VPN原理詳解課件_第1頁(yè)
VPN原理詳解課件_第2頁(yè)
VPN原理詳解課件_第3頁(yè)
VPN原理詳解課件_第4頁(yè)
VPN原理詳解課件_第5頁(yè)
已閱讀5頁(yè),還剩34頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、VPN協(xié)議原理0.本課程主要介紹VPN協(xié)議原理以及分別介紹L2TP 、GRE和IPSEC三種常見(jiàn)的實(shí)現(xiàn)VPN技術(shù)。前 言1.學(xué)習(xí)指南本課程全套資料包括培訓(xùn)膠片、配套原理教材、多媒體課件、試題、演練案例和教師教學(xué)指導(dǎo)書(shū),合理有效利用上述資料您將會(huì)取得良好的學(xué)習(xí)效果。2.參考資料VRP 3.30 操作手冊(cè)、命令手冊(cè)故障信息收集排錯(cuò)指導(dǎo)書(shū) 。3.學(xué)習(xí)完此課程,您將會(huì):掌握 VPN 的概念和分類掌握實(shí)現(xiàn) IP VPN 的相關(guān)協(xié)議。目 標(biāo)4.第1章 VPN概述第2章 L2TP第3章 GRE第4章 IPSec & IKE內(nèi)容介紹5.VPN的定義VPN Virtual Private NetworkInte

2、rnet出差員工隧道專線辦事處總部分支機(jī)構(gòu)合作伙伴異地辦事處6.VPN的分類按應(yīng)用類型分類:Access VPNIntranet VPNExtranet VPN按實(shí)現(xiàn)的層次分類:二層隧道 VPN三層隧道 VPN7.VPDN適用范圍:出差員工異地小型辦公機(jī)構(gòu)POPPOP用戶直接發(fā)起連接POPISP發(fā)起連接 總部隧道8.Intranet VPNInternet/ ISP IPATM/FR隧道總部研究所辦事處分支機(jī)構(gòu)9.Extranet VPNInternet/ ISP IPATM/FR分支機(jī)構(gòu)合作伙伴總部異地辦事處10.按實(shí)現(xiàn)的層次分類二層隧道VPNL2TP: Layer 2 Tunnel Pro

3、tocol (RFC 2661)PPTP: Point To Point Tunnel ProtocolL2F: Layer 2 Forwarding三層隧道VPN GRE : General Routing Encapsulation IPSEC : IP Security Protocol 11.VPN設(shè)計(jì)原則安全性隧道與加密數(shù)據(jù)驗(yàn)證用戶驗(yàn)證防火墻與攻擊檢測(cè)可靠性經(jīng)濟(jì)性擴(kuò)展性12.第1章 VPN概述第2章 L2TP第3章 GRE第4章 IPSec & IKE內(nèi)容介紹13.L2TP 協(xié)議概述L2TP: Layer 2 Tunnel Protocol 第二層隧道協(xié)議,是為在用戶和企業(yè)的服務(wù)器之

4、間透明傳輸PPP報(bào)文而設(shè)置的隧道協(xié)議.特性靈活的身份驗(yàn)證機(jī)制以及高度的安全性多協(xié)議傳輸 支持RADIUS服務(wù)器的驗(yàn)證支持內(nèi)部地址分配網(wǎng)絡(luò)計(jì)費(fèi)的靈活性可靠性14.使用L2TP 構(gòu)建VPDNLAC: L2TP Access Concentrator L2TP的接入集中器 LNS: L2TP Network Server L2TP的網(wǎng)絡(luò)服務(wù)器LAC/LNS Radius : LAC/LNS的遠(yuǎn)端驗(yàn)證服務(wù)器PSTN/ISDNLAN總部LACLNSQuidway NASQuidway RouterL2TP 消息數(shù)據(jù)消息控制消息會(huì)話隧道出差員工LAC RADIUSLNS RADIUS15.L2TP隧道和會(huì)

5、話建立流程隧道、會(huì)話建立流程L2TP的會(huì)話建立由PPP觸發(fā),隧道建立由會(huì)話觸發(fā)。由于多個(gè)會(huì)話可以復(fù)用在一條隧道上,如果會(huì)話建立前隧道已經(jīng)建立,則隧道不用重新建立。隧道建立流程:三次握手會(huì)話建立流程:三次握手LACLNSSCCRQSCCRPSCCCNLACLNSICRQ ICRPICCN 16.L2TP隧道和會(huì)話維護(hù)和拆除流程隧道維護(hù)流程LAC/LNSLNS/LAC HelloZLB隧道拆除流程會(huì)話維護(hù)流程LAC/LNSLNS/LAC StopCNNZLBLAC/LNSLNS/LAC CDNZLB17.L2TP 協(xié)議棧結(jié)構(gòu)及數(shù)據(jù)包的封裝過(guò)程私有IPPPPL2TPUDP公有IP鏈路層物理層物理層私

6、有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)鏈路層私有IPPPP物理層L2TPUDP公有IP鏈路層物理層物理層私有IP鏈路層物理層ClientLACLNSServerLAC側(cè)封裝過(guò)程LNS側(cè)解封裝過(guò)程L2TP協(xié)議棧結(jié)構(gòu)18.L2TP隧道和會(huì)話的驗(yàn)證過(guò)程ICCN(用戶 CHAP Response & PPP 已經(jīng)協(xié)商好的參數(shù))SCCCN (LAC CHAP Response)SCCRQ (LAC CHAP Challenge)呼叫建立PPP LCP 協(xié)商通過(guò)LAC CHAP Challenge用戶 CHAP Response隧道驗(yàn)證(可選)LNS CHAP Challen

