版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHCSCA107USG6000V100R001C30V2.5開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型(新開發(fā)/優(yōu)化)陳靈光2011.7余雷第一版王銳2013.5朱恒2015.3陳昊優(yōu)化本頁不打印第七章
VPN技術(shù)簡介目標(biāo)學(xué)完本課程后,您將能夠:了解VPN概念了解VPN有哪些關(guān)鍵技術(shù)了解VPN分類及應(yīng)用了解L2TP基本原理學(xué)問及基本配置方法駕馭GREVPN的基本原理及配置方法書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用VPN定義VPN
虛擬專用網(wǎng)(VirtualPrivateNetwork)是一種“通過共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道,將各個(gè)須要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過通道連接起來,構(gòu)成一個(gè)專用的、具有確定平安性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)”。虛擬 用戶不再須要擁有實(shí)際的專用長途數(shù)據(jù)線路,而是利用Internet的長途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)。專用網(wǎng)絡(luò) 用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。VPN常見技術(shù)隧道技術(shù)身份認(rèn)證數(shù)據(jù)認(rèn)證加解密技術(shù)密鑰管理技術(shù)隧道技術(shù)Internet企業(yè)總部分支機(jī)構(gòu)SOHO用戶出差人員加解密技術(shù)信息密碼學(xué)加密:明文變密文C=En(K,
P)信息明文密鑰信息密文密碼服務(wù)
保密性加密服務(wù)
完整性鑒別性抗抵賴性加密技術(shù)發(fā)展史
加密技術(shù)發(fā)展歷程密碼機(jī)雙軌算法凱撒密碼Scytale加密技術(shù)分類對(duì)稱加密加密、解密用同一個(gè)密鑰非對(duì)稱加密在加密和解密中運(yùn)用兩個(gè)不同的密鑰,私鑰用來疼惜數(shù)據(jù),公鑰則由同一系統(tǒng)的人公用,用來檢驗(yàn)信息及其發(fā)送者的真實(shí)性和身份。密鑰私鑰公鑰對(duì)稱加密技術(shù)
共享密鑰共享密鑰abcdef密鑰=1010110101……加密算法解密算法ED*$@g)(!34*^hcftibfabcdef發(fā)送者接收者常見的對(duì)稱加密算法流加密算法RC4分組加密算法DES3DESAESIDEARC2,RC5,RC6非對(duì)稱加密技術(shù)
查找公鑰庫接收者公鑰接受者私鑰abcdef公鑰=1111010101……加密算法解密算法ED&^(#!b&%2(#c7(*@!Csabcdef發(fā)送者接收者私鑰=1010110101……對(duì)稱與非對(duì)稱算法對(duì)比加解密速度快密鑰平安性高對(duì)稱密鑰算法非對(duì)稱密鑰算法密鑰分發(fā)問題加解密對(duì)速度敏感優(yōu)點(diǎn)缺點(diǎn)密鑰交換Huaweitr09vi16vsk會(huì)話密鑰明文密文會(huì)話密鑰接收者的公鑰tr09vi16vsk加密加密接收者的私鑰解密會(huì)話密鑰解密明文1234傳送發(fā)送者接收者Huawei數(shù)據(jù)認(rèn)證--散列算法散列算法:把隨意長度的輸入變換成固定長度的輸出h=H(M)常見散列算法MD5SHA-1身份認(rèn)證--數(shù)字簽名
明文發(fā)送者接收者
摘要哈希函數(shù)tr09vi16vskPGGjx&%9$數(shù)字簽名明文PGGjx&%9$數(shù)字簽名明文tr09vi16vsk新摘要哈希函數(shù)tr09vi16vsk=?相同1234567發(fā)送者的私鑰發(fā)送者的公鑰HuaweiHuaweiHuawei沒有篡改,是發(fā)送者發(fā)送的。身份認(rèn)證--數(shù)字證書公鑰的載體數(shù)字證書的格式X.509由受信任的機(jī)構(gòu)頒發(fā)數(shù)字證書的存儲(chǔ)持有者:XXX公開密鑰:9f0a34...序列號(hào):123465有效期:5/5/2008-5/5/2009頒發(fā)者:
