第2章 VPN原理和配置

引入 随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来 组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性

课程目标 学习完本课程，您应该能够： 学习完本课程，您应该能够： 理解VPN的体系结构 掌握GRE VPN的工作原理和配置 掌握L2TP VPN的工作原理和配置 掌握IPSec VPN的工作原理和配置 执行基本的VPN设计

目录 VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划

VPN概述 VPN概念 VPN的分类 主要VPN技术 此页用来描述该章的授课内容，方便老师授课。 这种形式适合于本章下面不再细分节的情况。 内容处将本章要讲解的主要内容列成简练的标题。 此页仅授课时使用，胶片＋注释不引用。

VPN（Virtual Private Network） 合作伙伴 总部 异地办事处 隧道 Internet 专线 分支机构 出差员工 办事处

VPN的优势 可以快速构建网络，减小布署周期 与私有网络一样提供安全性，可靠性和可管理性 简化用户侧的配置和维护工作 提高基础资源利用率 节约使用开销 有效利用基础设施，提供大量、多种业务

VPN的关键概念术语 隧道（Tunnel） 封装（Encapsulation） 验证（Authentication） 授权（Authorization） 加密（Encryption） 解密（Decryption）

VPN的分类方法 按照业务用途分类 按照运营模式 按照组网模型 按照网络层次 Access VPN，Intranet VPN，Extranet VPN 按照运营模式 CPE-Based VPN，Network-Based VPN 按照组网模型 VPDN，VPRN，VLL，VPLS 按照网络层次 Layer 1 VPN， Layer 2 VPN， Layer 3 VPN，传输层VPN，应用层VPN

Access VPN 隧道 ISP发起连接 POP POP POP 总部 用户直接发起连接

Intranet VPN 总部 研究所 办事处 分支机构 Internet/ ISP IP ATM/FR

Extranet VPN 总部 合作伙伴 异地办事处 分支机构 Internet/ ISP IP ATM/FR

CPE-Based VPN 隧道 总部 研究所 办事处 分支机构 Internet/ ISP 网络

Network-Based VPN 总部 Internet/ ISP 网络 研究所 办事处 分支机构 隧道

VLL Internet/ ISP 网络 总部 研究所 分支机构 办事处 DLCI 500 DLCI 600/601/602

VPRN 隧道 研究所 办事处 分支机构 网络层报文 Internet/ ISP 网络 总部

VPDN 隧道 ISP发起连接 POP POP POP 总部 用户直接发起连接 适用范围： 出差员工 异地小型办公机构

VPLS ISP 网络 虚拟的LAN连接 研究所 办事处 分支机构 LAN帧

不同网络层次的VPN 一层 VPN 二层 VPN 三层 VPN 传输层VPN 应用层VPN

主要VPN技术 主要的二层VPN技术 主要的三层VPN技术 L2TP PPTP MPLS L2 VPN GRE IPSec VPN BGP/MPLS VPN

其它VPN技术 老式VPN技术 SSL（Secure Sockets Layer） L2F（Layer 2 Forwarding） 包括ATM，Frame Relay，X.25等分组交换技术 SSL（Secure Sockets Layer） L2F（Layer 2 Forwarding） DVPN（Dynamic Virtual Private Network，动态VPN） 基于VLAN的VPN 802.1QinQ XOT（X.25 over TCP Protocol）

目录 VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划

GRE VPN 概述 GRE封装 GRE VPN工作原理 GRE VPN配置 GRE VPN典型应用 小结 此页用来描述该章的授课内容，方便老师授课。 这种形式适合于本章下面不再细分节的情况。 内容处将本章要讲解的主要内容列成简练的标题。 此页仅授课时使用，胶片＋注释不引用。

GRE VPN GRE (Generic Routing Encapsulation) GRE VPN 在任意一种网络协议上传送任意一种其它网络协议的封装方法 RFC 2784 可以用于任意的VPN实现 GRE VPN 直接使用GRE封装，在一种网络上传送其它协议 虚拟的隧道（Tunnel）接口

GRE协议栈 协议B载荷 载荷协议 协议B 封装协议 GRE 协议A 承载协议 链路层协议 链路层 协议A GRE 协议B 载荷

Sequence Number (optional) RFC 1701 GRE头格式 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 2 C R K S s Recur Flags Ver Protocol Type Checksum (optional) Offset (optional) Key (optional) Sequence Number (optional) Routing (optional)

RFC 1701 SRE格式 Address Family SRE Offset SRE Length 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 2 Address Family SRE Offset SRE Length Routing Information …

RFC 2784 GRE标准头格式 Reserved0 Ver Protocol Type Checksum (optional) 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 2 C Reserved0 Ver Protocol Type Checksum (optional) Reserved1 (optional)

Sequence Number (optional) GRE扩展头格式 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 2 C K S Reserved0 Ver Protocol Type Checksum (optional) Reserved1 (optional) Key (optional) Sequence Number (optional)

以IP作为承载协议的GRE封装 GRE被当作一种IP协议对待 IP用协议号47标识GRE IP协议号47 链路层 IP GRE 载荷协议包

以IP作为载荷协议的GRE封装 GRE使用以太类型标识载荷协议 载荷协议类型值0x0800说明载荷协议为IP 载荷 GRE 承载协议头 链路层 GRE 承载协议头 载荷协议0x0800 IP

IP over IP的GRE封装 载荷 链路层 GRE IP 载荷协议0x0800 IP协议号47

GRE隧道 IPX数据流 GRE Tunnel IPX包 IPX包 GRE封装包 站点A 站点B IPX IPX IP RTA RTB S0/0 S0/0 E0/0 E0/0 IP RTA RTB IPX包 IPX包 GRE封装包

IP over IP GRE隧道 GRE Tunnel 站点A 站点B IP公网 IP私网之间的数据流 RTA RTB IP私网 IP私网 10.1.2.1/24 10.1.2.2/24 RTA RTB IP私网 IP私网 E0/0 E0/0 S0/0 S0/0 IP公网 202.1.1.1/24 203.1.1.2/24 10.1.3.1/24 10.1.1.1/24 私网IP包 私网IP包 GRE封装包

