版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
Page1VPN協(xié)議原理ISSUE1.0VPN協(xié)議原理ISSUE1.0Page2本課程主要介紹VPN協(xié)議原理以及分別介紹L2TP、GRE和IPSEC三種常見的實現(xiàn)VPN技術。前言本課程主要介紹VPN協(xié)議原理以及分別介紹L2TP、GRE和Page3學習指南本課程全套資料包括培訓膠片、配套原理教材、多媒體課件、試題、演練案例和教師教學指導書,合理有效利用上述資料您將會取得良好的學習效果。學習指南本課程全套資料包括培訓膠片、配套原理教材、多媒體課件Page4參考資料VRP3.30《操作手冊》、《命令手冊》《故障信息收集排錯指導書》。參考資料VRP3.30《操作手冊》、《命令手冊》Page5學習完此課程,您將會:掌握VPN的概念和分類掌握實現(xiàn)IPVPN的相關協(xié)議。目標學習完此課程,您將會:目標Page6第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE內(nèi)容介紹第1章VPN概述內(nèi)容介紹Page7VPN的定義VPN——VirtualPrivateNetworkInternet出差員工隧道專線辦事處總部分支機構合作伙伴異地辦事處VPN的定義VPN——VirtualPrivateNePage8VPN的分類按應用類型分類:AccessVPNIntranetVPNExtranetVPN按實現(xiàn)的層次分類:二層隧道VPN三層隧道VPNVPN的分類按應用類型分類:Page9VPDN適用范圍:出差員工異地小型辦公機構POPPOP用戶直接發(fā)起連接POPISP發(fā)起連接總部隧道VPDN適用范圍:POPPOP用戶直接發(fā)起連接POPISP發(fā)Page10IntranetVPNInternet/ISPIPATM/FR隧道總部研究所辦事處分支機構IntranetVPNInternet/ISPIP隧道Page11ExtranetVPNInternet/ISPIPATM/FR分支機構合作伙伴總部異地辦事處ExtranetVPNInternet/ISPIP分支Page12按實現(xiàn)的層次分類二層隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三層隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocol按實現(xiàn)的層次分類二層隧道VPNPage13VPN設計原則安全性隧道與加密數(shù)據(jù)驗證用戶驗證防火墻與攻擊檢測可靠性經(jīng)濟性擴展性VPN設計原則安全性Page14第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE內(nèi)容介紹第1章VPN概述內(nèi)容介紹Page15L2TP協(xié)議概述L2TP:Layer2TunnelProtocol第二層隧道協(xié)議,是為在用戶和企業(yè)的服務器之間透明傳輸PPP報文而設置的隧道協(xié)議.特性靈活的身份驗證機制以及高度的安全性多協(xié)議傳輸支持RADIUS服務器的驗證支持內(nèi)部地址分配網(wǎng)絡計費的靈活性可靠性L2TP協(xié)議概述L2TP:Layer2TunnelPage16使用L2TP構建VPDNLAC:L2TPAccessConcentratorL2TP的接入集中器LNS:L2TPNetworkServerL2TP的網(wǎng)絡服務器LAC/LNSRadius:LAC/LNS的遠端驗證服務器PSTN/ISDNLAN總部LACLNSQuidwayNASQuidwayRouterL2TP
消息數(shù)據(jù)消息控制消息會話隧道出差員工LACRADIUSLNSRADIUS使用L2TP構建VPDNLAC:L2TPAccessPage17L2TP隧道和會話建立流程隧道、會話建立流程L2TP的會話建立由PPP觸發(fā),隧道建立由會話觸發(fā)。由于多個會話可以復用在一條隧道上,如果會話建立前隧道已經(jīng)建立,則隧道不用重新建立。隧道建立流程:三次握手會話建立流程:三次握手LAC LNSSCCRQ SCCRPSCCCNLAC LNSICRQ ICRPICCNL2TP隧道和會話建立流程隧道、會話建立流程LAC LNSPage18L2TP隧道和會話維護和拆除流程隧道維護流程LAC/LNS LNS/LACHello ZLB隧道拆除流程會話維護流程LAC/LNS LNS/LACStopCNN ZLBLAC/LNS LNS/LACCDN ZLBL2TP隧道和會話維護和拆除流程隧道維護流程LAC/LNS Page19L2TP協(xié)議棧結構及數(shù)據(jù)包的封裝過程私有IPPPPL2TPUDP公有IP鏈路層物理層物理層私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)鏈路層私有IPPPP物理層L2TPUDP公有IP鏈路層物理層物理層私有IP鏈路層物理層ClientLACLNSServerLAC側封裝過程LNS側解封裝過程L2TP協(xié)議棧結構L2TP協(xié)議棧結構及數(shù)據(jù)包的封裝過程私有IPPPPL2TPPage20L2TP隧道和會話的驗證過程ICCN(用戶CHAPResponse&PPP
