VPN技术-学习课件.pptxVIP

Oracle·WDPe·WDPVPNOracle 高校大数据课程系列本课目标讲解不同种类VPN实现原理及使用方法IPSEC VPN概述IPSEC VPN配置课程目录1Course catalogue其他类VPN概述23IPSEC VPNRFC 2401描述了IPSec（IP Security）的体系结构IPSec是一种网络层安全保障机制IPSec可以实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能IPSec可以引入多种验证算法、加密算法和密钥管理机制IPSec VPN是利用IPSec隧道实现的L3VPN不支持组播，配置复杂等缺点传输模式IPSec对IP数据包的负荷部分进行加密处理，而不会生成新的外层IP报头。常见的应用场景：主机到主机的安全通信。隧道模式IPSec对IP数据包（私网）进行整体安全保护，且生成新的外层IP报头（公网）常见的应用场景：路由器上配置隧道模式的IPSec，实现站点到站点的安全VPNAH（Authentication Header）介绍提供数据的完整性校验和源验证不能提供数据加密功能可提供有限的抗重播能力IP协议号51VLAN的作用PCAPCBPCCPCD技术部销售部减小广播域增强安全性灵活构建虚拟局域网802.1.Q帧在标准以太网帧头部增加TAG字段标记协议标识（TPID）固定值0x8100,表示该帧载有802.1Q标记信息标记控制信息（TCI）VLAN ID：12比特，表示VID，可用范围1－4094Priority：3比特，表示优先级Canonical format indicator：1比特，表示总线型以太网、FDDI、令牌环网单交换机vlan标签操作不带VLAN标签的以太网帧PCAPCCTag=10VLAN 10VLAN 10Tag=20PCBPCDVLAN 20VLAN 20PC端发出的数据包是不带vlan标签的在进入交换机端口时，附加缺省VLAN标签出交换机端口时，去掉VLAN标签ACCESSAccess 一般用于连接用户终端，承载标准的以太网帧，只能关联一个VLAN只允许缺省VLAN通过，仅接收和发送一个VLAN的数据帧Access端口PCAPCCTag=10Tag=20PCBPCDTRUNKTrunk 一般用于交换机互联，承载802.1Q帧 允许多个VLAN通过，可以接收和发送多个VLAN的数据帧Trunk端口PVID:20PCAPCCTag=10E1/0/1E1/0/1E1/0/24E1/0/24E1/0/2E1/0/2SWBSWAPCBPCDTrunk端口PVID:20VLAN间路由VLAN间用户存在互访需求在二层交换机上不同VLAN的用户不能互相通信VLAN间路由将VLAN和IP子网关联，把VLAN间通信转换为不同子网间通信同一个VLAN的用户具有相同的IP子网,不同VLAN用户IP子网不同用户的网关指向路由设备网关上有VLAN信息路由设备可以是三层交换机或者单臂路由器不适当的VLAN间路由路由器与每个VLAN建立一条物理连接，浪费大量的端口三层交换机实现VLAN间路由三层交换以内置的三层路由转发引擎执行VLAN间路由功能单臂路由实现VLAN间路由路由器的下联口为每个VLAN创建一个子接口子接口封装协议是802.1Q，并指定对应的VLAN每个子接口配置IP地址，作为对应VLAN内主机的网关VLAN概述VLAN配置课程目录1Course catalogueACL、包过滤23创建和查看VLAN创建VLANSwitch(config)#vlan vlan-id命名VLAN Switch(config-vlan)#name vlan-nameC. 查看VLAN Switch# show vlan设置ACCESS VLAN1进入端口配置模式Swtich(config)#interface fastethernet0/20 将端口模式设置为接入端口Switch(config-if)#switchport mode access将端口添加到特定VLANSwitch(config-if)#switchport access vlan vlan-id设置ACCESS VLAN2进入到一组需要添加到VLAN的端口中Swtich(config)#interface range 接口编号将端口模式设置为接入端口Switch(config-range-if)#switchport mode access将一组端口划分到指定VLANSwitch(config-range-if)#swtichport access vlan vlan-id 配置TRUNK进入需要配置的端口 Swtich(config)#interface fastethernet0/20 将端口的模式设置为TrunkSw