7、ge可選的第二次驗(yàn)證用戶 CHAP Response驗(yàn)證通過(guò)PSTN/ISDNInternetLACLNS19.第1章 VPN概述第2章 L2TP第3章 GRE第4章 IPSec & IKE內(nèi)容介紹20.GREGRE (Generic Routing Encapsulation): 是對(duì)某些網(wǎng)絡(luò)層協(xié)議(如:IP, IPX, AppleTalk等)的數(shù)據(jù)報(bào)進(jìn)行封裝,使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議(如IP)中傳輸GRE 提供了將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制,使報(bào)文能夠在異種網(wǎng)絡(luò)中傳輸,異種報(bào)文傳輸?shù)耐ǖ婪Q為tunnel21.GRE 協(xié)議棧IP/IPXGREIP鏈路層協(xié)議乘

8、客協(xié)議封裝協(xié)議運(yùn)輸協(xié)議GRE協(xié)議棧隧道接口的報(bào)文格式鏈路層GREIP/IPXIPPayload22.使用GRE構(gòu)建VPNOriginal Data PacketTransfer Protocol HeaderGRE HeaderInternetTunnel企業(yè)總部分支機(jī)構(gòu)23.第1章 VPN概述第2章 L2TP第3章 GRE第4章 IPSec & IKE內(nèi)容介紹24.IPSecIPSec(IP Security)是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議IPSec包括報(bào)文驗(yàn)證頭協(xié)議AH(協(xié)議號(hào)51) 和報(bào)文安全封裝協(xié)議ESP(協(xié)議號(hào)50)兩個(gè)協(xié)議IPSec有隧道

9、(tunnel)和傳送(transport)兩種工作方式 25.IPSec 的組成IPSec 提供兩個(gè)安全協(xié)議AH (Authentication Header)報(bào)文認(rèn)證頭協(xié)議 MD5(Message Digest 5)SHA1(Secure Hash Algorithm)ESP (Encapsulation Security Payload)封裝安全載荷協(xié)議 DES (Data Encryption Standard) 3DES 其他的加密算法:Blowfish ,blowfish、cast 26.IPSec 的安全特點(diǎn)數(shù)據(jù)機(jī)密性(Confidentiality) 數(shù)據(jù)完整性(Data In

10、tegrity) 數(shù)據(jù)來(lái)源認(rèn)證 (Data Authentication) 反重放(Anti-Replay) 27.IPSec 基本概念數(shù)據(jù)流 (Data Flow)安全聯(lián)盟 (Security Association)安全參數(shù)索引 (Security Parameter Index)安全聯(lián)盟生存時(shí)間 (Life Time)安全策略安全提議28.AH協(xié)議數(shù)據(jù)IP 包頭數(shù)據(jù)IP 包頭AH數(shù)據(jù)原IP 包頭AH新IP 包頭傳輸模式隧道模式下一個(gè)頭負(fù)載長(zhǎng)度保留域安全參數(shù)索引(SPI)序列號(hào)驗(yàn)證數(shù)據(jù)AH頭結(jié)構(gòu)08163129.ESP 協(xié)議數(shù)據(jù)IP 包頭加密后的數(shù)據(jù)IP 包頭ESP頭部ESP頭新IP 包頭

11、傳輸模式隧道模式ESP尾部ESP驗(yàn)證ESP尾部ESP驗(yàn)證081624安全參數(shù)索引(SPI)序列號(hào)有效載荷數(shù)據(jù)(可變)填充字段(0-255字節(jié))填充字段長(zhǎng)度下一個(gè)頭驗(yàn)證數(shù)據(jù)ESP協(xié)議包結(jié)構(gòu)數(shù)據(jù)原IP 包頭加密部分30.IKE IKE(Internet Key Exchange,因特網(wǎng)密鑰交換協(xié)議) 為IPSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)通過(guò)數(shù)據(jù)交換來(lái)計(jì)算密鑰 31.IKE的安全機(jī)制完善的前向安全性數(shù)據(jù)驗(yàn)證身份驗(yàn)證身份保護(hù)DH交換和密鑰分發(fā)32.IKE的交換過(guò)程SA交換密鑰交換ID交換及驗(yàn)證發(fā)送本地IKE策略身份驗(yàn)證和交換過(guò)程驗(yàn)證密鑰生成密鑰生成接受對(duì)端確認(rèn)的策略查找匹配的策略身份驗(yàn)證和交換過(guò)程驗(yàn)證確認(rèn)對(duì)方使用的算法產(chǎn)生密鑰驗(yàn)證對(duì)方身份發(fā)起方策略接收方確認(rèn)的策略發(fā)起方的密鑰生成信息接收方的密鑰生成信息發(fā)起方身份和驗(yàn)證數(shù)據(jù)接收方的身份和驗(yàn)證數(shù)據(jù)Peer1Peer233.DH交換及密鑰產(chǎn)生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp= cbmodp=gabmodp(g ,p)34.IKE在IPSec中的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論