根CA簽名:CA數(shù)字簽名證書路徑:信任鏈密鑰管理技術(shù)密鑰產(chǎn)生支配保存更換與銷毀密鑰管理系統(tǒng)一個(gè)完整的密鑰管理系統(tǒng)應(yīng)當(dāng)做到:密鑰難以被竊取和復(fù)制即使竊取了密鑰也沒有用,密鑰有運(yùn)用范圍和時(shí)間的限制密鑰的支配和更換過程對(duì)用戶透亮,用戶不確定要親自掌管密鑰核心密鑰確定要接受分割分責(zé)的方式保存密鑰管理策略一個(gè)完整的密鑰管理策略應(yīng)當(dāng)做到:密碼策略限制是否允許用戶重新運(yùn)用舊的密碼(強(qiáng)制密碼歷史),在兩次更改密碼之間的時(shí)間(最大密碼壽命以及最小密碼壽命),最小密碼長度以及用戶是否必需混合運(yùn)用大小寫字母、數(shù)字和特殊字符(密碼必需滿足困難性要求)。帳戶鎖定策略確定了在特定時(shí)間段內(nèi)鎖定帳戶之前,系統(tǒng)能夠接受多少次失敗的登錄嘗試法律要求和服務(wù)合同書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用按業(yè)務(wù)用途劃分(1)AccessVPN 企業(yè)的內(nèi)部人員移動(dòng)或遠(yuǎn)程辦公須要,或者商家要供應(yīng)B2C的平安訪問服務(wù)。移動(dòng)辦公人員VPDN網(wǎng)關(guān)總部企業(yè)數(shù)據(jù)中心VPN管理系統(tǒng)按業(yè)務(wù)用途劃分(2)IntranetVPN 企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)??偛看笾行头种C(jī)構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)企業(yè)數(shù)據(jù)中心VPN管理系統(tǒng)中小型分支機(jī)構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)按業(yè)務(wù)用途劃分(3)ExtranetVPN 供應(yīng)B2B(BusinesstoBusiness)之間的平安訪問服務(wù)??偛靠蛻羝髽I(yè)數(shù)據(jù)中心VPN管理系統(tǒng)供應(yīng)商按實(shí)現(xiàn)層次劃分?jǐn)?shù)據(jù)鏈路層網(wǎng)絡(luò)層L3VPN:L2VPN:GREIPSecL2TPPPTPL2F書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用3.1二層VPN技術(shù)及配置3.2三層VPN技術(shù)及配置VPDN概述VPDN(VirtualPrivateDialNetwork)是指利用公共網(wǎng)絡(luò)(如ISDN和PSTN)的撥號(hào)功能及接入網(wǎng)來實(shí)現(xiàn)虛擬專用網(wǎng),從而為企業(yè)、小型ISP、移動(dòng)辦公人員供應(yīng)接入服務(wù)。VPDN隧道協(xié)議可分為PPTP、L2F和L2TP三種,目前運(yùn)用最廣泛的是L2TP網(wǎng)絡(luò)設(shè)備與VPDN網(wǎng)關(guān)
客戶機(jī)與VPDN網(wǎng)關(guān)
客戶的PPP干脆連接到企業(yè)的網(wǎng)關(guān)上,目前可運(yùn)用的協(xié)議有L2F與L2TP客戶機(jī)先建立與Internet的連接,再通過專用的客戶軟件(如Win2000支持的L2TP客戶端)與網(wǎng)關(guān)建立通道連接。L2TP概述L2TP(LayerTwoTunnelingProtocol)二層隧道協(xié)議為在用戶和企業(yè)的服務(wù)器之間透亮傳輸PPP報(bào)文而設(shè)置的隧道協(xié)議。供應(yīng)了對(duì)PPP鏈路層數(shù)據(jù)包的通道(Tunnel)傳輸支持。結(jié)合了L2F協(xié)議和PPTP協(xié)議的各自優(yōu)點(diǎn),成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。主要用途企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò),通過虛擬隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接L2TPVPN協(xié)議組件LAC:L2TPAccessConcentrator,L2TP接入集中器