GRE隧道处理流程 隧道起点路由查找 加封装 承载协议路由转发 中途转发 解封装 隧道终点载荷协议路由查找

GRE隧道处理——隧道起点路由查找 IP公网 站点A 站点B IP私网 IP私网 RTA RTB Tunnel0 Tunnel0 Destination/Mask Protocol Cost Next Hop Interface 10.1.1.0/24 DERECT -- LOOP0 10.1.2.0/24 10.1.3.0/24 OSPF 2100 10.1.2.2 Tunnel0 202.1.1.0/24 203.1.1.0/24 STATIC 202.1.1.2 S0/0 Tunnel0 Tunnel0 10.1.2.1/24 10.1.2.2/24 IP私网 IP私网 E0/0 S0/0 S0/0 E0/0 IP公网 10.1.1.1/24 202.1.1.1/24 203.1.1.2/24 10.1.3.1/24 站点A RTA RTB 站点B

GRE隧道处理——加封装 D S RTA Tunnel0接口参数： 公网IP头 GRE头 私网IP包 IP公网 站点A 站点B GRE封装 目标地址203.1.1.2 目的地址： 203.1.1.2 源地址： 202.1.1.1 D S 公网IP头 GRE头 私网IP包 Tunnel0 Tunnel0 10.1.2.1/24 10.1.2.2/24 IP私网 IP私网 E0/0 S0/0 S0/0 E0/0 IP公网 10.1.1.1/24 202.1.1.1/24 203.1.1.2/24 10.1.3.1/24 站点A RTA RTB 站点B

GRE隧道处理——承载协议路由转发 IP公网 站点A 站点B IP私网 IP私网 RTA RTB Tunnel0 Tunnel0 Destination/Mask Protocol Cost Next Hop Interface 10.1.1.0/24 DERECT -- LOOP0 10.1.2.0/24 10.1.3.0/24 OSPF 2100 10.1.2.2 Tunnel0 202.1.1.0/24 203.1.1.0/24 STATIC 202.1.1.2 S0/0 Tunnel0 Tunnel0 10.1.2.1/24 10.1.2.2/24 IP私网 IP私网 E0/0 E0/0 S0/0 S0/0 IP公网 202.1.1.1/24 203.1.1.2/24 10.1.3.1/24 10.1.1.1/24 站点A RTA RTB 站点B

GRE隧道处理——中途转发 站点A IP公网 站点B IP私网 RTA IP私网 RTB Tunnel0 10.1.2.1/24 E0/0 S0/0 202.1.1.1/24 10.1.1.1/24 站点A RTA IP公网 Tunnel0 10.1.2.2/24 IP私网 S0/0 E0/0 203.1.1.2/24 10.1.3.1/24 RTB 站点B

GRE隧道处理——解封装 D S RTB Tunnel0接口参数： 公网IP头 GRE头 私网IP包 私网IP包 IP公网 站点A 站点B 目标地址203.1.1.2 D S 公网IP头 GRE头 私网IP包 私网IP包 Tunnel0 Tunnel0 10.1.2.1/24 10.1.2.2/24 IP私网 IP私网 E0/0 E0/0 S0/0 S0/0 IP公网 10.1.1.1/24 202.1.1.1/24 203.1.1.2/24 10.1.3.1/24 站点A RTA RTB 站点B

GRE隧道处理——隧道终点载荷协议路由查找 Destination/Mask Protocol Cost Next Hop Interface 10.1.3.0/24 DERECT -- LOOP0 10.1.2.0/24 10.1.1.0/24 OSPF 2100 10.1.2.2 Tunnel0 203.1.1.0/24 202.1.1.0/24 STATIC 202.1.1.2 S0/0 Tunnel0 Tunnel0 10.1.2.1/24 10.1.2.2/24 IP私网 IP私网 E0/0 E0/0 S0/0 S0/0 IP公网 10.1.1.1/24 202.1.1.1/24 203.1.1.2/24 10.1.3.1/24 站点A RTA RTB 站点B

GRE VPN基本配置 创建虚拟Tunnel接口 [H3C] interface tunnel number 指定Tunnel的源端 [H3C-Tunnel0] source { ip-addr | interface-type interface-num } 指定Tunnel的目的端 [H3C-Tunnel0] destination ip-address 设置Tunnel接口的网络地址 [H3C -Tunnel0] ip address ip-address mask 配置通过Tunnel的路由

GRE VPN路由配置 载荷网路由AS IP公网 站点A 站点B 承载网路由AS IP私网 IP私网 RTA RTB Tunnel0

GRE VPN高级配置 设置Tunnel接口报文的封装模式 [H3C-Tunnel0] tunnel-protocol gre [H3C-Tunnel0] gre checksum 设置Tunnel接口的识别关键字 [H3C-Tunnel0] gre key key-number 配置Tunnel的keepalive功能 [H3C-Tunnel0] keepalive interval times

虚假的Tunnel接口状态 站点A 备份隧道空闲！ 站点B UP RTB UP UP RTA UP RTC Tunnel0 E0/0 服务器 RTA UP E0/0 E1/0 Tunnel1 站点A 服务器 E1/0 RTC 备份隧道空闲！ E0/0 Tunnel0 站点B

GRE VPN配置示例－网络拓扑 IP公网 站点A 站点B IP私网 IP私网 RTA RTB Tunnel0 Tunnel0 10.1.2.1/24 10.1.2.2/24 IP私网 IP私网 E0/0 E0/0 S1/0 IP公网 S1/0 132.108.5.2/24 10.1.3.1/24 10.1.1.1/24 192.13.2.1/24 站点A RTA RTB 站点B

GRE VPN配置示例－配置命令 [RTA-Serial1/0] ip address 192.13.2.1 255.255.255.0 [RTA-Ethernet0/0] ip address 10.1.1.1 255.255.255.0 [RTA] interface tunnel 0 [RTA-Tunnel0] ip address 10.1.2.1 255.255.255.0 [RTA-Tunnel0] source 192.13.2.1 [RTA-Tunnel0] destination 132.108.5.2 [RTA] ip route-static 10.1.3.0 255.255.255.0 tunnel0 [RTB-Serial1/0] ip address 132.108.5.2 255.255.255.0 [RTB-Ethernet0/0] ip address 10.1.3.1 255.255.255.0 [RTB] interface tunnel 0 [RTB-Tunnel0] ip address 10.1.2.2 255.255.255.0 [RTB-Tunnel0] source 132.108.5.2 [RTB-Tunnel0] destination 192.13.2.1 [RTB] ip route-static 10.1.1.0 255.255.255.0 tunnel0

GRE VPN的显示和调试 显示Tunnel接口的工作状态 display interface tunnel number 例如：[H3C] display interfaces tunnel 1 Tunnel1 is up, line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input, 640 bytes 0 input errors, 0 broadcast, 0 drops 10 packets output, 640 bytes 0 output errors, 0 broadcast, 0 no protocol 打开Tunnel调试信息 <H3C> debugging tunnel

