46GREVPN基本配置创建虚拟Tunnel接口[Quidway]interfacetunnelnumber指定Tunnel的源端[Quidway-Tunnel0]source{ip-addr|interface-typeinterface-num}指定Tunnel的目的端[Quidway-Tunnel0]destinationip