LNS:L2TPNetworkServer,L2TP網(wǎng)絡(luò)服務(wù)器PSTN/ADSL總部LACLNSL2TP
消息數(shù)據(jù)消息控制消息會(huì)話隧道出差員工LACRADIUSLNSRADIUSL2TP協(xié)議棧結(jié)構(gòu)及封裝過程L2TP協(xié)議棧結(jié)構(gòu)L2TP封裝過程私有IPPPPL2TPUDP公有IP鏈路層物理層物理層私有IPPPP私有IP頭UDPL2TPPPP公有IP頭鏈路層私有IPPPP物理層L2TPUDP公有IP鏈路層物理層物理層私有IP鏈路層物理層ClientLACLNSServerDataL2TP會(huì)話建立過程1.CallSetup2.PPPLCPSetup3.PAPorCHAPAuthenticationPCLACLACRADIUSServerLNSLNSRADIUSServer4.AccessRequest5.AccessAccept6.Tunnelestablishment7.PAPorCHAPAuthentication(challenge/response)8.Tunnelestablishment9.UserPAPorCHAPAuthentication(challenge/response)10.AccessRequest11.AccessAccept12.CHAPAuthenticationtwice(challenge/response)13.AccessRequest14.AccessAccept15.AuthenticationpassesClient-Initialized方式L2TPVPNVPN用戶相當(dāng)于貨車,LNS相當(dāng)于檢查站LNS:你可以通行了VPN用戶:好的,我自己把貨物送過去移動(dòng)辦公L2TPTUNNEL總部服務(wù)器LNSClient-Initialized方式L2TP配置組網(wǎng)需求某公司建有自己的VPN網(wǎng)絡(luò),在公司總部的公網(wǎng)出口處,放置了一臺(tái)VPN網(wǎng)關(guān),即USG防火墻。要求出差人員能夠通過L2TP隧道與公司內(nèi)部業(yè)務(wù)服務(wù)器進(jìn)行通信。LNS側(cè)接受本地驗(yàn)證方式。其中:LNS設(shè)備為USG防火墻INTERNET總部LNSG1/0/1/16G1/0/0/24移動(dòng)辦公L2TP配置思路——Client配置“LNS服務(wù)器IP”禁用IPSec安全協(xié)議配置認(rèn)證模式配置是否啟用隧道驗(yàn)證功能配置用戶名/密碼L2TP配置思路——LNS基礎(chǔ)配置配置虛擬接口模板使能L2TP功能配置L2TP組配置VPDN組賬號(hào)配置域間防火墻安全策略L2TPVPN典型配置—LNS(1)創(chuàng)建虛擬接口模板。[LNS]interfaceVirtual-Template1[LNS-Virtual-Template1]ipaddress24[LNS-Virtual-Template1]pppauthentication-modechap[LNS-Virtual-Template1]remoteaddresspool1將虛擬接口模板加入平安區(qū)域。(步驟省略)配置L2TP組。[LNS]l2tpenable[LNS]l2tp-group1[LNS-l2tp1]allowl2tpvirtual-template1(remoteClient01)[LNS-l2tp1]tunnelauthentication[LNS-l2tp1]tunnelpasswordsimplehello[LNS-l2tp1]tunnelnamelnsL2TPVPN典型配置—LNS(2)配置用戶名及密碼(應(yīng)與用戶側(cè)的設(shè)置一樣)[LNS]user-manageuservpdnuser[LNS-localuser-vpdnuser]passwordAdmin@123[LNS-localuser-vpdnuser]parent-group/default配置給用戶支配的地址池[LNS]aaa[LNS-aaa]domaindefault[LNS-aaa-domain-default]ippool19配置防火墻平安策略(略)L2TPVPN典型配置—LNS(Web)啟用L2TP服務(wù)配置L2TP組單擊“新建”,創(chuàng)建一個(gè)L2TP的用戶。