信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案 項目11 加密技術(shù)應(yīng)用

教案《信息安全技術(shù)》第頁ADDINCNKISM.UserStyle授課周次與課時：第11周第41-44課時累計44課時課程名稱：信息安全技術(shù)授課課題：加密技術(shù)應(yīng)用教學(xué)目標(biāo)：掌握密碼學(xué)的定義掌握密碼學(xué)的應(yīng)用掌握VPN的概念描述掌握VPN的配置和描述教學(xué)要點：1.教學(xué)重點：VPN的分類與定義2.教學(xué)難點：不同VPN的原理及配置思政目標(biāo)：加強學(xué)生對網(wǎng)絡(luò)空間虛擬性認(rèn)識，遵守法律，明確權(quán)利和義務(wù)；時代楷模：通過對孫家棟院士優(yōu)秀事件的講解，鼓勵學(xué)生向優(yōu)秀人物學(xué)習(xí)，只要國家需要就去做，不計較個人得失；科技強國，通過對孫家棟院士優(yōu)秀事件的學(xué)習(xí)，讓學(xué)生加強技能訓(xùn)練，掌握核心技術(shù)，技能強國，科技強國；課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】網(wǎng)絡(luò)空間不是“法外之地”。網(wǎng)絡(luò)空間是虛擬的，但運用網(wǎng)絡(luò)空間的主體是真實存在的，大家都應(yīng)該遵守法律，明確各方的權(quán)利和義務(wù)。思政主題：時代楷模大國工匠科技強國孫家棟是中國第一枚導(dǎo)彈、第一顆人造地球衛(wèi)星、第一顆遙感探測衛(wèi)星、第一顆返回式衛(wèi)星的技術(shù)負責(zé)人、總設(shè)計師，是中國通信衛(wèi)星、氣象衛(wèi)星、資源探測衛(wèi)星、北斗導(dǎo)航衛(wèi)星等第二代應(yīng)用衛(wèi)星的工程總師，是中國探月工程總設(shè)計師，中國科學(xué)院院士，中國“兩彈一星”功勛科學(xué)家。他領(lǐng)導(dǎo)下所發(fā)射的衛(wèi)星奇跡般地占整個中國航天飛行器的三分之一。2009年，獲得中國國家最高科技獎?！爸袊陌l(fā)展依然任重道遠，我們一定要跟著黨中央，和大家一起共同努力，盡個人微薄之力，把我們國家的事業(yè)搞好，真正實現(xiàn)中國夢，富起來、強起來，完成好我們這一代人的歷史使命?！睂O家棟說。我們要學(xué)習(xí)孫家棟院士愛黨愛國、忠誠事業(yè)的堅定信念和立足本崗、攻堅克難、創(chuàng)新工作、勇攀高峰的精神，為實現(xiàn)中華民族的偉大復(fù)興努力奮斗。本章我們要學(xué)習(xí)的主要內(nèi)容是加密技術(shù)的應(yīng)用，密碼技術(shù)和VPN技術(shù)的使用保證了數(shù)據(jù)傳輸?shù)陌踩Ｎ覈教旒夹g(shù)在飛速發(fā)展的同時，加密技術(shù)也得到了高速發(fā)展，為我國航天技術(shù)的發(fā)展保駕護航?！拘抡n講授】1加密學(xué)1.1加密學(xué)定義密碼學(xué)是研究編制密碼和破譯密碼的技術(shù)科學(xué)。研究密碼變化的客觀規(guī)律，應(yīng)用于編制密碼以保守通信秘密的，稱為編碼學(xué)；應(yīng)用于破譯密碼以獲取通信情報的，稱為破譯學(xué)，總稱密碼學(xué)。密碼學(xué)（在西歐語文中，源于希臘語kryptós“隱藏的”，和gráphein“書寫”）是研究如何隱秘地傳遞信息的學(xué)科。在現(xiàn)代特別指對信息以及其傳輸?shù)臄?shù)學(xué)性研究，常被認(rèn)為是數(shù)學(xué)和計算機科學(xué)的分支，和信息論也密切相關(guān)。著名的密碼學(xué)者RonRivest解釋道：“密碼學(xué)是關(guān)于如何在敵人存在的環(huán)境中通信”，自工程學(xué)的角度，這相當(dāng)于密碼學(xué)與純數(shù)學(xué)的異同。1.2密碼學(xué)應(yīng)用密碼學(xué)是信息安全等相關(guān)議題，如認(rèn)證、訪問控制的核心。密碼學(xué)的首要目的是隱藏信息的含義，并不是隱藏信息的存在。密碼學(xué)也促進了計算機科學(xué)，特別是在于電腦與網(wǎng)絡(luò)安全所使用的技術(shù)，如訪問控制與信息的機密性。密碼學(xué)已被應(yīng)用在日常生活：包括自動柜員機的芯片卡、電腦使用者存取密碼、電子商務(wù)等等。