已經(jīng)協(xié)商好的參數(shù))SCCCN(LACCHAPResponse)SCCRQ(LACCHAPChallenge)呼叫建立PPPLCP協(xié)商通過LACCHAPChallenge用戶
CHAPResponse隧道驗證(可選)LNSCHAPChallenge可選的第二次驗證用戶
CHAPResponse驗證通過PSTN/ISDNInternetLACLNSL2TP隧道和會話的驗證過程ICCN(用戶CHAPResPage21第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE內(nèi)容介紹第1章VPN概述內(nèi)容介紹Page22GREGRE(GenericRoutingEncapsulation):是對某些網(wǎng)絡層協(xié)議(如:IP,IPX,AppleTalk等)的數(shù)據(jù)報進行封裝,使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡層協(xié)議(如IP)中傳輸GRE提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制,使報文能夠在異種網(wǎng)絡中傳輸,異種報文傳輸?shù)耐ǖ婪Q為tunnelGREGRE(GenericRoutingEncapsPage23GRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)議運輸協(xié)議GRE協(xié)議棧隧道接口的報文格式鏈路層GREIP/IPXIPPayloadGRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)Page24使用GRE構建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企業(yè)總部分支機構使用GRE構建VPNOriginalDataPacketPage25第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE內(nèi)容介紹第1章VPN概述內(nèi)容介紹Page26IPSecIPSec(IPSecurity)是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議IPSec包括報文驗證頭協(xié)議AH(協(xié)議號51)和報文安全封裝協(xié)議ESP(協(xié)議號50)兩個協(xié)議IPSec有隧道(tunnel)和傳送(transport)兩種工作方式IPSecIPSec(IPSecurity)是IETF制定Page27IPSec的組成IPSec提供兩個安全協(xié)議AH(AuthenticationHeader)報文認證頭協(xié)議MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議DES(DataEncryptionStandard)3DES
其他的加密算法:Blowfish,blowfish、cast…IPSec的組成IPSec提供兩個安全協(xié)議Page28IPSec的安全特點數(shù)據(jù)機密性(Confidentiality)數(shù)據(jù)完整性(DataIntegrity)數(shù)據(jù)來源認證(DataAuthentication)反重放(Anti-Replay)IPSec的安全特點數(shù)據(jù)機密性(ConfidentialiPage29IPSec基本概念數(shù)據(jù)流(DataFlow)安全聯(lián)盟(SecurityAssociation)安全參數(shù)索引(SecurityParameterIndex)安全聯(lián)盟生存時間(LifeTime)安全策略安全提議IPSec基本概念數(shù)據(jù)流(DataFlow)Page30AH協(xié)議數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH數(shù)據(jù)原IP包頭AH新IP包頭傳輸模式隧道模式下一個頭負載長度保留域安全參數(shù)索引(SPI)序列號驗證數(shù)據(jù)AH頭結構081631AH協(xié)議數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH數(shù)據(jù)原IP包頭AHPage31ESP協(xié)議數(shù)據(jù)IP包頭加密后的數(shù)據(jù)IP包頭ESP頭部ESP頭新IP包頭傳輸模式隧道模式ESP尾部ESP驗證ESP尾部ESP驗證081624安全參數(shù)索引(SPI)序列號有效載荷數(shù)據(jù)(可變)填充字段(0-255字節(jié))填充字段長度下一個頭驗證數(shù)據(jù)ESP協(xié)議包結構數(shù)據(jù)原IP包頭加密部分ESP協(xié)議數(shù)據(jù)IP包頭加密后的數(shù)據(jù)IP包頭ESP頭部EPage32IKEIKE(InternetKeyExchange,因特網(wǎng)密鑰交換協(xié)議)為IPSec提供了自動協(xié)商交換密鑰、建立安全聯(lián)盟的服務通過數(shù)據(jù)交換來計算密鑰IKEIKE(InternetKeyExchange,Page33IKE的安全機制完善的前向安全性數(shù)據(jù)驗證身份驗證身份保護DH交換和密鑰分發(fā)IKE的安全機制完善的前向安全性Page34IKE的交換過程SA交換密鑰交換ID交換及驗證發(fā)送本地IKE策略身份驗證和交換過程驗證密鑰生成密鑰生成接受對端確認的策略查找匹配的策略身份驗證和交換過程驗證確認對方使用的算法產(chǎn)生密鑰驗證對方身份發(fā)起方策略接收方確認的策略發(fā)起方的密鑰生成信息接收方的密鑰生成信息發(fā)起方身份和驗證數(shù)據(jù)接收方的身份和驗證數(shù)據(jù)Peer1Peer2IKE的交換過程SA交換密鑰交換ID交換及驗證發(fā)送本地身份驗Page35DH交換及密鑰產(chǎn)生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)DH交換及密鑰產(chǎn)生ac=gamodpdamodppeer2pPage36IKE在IPSec中的作用降低手工配置的復雜度安全聯(lián)盟定時更新密鑰定時更新允許IPSec提供反重放服務允許在端與端之間動態(tài)認證IKE在IPSec中的作用降低手工配置的復雜度Page37IPSec與IKE的關系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP報文IPIKE的SA協(xié)商SASAIPSec與IKE的關系IKETCPUDPIPSecIKEPage38小結在本課程中我們學習了VPN協(xié)議的定義和分類,還學習了實現(xiàn)VPN常見的L2TP、GRE和IPSEC三種協(xié)議。小結小結在本課程中我們學習了VPN協(xié)議的定義和分類,還學習了實現(xiàn)VPN協(xié)議原理實用培訓教程課件更多資源./更多資源.演講完畢,謝謝觀看!演講完畢,謝謝觀看!Page42VPN協(xié)議原理ISSUE1.0VPN協(xié)議原理ISSUE1.0Page43本課程主要介紹VPN協(xié)議原理以及分別介紹L2TP、GRE和IPSEC三種常見的實現(xiàn)VPN技術。前言本課程主要介紹VPN協(xié)議原理以及分別介紹L2TP、GRE和Page44學習指南本課程全套資料包括培訓膠片、配套原理教材、多媒體課件、試題、演練案例和教師教學指導書,合理有效利用上述資料您將會取得良好的學習效果。學習指南本課程全套資料包括培訓膠片、配套原理教材、多媒體課件Page45參考資料VRP3.30《操作手冊》、《命令手冊》《故障信息收集排錯指導書》。參考資料VRP3.30《操作手冊》、《命令手冊》Page46學習完此課程,您將會:掌握VPN的概念和分類掌握實現(xiàn)IPVPN的相關協(xié)議。目標學習完此課程,您將會:目標Page47第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE內(nèi)容介紹第1章VPN概述內(nèi)容介紹Page48VPN的定義VPN——VirtualPrivateNetworkInternet出差員工隧道專線辦事處總部分支機構合作伙伴異地辦事處VPN的定義VPN——VirtualPrivateNePage49VPN的分類按應用類型分類:AccessVPNIntranetVPNExtranetVPN按實現(xiàn)的層次分類:二層隧道VPN三層隧道VPNVPN的分類按應用類型分類:Page50VPDN適用范圍:出差員工異地小型辦公機構POPPOP用戶直接發(fā)起連接POPISP發(fā)起