H3C_VPN原理及配置

第1章VPN原理和配置ISSUE1.1日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性引入理解VPN的体系结构掌握GREVPN的工作原理和配置掌握L2TPVPN的工作原理和配置掌握IPSecVPN的工作原理和配置能够执行基本的VPN设计课程目标学习完本课程，您应该能够：VPN概述GREVPNL2TPIPSecVPNVPN设计规划目录概述VPN概念VPN的分类主要VPN技术（VirtualPrivateNetwork）合作伙伴出差员工隧道专线办事处总部分支机构异地办事处InternetVPN（VirtualPrivateNetwork，虚拟私有网）以共享的公共网络为基础，构建私有的专用网络以虚拟的连接，而非以物理连接贯通网络处于私有的管理策略之下，具有独立的地址和路由规划RFC2764描述了基于IP的VPN体系结构的优势可以快速构建网络，减小布署周期与私有网络一样提供安全性，可靠性和可管理性可利用Internet，无处不连通，处处可接入简化用户侧的配置和维护工作提高基础资源利用率于客户可节约使用开销于运营商可以有效利用基础设施，提供大量、多种业务的关键概念术语隧道（Tunnel）封装（Encapsulation）验证（Authentication）授权（Authorization）加密（Encryption）解密（Decryption）的分类方法按照业务用途分类：AccessVPN，IntranetVPN，ExtranetVPN按照运营模式：CPE-BasedVPN，Network-BasedVPN按照组网模型：VPDN，VPRN，VLL，VPLS按照网络层次：Layer1VPN，Layer2VPN，Layer3VPN，传输层VPN，应用层VPN总部合作伙伴异地办事处分支机构Internet/ISPIPATM/FR网络网络研究所办事处分支机构，虚拟专线总部研究所办事处分支机构DLCI500DLCI600DLCI700DLCI600/601/602Internet/ISP网络网络总部，虚拟私有拨号网络适用范围：•出差员工•异地小型办公机构POPPOP用户直接发起连接POPISP发起连接总部隧道，虚拟私有LAN服务ISP网络虚拟的LAN连接研究所办事处分支机构LAN帧一层VPN二层VPN三层VPN传输层VPN应用层VPN技术主要的二层VPN技术L2TP：二层隧道协议PPTP：点到点隧道协议MPLSL2VPN主要的三层VPN技术GREIPSecVPNBGP/MPLSVPN技术老式VPN技术包括ATM，FrameRelay，X.25等分组交换技术SSL（SecureSocketsLayer）L2F（Layer2Forwarding）DVPN（DynamicVirtualPrivateNetwork，动态VPN）基于VLAN的VPN802.1QinQXOT（X.25overTCPProtocol）VPN概述GREVPNL2TPIPSecVPNVPN设计规划目录概述GRE封装GREVPN工作原理GREVPN配置GREVPN典型应用小结GRE(GenericRoutingEncapsulation)在任意一种网络协议上传送任意一种其它网络协议的封装方法RFC2784可以用于任意的VPN实现GREVPN直接使用GRE封装，在一种网络上传送其它协议虚拟的隧道（Tunnel）接口(optional)Offset(optional)Key(optional)SequenceNumber(optional)Routing(optional)012345678901234567890123456789012…012345678901234567890123456789012(PhaseIV)6003Ethertalk(Appletalk)809BNovellIPX8137ReservedFFFF(optional)Reserved1(optional)012345678901234567890123456789012(optional)Reserved1(optional)Key(optional)SequenceNumber(optional)012345678901234567890123456789012封装GRE被当作一种IP协议对待IP用协议号47标识GRE链路层GREIPIP协议号47封装GRE使用以太类型标识载荷协议载荷协议类型值0x0800说明载荷协议为IP载荷链路层GRE承载协议头载荷协议0x0800IP数据流IPX包IPX包GRE封装包私网之间的数据流私网IP包GRE封装包私网IP包隧道处理流程隧道起点路由查找加封装承载协议路由转发中途转发解封装隧道终点载荷协议路由查找隧道处理——隧道起点路由查找RTARTBIP公网IP私网IP私网站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/MaskProtocolCostNextHopInterface10.1.1.0/24DERECT0--LOOP010.1.2.0/24DERECT0--LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/24DERECT0--LOOP0203.1.1.0/24STATIC0202.1.1.2S0/0隧道处理——加封装RTARTBIP公网IP私网IP私网站点A站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTATunnel0接口参数：•GRE封装•源接口S0/0，地址202.1.1.1•目标地址203.1.1.2DS私网IP包GRE头公网IP头目的地址：203.1.1.2源地址：202.1.1.1S0/0S0/0E0/0E0/0隧道处理——承载协议路由转发RTARTBIP公网IP私网IP私网站点A站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/MaskProtocolCostNextHopInterface10.1.1.0/24DERECT0--LOOP010.1.2.0/24DERECT0--LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/24DERECT0--LOOP0203.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/0隧道处理——中途转发RTARTBIP公网IP私网IP私网站点A站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24隧道处理——解封装RTARTBIP公网IP私网IP私网站点A站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTBTunnel0接口参数：•GRE封装•源接口S0/0，地址202.1.1.1•目标地址203.1.1.2DS私网IP包GRE头公网IP头私网IP包S0/0S0/0E0/0E0/0隧道处理——隧道终点载荷协议路由查找RTARTBIP公网IP私网IP私网站点A站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/MaskProtocolCostNextHopInterface10.1.3.0/24DERECT0--LOOP010.1.2.0/24DERECT0--LOOP010.1.1.0/24OSPF210010.1.2.2Tunne