1、VPN原理和配置,日期:#,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,H3C安全网络学院教程1.0,随着网络应用的发展,组织需要将Intranet、Extranet和Internet接入融合起来组织越来越需要降低昂贵的专线网络布署、使用和维护费用,缩减布署周期,提高灵活性,引入,理解VPN的体系结构掌握GRE VPN的工作原理和配置掌握L2TP VPN的工作原理和配置掌握IPSec VPN的工作原理和配置执行基本的VPN设计,课程目标,学习完本课程,您应该能够:#,VPN概述GRE VPNL2TPIPSec VPNVPN设计规划,目录,VPN概述,VPN概念VPN的分类主要V
2、PN技术,VPN(Virtual Private Network),合作伙伴,隧道,办事处,总部,分支机构,异地办事处,Internet,VPN的优势,可以快速构建网络,减小布署周期与私有网络一样提供安全性,可靠性和可管理性简化用户侧的配置和维护工作提高基础资源利用率节约使用开销有效利用基础设施,提供大量、多种业务,VPN的关键概念术语,隧道(Tunnel)封装(Encapsulation)验证(Authentication)授权(Authorization)加密(Encryption)解密(Decryption),VPN的分类方法,按照业务用途分类Access VPN,Intranet VP
3、N,Extranet VPN按照运营模式CPE-Based VPN,Network-Based VPN按照组网模型VPDN,VPRN,VLL,VPLS 按照网络层次Layer 1 VPN,Layer 2 VPN,Layer 3 VPN,传输层VPN,应用层VPN,不同网络层次的VPN,一层 VPN二层 VPN三层 VPN传输层VPN应用层VPN,主要VPN技术,主要的二层VPN技术L2TPPPTPMPLS L2 VPN主要的三层VPN技术GREIPSec VPNBGP/MPLS VPN,其它VPN技术,老式VPN技术包括ATM,Frame Relay,X.25等分组交换技术SSL(Secure
4、 Sockets Layer)L2F(Layer 2 Forwarding)DVPN(Dynamic Virtual Private Network,动态VPN)基于VLAN的VPN802.1QinQXOT(X.25 over TCP Protocol),VPN概述GRE VPNL2TPIPSec VPNVPN设计规划,目录,GRE VPN,概述GRE封装GRE VPN工作原理GRE VPN配置GRE VPN典型应用小结,GRE VPN,GRE(Generic Routing Encapsulation)在任意一种网络协议上传送任意一种其它网络协议的封装方法 RFC 2784可以用于任意的VP
5、N实现GRE VPN直接使用GRE封装,在一种网络上传送其它协议虚拟的隧道(Tunnel)接口,GRE协议栈,协议B,GRE,协议A,链路层协议,载荷协议,封装协议,承载协议,协议B载荷,GRE封装包格式,链路层,GRE,协议B,协议A,载荷,载荷协议包,以IP作为承载协议的GRE封装,GRE被当作一种IP协议对待IP用协议号47标识GRE,链路层,GRE,IP,IP协议号47,以IP作为载荷协议的GRE封装,GRE使用以太类型标识载荷协议载荷协议类型值0 x0800说明载荷协议为IP,IP over IP的GRE封装,GRE隧道,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站
6、点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IPX数据流,IPX包,IPX包,GRE封装包,IP over IP GRE隧道,RTA,RTB,IP公网,IP私网,IP私网,GRE Tunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,IP私网之间的数据流,私网IP包,GRE封装包,私网IP包,GRE隧道处理流程,隧道起点路由查找加封装承载协议路由转发中途转发解
7、封装隧道终点载荷协议路由查找,GRE隧道处理隧道起点路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,GRE隧道处理加封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1
8、/24,RTA Tunnel0接口参数:#GRE封装 源接口S0/0,地址202.1.1.1 目标地址203.1.1.2,D,S,私网IP包,GRE头,公网IP头,目的地址:#203.1.1.2,源地址:#202.1.1.1,S0/0,S0/0,E0/0,E0/0,GRE隧道处理承载协议路由转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,S0/0,S0/0,E0/0,E0/0,GRE隧道处理中途转
9、发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,GRE隧道处理解封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTB Tunnel0接口参数:#GRE封装 源接
10、口S0/0,地址202.1.1.1 目标地址203.1.1.2,D,S,私网IP包,GRE头,公网IP头,私网IP包,S0/0,S0/0,E0/0,E0/0,GRE隧道处理隧道终点载荷协议路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,S0/0,S0/0,E0/0,E0/0,GRE VPN基本配置,创建虚拟Tunnel接口 H3C interface tunnel number 指定Tunne
11、l的源端 H3C-Tunnel0 source ip-addr|interface-type interface-num 指定Tunnel的目的端 H3C-Tunnel0 destination ip-address 设置Tunnel接口的网络地址 H3C-Tunnel0 ip address ip-address mask配置通过Tunnel的路由,GRE VPN路由配置,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,载荷网路由AS,承载网路由AS,GRE VPN高级配置,设置Tunnel接口报文的封装模
12、式 H3C-Tunnel0 tunnel-protocol gre设置Tunnel两端进行端到端校验 H3C-Tunnel0 gre checksum设置Tunnel接口的识别关键字 H3C-Tunnel0 gre key key-number 配置Tunnel的keepalive功能 H3C-Tunnel0 keepalive interval times,虚假的Tunnel接口状态,RTA,RTB,站点A,站点B,E1/0,E1/0,E0/0,E0/0,Tunnel0,Tunnel0,备份隧道空闲!#,服务器,服务器,RTC,E1/0,E0/0,Tunnel0,Tunnel1,UP,UP,
13、UP,UP,GRE VPN配置示例网络拓扑,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,132.108.5.2/24,192.13.2.1/24,GRE VPN配置示例配置命令,RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0 RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0RTB interface tunn
14、el 0 RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0 RTB-Tunnel0 source 132.108.5.2 RTB-Tunnel0 destination 192.13.2.1 RTB ip route-static 10.1.1.0 255.255.255.0 tunnel0,RTA-Serial1/0 ip address 192.13.2.1 255.255.255.0RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 RTA interface tunnel 0RTA-Tunnel0
15、 ip address 10.1.2.1 255.255.255.0 RTA-Tunnel0 source 192.13.2.1 RTA-Tunnel0 destination 132.108.5.2RTA ip route-static 10.1.3.0 255.255.255.0 tunnel0,GRE VPN的显示和调试,显示Tunnel接口的工作状态 display interface tunnel number 例如:#H3C display interfaces tunnel 1 Tunnel1 is up,line protocol is up Maximum Transmiss
16、ion Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input,640 bytes 0 input errors,0 broadcast,0 drops 10 packets output,640 bytes 0 output errors,0 broadcast,0 no protocol打开Tunnel调试信息 debugging tunnel,GRE VPN配置(web方式),新建GRE隧道在导航栏中选择“VPN GRE”,GRE VPN配置示例1(web方式),1,2,GRE VPN配置示例2(web方式),3,4,典型应用连接不连续的网络,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,Tunnel0,Tunnel0,S0/0,S0/0,E0/0,E0/0,典型应用单一骨干承载多个上层协议,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,Tunnel0,Tunnel0,IP,IP,Team1,Team2,Group1,Group2,S0/0,S0/0,
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1