VPDN和IPSec.ppt

* * VPDN和IPSec 厦门电信客户响应中心 2008年9月 隧道技术 隧道： 类似于点对点连接技术，隧道技术在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称隧道，隧道技术包括数据封装，传输和解包在内的全过程 功能： 将数据流量强制到特定的目的地 隐藏私有的网络地址 在IP网上传输非IP协议数据包 提供数据安全支持 协助完成用户基于AAA(认证、授权、计费)管理 VPN隧道协议分类 第二层隧道协议： 点到点隧道协议（PPTP， Point to Point Tunneling Protocol） 第二层转发协议（L2F， Layer2 Forwarding ） 第二层隧道协议（L2TP， Layer 2 Tunneling Protocol ） 第三层隧道协议： 通用路由封装协议（GRE，General Routing Encapsulation） IP安全（IPSec， IP Security ） * VPDN概念 什么是VPDN VPDN （Virtual Private Dialup Network ）－－拨号方式的VPN，远程拨号用户通过特定的隧道接入到其他节点 用户通过拨号PSTN或ISDN网络接入公共的Internet，传输的数据流通过隧道到达预定的节点。用户端设备经过接入网络与NAS建立PPP（点对点）的连接；在接入端点，利用运行在标准RADIUS（远程访问拨入用户服务协议）之上的AAA（鉴别,授权，计费）系统对PPP连接进行验证 采用基于PPP协议的隧道(Tunnel)技术：L2F、PPTP、L2TP VPDN应用示意 家庭办公者 出差人员 公司办公大楼 公共网络 （Internet） VPDN Connection VPDN连接示意图 用户发起VPDN: NAS发起VPDN: 使用L2TP 构建VPDN PSTN/ISDN LAN LAN 分支机构 总部 LAC LNS NAS Router L2TP 消息 数据消息 控制消息 会话 隧道 出差员工 LAC: L2TP Access Concentrator ，L2TP接入集中器 LNS: L2TP Network Server ，L2TP网络服务器 LAC/LNS Radius : LAC/LNS远端验证服务器 LAC RADIUS LNS RADIUS L2TP隧道和会话建立流程 隧道、会话建立流程 L2TP会话建立由PPP触发，隧道建立由会话触发。多个会话可以复用同一隧道，如果会话建立前隧道已经建立，则隧道不用重新建立。 隧道建立流程：三次握手 会话建立流程：三次握手 L2TP 协议栈结构 私有IP PPP L2TP UDP 公有IP 链路层 物理层 物理层 私有IP PPP IP包(公有IP) UDP L2TP PPP IP包(私有IP) 链路层 私有IP PPP 物理层 L2TP UDP 公有IP 链路层 物理层 物理层 私有IP 链路层 物理层 Client LAC LNS Server LAC侧封装过程 LNS侧解封装过程 L2TP协议栈结构 Internet L2TP的配置举例 [Quidway] local-user vpdnuser password cipher Hello [Quidway] ip pool 1 192.168.0.2 192.168.0.100 [Quidway] aaa-enable [Quidway] aaa authentication-scheme login default local [Quidway] aaa accounting-scheme optional [Quidway] interface virtual-template 1 [Quidway-Virtual-Template1] ip address 192.168.0.1 255.255.255.0 [Quidway-Virtual-Template1] ppp authentication-mode chap [Quidway-Virtual-Template1] remote address pool 1 [Quidway] l2tp enable [Quidway] l2tp-group 1 [Quidway-l2tp1] tunnel name lns-end [Quidway-l2tp1] allow l2tp virtual-template 1 remote lac-end [Quidway-l2tp1] tunnel authentication [Quidway-l2tp1] tunnel password