光盘VPN.docx

光盘VPN.docx

《光盘VPN.docx》由会员分享，可在线阅读，更多相关《光盘VPN.docx（117页珍藏版）》请在冰豆网上搜索。

光盘VPN

目 录

第1章VPN概述...1-1

1.1VPN简介..1-1

1.2VPN的基本技术..1-2

1.3VPN的分类..1-4

第2章L2TP协议配置...2-1

2.1L2TP协议简介..2-1

2.1.1VPDN概述..2-1

2.1.2L2TP协议介绍..2-2

2.2L2TP协议配置..2-7

2.2.1LAC配置..2-7

2.2.2LNS配置..2-13

2.3L2TP显示和调试..2-22

2.4L2TP典型配置举例..2-22

2.4.1L2TP配置典型举例..2-22

2.4.2出租Eudemon防火墙配置举例..2-25

2.4.3复杂的组网情况..2-29

2.5L2TP故障诊断与排除..2-29

第3章GRE协议配置...3-1

3.1GRE协议简介..3-1

3.2GRE配置..3-4

3.2.1创建虚拟Tunnel接口..3-5

3.2.2配置Tunnel接口报文的封装模式..3-5

3.2.3指定Tunnel的源端..3-6

3.2.4指定Tunnel的目的端..3-6

3.2.5配置Tunnel接口的网络地址..3-7

3.2.6配置Tunnel两端进行端到端校验..3-7

3.2.7配置Tunnel接口的识别关键字..3-8

3.2.8配置通过Tunnel的路由..3-8

3.3GRE显示和调试..3-9

3.4GRE典型配置举例..3-9

3.5GRE故障诊断与排除..3-11

第4章IPSec配置...4-1

4.1IPSec概述..4-1

4.1.1IPSec协议简介..4-1

4.1.2IKE协议简介..4-2

4.1.3IPSec基本概念..4-5

4.1.4IPSec的NAT穿越..4-7

4.1.5IPSec在Eudemon上的实现..4-7

4.1.6IPSec在加密卡硬件上的实现..4-9

4.2IPSec配置..4-10

4.2.1配置访问控制列表..4-12

4.2.2配置安全提议..4-13

4.2.3配置安全策略..4-16

4.2.4在接口上应用安全策略组..4-21

4.2.5IPSec其他配置..4-22

4.2.6配置IKE协商时的本地ID.4-24

4.2.7指定IKE对端属性..4-24

4.2.8创建IKE安全提议..4-27

4.2.9IKE其他配置..4-30

4.3IPSec显示与调试..4-31

4.3.1IPSec显示与调试..4-31

4.3.2IKE显示与调试..4-32

4.3.3清除IPSec的报文统计信息..4-33

4.3.4删除安全联盟..4-33

4.3.5IPSec加密卡的显示与复位..4-34

4.4IPSec典型配置举例..4-35

4.4.1采用manual方式建立安全联盟的配置..4-35

4.4.2采用isakmp方式建立安全联盟的配置..4-38

4.4.3IKE典型配置举例..4-42

4.5IKE故障诊断与排除..4-45

第1章 VPN概述

1.1 VPN简介

虚拟私有网（VirtualPrivateNetwork）简称VPN，是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，用以实现在公用网络上构建私人专用网络。

“虚拟”主要指这种网络是一种逻辑上的网络。

伴随企业和公司的不断扩张，员工出差日趋频繁，驻外机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。

1.VPN的特点

●             VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。

●             VPN只为特定的企业或用户群体所专用。

从VPN用户角度看来，使用VPN与传统专网没有区别。

VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。

●             VPN不是一种简单的高层业务。

该业务建立专网用户之间的网络互联，包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等，因此VPN技术就比各种普通的点对点的应用机制要复杂得多。

2.VPN的优势

●             在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。

这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。

●             利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率，有助于增加ISP（InternetServiceProvider，Internet服务提供商）的收益。

●             只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。

这使得VPN的应用具有很大灵活性。

●             支持驻外VPN用户在任何时间、任何地点的移动接入，这将满足不断增长的移动业务需求。

●             构建具有服务质量保证的VPN（如MPLSVPN），可为VPN用户提供不同等级的服务质量保证，通过收取不同的业务使用费用可获得更多的利润。

1.2 VPN的基本技术

1.VPN基本组网应用

以某企业为例，通过VPN建立的企业内部网如下图所示：

图1-1VPN组网示意图

从上图可以看出，企业内部资源享用者通过PSTN/ISDN网或局域网就可以连入本地ISP的POP（PointofPresence）服务器，从而访问公司内部资源。

而利用传统的WAN组建技术，相互之间要有专线相连才可以达到同样的目的。

虚拟网组成后，远端用户和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源，这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。