GRE VPN配置（web方式） 新建GRE隧道 在导航栏中选择“VPN > GRE”

GRE VPN配置示例－1（web方式） 1 # 配置接口GigabitEthernet0/1的IP地址。 选择网络掩码为“24 (255.255.255.0)”。 单击<确定>按钮完成操作。 # 配置接口GE1/0（隧道的实际物理接口）的IP地址。 单击接口“GE1/0”对应的 图标。 输入IP地址为“1.1.1.1”。 2

GRE VPN配置示例－2（web方式） 3 # 新建GRE隧道。 在导航栏中选择“VPN > GRE”，单击<新建>按钮。 输入Tunnel接口编号为“0”。 输入IP地址/掩码为“10.1.2.1/24”。 选择接口所属安全域为“Trust”。 输入隧道源端地址为“1.1.1.1”（GE1/0的IP地址）。 输入隧道目的端地址为“2.2.2.2”（SecPath B的GE1/1的IP地址）。 单击<确定>按钮完成操作。 # 配置从SecPath A经过Tunnel0接口到Group 2的静态路由。 在导航栏中选择“网络管理 > 路由管理 > 静态路由”，单击<新建>按钮。 输入目的IP地址为“10.1.3.0”。 选择掩码为“255.255.255.0”。 选择出接口为“Tunnel0”。 4

典型应用－连接不连续的网络 GRE Tunnel 站点A 站点B IPX IPX IP RTA RTB Tunnel0 Tunnel0 S0/0 S0/0 E0/0 E0/0 IP RTA RTB

典型应用－单一骨干承载多个上层协议 GRE Tunnel 站点A 站点B IP IP IPX IPX IP Team1 Team2 Group1 E0/0 Group2 S0/0 S0/0 E0/0 IP RTA RTB

典型应用－扩大载荷协议的工作范围 站点A IP公网 站点B 载荷协议 RTA 载荷协议 RTB Tunnel0 E0/0 S0/0

GRE VPN的优点 可以当前最为普遍的IP网络作为承载网络 支持多种协议 支持IP组播 简单明了、容易布署

GRE VPN的缺点 点对点隧道 静态配置隧道参数 布署复杂连接关系时代价巨大 缺乏安全性 不能分隔地址空间

目录 VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划

L2TP 概述 概念术语 协议封装 协议操作 L2TP多实例 配置和故障排除 小结 此页用来描述该章的授课内容，方便老师授课。 这种形式适合于本章下面不再细分节的情况。 内容处将本章要讲解的主要内容列成简练的标题。 此页仅授课时使用，胶片＋注释不引用。

Layer Two Tunnel Protocol RFC 2661 隧道传送PPP 验证和动态地址分配 无加密措施 点对网络特性 L2TP Layer Two Tunnel Protocol RFC 2661 隧道传送PPP 验证和动态地址分配 无加密措施 点对网络特性 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。

传统拨号接入 NAS LAN PSTN/ISDN 出差员工 总部 LAN 分支机构 RADIUS

使用L2TP构建VPDN 总部 LAC LNS LAC RADIUS LNS RADIUS NAS 出差员工 分支机构 Router LAN PSTN/ISDN

L2TP功能组件 远程系统（Remote System） LAC（L2TP Access Concentrator） LNS（L2TP Network Server） NAS（Network Access Server）

L2TP术语 呼叫（Call） 隧道（Tunnel） 控制连接（Control Connection） 会话（Session） AVP（Attribute Value Pair）

呼叫 PSTN/ISDN LAN LAC LNS 呼叫 LAC RADIUS LNS RADIUS

隧道和控制连接 PSTN/ISDN 控制连接 隧道 LAN LAC LNS 呼叫 LAC RADIUS LNS RADIUS

会话 PSTN/ISDN 控制连接 隧道 LAN LAC LNS 呼叫 LAC RADIUS LNS RADIUS 会话

L2TP拓扑结构（1）——独立LAC方式 PSTN/ISDN LAN LAC LNS

L2TP拓扑结构（2）——客户LAC方式 LAN LNS

L2TP头格式 Ver Length (opt) Tunnel ID Session ID Ns (opt) Nr (opt) 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 1 T L S O P Ver Length (opt) Tunnel ID Session ID Ns (opt) Nr (opt) Offset Size (opt) Offset pad... (opt)

L2TP协议栈和封装过程 私有IP 私有IP PPP PPP 链路层 物理层 L2TP L2TP UDP UDP 私有IP 公有IP Client LAC LNS Server L2TP协议栈结构 LAC侧封装过程 IP包(私有IP) PPP L2TP UDP IP包(公有IP) LNS侧解封装过程

L2TP协议操作 建立控制连接 建立会话 转发PPP帧 Keepalive 关闭会话 关闭控制连接

建立控制连接 控制连接的建立由PPP触发 任意源端口——1701 重定位为任意源端口——任意目标端口 LNS LAC SCCRQ SCCRP SCCCN ZLB 控制连接的建立由PPP触发 任意源端口——1701 重定位为任意源端口——任意目标端口

建立会话 会话的建立以控制连接的建立为前提 会话与呼叫有一一对应关系 同一个隧道中可以建立多个会话 LNS LAC ICRQ ICRP ICCN ZLB 会话的建立以控制连接的建立为前提 会话与呼叫有一一对应关系 同一个隧道中可以建立多个会话

转发PPP帧 会话建立后，即可转发PPP帧 Tunnel ID和Session ID用于区分不同隧道和不同会话的数据

Keepalive LNS LAC Hello L2TP用Hello控制消息维护隧道的状态

关闭会话 LAC LNS CDN ZLB

关闭控制连接 LAC LNS StopCCN ZLB

L2TP的验证过程 LAC LNS PSTN/ISDN 隧道验证(可选) 呼叫建立 SCCRQ (LAC CHAP Challenge) PPP LCP 协商通过 LAC CHAP Challenge 用户 CHAP Response 隧道验证(可选) SCCRP (LNS CHAP Response & LNS CHAP Challenge) SCCRQ (LAC CHAP Challenge) SCCCN (LAC CHAP Response) ICCN（用户 CHAP Response & PPP 已经协商好的参数） LNS CHAP Challenge 可选的第二次验证 验证通过 LAC LNS PSTN/ISDN

L2TP多实例 10.1.1.* 10.1.2.* VPN 1 VPN 1 总部 Client L2TP TUNNEL HOST Internet 10.1.1.* VPN 2 LNS Client HOST VPN 2总部 10.1.2.* L2TP协议上加入多实例技术，让L2TP支持在一台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。