2VPN簡介2.1 VPN定義虛擬專用網(wǎng)VPN(VirtualPrivateNetwork)是一種“通過共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過通道連接起來，構(gòu)成一個專用的、具有一定安全性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)”。在此定義中，包含兩個關(guān)鍵點：（1）虛擬：用戶不再需要擁有實際的專用長途數(shù)據(jù)線路，而是利用Internet的長途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)。（2）專用網(wǎng)絡(luò)：用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。2.2 VPN分類按業(yè)務(wù)用途類型劃分 按照業(yè)務(wù)用途類型，可以將VPN劃分為遠程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。按實現(xiàn)層次劃分按實現(xiàn)層次劃分，VPN可以分為SSLVPN、三層VPN（L3VPN）和二層VPN（L2VPN）。① SSLVPN 從概念角度來說，SSLVPN即指采用SSL（SecuritySocketLayer）協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。SSL（安全套接層）協(xié)議是一種在internet上保證發(fā)送信息安全的通用協(xié)議，采用B/S結(jié)構(gòu)（Browser/Server，瀏覽器/服務(wù)器模式）。它處在應(yīng)用層，SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議和TCP/IP之間進行數(shù)據(jù)交換的安全機制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選擇的客戶機認(rèn)證。SSL協(xié)議可分為兩層：SSL記錄協(xié)議(SSLRecordProtocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議(SSLHandshakeProtocol）：它建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通信雙方進行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。② L3VPN三層VPN主要是指VPN技術(shù)工作在協(xié)議棧的網(wǎng)絡(luò)層。以IPSecVPN技術(shù)為例，IPSec報頭與IP報頭工作在同一層次，封裝報文時或者是以IPinIP的方式進行封裝，或者是IPSec報頭與IP報頭同時對數(shù)據(jù)載荷進行封裝。除IPSecVPN技術(shù)外，主要的三層VPN技術(shù)還有GREVPN。GREVPN產(chǎn)生的時間比較早，實現(xiàn)的機制也比較簡單。GREVPN可以實現(xiàn)任意一種網(wǎng)絡(luò)協(xié)議在另一種網(wǎng)絡(luò)協(xié)議上的封裝。與IPSec相比，安全性沒有得到保證，只能提供有限的簡單的安全機制。③ L2VPN與三層VPN類似，二層VPN則是指VPN技術(shù)工作在協(xié)議棧的數(shù)據(jù)鏈路層，即數(shù)據(jù)鏈路層。二層VPN主要包括的協(xié)議有點到點隧道協(xié)議（PPTP，Point-to-PointTunnelingProtocol）、二層轉(zhuǎn)發(fā)協(xié)議（L2F，Layer2Forwarding）以及二層隧道協(xié)議（L2TP，Layer2TunnelingProtocol）。按VPN應(yīng)用場景劃分每種VPN都有自己的應(yīng)用場景，根據(jù)應(yīng)用場景我們可以做如下區(qū)分。站點到站點VPN（Site-to-SiteVPN）該VPN用于兩個局域網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。個人到站點VPN（Client-to-SiteVPN）該VPN用于客戶端與企業(yè)內(nèi)網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：SSL、IPSec、L2TP、L2TPoverIPSec。2.3L2TPVPNL2TP（Layer2TunnelProtocol）稱為二層隧道協(xié)議，是為在用戶和企業(yè)的服務(wù)器之間透明傳輸PPP報文而設(shè)置的隧道協(xié)議。