企业开设VPN业务所需的设备很少，只需在资源共享处放置一台支持VPN的服务器（如一台WindowsNT服务器或支持VPN的防火墙）就可以了。

资源享用者通过PSTN/ISDN网或局域网连入本地POP服务器后，直接呼叫企业的远程服务器（VPN服务器），呼叫接续过程由ISP的接入服务器（AccessServer）与VPN服务器共同完成。

2.VPN的原理

图1-2VPN接入示意图

如上图所示，VPN用户通过PSTN/ISDN网拨入ISP的NAS（NetworkAccessServer）服务器，NAS服务器通过用户名或接入号码识别出该用户为VPN用户后，就和用户的目的VPN服务器建立一条连接，称为隧道（Tunnel），然后将用户数据包封装成IP报文后通过该隧道传送给VPN服务器，VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。

反向的处理也一样。

隧道两侧可以对报文进行加密处理，使Internet上的其它用户无法读取，因而是安全可靠的。

对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，操作起来和实际物理链路相同。

隧道可以通过隧道协议来实现。

根据是在OSI模型的第二层还是第三层实现隧道，隧道协议分为第二层隧道协议和第三层隧道协议。

（1）       第二层隧道协议

第二层隧道协议是将整个PPP帧封装在内部隧道中。

现有的第二层隧道协议有：

●             PPTP（Point-to-PointTunnelingProtocol）：

点到点隧道协议，由微软、朗讯、3COM等公司支持，在WindowsNT4.0以上版本中支持。

该协议支持点到点PPP协议在IP网络上的隧道封装，PPTP作为一个呼叫控制和管理协议，使用一种增强的GRE（GenericRoutingEncapsulation）技术为传输的PPP报文提供流控和拥塞控制的封装服务。

●             L2F（Layer2Forwarding）协议：

二层转发协议，CISCO公司私有协议。

支持对更高级协议链路层的隧道封装，实现了拨号服务器和拨号协议连接在物理位置上的分离。

●             L2TP（Layer2TunnelingProtocol）：

二层隧道协议，由IETF起草，微软等公司参与，结合了上述两个协议的优点，为众多公司所接受。

并且已经成为标准RFC。

L2TP既可用于实现拨号VPN业务（VPDN接入），也可用于实现专线VPN业务。

（2）       第三层隧道协议

第三层隧道协议的起点与终点均在ISP内，PPP会话终止在NAS处，隧道内只携带第三层报文。

现有的第三层隧道协议主要有：

●             GRE（GenericRoutingEncapsulation）协议：

这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。

●             IPSec（IPSecurity）协议：

IPSec协议不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等协议。

GRE和IPSec主要用于实现专线VPN业务。

（3）       第二、三层隧道协议之间的异同

第三层隧道与第二层隧道相比，优势在于它的安全性、可扩展性与可靠性。

从安全性的角度看，由于第二层隧道一般终止在用户侧设备上，对用户网的安全及防火墙技术提出十分严峻的挑战；而第三层隧道一般终止在ISP网关上，因此一般情况下不会对用户网的安全技术提出较高要求。

从扩展性的角度看，第二层隧道内封装了整个PPP帧，这可能产生传输效率问题。

其次，PPP会话贯穿整个隧道并终止在用户侧设备上，导致用户侧网关必须要保存大量PPP会话状态与信息，这将对系统负荷产生较大的影响，也会影响到系统的扩展性。

此外，由于PPP的LCP及NCP协商都对时间非常敏感，这样隧道的效率降低会造成PPP对话超时等等一系列问题。

相反，第三层隧道终止在ISP的网关内，PPP会话终止在NAS处，用户侧网关无需管理和维护每个PPP对话的状态，从而减轻了系统负荷。

一般地，第二层隧道协议和第三层隧道协议都是独立使用的，如果合理地将这两层协议结合起来使用，将可能为用户提供更好的安全性（如将L2TP和IPSec协议配合使用）和更佳的性能。

1.3 VPN的分类

IPVPN是指利用IP设施（包括公用的Internet或专用的IP骨干网）实现WAN设备专线业务（如远程拨号、DDN等）的仿真。

IPVPN可有以下几种分类方法：

1.按运营模式划分

（1）       CPE-basedVPN（CustomerPremisesEquipmentbasedVPN）

用户不但要安装价格昂贵的设备及专门认证工具，还要负责繁杂的VPN维护（如通道维护、带宽管理等）。

这种方式组网复杂度高、业务扩展能力弱。

（2）       Network-basedVPN（NBIP-VPN）

将VPN的维护等外包给ISP实施（也允许用户在一定程度上进行业务管理和控制），并且将其功能特性集中在网络侧设备处实现，这样可以降低用户投资、增加业务灵活性和扩展性，同时也可为运营商带来新的收入。