L2TP基本配置任务 LAC侧 LNS侧 设置用户名、密码及配置用户验证 启用L2TP 创建L2TP组 设置发起L2TP连接请求及LNS地址 创建虚接口模板 设置本端地址及分配的地址池 设置接收呼叫的虚接口模板、通道对端名称和域名

L2TP基本配置命令－LAC侧 LAC 侧的配置 设置用户名、密码及配置用户验证 启用L2TP [H3C] l2tp enable [H3C] l2tp-group group-number 设置发起L2TP连接请求及LNS地址 [H3C-l2tp1]start l2tp { ip ip-address [ ip ip-address … ] } { domain domain-name | fullusername user-name }

L2TP 基本配置命令－LNS侧 LNS 侧的配置 设置用户名、密码及配置用户验证 启用L2TP [H3C] l2tp enable [H3C] l2tp-group group-number 创建虚接口模板 [H3C] interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池 [H3C-Virtual-Template1] ip address X.X.X.X netmask [H3C-Virtual-Template1] remote address { pool pool-number } 设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为1： [H3C-l2tp1] allow l2tp virtual-template virtual-template-number remote remote-name [ domain domain-name ] L2TP组为1： [H3C-l2tp1] allow l2tp virtual-template virtual-template-number [ remote remote-name ] [ domain domain-name ]

L2TP可选配置任务 LAC和LNS侧可选配的参数 LNS侧可选配的参数 设置本端名称 启用隧道验证及设置密码 设置通道Hello报文发送时间间隔 设置域名分隔符及查找顺序 强制挂断通道 LNS侧可选配的参数 强制本端CHAP认证 强制LCP重新协商

L2TP的可选配置命令（1） LAC侧和LNS侧可选配的参数 [H3C-l2tp1] tunnel authentication 设置本端名称 [H3C-l2tp1] tunnel name name 启用隧道验证及设置密码 [H3C-l2tp1] tunnel authentication [H3C-l2tp1] tunnel password { simple | cipher } password 设置通道Hello报文发送时间间隔 [H3C-l2tp1] tunnel timer hello hello-interval

L2TP的可选配置命令（2） LAC侧和LNS侧可选配的参数 设置前缀分隔符 配置域名分隔符及查找顺序 设置前缀分隔符 [H3C-l2tp1] l2tp domain prefix-separator separator 设置后缀分隔符 [H3C-l2tp1] l2tp domain suffix-separator separator 设置查找规则 [H3C-l2tp1] l2tp match-order { dnis-domain | dnis | domain-dnis | domain } 强制挂断通道 <H3C> reset l2tp tunnel { remote-name | tunnel-id }

L2TP的可选配置命令（3） LNS侧可选配的参数 强制本端CHAP验证 强制LCP重新协商 [H3C-l2tp1] mandatory-chap 强制LCP重新协商 [H3C-l2tp1] mandatory-lcp

L2TP配置（web方式） 启用L2TP功能 在导航栏中选择“VPN > L2TP > L2TP配置” 新建L2TP用户组

L2TP配置（web方式）

L2TP配置（web方式） 查看L2TP隧道信息 导航栏中选择“VPN > L2TP > 隧道信息”

L2TP配置例子－独立LAC方式（1） LNS LAC [LAC] local-user vpdnuser@H3C.com PSTN/ISDN LNS LAC [LAC] local-user vpdnuser@H3C.com [LAC-luser-vpdnuser@H3C.com] password simple Hello [LAC] domain H3C.com [LAC-isp-H3C.com] scheme local [LAC] l2tp enable [LAC] l2tp-group 1 [LAC-l2tp1] tunnel name LAC [LAC-l2tp1] start l2tp ip 202.38.160.2 domain H3C.com [LAC-l2tp1] tunnel authentication [LAC-l2tp1] tunnel password simple H3C

L2TP配置例子－独立LAC方式（2） LNS LAC [LNS] local-user vpdnuser@H3C.com PSTN/ISDN LNS LAC [LNS] local-user vpdnuser@H3C.com [LNS-luser-vpdnuser@H3C.com] password simple Hello [LNS] interface virtual-template 1 [LNS-virtual-template1] ip address 192.168.0.1 255.255.255.0 [LNS-virtual-template1] ppp authentication-mode chap domain H3C.com [LNS] domain H3C.com [LNS-isp-H3C.com] scheme local [LNS-isp-H3C.com] ip pool 1 192.168.0.2 192.168.0.100 [LNS] l2tp enable [LNS] l2tp-group 1 [LNS-l2tp1] tunnel name LNS [LNS-l2tp1] allow l2tp virtual-template 1 remote LAC [LNS-l2tp1] tunnel authentication [LNS-l2tp1] tunnel password simple H3C

L2TP配置例子－ Client-Initiated VPN 在导航栏中选择“VPN > L2TP > L2TP配置”。 选中“启用L2TP功能”前的复选框。 单击<确定>按钮完成操作。 1 # 配置用户名为vpdnuser、密码为Hello、业务类型为PPP的本地用户。 3 4 # 新建L2TP用户组。 在L2TP配置页面单击<新建>按钮。 输入L2TP用户组名称为“test”。 输入对端隧道名称为“vpdnuser”。 输入本端隧道名称为“LNS”。 选择隧道验证为“启用”。 输入隧道验证密码为“aabbcc”。 选择PPP认证方式为“CHAP”。 选择ISP域名为“system”（缺省的ISP域）。 输入PPP Server地址/掩码为“192.168.0.1/255.255.255.0”。 选择PPP Server所属安全域为“Trust”。 单击用户地址的<新建>按钮。 选择域名为“system”。 输入地址池编号为“1”。 输入开始地址为“192.168.0.2”。 输入结束地址为“192.168.0.100”。 单击<确定>按钮完成地址池的配置，返回到L2TP用户组的配置页面。 选择用户地址为“1”。 选择强制地址分配为“启用”。 单击<确定>按钮完成操作。

L2TP信息显示和调试 显示当前的L2TP通道的信息 显示当前的L2TP会话的信息 打开L2TP调试信息开关 [H3C] display l2tp tunnel LocalID RemoteID RemName RemAddress Sessions Port 1 8 AS8010 172.168.10.2 1 1701 Total tunnels = 1 显示当前的L2TP会话的信息 [H3C] display l2tp session LocalID RemoteID TunnelID 1 1 2 Total session = 1 打开L2TP调试信息开关 <H3C>debugging l2tp { all | control | dump | error | event | hidden | payload | time-stamp }