L2TPVPN主要有三種使用場景：NAS-InitiatedVPN、LAC自動撥號、Client-InitiatedVPN，本課程主要介紹最為常用的Client-InitiatedVPN撥號場景。Client-InitiatedVPN撥號場景一般用于出差員工使用PC、手機等移動設(shè)備接入總部服務(wù)器，企業(yè)駐外機構(gòu)和出差人員可從遠程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬隧道實現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接，實現(xiàn)移動辦公的場景，也是最為常用L2TP撥號方式。Client-InitiatedVPN中，每個接入用戶和LNS之間均建立一條隧道；每條隧道中僅承載一條L2TP會話和PPP連接。L2TP隧道的呼叫建立流程：（1）當(dāng)接入用戶撥號到LNS時，首先觸發(fā)接入用戶和LNS之間建立L2TP隧道。（2）L2TP隧道建立成功后，在隧道基礎(chǔ)上建立L2TP會話。（3）LNS對用戶進行認(rèn)證。（4）用戶與LNS之間建立PPP連接。（5）用戶在PPP連接基礎(chǔ)上，通過LNS訪問內(nèi)網(wǎng)資源。2.4 GREVPNGRE（GeneralRoutingEncapsulation）是一種三層VPN封裝技術(shù)。GRE可以對某些網(wǎng)絡(luò)層協(xié)議（如IPX、AppleTalk、IP等）的報文進行封裝，使封裝后的報文能夠在另一種網(wǎng)絡(luò)中（如IPv4）傳輸，從而解決了跨越異種網(wǎng)絡(luò)的報文傳輸問題，異種報文傳輸?shù)耐ǖ婪Q為Tunnel（隧道）。Tunnel是一個虛擬的點對點的連接，可以看成僅支持點對點連接的虛擬接口，這個接口提供了一條通路，使封裝的數(shù)據(jù)報文能夠在這個通路上傳輸，并在一個Tunnel的兩端分別對數(shù)據(jù)報進行封裝及解封裝。隧道接口隧道接口（Tunnel接口）是為實現(xiàn)報文的封裝而提供的一種點對點類型的虛擬接口，與Loopback接口類似，都是一種邏輯接口。經(jīng)過手工配置，成功建立隧道之后，就可以將隧道接口看成一個物理接口，可以在其上運行動態(tài)路由協(xié)議或配置靜態(tài)路由。隧道接口包含以下元素：源地址：報文傳輸協(xié)議中的源地址。從負責(zé)封裝后報文傳輸?shù)木W(wǎng)絡(luò)來看，隧道的源地址就是實際發(fā)送報文的接口IP地址。目的地址：報文傳輸協(xié)議中的目的地址。從負責(zé)封裝后報文傳輸?shù)木W(wǎng)絡(luò)來看，隧道本端的目的地址就是隧道目的端的源地址。隧道接口IP地址：為了在隧道接口上啟用動態(tài)路由協(xié)議，或使用靜態(tài)路由協(xié)議發(fā)布隧道接口，要為隧道接口分配IP地址。隧道接口的IP地址可以不是公網(wǎng)地址，甚至可以借用其他接口的IP地址以節(jié)約IP地址。但是當(dāng)Tunnel接口借用IP地址時，由于Tunnel接口本身沒有IP地址，無法在此接口上啟用動態(tài)路由協(xié)議，必須配置靜態(tài)路由或策略路由才能實現(xiàn)路由器間的連通性。封裝類型：隧道接口的封裝類型是指該隧道接口對報文進行的封裝方式。一般情況下有四種封裝方式，分別是GRE、MPLSTE、IPv6-IPv4和IPv4-IPv6。（2）封裝與解封裝報文在GRE隧道中傳輸包括封裝和解封裝兩個過程。私網(wǎng)協(xié)議模塊檢查私網(wǎng)報文頭中的目的地址并在私網(wǎng)路由表或轉(zhuǎn)發(fā)表中查找出接口，確定如何路由此包。如果發(fā)現(xiàn)出接口是Tunnel接口，則將此報文發(fā)給隧道模塊。隧道模塊收到此報文后進行如下處理：① 隧道模塊根據(jù)乘客報文的協(xié)議類型和當(dāng)前GRE隧道所配置的Key和Checksum參數(shù)，對報文進行GRE封裝，即添加GRE頭。② 根據(jù)配置信息（傳輸協(xié)議為IP），給報文加上IP頭。該IP頭的源地址就是隧道源地址，IP頭的目的地址就是隧道目的地址。③ 將該報文交給IP模塊處理，IP模塊根據(jù)該IP頭目的地址，在公網(wǎng)路由表中查找相應(yīng)的出接口并發(fā)送報文，之后，封裝后的報文將在該IP公共網(wǎng)絡(luò)中傳輸。解封裝過程和封裝過程相反。（3）GRE安全策略安全策略（缺省情況下，域內(nèi)安全策略缺省動作為允許）內(nèi)容如下。