2.按业务用途划分

（1）       IntranetVPN（企业内部虚拟专网）

IntranetVPN通过公用网络进行企业内部各个分布点互联，是传统的专线网或其它企业网的扩展或替代形式。

（2）       AccessVPN（远程访问虚拟专网）

AccessVPN向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的Intranet和Extranet建立私有的网络连接。

AccessVPN的结构有两种类型，一种是用户发起（Client-initiated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。

（3）       ExtranetVPN（扩展的企业内部虚拟专网）

ExtranetVPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处，使不同企业间通过公网来构筑VPN。

3.按组网模型划分

（1）       虚拟租用线（VLL）

VLL（VirtualLeasedLine）是对传统租用线业务的仿真，通过使用IP网络对租用线进行模拟，提供非对称、低成本的“DDN”业务。

从虚拟租用线两端的用户来看，该虚拟租用线近似于过去的租用线。

（2）       虚拟专用拨号网络（VPDN）

VPDN（VirtualPrivateDialNetwork）是指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。

（3）       虚拟专用LAN网段（VPLS）业务

VPLS（VirtualPrivateLANSegment）借助IP公共网络实现LAN之间通过虚拟专用网段互连，是局域网在IP公共网络上的延伸。

（4）       虚拟专用路由网（VPRN）业务

VPRN（VirtualPrivateRoutingNetwork）借助IP公共网络实现总部、分支机构和远端办公室之间通过网络管理虚拟防火墙进行互连，业务实现包括两类：

一种是使用传统VPN协议（如IPSec、GRE等）实现的VPRN，另外一种是MPLS方式的VPRN。

第2章 L2TP协议配置

2.1 L2TP协议简介

2.1.1 VPDN概述

VPDN（VirtualPrivateDialNetwork，虚拟私有拨号网）是指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。

VPDN采用专用的网络加密通信协议，在公共网络上为企业建立安全的虚拟专网。

企业驻外机构和出差人员可从远程经由公共网络，通过虚拟加密隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

VPDN有下列两种实现方式：

（1）       NAS通过隧道协议，与VPDN网关建立通道的方式。

这种方式将客户的PPP连接直接连到企业的网关上，目前可使用的协议有L2F与L2TP。

其好处在于：

对用户是透明的，用户只需要登录一次就可以接入企业网络，由企业网进行用户认证和地址分配，而不占用公共地址，用户可使用各种平台上网。

这种方式需要NAS支持VPDN协议，需要认证系统支持VPDN属性，网关一般使用防火墙或VPN专用服务器。

（2）       客户机与VPDN网关建立隧道的方式。

这种方式由客户机先建立与Internet的连接，再通过专用的客户软件（如Win2000支持的L2TP客户端）与网关建立通道连接。

其好处在于：

用户上网的方式和地点没有限制，不需ISP介入。

缺点是：

用户需要安装专用的软件（一般都是Win2000平台），限制了用户使用的平台。

VPDN隧道协议可分为PPTP、L2F和L2TP三种，目前使用最广泛的是L2TP。

2.1.2 L2TP协议介绍

1.协议背景

PPP协议定义了一种封装技术，可以在二层的点到点链路上传输多种协议数据包，这时用户与NAS之间运行PPP协议，二层链路端点与PPP会话点驻留在相同硬件设备上。

L2TP协议提供了对PPP链路层数据包的通道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互，从而扩展了PPP模型。

L2TP协议结合了L2F协议和PPTP协议的各自优点，成为IETF有关二层隧道协议的工业标准。

2.典型L2TP组网应用

使用L2TP协议构建的VPDN应用的典型组网如下图所示：

图2-1应用L2TP构建的VPDN服务

其中，LAC表示L2TP访问集中器（L2TPAccessConcentrator），是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。

LAC一般是一个网络接入服务器NAS，主要用于通过PSTN/ISDN网络为用户提供接入服务。

LNS表示L2TP网络服务器（L2TPNetworkServer），是PPP端系统上用于处理L2TP协议服务器端部分的设备。

LAC位于LNS和远端系统（远地用户和远地分支机构）之间，用于在LNS和远端系统之间传递信息包，把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS，将从LNS收到的信息包进行解封装并送往远端系统。

LAC与远端系统之间可以采用本地连接或PPP链路，VPDN应用中通常为PPP链路。

LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是被LAC进行隧道传输的PPP会话的逻辑终止端点。

3.L2TP协议的技术细节

（1）       L2TP协议结构

图2-2L2TP协议结构

上图所示L2TP协议结构描述了PPP帧和控制通道以及数据通道之间的关系。

PPP帧在不可靠的L2TP数据通道上进行传输，控制消息在可靠的L2TP控制通道内传输。

通常L2TP数据以UDP报文的形式发送。

L2TP注册了UDP1701端口，但是这个端口仅用于初始的隧道建立过程中。

L2TP隧道发起方任选一个空闲的端口（未必是1701）向接收方的1701端口发送报文；接收方收到报文后，也任选一个空闲的端口（未必是1701），给发送方的指定端口回送报文。