連接總部隧道VPDN適用范圍:POPPOP用戶直接發(fā)起連接POPISP發(fā)Page51IntranetVPNInternet/ISPIPATM/FR隧道總部研究所辦事處分支機構IntranetVPNInternet/ISPIP隧道Page52ExtranetVPNInternet/ISPIPATM/FR分支機構合作伙伴總部異地辦事處ExtranetVPNInternet/ISPIP分支Page53按實現(xiàn)的層次分類二層隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三層隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocol按實現(xiàn)的層次分類二層隧道VPNPage54VPN設計原則安全性隧道與加密數(shù)據(jù)驗證用戶驗證防火墻與攻擊檢測可靠性經(jīng)濟性擴展性VPN設計原則安全性Page55第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE內(nèi)容介紹第1章VPN概述內(nèi)容介紹Page56L2TP協(xié)議概述L2TP:Layer2TunnelProtocol第二層隧道協(xié)議,是為在用戶和企業(yè)的服務器之間透明傳輸PPP報文而設置的隧道協(xié)議.特性靈活的身份驗證機制以及高度的安全性多協(xié)議傳輸支持RADIUS服務器的驗證支持內(nèi)部地址分配網(wǎng)絡計費的靈活性可靠性L2TP協(xié)議概述L2TP:Layer2TunnelPage57使用L2TP構建VPDNLAC:L2TPAccessConcentratorL2TP的接入集中器LNS:L2TPNetworkServerL2TP的網(wǎng)絡服務器LAC/LNSRadius:LAC/LNS的遠端驗證服務器PSTN/ISDNLAN總部LACLNSQuidwayNASQuidwayRouterL2TP
消息數(shù)據(jù)消息控制消息會話隧道出差員工LACRADIUSLNSRADIUS使用L2TP構建VPDNLAC:L2TPAccessPage58L2TP隧道和會話建立流程隧道、會話建立流程L2TP的會話建立由PPP觸發(fā),隧道建立由會話觸發(fā)。由于多個會話可以復用在一條隧道上,如果會話建立前隧道已經(jīng)建立,則隧道不用重新建立。隧道建立流程:三次握手會話建立流程:三次握手LAC LNSSCCRQ SCCRPSCCCNLAC LNSICRQ ICRPICCNL2TP隧道和會話建立流程隧道、會話建立流程LAC LNSPage59L2TP隧道和會話維護和拆除流程隧道維護流程LAC/LNS LNS/LACHello ZLB隧道拆除流程會話維護流程LAC/LNS LNS/LACStopCNN ZLBLAC/LNS LNS/LACCDN ZLBL2TP隧道和會話維護和拆除流程隧道維護流程LAC/LNS Page60L2TP協(xié)議棧結構及數(shù)據(jù)包的封裝過程私有IPPPPL2TPUDP公有IP鏈路層物理層物理層私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)鏈路層私有IPPPP物理層L2TPUDP公有IP鏈路層物理層物理層私有IP鏈路層物理層ClientLACLNSServerLAC側封裝過程LNS側解封裝過程L2TP協(xié)議棧結構L2TP協(xié)議棧結構及數(shù)據(jù)包的封裝過程私有IPPPPL2TPPage61L2TP隧道和會話的驗證過程ICCN(用戶CHAPResponse&PPP
已經(jīng)協(xié)商好的參數(shù))SCCCN(LACCHAPResponse)SCCRQ(LACCHAPChallenge)呼叫建立PPPLCP協(xié)商通過LACCHAPChallenge用戶
CHAPResponse隧道驗證(可選)LNSCHAPChallenge可選的第二次驗證用戶
CHAPResponse驗證通過PSTN/ISDNInternetLACLNSL2TP隧道和會話的驗證過程ICCN(用戶CHAPResPage62第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE內(nèi)容介紹第1章VPN概述內(nèi)容介紹Page63GREGRE(GenericRoutingEncapsulation):是對某些網(wǎng)絡層協(xié)議(如:IP,IPX,AppleTalk等)的數(shù)據(jù)報進行封裝,使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡層協(xié)議(如IP)中傳輸GRE提