L2TP 故障排除 用户登录失败 数据传输失败，在建立连接后数据不能传输，如Ping不通对端 Tunnel建立失败 PPP协商不通过 在LAC端，LNS的地址设置不正确 LNS（通常为路由器）端没有设置可以接收该隧道对端的L2TP组 Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致 PPP协商不通过 LAC端设置的用户名与密码有误，或者是LNS端没有设置相应的用户 LNS端不能分配地址，比如地址池设置的较小，或没有进行设置 密码验证类型不一致 数据传输失败，在建立连接后数据不能传输，如Ping不通对端 用户设置的地址有误 网络拥挤

L2TP特点 方便远程漫游用户接入 节约费用 可以由ISP或组织自身提供接入和验证 L2TP不提供对数据本身的安全性保证

目录 VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划

IPSec VPN 概述 概念和术语 IPSec IKE 配置IPSec VPN IPSec VPN典型应用 小结 此页用来描述该章的授课内容，方便老师授课。 这种形式适合于本章下面不再细分节的情况。 内容处将本章要讲解的主要内容列成简练的标题。 此页仅授课时使用，胶片＋注释不引用。

IPSec VPN IP无安全保障 RFC 2401—IPSec体系 安全协议—AH和ESP 隧道模式（Tunnel Mode）和传输模式（Transport Mode） 隧道模式适宜于建立安全VPN隧道 传输模式适用于两台主机之间的数据保护 动态密钥交换—IKE

安全性基本要求 机密性 完整性 身份验证 防止数据被未获得授权的查看者理解 通过加密算法实现 防止数据在存储和传输的过程中受到非法的篡改 使用单向散列函数 身份验证 判断一份数据是否源于正确的创建者 单向散列函数、数字签名和公开密钥加密

加密算法 对称加密算法 块加密算法 流加密算法 非对称加密算法 如RSA算法

对称加密算法 双方共享一个密钥 加密 解密 加密方 解密方 共享密钥 共享密钥 皇帝诏曰 奉天承运 …… 皇帝诏曰 奉天承运 …… dkd;AOt yHidYTV …… dkd;AOt yHidYTV …… 共享密钥 双方共享一个密钥

非对称加密算法 加密和解密的密钥不同 加密 解密 加密方 解密方 解密方的公开密钥 解密方的私有密钥 皇帝诏曰 奉天承运 …… 皇帝诏曰 dkd;AOt yHidYTV …… dkd;AOt yHidYTV …… 解密方的私有密钥 加密和解密的密钥不同

？ 单向散列函数 发送方 接收方 单向散列函数 共享密钥 共享密钥 单向散列函数 皇帝诏曰 奉天承运 …… 皇帝诏曰 奉天承运 …… yYaIPyq Zo[yWIt Zo[yWIt yYaIPyq yYaIPyq Zo[yWIt Zo[yWIt yYaIPyq ？

damod(p)= cbmodp=gabmodp Diffie-Hellman交换 (g ,p) peer1 peer2 a b c=gamod(p) d=gbmod(p) damod(p) cbmod(p) damod(p)= cbmodp=gabmodp

更多的安全性要求 完美前向保密 提高对称加密算法的安全性 加密的代价和DoS攻击 提高攻击者代价 抗重播式攻击

加密的实现层次 应用层 应用层 传输层 传输层 传输层 网络层 网络层 网络层 网络层 链路层 链路层 链路层 链路层 SSH、S/MIME SSL 传输层 传输层 传输层 IPSec 网络层 网络层 网络层 网络层 链路层 链路层 链路层 链路层 加密盒 加密盒 安全网关 安全网关

IPSec VPN的体系结构 安全协议 工作模式 密钥交换 负责保护数据 AH/ESP 传输模式：实现端到端保护 隧道模式：实现站点到站点保护 密钥交换 IKE：为安全协议执行协商

IPSec传输模式 站点A 站点B IPX IPX IP RTA RTB 普通报文 加密报文

IPSec隧道模式 IPSec Tunnel 站点A 站点B IPX RTA RTB IPX IP 普通报文 加密报文

IPSec SA SA（Security Association，安全联盟） 由一个（SPI，IP目的地址，安全协议标识符）三元组唯一标识 决定了对报文进行何种处理 协议、算法、密钥 每个IPSec SA都是单向的 手工建立/IKE协商生成 IPSec对数据流提供的安全服务通过SA来实现 SPD（Security Policy Database） SAD（Security Association Database）

IPSec处理流程 数据包入站 旁路安全服务 查找SPD策略 转发 需要提供安全服务 查找IPSec SA 找到 执行安全服务 丢弃 查找IKE SA 创建IKE SA 创建IPSec SA 执行安全服务 （AH/ESP/AH+ESP） 转发 丢弃 旁路安全服务 需要提供安全服务 没有找到 找到

AH AH（Authentication Header） RFC 2402 数据的完整性校验和源验证 有限的抗重播能力 不能提供数据加密功能

AH头格式 AH用IP协议号51标识 Next Header Payload Len RESERVED 8 16 31 Next Header Payload Len RESERVED Security Parameters Index (SPI) Sequence Number Field Authentication Data (variable)

传输模式AH封装 验证计算前，所有可变字段预先置0 原始IP包 单向散列函数 AH处理后的包 原始IP头 TCP 载荷数据 原始IP头 密钥 单向散列函数 Authentication Data 原始IP头 AH头 TCP 载荷数据 AH处理后的包 验证计算前，所有可变字段预先置0

隧道模式AH封装 验证计算前，所有可变字段预先置0 原始IP包 单向散列函数 AH处理后的包 原始IP头 TCP 载荷数据 新IP头 AH头 密钥 单向散列函数 Authentication Data 新IP头 AH头 原始IP头 TCP 载荷数据 AH处理后的包 验证计算前，所有可变字段预先置0

ESP ESP（Encapsulating Security Payload） RFC 2406 保证数据的机密性 数据的完整性校验和源验证 一定的抗重播能力

ESP头格式 ESP用IP协议号50标识 8 16 24 31 Security Parameters Index (SPI) 8 16 24 31 Security Parameters Index (SPI) Sequence Number Payload Data (variable) Padding(0-255 bytes） Pad length Next Header Authentication Data

传输模式ESP封装 原始IP包 加密算法 验证算法 原始IP头 TCP 载荷数据 TCP 载荷数据 ESP尾 加密密钥 密文 ESP头 密文 验证密钥 验证算法 Authentication Data 原始IP头 ESP头 密文 ESP尾 ESP Auth

