网络互联技术与实训 第14章 VPN技术

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,网络互联技术与实训,主 编 鲁顶柱 刘邦桂,中国水利水电出版社,第十四章,VPN,技术,理解,VPN,技术的基本原理,2,掌握,GRE VPN,的配置,3,1,理解,VPN,技术的概念,了解,L2TP,和,IPSec,技术,概念,VPN(Virtual,Private Network,，虚拟专用网络或虚拟私有网络,),技术是利用,Internet,或其它公共互联网络的基础设施为用户创建隧道，并提供与专用、私有网络一样的安全和具有功能保障的一种技术。,V,概念,隧道技术,隧道,(,Tuunel,),技术是指通过一种协议,(,承载协议,),来传送另一种协议,(,载荷协议,),的技术。使用承载协议建立隧道，隧道里传递的数据包都是载荷协议类型的数据包。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。,V,基本原理,封装,封装,(Encapsulation),是指在某个协议的数据包外面加上特定的包头、包尾等，来标记某种信息。其它协议可以根据这些标记信息来对封装后的数据包进行处理，而不需要了解封装包里面的协议和数据。,V,基本原理,验证和授权,VPN,技术一般使用公共网络建立隧道进行私有数据的传输，而公共网络是任何人都可接入的，为了使具备访问权限的人才可以通过隧道进行私有数据传输，就需要对访问者的身份进行验证并在验证后进行授权。它们是对,VPN,的连接权限提供保护。,V,基本原理,加解密,私密数据在隧道中传输容易被窃听和篡改,(,由于隧道建立在公共网络里,),。为了保证数据的安全性，数据进入隧道前需要加密，而在离开隧道后需要进行解密。加解密是对数据进行保护。,V,基本原理,主要的,VPN,技术,二层,VPN,技术：,L2TP,，,PPTP,，,MPLS L2 VPN,三层,VPN,技术：,GRE,，,IPSec VPN,，,BGP/MPLS VPN,V,概念,GRE VPN,概念,GRE,（,Generic Routing Encapsulation,）：通用路由封装技术。这种技术是在,IP,数据包的外面再加上一个,IP,头。通俗的说，就是把私有数据进行一下伪装，加上一个,“,外套,”,，传送到其他地方,。,GRE VPN,基本原理,GRE VPN,工作原理,有两个,IP,私网,A,和,B,，它们之间隔着一个,IP,公网。私网,A,和,B,内主机分别使用私网,IP,地址,10.1.1.0/24,和,10.1.3.0/24,。路由器,A,（,RTA,）的以太网口,E0/0,连接到私网,A,，其,IP,地址为,10.1.1.1,；另外一个串口,S0/0,连接到互联网，其,IP,地址为,210.1.1.1,。路由器,B,（,RTB,）的以太网口,E0/0,连接到私网,B,，其,IP,地址为,10.1.3.1,；另外一个串口,S0/0,连接到互联网，其,IP,地址为,211.1.1.1,。,GRE VPN,基本原理,GRE VPN,基本原理,RTA,RTB,IP,公网,IP,私网,B,IP,私网,A,GRE Tunnel,私网,A,私网,B,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,211.1.1.1/24,210.1.1.1/24,IP,私网之间的数据流,私网,IP,包,GRE,封装包,私网,IP,包,1,1,1,3,2,1,图,14-1,GRE,原理示意图,GRE,分别在,RTA,和,RTB,上建立了一个隧道口,(,注意：隧道口只是一个逻辑的接口，它需要绑定在物理接口上,),，分别绑在,RTA,和,RTB,的,S0/0,接口上。隧道穿过,IP,公网，隧道口的私网,IP,地址分别为：,10.1.2.1/24,，,10.1.2.2/24,；而隧道口绑定的公网接口,IP,地址为：,210.1.1.1,，,211.1.1.1,GRE VPN,基本原理,注意：,两个隧道口的,IP,地址必须在同一网段（只限于隧道口的,IP,地址），因为从逻辑上讲两个隧道口之间是直连的；隧道穿了公网，所以两个隧道口绑定的公网接口,IP,一般都在不同网段。,但在,GRE,隧道两端的两个私网中的私网,IP,地址不可以在同一网段，否则这个网段无法跟隧道另一侧的私网通信。