imc課程06基于接入身份認(rèn)證

基于VPN接入的身份認(rèn)證日期：杭州華三通信技術(shù)有限公司，VPN技術(shù)解決了企業(yè)網(wǎng)跨地域互聯(lián)時(shí)涉及的成本高，部署不靈活等問(wèn)題。VPN的核心是通過(guò)隧道封裝實(shí)現(xiàn)用戶私有數(shù)據(jù)利用開(kāi)放的公共網(wǎng)絡(luò)傳輸，同時(shí)使用信息加密和用戶認(rèn)證等技術(shù)則能夠確保VPN傳輸?shù)陌踩?。引入描述L2TPVPN的基本原理描述IPsecVPN的基本原理及L2TPOverIPsec的工作模式掌握iMCUAM和iNode的相關(guān)應(yīng)用課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：L2TPVPN基本原理IPsecVPN基本原理iMCUAM及iNode典型應(yīng)用目錄L2TPVPN概述遠(yuǎn)程接入VPN使得出差員工或異地辦事處能夠方便地訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)L2TPVPN是遠(yuǎn)程接入VPN中的典型代表隧道隧道企業(yè)總部出差員工異地辦事處L2TP協(xié)議概述（續(xù)）L2TP（Layer2TunnelProtocol，第二層隧道協(xié)議）使用二層隧道封裝技術(shù)，穿越公共網(wǎng)絡(luò)，在用戶和企業(yè)內(nèi)網(wǎng)之間透明傳輸PPP報(bào)文RemoteSystemLACRemoteSystem/LACLNSL2TP隧道封裝L2TP隧道封裝過(guò)程載荷數(shù)據(jù)私網(wǎng)IPPPP載荷數(shù)據(jù)私網(wǎng)IPPPPL2TPUDP公網(wǎng)IP載荷數(shù)據(jù)私網(wǎng)IPLACLNSL2TP隧道和用戶會(huì)話的建立L2TP隧道和會(huì)話的建立SCCRQ（Start-Control-Connection-Request）呼叫SCCRP（Start-Control-Connection-Reply）SCCCN（Start-Control-Connection-Connect）ZLB（Zero-LengthBody）ICRQ（ing-Call-Request）ICRP（ing-Call-Replay）ICCN（ing-Call-Connected）ZLB（Zero-LengthBody）隧道建立會(huì)話建立ClientLACLNSL2TPVPN中的身份認(rèn)證L2TP在建立隧道和會(huì)話的過(guò)程中使用隧道驗(yàn)證和用戶驗(yàn)證確保連接的安全SCCRQ（LACCHAPChallenge）SCCRP（LACCHAPResponse/LNSCHAPChallenge）SCCCN（LNSCHAPResponse）隧道建立LACLNSL2TPVPN中的身份認(rèn)證（續(xù)）L2TP隧道和會(huì)話的建立連接請(qǐng)求LAC側(cè)的RADIUS認(rèn)證建立會(huì)話LNS側(cè)可選的第二次認(rèn)證建立隧道PPPNCP協(xié)商(IPCP)ClientLACLNSRADIUSServerPPPLCP協(xié)商PAP/CHAP認(rèn)證L2TPVPN基本原理IPsecVPN基本原理iMCUAM及iNode典型應(yīng)用目錄IPsec協(xié)議概述 IPsec由一系列開(kāi)放的安全標(biāo)準(zhǔn)構(gòu)成，為通信雙方傳輸?shù)臄?shù)據(jù)提供機(jī)密性、完整性、數(shù)據(jù)源驗(yàn)證和拒絕重放等安全功能IPsec包含兩種安全協(xié)議AH（AuthenticationHeader）ESP（EncapsulationSecurityPayload）IPsec提供兩種工作模式傳輸模式隧道模式IPsec包含一種信令協(xié)議IKE（InternetKeyExchange）隧道模式傳輸模式AH協(xié)議AH（AuthenticationHeader）協(xié)議IP協(xié)議號(hào)51提供提供數(shù)據(jù)完整性檢查、數(shù)據(jù)源驗(yàn)證以及防重放功能IP包頭AH頭數(shù)據(jù)原IP包頭AH頭新IP包頭驗(yàn)證部分驗(yàn)證部分TCP/UDP數(shù)據(jù)TCP/UDP隧道模式傳輸模式ESP協(xié)議 