隧道模式ESP封装 原始IP包 加密算法 验证算法 原始IP头 TCP 载荷数据 原始IP头 TCP 载荷数据 ESP尾 加密密钥 密文 验证密钥 验证算法 Authentication Data 新IP头 ESP头 密文 ESP尾 ESP Auth

IKE IKE（Internet Key Exchange） RFC 2409 使用Diffie-Hellman交换 完善的前向安全性 UDP端口500

IKE的作用 在不安全的网络上安全地分发密钥，验证身份 为IPSec提供了自动协商交换密钥、建立SA的服务 定时更新SA 定时更新密钥 允许IPSec提供反重播服务

IKE与IPSec的关系 IKE IKE TCP TCP IP SA SA UDP UDP IPSec IPSec IKE的SA协商

IKE协商的两个阶段 阶段一 阶段二 在网络上建立一个IKE SA，为阶段二协商提供保护 主模式（Main Mode）和野蛮模式（Aggressive Mode） 阶段二 在阶段一建立的IKE SA的保护下完成IPSec SA的协商 快速模式（Quick Mode）

Cookie IKE交换开始时，双方的初始消息都包含一个Cookie 响应方收到包含这个Cookie的下一条消息时，才开始真正的DH交换过程 一定程度上阻止DoS攻击 野蛮模式无法抵抗DoS

IKE主模式 Peer1 Peer2 策略协商 DH交换 ID交换及验证 产生密钥 验证对方身份 发送本地 确认对方使用的算法 IKE策略 发起方策略 策略协商 查找匹配 的策略 接收方确认的策略 接受对端 确认的策略 产生密钥 发起方的密钥生成信息 密钥生成 DH交换 接收方的密钥生成信息 密钥生成 验证对方身份 发起方身份和验证数据 身份验证和 交换过程验证 ID交换及验证 身份验证和 交换过程验证 接收方的身份和验证数据

IKE野蛮模式 Peer1 Peer2 发送本地IKE策略 开始DH交换 发起方策略 DH公共值 查找匹配的策略 继续DH交换 验证 接收方确认的策略、 DH公共值、验证载荷 接受对端确认的策略 密钥生成 验证 验证载荷 验证

NAT与IPSec/IKE的不兼容性 NAT网关修改IPSec报文的IP地址 NAT网关修改IKE的UDP端口号500 其它问题

使用NAT穿越 IP UDP IPSec报文 RTB RTA NAT网关 IPX IPX IPSec Tunnel

IPSec配置前准备 What —— 确定需要保护的数据 Where —— 确定使用安全保护的路径 Which —— 确定使用哪种安全保护 How —— 确定安全保护的强度

IPSec的配置任务 配置安全ACL 配置安全提议 配置安全策略 在接口上应用安全策略 创建安全提议 选择安全协议 选择安全算法 选择工作模式 配置安全策略 手工配置参数的安全策略 通过IKE协商参数的安全策略 在接口上应用安全策略

配置安全ACL IPSec通信双方安全ACL的源和目的须对称 本端： 对端： acl number 3101 rule 1 permit ip source 173.1.1.1 0.0.0.0 destination 173.2.2.2 0.0.0.7 对端： acl number 3204 rule 1 permit ip source 173.2.2.2 0.0.0.7 destination 173.1.1.1 0.0.0.0

配置安全提议 创建安全提议，并进入安全提议视图 选择安全协议 选择工作模式 [Router] ipsec proposal proposal-name [Router-ipsec-proposal-tran1] transform { ah | ah-esp | esp } [Router-ipsec-proposal-tran1] encapsulation-mode { transport | tunnel }

配置安全提议（续） 选择安全算法 配置ESP协议采用的加密算法 配置ESP协议采用的验证算法 配置AH协议采用的验证算法 [Router-ipsec-proposal-tran1] esp encryption-algorithm { 3des | aes [ key-length ] | des } [Router-ipsec-proposal-tran1] esp authentication-algorithm { md5 | sha1 } [Router-ipsec-proposal-tran1] ah authentication-algorithm { md5 | sha1 }

安全策略的两种类型 静态——手工配置参数的安全策略 动态——通过IKE协商参数的安全策略 需要用户手工配置密钥、SPI、安全协议和算法等参数 在隧道模式下还需要手工配置安全隧道两个端点的IP地址 动态——通过IKE协商参数的安全策略 由IKE自动协商生成密钥、SPI、安全协议和算法等参数

手工配置参数的安全策略流程 第一条 安全策略 第二条 安全策略 最后一条 安全策略 数据包 待发送 是否匹配ACL Y 使用手工配置 的安全参数 提供安全服务 N 第二条 安全策略 是否匹配ACL Y 使用手工配置 的安全参数 提供安全服务 N 最后一条 安全策略 是否匹配ACL Y 使用手工配置 的安全参数 提供安全服务 N 直接明文发送 发送受保护 的数据

IKE协商参数的安全策略流程 第一条 安全策略 第二条 安全策略 最后一条 安全策略 数据包 待发送 成功 提供安全服务 Y 是否匹配ACL Y 用IKE协商 安全参数 丢弃数据包 失败 N 成功 提供安全服务 第二条 安全策略 是否匹配ACL 用IKE协商 安全参数 Y 丢弃数据包 失败 N 成功 提供安全服务 最后一条 安全策略 是否匹配ACL 用IKE协商 安全参数 Y 丢弃数据包 失败 N 直接明文发送 发送受保护 的数据

配置手工配置参数的安全策略 创建一条安全策略，并进入安全策略视图 配置安全策略引用的ACL 配置安全策略所引用的安全提议 [Router] ipsec policy policy-name seq-number manual [Router-ipsec-policy-manual-map1-10] security acl acl-number [Router-ipsec-policy-manual-map1-10] proposal proposal-name

配置手工配置参数的安全策略（续） 配置IPSec隧道的本端地址 配置IPSec隧道的对端地址 配置SA的SPI [Router-ipsec-policy-manual-map1-10] tunnel local ip-address [Router-ipsec-policy-manual-map1-10] tunnel remote ip-address [Router-ipsec-policy-manual-map1-10] sa spi { inbound | outbound } { ah | esp } spi-number

配置手工配置参数的安全策略（续） 配置SA使用的密钥 配置协议的验证密钥（以16进制方式输入） 配置协议的验证密钥（以字符串方式输入） 配置ESP协议的加密密钥（以字符串方式输入） 配置ESP协议的加密密钥（以16进制方式输入） [Router-ipsec-policy-manual-map1-10] sa authentication-hex { inbound | outbound } { ah | esp } hex-key [Router-ipsec-policy-manual-map1-10] sa string-key { inbound | outbound } { ah | esp } string-key [Router-ipsec-policy-manual-map1-10] sa string-key { inbound | outbound } esp string-key [Router-ipsec-policy-manual-map1-10] sa encryption-hex { inbound | outbound } esp hex-key