① 域間或域內(nèi)安全策略：用于控制域間或域內(nèi)的流量，此時的安全策略既有傳統(tǒng)包過濾功能，也有對流量進行IPS、AV、Web過濾、應(yīng)用控制等進一步的應(yīng)用層檢測的作用。域間或域內(nèi)安全策略是包過濾、UTM應(yīng)用層檢測等多種安全檢查同時實施的一體化策略。② 應(yīng)用在接口上的包過濾規(guī)則：用于控制接口的流量，就是傳統(tǒng)的包過濾功能，基于IP、MAC地址等二、三層報文屬性直接允許或拒絕報文通過。2.5 IPSecVPN(1) IPSec定義IPSec（IPSecurity）協(xié)議族是IETF制定的一系列安全協(xié)議，它為端到端IP報文交互提供了基于密碼學(xué)的、可互操作的、高質(zhì)量的安全保護機制。IPSecVPN是利用IPSec隧道建立的網(wǎng)絡(luò)層VPN。IPSec定義了在網(wǎng)際層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和防止重放攻擊。它為端到端IP報文交互提供了基于密碼學(xué)的、可互操作的、高質(zhì)量的安全保護機制，IPSec支持在IP層及以上協(xié)議層進行數(shù)據(jù)安全保護，并對上層應(yīng)用透明（無需對各個應(yīng)用程序進行修改）。安全保護措施包括機密性、完整性、真實性和抗重放等。機密性（Confidentiality）：對數(shù)據(jù)進行加密，確保數(shù)據(jù)在傳輸過程中不被其他人員查看；完整性（Dataintegrity）：對接收到數(shù)據(jù)包進行完整性驗證，以確保數(shù)據(jù)在傳輸過程中沒有被篡改；真實性（Dataauthentication）：驗證數(shù)據(jù)源，以保證數(shù)據(jù)來自真實的發(fā)送者（IP報文頭內(nèi)的源地址）；抗重放（Anti-replay）：防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進行的攻擊，即接收方會拒絕舊的或重復(fù)的數(shù)據(jù)包。(2) IPSecVPN體系結(jié)構(gòu)簡述IPSecVPN體系結(jié)構(gòu)主要由AH（AuthenticationHeader）、ESP（EncapsulationSecurityPayload）和IKE（InternetKeyExchangeProtocol）協(xié)議套件組成。IPSec通過ESP來保障IP數(shù)據(jù)傳輸過程的機密性，使用AH/ESP提供數(shù)據(jù)完整性、數(shù)據(jù)源驗證和抗報文重放功能。ESP和AH定義了協(xié)議和載荷頭的格式及所提供的服務(wù)，但沒有定義實現(xiàn)以上能力所需具體轉(zhuǎn)碼方式，轉(zhuǎn)碼方式包括對數(shù)據(jù)轉(zhuǎn)換方式，如算法、密鑰長度等。IPSec通過驗證頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulatingSecurityPayload）兩個安全協(xié)議實現(xiàn)IP報文的安全保護。IPSec安全傳輸數(shù)據(jù)的前提是在IPSec對等體（即運行IPSec協(xié)議的兩個端點）之間成功建立安全聯(lián)盟SA（SecurityAssociation），SA是通信的IPSec對等體間對某些要素的約定。SA是通信的IPSec對等體間對某些要素的約定，例如：對等體間使用何種安全協(xié)議、需要保護的數(shù)據(jù)流特征、對等體間傳輸?shù)臄?shù)據(jù)的封裝模式、協(xié)議采用的加密算法、驗證算法，對等體間使用何種密鑰交換和IKE協(xié)議，以及SA的生存周期等。SA由一個三元組來唯一標(biāo)識，這個三元組包括安全參數(shù)索引SPI（SecurityParameterIndex）、目的IP地址和使用的安全協(xié)議號（AH或ESP）。(3) IPSec封裝模式IPSec協(xié)議有兩種封裝模式：傳輸模式和隧道模式。傳輸模式（TransportMode）傳輸模式（TransportMode）是IPSec的默認(rèn)模式,又稱端到端（End-to-End）模式，它適用于兩臺主機之間進行IPSec通信。傳輸模式下只對IP負載進行保護，可能是TCP/UDP/ICMP協(xié)議，也可能是AH/ESP協(xié)議。傳輸模式只為上層協(xié)議提供安全保護，在此種模式下，參與通信的雙方主機都必須安裝IPSec協(xié)議，而且它不能隱藏主機的IP地址。