ESP（EncapsulatingSecurityPayload）協(xié)議IP協(xié)議號(hào)50提供數(shù)據(jù)完整性檢查、數(shù)據(jù)源驗(yàn)證、防重放以及數(shù)據(jù)加密功能IP包頭ESP頭加密的數(shù)據(jù)ESP尾ESP驗(yàn)證加密部分驗(yàn)證部分加密部分驗(yàn)證部分TCP/UDP原IP包頭ESP頭加密的數(shù)據(jù)ESP尾ESP驗(yàn)證TCP/UDP新IP包頭IPsec與IKE IKE（Internet密鑰交換）協(xié)議是IPSEC的信令協(xié)議，為通信雙方提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)，簡(jiǎn)化了IPsec的使用和管理受保護(hù)的數(shù)據(jù)IPsecIPsecIKEIKESA協(xié)商SASAIKE階段一協(xié)商——主模式 IKE協(xié)商分兩個(gè)階段階段一的作用是協(xié)商IKESA，為階段二的協(xié)商提供保護(hù)階段二的作用完成IPsecSA的協(xié)商發(fā)起方本地IKE策略Peer1Peer2接收方確認(rèn)的IKE策略接收方的密鑰生成信息發(fā)起方的密鑰生成信息發(fā)起方的身份和驗(yàn)證信息發(fā)起方的身份和驗(yàn)證信息策略協(xié)商產(chǎn)生密鑰驗(yàn)證身份IKE階段一協(xié)商——野蠻模式 IKE階段一的野蠻模式協(xié)商過(guò)程發(fā)起方本地IKE策略DH計(jì)算相關(guān)信息Peer1Peer2接收方確認(rèn)的IKE策略DH計(jì)算相關(guān)信息接收方的驗(yàn)證載荷發(fā)起方的驗(yàn)證載荷IPsecNAT穿越 IPsec與NAT存在諸多兼容性問(wèn)題AH與NAT的兼容問(wèn)題TCP/UDP校驗(yàn)和與NAT的兼容問(wèn)題IKE固定端口號(hào)與NAT的兼容問(wèn)題NAT設(shè)備的實(shí)現(xiàn)與IPsec的兼容問(wèn)題IPsec使用UDP封裝ESP報(bào)文實(shí)現(xiàn)NAT穿越加密部分驗(yàn)證部分原IP包頭ESP頭加密的數(shù)據(jù)ESP尾ESP驗(yàn)證TCP/UDP新IP包頭UDP頭L2TPOverIPsec 通過(guò)在LAC和LNS設(shè)備之間建立IPsec隧道，將L2TP和IPsec兩種技術(shù)結(jié)合使用，使得L2TP的流量同時(shí)具備IPsec的安全性載荷數(shù)據(jù)私網(wǎng)IPPPPL2TPUDP公網(wǎng)IPESP頭ESP尾ESP驗(yàn)證L2TPVPN基本原理IPsecVPN基本原理iMCUAM及iNode典型應(yīng)用目錄定制iNodeVPN客戶端使用iNode管理中心定制帶有VPN接入功能的客戶端iNode客戶端VPN連接基本配置VPN連接的基本配置iNode客戶端VPN連接高級(jí)配置配置L2TPiNode客戶端VPN連接高級(jí)配置（續(xù)）配置IPseciNode客戶端VPN連接高級(jí)配置（續(xù)）配置IKE定制內(nèi)網(wǎng)訪問(wèn)路由定制VPN撥號(hào)上線后可訪問(wèn)的內(nèi)網(wǎng)路由智能卡的使用智能卡被廣泛用于VPN接入的應(yīng)用場(chǎng)景H3C智能卡既能夠存放IKE證書(shū)驗(yàn)證方式下所使用的證書(shū)，也能夠存放用戶名、密碼用于其他方式的認(rèn)證iMCUAM對(duì)于VPN接入的應(yīng)用iMCUAM作為RADIUS服務(wù)器，能夠?yàn)閂PN接入用戶實(shí)施身份認(rèn)證iMCUAM能夠?yàn)長(zhǎng)2TP接入用戶分配指定的