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制,使報文能夠在異種網(wǎng)絡中傳輸,異種報文傳輸?shù)耐ǖ婪Q為tunnelGREGRE(GenericRoutingEncapsPage64GRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)議運輸協(xié)議GRE協(xié)議棧隧道接口的報文格式鏈路層GREIP/IPXIPPayloadGRE協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘客協(xié)議封裝協(xié)Page65使用GRE構建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企業(yè)總部分支機構使用GRE構建VPNOriginalDataPacketPage66第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKE內(nèi)容介紹第1章VPN概述內(nèi)容介紹Page67IPSecIPSec(IPSecurity)是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議IPSec包括報文驗證頭協(xié)議AH(協(xié)議號51)和報文安全封裝協(xié)議ESP(協(xié)議號50)兩個協(xié)議IPSec有隧道(tunnel)和傳送(transport)兩種工作方式IPSecIPSec(IPSecurity)是IETF制定Page68IPSec的組成IPSec提供兩個安全協(xié)議AH(AuthenticationHeader)報文認證頭協(xié)議MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議DES(DataEncryptionStandard)3DES
其他的加密算法:Blowfish,blowfish、cast…IPSec的組成IPSec提供兩個安全協(xié)議Page69IPSec的安全特點數(shù)據(jù)機密性(Confidentiality)數(shù)據(jù)完整性(DataIntegrity)數(shù)據(jù)來源認證(DataAuthentication)反重放(Anti-Replay)IPSec的安全特點數(shù)據(jù)機密性(ConfidentialiPage70IPSec基本概念數(shù)據(jù)流(DataFlow)安全聯(lián)盟(SecurityAssociation)安全參數(shù)索引(SecurityParameterIndex)安全聯(lián)盟生存時間(LifeTime)安全策略安全提議IPSec基本概念數(shù)據(jù)流(DataFlow)Page71AH協(xié)議數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH數(shù)據(jù)原IP包頭AH新IP包頭傳輸模式隧道模式下一個頭負載長度保留域安全參數(shù)索引(SPI)序列號驗證數(shù)據(jù)AH頭結構081631AH協(xié)議數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH數(shù)據(jù)原IP包頭AHPage72ESP協(xié)議數(shù)據(jù)IP包頭加密后的數(shù)據(jù)IP包頭ESP頭部ESP頭新IP包頭傳輸模
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 天津濱海職業(yè)學院《城市設計原理》2023-2024學年第一學期期末試卷
- 天府新區(qū)信息職業(yè)學院《手球》2023-2024學年第一學期期末試卷
- 橋梁墩柱施工方案
- 個人叉車裝貨合同范例
- 影視家具采購合同范例
- 明星簽約合同范例
- 物資采購供貨合同范例
- 新建康復護理學習題庫+參考答案
- 消防救援職業(yè)技能鑒定測試題
- 2024學年高中地理《2.3水圈和水循環(huán)》教學實錄 魯教版必修1
- 2024-2025學年高二上學期期末數(shù)學試卷(基礎篇)(含答案)
- 直系親屬股權無償轉讓合同(2篇)
- 2023-2024學年廣東省廣州市白云區(qū)九年級(上)期末語文試卷
- 汽車吊籃使用專項施工方案
- 2024年典型事故案例警示教育手冊15例
- 中秋國慶慰問品采購投標方案
- ISO9000質(zhì)量管理體系培訓資料
- 強制檢定工作計量器具目錄
- 大學基礎寫作--表達方式課件
- 日標法蘭尺寸表
- MSD(濕敏器件防護)控制技術規(guī)范
評論
0/150
提交評論