啟用IPSec傳輸模式后，IPSec會在傳輸層包的前面增加AH/ESP頭部或同時增加兩種頭部，構(gòu)成一個AH/ESP數(shù)據(jù)包，然后添加IP頭部組成IP包。在接收方，首先處理的是IP，然后再做IPSec處理，最后再將載荷數(shù)據(jù)交給上層協(xié)議。傳輸模式不改變報文頭，故隧道的源和目的地址必須與IP報文頭中的源和目的地址一致，所以只適合兩臺主機或一臺主機和一臺VPN網(wǎng)關(guān)之間通信。隧道模式（TunnelMode）隧道模式（TunnelMode）使用在兩臺網(wǎng)關(guān)之間，站點到站點（Site-to-Site）的通信。參與通信的兩個網(wǎng)關(guān)實際是為了兩個以其為邊界的網(wǎng)絡(luò)中的計算機提供安全通信的服務(wù)。隧道模式為整個IP包提供保護，為IP協(xié)議本身而不只是上層協(xié)議提供安全保護。通常情況下只要使用IPSec的雙方有一方是安全網(wǎng)關(guān)，就必須使用隧道模式，隧道模式的一個優(yōu)點是可以隱藏內(nèi)部主機和服務(wù)器的IP地址。大部分VPN都使用隧道模式，因為它不僅對整個原始報文加密，還對通信的源地址和目的地址進行部分和全部加密，只需要在安全網(wǎng)關(guān)，而不需要在內(nèi)部主機上安裝VPN軟件，期間所有加密和解密以及協(xié)商操作均由前者負責(zé)完成。啟用IPSec隧道模式后，IPSec將原始IP看作一個整體作為要保護的內(nèi)容，前面加上AH/ESP頭部，再加上新IP頭部組成新IP包。隧道模式的數(shù)據(jù)包有兩個IP頭，內(nèi)部頭由路由器背后的主機創(chuàng)建，是通信終點；外部頭由提供IPSec的設(shè)備（如路由器）創(chuàng)建，是IPSec的終點。事實上，IPSec的傳輸模式和隧道模式分別類似于其他隧道協(xié)議（如L2TP）的自愿隧道和強制隧道，即一個是由用戶實施，另一個由網(wǎng)絡(luò)設(shè)備實施。用IPSec保護一個IP包之前，必須先建立一個安全聯(lián)盟（SecurityAssociation，SA）。IPSec的安全聯(lián)盟可以通過手工配置的方式建立。但是當(dāng)網(wǎng)絡(luò)中節(jié)點較多時，手工配置將非常困難，而且難以保證安全性。這時就可以使用IKE（InternetKeyExchange）自動進行安全聯(lián)盟建立與密鑰交換的過程。Internet密鑰交換（IKE）就用于動態(tài)建立SA，代表IPSec對SA進行協(xié)商。因特網(wǎng)密鑰交換IKE（InternetKeyExchange）協(xié)議建立在Internet安全聯(lián)盟和密鑰管理協(xié)議ISAKMP定義的框架上，是基于UDP的應(yīng)用層協(xié)議，可為數(shù)據(jù)加密提供所需的密鑰，能夠簡化IPSec的使用和管理，大大簡化了IPSec的配置和維護工作。對等體之間建立一個IKESA完成身份驗證和密鑰信息交換后，在IKESA的保護下，根據(jù)配置的AH/ESP安全協(xié)議等參數(shù)協(xié)商出一對IPSecSA。此后，對等體間的數(shù)據(jù)將在IPSec隧道中加密傳輸。IKESA是為IPSecSA服務(wù)的，為IPSec提供了自動協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(wù)。IPSec采用對稱加密算法對數(shù)據(jù)進行加密和解密。2.6 SSLVPNSSL是一個安全協(xié)議，為基于TCP（TransmissionControlProtocol）的應(yīng)用層協(xié)議提供安全連接，SSL介于TCP/IP協(xié)議棧第四層和第七層之間。SSL可以為HTTP（HypertextTransferProtocol）協(xié)議提供安全連接。安全套接層(SSL)是一種在兩臺機器之間提供安全通道的協(xié)議。它具有保護傳輸數(shù)據(jù)以及識別通信機器的功能。SSLVPN主要功能有領(lǐng)先的虛擬網(wǎng)關(guān)、Web代理、用戶認(rèn)證、文件共享、端口代理、網(wǎng)絡(luò)擴展、用戶安全控制、完善的日志功能等。3VPN典型應(yīng)用場景配置3.1 Client-Initialized方式L2TP應(yīng)用場景配置Client:端：配置“LNS服務(wù)器IP”禁用IPSec安全協(xié)議配置認(rèn)證模式配置是否啟用隧道驗證功能配置用戶名/密碼。Client側(cè)設(shè)置的認(rèn)證模式和隧道驗證密碼需要與LNS側(cè)保持一致。LNS端：基礎(chǔ)配置配置虛擬接口模板使能L2TP功能配