VPN原理详解.

HUAWEITECHNOLOGIESCO.,LTD.协议原理ISSUE1.0HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage1本课程主要介绍VPN协议原理以及分别介绍L2TP、GRE和IPSEC三种常见的实现VPN技术。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage2学习指南本课程全套资料包括培训胶片、配套原理教材、多媒体课件、试题、演练案例和教师教学指导书，合理有效利用上述资料您将会取得良好的学习效果。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage3参考资料VRP3.30《操作手册》、《命令手册》《故障信息收集排错指导书》。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage4学习完此课程，您将会：掌握VPN的概念和分类掌握实现IPVPN的相关协议。HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage5第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKEHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage6VPN的定义VPN——VirtualPrivateNetworkInternet出差员工隧道专线办事处总部分支机构合作伙伴异地办事处HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage7VPN的分类按应用类型分类：AccessVPNIntranetVPNExtranetVPN按实现的层次分类：二层隧道VPN三层隧道VPNHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage8VPDN适用范围：出差员工异地小型办公机构POPPOP用户直接发起连接POPISP发起连接总部隧道HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage9IntranetVPNInternet/ISPIPATM/FR隧道总部研究所办事处分支机构HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage10ExtranetVPNInternet/ISPIPATM/FR分支机构合作伙伴总部异地办事处HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage11按实现的层次分类二层隧道VPNL2TP:Layer2TunnelProtocol(RFC2661)PPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocolHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage12VPN设计原则安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage13第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKEHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage14L2TP协议概述L2TP:Layer2TunnelProtocol第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.特性灵活的身份验证机制以及高度的安全性多协议传输支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage15使用L2TP构建VPDNLAC:L2TPAccessConcentratorL2TP的接入集中器LNS:L2TPNetworkServerL2TP的网络服务器LAC/LNSRadius:LAC/LNS的远端验证服务器PSTN/ISDNLAN总部LACLNSQuidwayNASQuidwayRouterL2TP消息数据消息控制消息会话隧道出差员工RLACRADIUSRLNSRADIUSHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage16L2TP隧道和会话建立流程隧道、会话建立流程L2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。隧道建立流程：三次握手会话建立流程：三次握手LACLNSSCCRQSCCRPSCCCNLACLNSICRQICRPICCNHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage17L2TP隧道和会话维护和拆除流程隧道维护流程LAC/LNSLNS/LACHelloZLB隧道拆除流程会话维护流程LAC/LNSLNS/LACStopCNNZLBLAC/LNSLNS/LACCDNZLBHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage18L2TP协议栈结构及数据包的封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧解封装过程L2TP协议栈结构HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage19L2TP隧道和会话的验证过程ICCN（用户CHAPResponse&PPP已经协商好的参数）SCCCN(LACCHAPResponse)SCCRQ(LACCHAPChallenge)呼叫建立PPPLCP协商通过LACCHAPChallenge用户CHAPResponse隧道验证(可选)LNSCHAPChallenge可选的第二次验证用户CHAPResponse验证通过PSTN/ISDNInternetLACLNSHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage20第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKEHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage21GREGRE(GenericRoutingEncapsulation):是对某些网络层协议（如：IP,IPX,AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnelHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage22GRE协议栈IP/IPXGREIP链路层协议乘客协议封装协议运输协议GRE协议栈隧道接口的报文格式链路层GREIP/IPXIPPayloadHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage23使用GRE构建VPNOriginalDataPacketTransferProtocolHeaderGREHeaderInternetTunnel企业总部分支机构HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage24第1章VPN概述第2章L2TP第3章GRE第4章IPSec&IKEHUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage25IPSecIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage26IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议−MD5(MessageDigest5)−SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议−DES(DataEncryptionStandard)−3DES−其他的加密算法：Blowfish，blowfish、cast…HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage27IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证（DataAuthentication）反重放（Anti-Replay）HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage28IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全策略安全提议HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage29AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage30ESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage31IKEIKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage32IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage33IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2HUAWEITECHNOLOGIESCO.,LTD.HUAWEIConfidentialPage34DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdam