任务教案模块八VPN技术简介第3单元VPN技术应用教学内容.doc

任务教案 模块八：VPN技术简介 第3单元：VPN技术应用 教学内容（课题）：VPN技术应用 教学时间： 年 月 日 第 周 星期 授课班级： 本次课课时： 2 一、教学目标： 了解二层VPN技术及配置 了解三层VPN技术及配置 二、教学重点： L2TP VPN GRE 三、教学难点： L2TP VPN GRE 四、教学方法： 设计教学工作环境、采用ENSP模拟器配合理论讲解，设置教学活动引导学生为中心的教学方式进行教学。 五、教学步骤及内容： 3.1 二层VPN技术及配置 1） VPDN概述 VPDN（Virtual Private Dial Network）是指利用公共网络（如ISDN 和PSTN）的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。 VPDN采用专用的网络通信协议，在公共网络上为企业建立有一定安全性的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。 VPDN有下列两种实现方式： a）客户端通过NAS与VPDN网关建立隧道的方式。这种方式将客户的PPP连接直接连到企业的网关上，目前可使用的协议有L2F与L2TP等。其好处在于：对用户是透明的，用户只需要登录一次就可以接入企业网络，由企业网进行用户认证和地址分配，而不占用公共地址，用户可使用各种平台上网。这种方式需要NAS 支持VPDN 协议，需要认证系统支持VPDN 属性，网关一般使用防火墙或VPN 专用服务器。 b）客户端与VPDN 网关直接建立隧道的方式。这种方式由客户机先建立与Internet的连接，再通过专用的客户软件（如Windows系统支持的L2TP客户端）与网关建立通道连接。其好处在于：用户上网的方式和地点没有限制，不需ISP介入。缺点是：用户需要安装专用的软件，受用户使用平台的限制，而且VPN维护难度较大。 2）L2TP概述 L2TP（Layer 2 Tunnel Protocol）称为二层隧道协议，是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。PPP协议定义了一种封装技术，可以在二层的点到点链路上传输多种协议数据包，这时用户与NAS 之间运行PPP协议，二层链路端点与PPP会话点驻留在相同硬件设备上。L2TP协议提供了对PPP链路层数据包的通道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互，从而扩展了PPP模型。从某个角度来讲，L2TP实际上是一种PPPoIP的应用，就像PPPoE、PPPoA、PPPoFR一样，都是一些网络应用想利用PPP的一些特性，弥补本网络自身的不足。另外，L2TP协议还结合了L2F协议和PPTP协议的各自优点，成为IETF有关二层隧道协议的工业标准。 3）L2TP VPN协议组件 4）L2TP 协议栈结构及封装过程 5）L2TP会话建立过程 3.2 三层VPN技术及配置 1）GRE协议概述 GRE（General Routing Encapsulation，通用路由封装）是对某些网络层协议（如IPX）的报文进行封装，使这些被封装的报文能够在另一网络层协议（如IP）中传输。 GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网路中传输，封装后报文的传输通道称为tunnel。 Tunnel是一个虚拟的点对点的连接，可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路，使封装的数据报能够在这个通路上传输，并在一个Tunnel的两端分别对数据报进行封装及解封装。 2）GRE的实现-隧道接口 隧道接口包含以下元素： 源地址：报文传输协议中的源地址。从负责封装后报文传输的网络来看，隧道的源地址就是实际发送报文的接口IP地址。 目的地址：报文传输协议中的目的地址。从负责封装后报文传输的网络来看，隧道本端的目的地址就是隧道目的端的源地址。 隧道接口IP地址：为了在隧道接口上启用动态路由协议，或使用静态路由协议发布隧道接口，要为隧道接口分配IP地址。隧道接口的IP地址可以不是公网地址，甚至可以借用其他接口的IP地址以节约IP地址。但是当Tunnel接口借用IP地址时，由于Tunnel接口本身没有IP地址，无法在此接口上启用动态路由协议，必须配置静态路由或策略路由才能实现路由器间的连通性。 封装类型：隧道接口的封装类型是指该隧道接口对报文进行的封装方式。一般情况下有四种封装方式，分别是GRE、MPLS TE、IPv6-IPv4 和IPv4-IPv6。