IKE协商安全提议 IKE为双方协商出互相匹配的安全提议，使用其参数保护用户数据 IP 匹配 RTA RTB 交换安全提议 并协商参数 IPSec proposal a1 安全协议：ESP 验证算法：SHA1 加密算法：DES 模式：Tunnel IPSec proposal b1 安全协议：AH 验证算法：SHA1 模式：Tunnel 匹配 IPSec proposal a2 安全协议：ESP 验证算法：MD5 加密算法：3DES 模式：Tunnel IPSec proposal b3 安全协议：ESP 验证算法：SHA1 加密算法：DES 模式：Tunnel IKE为双方协商出互相匹配的安全提议，使用其参数保护用户数据 IPSec proposal b5 安全协议：ESP 验证算法：MD5 加密算法：AES 模式：Tunnel

配置IKE协商参数的安全策略 创建一条安全策略，并进入安全策略视图 配置安全策略引用的ACL 配置安全策略所引用的安全提议 [Router] ipsec policy policy-name seq-number isakmp [Router-ipsec-policy-manual-map1-10] security acl acl-number [Router-ipsec-policy-manual-map1-10] proposal proposal-name&<1-6>

配置IKE协商参数的安全策略（续） 在安全策略中引用IKE对等体 配置使用此安全策略发起协商时使用PFS特性 配置安全策略的SA生存周期 [Router-ipsec-policy-manual-map1-10] ike-peer peer-name [Router-ipsec-policy-manual-map1-10] pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 } [Router-ipsec-policy-manual-map1-10] sa duration { time-based seconds | traffic-based kilobytes } [Router] ipsec sa global-duration { time-based seconds | traffic-based kilobytes }

在接口上应用安全策略 在接口上应用安全策略 [Router-Serial1/0] ipsec policy policy-name IPSec安全策略可以应用到串口、以太网口等物理接口上和Tunnel、Virtual Template等逻辑接口上 一个接口只能应用一个安全策略组 IKE协商参数的安全策略可以应用到多个接口上 手工配置参数的安全策略只能应用到一个接口上 [Router-Serial1/0] ipsec policy policy-name

IPSec信息显示命令 显示安全策略的信息 显示安全提议的信息 显示安全联盟的相关信息 显示IPSec处理报文的统计信息 [Router] display ipsec policy [ brief | name policy-name [ seq-number ] ] [Router] display ipsec proposal [ proposal-name ] [Router] display ipsec sa [ brief | duration | policy policy-name [ seq-number ] | remote ip-address ] [Router] display ipsec statistics

display ipsec sa命令显示示例 <Sysname> display ipsec sa Interface: Ethernet0/0 path MTU: 1500 IPsec policy name: "r2" sequence number: 1 mode: isakmp connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 2.2.2.2 remote address: 1.1.1.2 Flow: sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: IP dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP [inbound ESP SAs] spi: 3564837569 (0xd47b1ac1) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887436380/2686 max received sequence-number: 5 anti-replay check enable: Y anti-replay window size: 32 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 801701189 (0x2fc8fd45) max sent sequence-number: 6

IPSec调试和维护命令 IPSec调试命令 清除已经建立的安全联盟 清除IPSec的报文统计信息 <Router> debugging ipsec { all | error | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] | sa } <Router> reset ipsec sa [ parameters dest-address protocol spi | policy policy-name [ seq-number ] | remote ip-address ] <Router> reset ipsec statistics

IKE配置前准备 确定IKE交换过程中安全保护的强度 确定所选验证方法的相应参数 包括身份验证方法、加密算法、验证算法、DH组等 使用预共享密钥方法需预先约定共享密钥 使用RSA签名方法需预先约定所属的PKI域

IKE配置任务 配置IKE提议 配置IKE对等体 创建IKE提议 创建IKE对等体 选择IKE提议的加密算法 配置IKE协商模式 选择IKE阶段1密钥协商所使用的DH组 配置IKE提议的ISAKMP SA生存周期 配置IKE对等体 创建IKE对等体 配置IKE协商模式 配置预共享密钥验证方法的身份验证密钥 配置RSA签名验证方法的PKI域 配置本端及对端安全网关的IP地址

理解IKE提议 双方协商出互相匹配的IKE提议，用于保护IKE交换时的通信 IP 匹配 RTA RTB 交换IKE提议 并协商参数 IKE proposal 10 验证方法：Pre-share 验证算法：SHA 加密算法：DES DH组：2 IKE proposal 10 验证方法：Pre-share 验证算法：MD5 加密算法：3DES DH组：1 匹配 IKE proposal 20 验证方法：Pre-share 验证算法：MD5 加密算法：3DES DH组：1 IKE proposal 30 验证方法：Pre-share 验证算法：MD5 加密算法：DES DH组：2 双方协商出互相匹配的IKE提议，用于保护IKE交换时的通信

配置IKE提议 创建IKE提议，并进入IKE提议视图 选择IKE提议所使用的加密算法 选择IKE提议所使用的验证方法 [Router] ike proposal proposal-number [Router-ike-proposal-10] encryption-algorithm { 3des-cbc | aes-cbc [ key-length ] | des-cbc } [Router-ike-proposal-10] authentication-method { pre-share | rsa-signature }

配置IKE提议（续） 选择IKE提议所使用的验证算法 选择IKE阶段1密钥协商时所使用的DH交换组 配置IKE提议的ISAKMP SA生存周期 [Router-ike-proposal-10] authentication-algorithm { md5 | sha } [Router-ike-proposal-10] dh { group1 | group2 | group5 | group14 } [Router-ike-proposal-10] sa duration seconds

创建一个IKE对等体，并进入IKE对等体视图 配置采用预共享密钥验证时所用的密钥 [Router-ike-peer-peer1] ike peer peer-name [Router-ike-peer-peer1] exchange-mode { aggressive | main } [Router-ike-peer-peer1] pre-shared-key [ cipher | simple ] key

配置采用数字签名验证时，证书所属的PKI域 配置IKE对等体（续） 配置采用数字签名验证时，证书所属的PKI域 选择IKE第一阶段的协商过程中使用的ID类型 [Router-ike-peer-peer1] certificate domain domain-name [Router] id-type { ip | name }