,GRE VPN,基本配置过程,创建虚拟,Tunnel,接口（系统视图）,指定,Tunnel,的源端,(Tunnel,接口视图,),指定,Tunnel,的目的端,(Tunnel,接口视图,),设置,Tunnel,接口的网络地址,(Tunnel,接口视图,),配置通过,Tunnel,的路由,GRE VPN,基本配置,创建虚拟,Tunnel,接口（系统视图）,SYSinterface,tunnel,number,number,：,Tunnel,接口号，范围,0,1023,如果尚未创建，指令则先创建,Tunnel,接口并进入,Tunnel,接口视图；如果已经创建，则执行,interface tunnel number,命令可以进入指定隧道的接口视图。,Tunnel,接口号只具有本地意义，隧道两端可以使用相同或不同的接口号。缺省情况下，设备上无,Tunnel,接口。,GRE VPN,基本配置,指定,Tunnel,的源端,(Tunnel,接口视图,),SYS-Tunnel0source,ip-addr,|,interface-type interface-num,ip-addr,：使用点分十进制的地址形式来指定发出,GRE,报文的实际接口的,IP,地址,(,一般为公网,IP),。,interface-type interface-num,：接口类型及接口号，接口包括：,Ethernet,、,Serial,、,ATM,、,Tunnel,和,Loopback,等。,GRE VPN,基本配置,指定,Tunnel,的目的端,(Tunnel,接口视图,),SYS-Tunnel0destination,ip-addr,ip-addr,：使用点分十进制的地址形式来指定发出,GRE,报文的实际接口的,IP,地址,(,一般为公网,IP),。,interface-type interface-num,：接口类型及接口号，接口包括：,Ethernet,、,Serial,、,ATM,、,Tunnel,和,Loopback,等。,GRE VPN,基本配置,注意：,Tunnel,接口的源端地址是发出,GRE,报文的接口的物理地址，该地址一般设置为对端,Tunnel,接口的目的地址。,设置,Tunnel,接口的网络地址,(Tunnel,接口视图,),SYS-Tunnel0,ip address,ip,-address mask,两端的,Tunnel,接口都需要设置,IP,地址，并且要在同一网段,GRE VPN,基本配置,注意：,指定的隧道目的地址是接收,GRE,报文的实际物理接口的,IP,地址，该地址必须与对端,Tunnel,接口指定的源地址相同，并且要保证到对端物理接口的路由可达。不能对两个或两个以上使用同种封装协议的,Tunnel,接口配置完全相同的源地址和目的地址。,配置通过,Tunnel,的路由,目的是指定需要从隧道传递的数据包，也就是说到对端网络的哪个,IP,网段的数据包需要从隧道转发。,GRE VPN,基本配置,配置通过,Tunnel,的路由,对于路由器,A,到私网,10.1.3.0/24,这个网段的数据包需要通过,GRE,隧道；对于路由器,B,到私网,10.1.1.0/24,这个网段的数据包需要通过,GRE,隧道（两个私网的,IP,不可以在同一网段）；那可以这样来配置隧道的路由：,路由器,A(RTA),：,RTAip,route-static 10.1.3.0 255.255.255.0 tunnel0,路由器,B(RTB),：,RTBip,route-static 10.1.1.0 255.255.255.0 tunnel0,GRE VPN,基本配置,L2TP,L2TP(,Layer 2 Tunneling Protocol,二层隧道传输协议,),：,这是一种在特定链路层实现的,VPN,技术。具体是把二层协议,PPP,的报文封装在,IP,报文中进行传输。,IPsec(Internet,Protocol Security,，互联网络安全协议,),：这个协议提供了互联网的验证，加密等功能，实现了数据的安全传输。,L2TP,和,IPSec,习题与思考,什么是承载协议，什么是载荷协议？,同一个,VPN,的两个隧道接口的,IP,地址如果不在同一网段，隧道能搭建成功吗？为什么？,没有使用加密技术的,GRE VPN,能保证安全吗,?,Thank You!,http:/