L2TPVPN典型配置—LNS(Web)PPP協(xié)商的本端IP地址,相當(dāng)于叮囑行配置中的虛接口模板地址。運(yùn)用CHAP認(rèn)證。配置LNS端其它參數(shù)NAS-Initialized方式L2TPVPNLAC相當(dāng)于托運(yùn)處LAC:你的貨物可以通過,有什么須要幫忙的?VPN用戶:請把這些貨物托運(yùn)到XX街XX號(hào)L2TPTUNNEL遠(yuǎn)地用戶分支結(jié)構(gòu)LACLNSPSTN以太網(wǎng)PPPPPPOE總部服務(wù)器書目VPN技術(shù)簡介VPN分類VPN技術(shù)應(yīng)用3.1二層VPN技術(shù)及配置3.2三層VPN技術(shù)及配置GRE協(xié)議概述GRE(GenericRoutingEncapsulation):是對(duì)某些網(wǎng)絡(luò)層協(xié)議(如:IP,IPX,AppleTalk等)的數(shù)據(jù)報(bào)進(jìn)行封裝,使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議(如IP)中傳輸INTERNET總部GRETunnel防火墻A防火墻BIPX網(wǎng)絡(luò)IPX網(wǎng)絡(luò)鏈路層GREIPXIPPayloadGRE的實(shí)現(xiàn)-隧道接口隧道接口(Tunnel接口)是為實(shí)現(xiàn)報(bào)文的封裝而供應(yīng)的一種點(diǎn)對(duì)點(diǎn)類型的虛擬接口,與Loopback接口類似,都是一種邏輯接口目的地址隧道接口IP地址封裝類型源地址GRE的實(shí)現(xiàn)-封裝與解封裝FWAFWBGRETUNNELNexthop:tunnel協(xié)議字段:47封裝解封GREVPN典型應(yīng)用場景描述運(yùn)行IP協(xié)議的兩個(gè)子網(wǎng)網(wǎng)絡(luò)1和網(wǎng)絡(luò)2,通過在防火墻A和防火墻B之間運(yùn)用三層隧道協(xié)議GRE實(shí)現(xiàn)互聯(lián)。INTERNET總部GRETunnelG1/0/1/24Tunnel1/24Tunnel1/24G1/0/1/24防火墻A防火墻B/24/24GREVPN配置思路基礎(chǔ)配置配置tunnel邏輯接口配置到對(duì)端網(wǎng)絡(luò)內(nèi)網(wǎng)網(wǎng)段的路由放開相應(yīng)的域間規(guī)則GREVPN典型配置(叮囑行)配置防火墻A?;九渲茫裕?。創(chuàng)建并配置Tunnel1接口[USG_A]interfacetunnel1[USG_A-Tunnel1]ipaddress24[USG_A-Tunnel1]tunnel-protocolgre[USG_A-Tunnel1]source[USG_A-Tunnel1]destination配置從防
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 關(guān)于土地流轉(zhuǎn)協(xié)議
- 顱縫早閉病因介紹
- 醫(yī)患爭議調(diào)解協(xié)議書
- 2025就業(yè)協(xié)議樣本
- 河南省許昌市(2024年-2025年小學(xué)六年級(jí)語文)統(tǒng)編版質(zhì)量測試(下學(xué)期)試卷及答案
- 《電機(jī)技術(shù)應(yīng)用》課件 3.1.2 直流電機(jī)電樞繞組
- (可研報(bào)告)天津東疆保稅區(qū)設(shè)立spv公司可行性報(bào)告
- (2024)紙塑復(fù)合袋生產(chǎn)建設(shè)項(xiàng)目可行性研究報(bào)告(一)
- (2024)觀光餐廳建設(shè)項(xiàng)目可行性研究報(bào)告(一)
- 2023年天津市濱海新區(qū)八所重點(diǎn)學(xué)校高考語文聯(lián)考試卷
- EXCEL綜合上機(jī)操作題(20220127214107)
- 人工挖探孔專項(xiàng)施工方案(共17頁)
- 復(fù)合肥料配方大公開
- 奧地利全英文簡介(課堂PPT)
- 鄰近營業(yè)線施工方案)
- 頸動(dòng)脈斑塊的識(shí)別與處理.ppt
- 揚(yáng)州市梅嶺二年級(jí)數(shù)學(xué)上冊期末復(fù)習(xí)試卷(一)及答案
- 新西蘭旅行計(jì)劃日行程單簽證
- 三方比價(jià)單74440
- 標(biāo)準(zhǔn)人手孔面積與土方表
- UNI 鋼材對(duì)照表
評(píng)論
0/150
提交評(píng)論