至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。

（2）       隧道和会话的概念

在一个LNS和LAC对之间存在着两种类型的连接，一种是隧道（Tunnel）连接，它定义了一个LNS和LAC对；另一种是会话（Session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。

在同一对LAC和LNS之间可以建立多个L2TP隧道，隧道由一个控制连接和一个或多个会话（Session）组成。

会话连接必须在隧道建立（包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换）成功之后进行，每个会话连接对应于LAC和LNS之间的一个PPP数据流。

控制消息和PPP数据报文都在隧道上传输。

L2TP使用Hello报文来检测隧道的连通性。

LAC和LNS定时向对端发送Hello报文，若在一段时间内未收到Hello报文的应答，该会话将被清除。

（3）       控制消息和数据消息的概念

L2TP中存在两种消息：

控制消息和数据消息。

控制消息用于隧道和会话连接的建立、维护以及传输控制；数据消息则用于封装PPP帧并在隧道上传输。

控制消息的传输是可靠传输，并且支持对控制消息的流量控制和拥塞控制；而数据消息的传输是不可靠传输，若数据报文丢失，不予重传，不支持对数据消息的流量控制和拥塞控制。

控制消息和数据消息共享相同的报文头。

L2TP报文头中包含隧道标识符（TunnelID）和会话标识符（SessionID）信息，用来标识不同的隧道和会话。

隧道标识相同、会话标识不同的报文将被复用在一个隧道上，报文头中的隧道标识符与会话标识符由对端分配。

4.两种典型的L2TP隧道模式

远端系统或LAC客户端（运行L2TP协议的主机）与LNS之间对PPP帧的隧道模式如下图所示：

图2-3两种典型的L2TP隧道模式

（1）       由远程拨号用户发起。

远程系统通过PSTN/ISDN拨入LAC，由LAC通过Internet向LNS发起建立通道连接请求。

拨号用户地址由LNS分配；对远程拨号用户的验证与计费既可由LAC侧的代理完成，也可在LNS侧完成。

（2）       直接由LAC客户（指可在本地支持L2TP协议的用户）发起。

此时LAC客户可直接向LNS发起通道连接请求，无需再经过一个单独的LAC设备。

此时，LAC客户地址的分配由LNS来完成。

5.L2TP隧道会话的建立过程

L2TP通道的呼叫建立流程可如下图所示：

图2-4L2TP隧道的呼叫建立流程

L2TP隧道的呼叫建立流程可如下图所示：

图2-5L2TP隧道的呼叫建立流程

L2TP隧道的呼叫建立流程过程为：

（1）       用户端PC机发起呼叫连接请求；

（2）       PC机和LAC端（Eudemon_A）进行PPPLCP协商；

（3）       LAC对PC机提供的用户信息进行PAP或CHAP认证；

（4）       LAC将认证信息（用户名、密码）发送给RADIUS服务器进行认证；

（5）       RADIUS服务器认证该用户，如果认证通过则返回该用户对应的LNS地址等相关信息，并且LAC准备发起Tunnel连接请求；

（6）       LAC端向指定LNS发起Tunnel连接请求；

（7）       LAC端向指定LNS发送CHAPchallenge信息，LNS回送该challenge响应消息CHAPresponse，并发送LNS侧的CHAPchallenge，LAC返回该challenge的响应消息CHAPresponse；

（8）       隧道验证通过；

（9）       LAC端将用户CHAPresponse、responseidentifier和PPP协商参数传送给LNS；

（10）   LNS将接入请求信息发送给RADIUS服务器进行认证；

（11）   RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；

（12）   若用户在LNS侧配置强制本端CHAP认证，则LNS对用户进行认证，发送CHAPchallenge，用户侧回应CHAPresponse；

（13）   LNS再次将接入请求信息发送给RADIUS服务器进行认证；

（14）   RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；

（15）   验证通过，用户访问企业内部资源。

6.L2TP协议的特点

●             灵活的身份验证机制以及高度的安全性

L2TP协议本身并不提供连接的安全性，但它可依赖于PPP提供的认证（比如CHAP、PAP等），因此具有PPP所具有的所有安全特性。

L2TP可与IPSec结合起来实现数据安全，这使得通过L2TP所传输的数据更难被攻击。

L2TP还可根据特定的网络安全要求在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。

●             多协议传输

L2TP传输PPP数据包，这样就可以在PPP数据包内封装多种协议。

●             支持RADIUS服务器的验证

LAC端将用户名和密码发往RADIUS服务器进行验证申请，RADIUS服务器负责接收用户的验证请求，完成验证。

●             支持内部地址分配

LNS可放置于企业网的防火墙之后，它可以对远端用户的地址进行动态的分配和管理，可支持私有地址