配置IKE对等体（续） 配置本端安全网关的IP地址 配置对端安全网关的IP地址 配置本端安全网关的名字 配置对端安全网关的名字 [Router-ike-peer-peer1] local-address ip-address [Router-ike-peer-peer1] remote-address low-ip-address [ high-ip-address ] [Router] ike local-name name [Router-ike-peer-peer1] remote-name name

IKE信息显示命令 显示IKE对等体配置的参数 显示当前ISAKMP SA的信息 显示每个IKE提议配置的参数 [Router] display ike peer [ peer-name ] [Router] display ike sa [ verbose [ connection-id connection-id | remote-address remote-address ] ] [Router] display ike proposal

IKE调试和维护命令 IKE调试命令 清除IKE建立的安全隧道 <Router> debugging ike { all | dpd | error | exchange | message } [Router] reset ike sa [ connection-id ]

display ike sa命令显示示例 <Sysname> display ike sa total phase-1 SAs: 1 connection-id peer flag phase doi ---------------------------------------------------------- 1 202.38.0.2 RD|ST 1 IPSEC 2 202.38.0.2 RD|ST 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO--TIMEOUT <Sysname> display ike sa verbose --------------------------------------------- connection id: 2 transmitting entity: initiator local ip: 4.4.4.4 local id type: IPV4_ADDR local id: 4.4.4.4 remote ip: 4.4.4.5 remote id type: IPV4_ADDR remote id: 4.4.4.5 authentication-method: PRE-SHARED-KEY authentication-algorithm: HASH-SHA1 encryption-algorithm: DES-CBC life duration(sec): 86400 remaining key duration(sec): 86379 exchange-mode: MAIN diffie-hellman group: GROUP1 nat traversal: NO

IPSec+IKE预共享密钥配置示例 IPX IPX IP 站点A 站点B IPSec Tunnel RTA RTB E0/0 S0/0 PCA PCB 10.1.1.1/24 10.1.2.1/24 10.1.1.2/24 202.38.160.1/24 202.38.160.2/24 10.1.2.1/24 [RTA] acl number 3001 [RTA-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [RTA-acl-adv-3001] rule deny ip source any destination any [RTA] ip route-static 10.1.2.0 255.255.255.0 202.38.160.2 [RTA] ipsec proposal tran1 [RTA-ipsec-proposal-tran1] encapsulation-mode tunnel [RTA-ipsec-proposal-tran1] transform esp [RTA-ipsec-proposal-tran1] esp encryption-algorithm des [RTA-ipsec-proposal-tran1] esp authentication-algorithm sha1 [RTA-ipsec-proposal-tran1] quit [RTA] ike peer peer1 [RTA-ike-peer-peer] pre-share-key abcde [RTA-ike-peer-peer] remote-address 202.38.160.2 [RTA] ipsec policy map1 10 isakmp [RTA-ipsec-policy-isakmp-map1-10] proposal tran1 [RTA-ipsec-policy-isakmp-map1-10] security acl 3001 [RTA-ipsec-policy-isakmp-map1-10] ike-peer peer1 [RTA-ipsec-policy-isakmp-map1-10] quit [RTA] interface serial0/0 [RTA-Serial0/0] ip address 202.38.160.1 255.255.255.0 [RTA-Serial0/0] ipsec policy map1 [RTA] interface ethernet0/0 [RTA-Ethernet0/0] ip address 10.1.1.1 255.255.255.0

IPSec+IKE预共享密钥配置示例（续） 站点A 站点B RTA RTB IPSec Tunnel IPX IPX IP E0/0 S0/0 S0/0 E0/0 PCA PCB 10.1.1.1/24 10.1.2.1/24 10.1.1.2/24 202.38.160.1/24 202.38.160.2/24 10.1.2.1/24 [RTB] acl number 3001 [RTB-acl-adv-3001] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [RTB-acl-adv-3001] rule deny ip source any destination any [RTB] ip route-static 10.1.1.0 255.255.255.0 202.38.160.1 [RTB] ipsec proposal tran1 [RTB-ipsec-proposal-tran1] encapsulation-mode tunnel [RTB-ipsec-proposal-tran1] transform esp [RTB-ipsec-proposal-tran1] esp encryption-algorithm des [RTB-ipsec-proposal-tran1] esp authentication-algorithm sha1 [RTB-ipsec-proposal-tran1] quit [RTB] ike peer peer1 [RTB-ike-peer-peer] pre-share-key abcde [RTB-ike-peer-peer] remote-address 202.38.160.1 [RTB] ipsec policy map1 10 isakmp [RTB-ipsec-policy-isakmp-map1-10] proposal tran1 [RTB-ipsec-policy-isakmp-map1-10] security acl 3001 [RTB-ipsec-policy-isakmp-map1-10] ike-peer peer1 [RTB-ipsec-policy-isakmp-map1-10] quit [RTB] interface serial0/0 [RTB-Serial0/0] ip address 202.38.160.2 255.255.255.0 [RTB-Serial0/0] ipsec policy map1 [RTB] interface ethernet0/0 [RTB-Ethernet0/0] ip address 10.1.2.1 255.255.255.0

IKE野蛮模式配置示例 IPX IP IPSec Tunnel 总部网络 分支网络 RTA RTB E0/1 S0/0 S0/0 E0/1 192.168.1.0/24 RTA RTB 192.168.2.0/24 IPSec Tunnel 总部网络 IPX 分支网络 IP E0/1 S0/0 S0/0 E0/1 192.168.1.1/24 10.1.12.1/24 通过PPP协商，由网络动态获取地址 192.168.2.1/24 [RTA] ike local-name rta [RTA] ike peer rtb [RTA-ike-peer-rtb] exchange-mode aggressive [RTA-ike-peer-rtb] pre-shared-key abc [RTA-ike-peer-rtb] id-type name [RTA-ike-peer-rtb] remote-name rtb [RTA-ike-peer-rtb] ipsec proposal prop-for-rtb [RTA-ipsec-proposal-prop-for-rtb] esp authentication-algorithm sha1 [RTA-ipsec-proposal-prop-for-rtb] esp encryption-algorithm 3des [RTA] acl number 3000 [RTA-acl-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 [RTA-acl-adv-3000] rule 1 deny ip [RTA] ipsec policy policy1 10 isakmp [RTA-ipsec-policy-isakmp-policy1-10] security acl 3000 [RTA-ipsec-policy-isakmp-policy1-10] ike-peer rtb [RTA-ipsec-policy-isakmp-policy1-10] proposal prop-for-rtb [RTA-ipsec-policy-isakmp-policy1-10] interface Ethernet0/1 [RTA-Ethernet0/1] ip address 192.168.1.1 255.255.255.0 [RTA-Ethernet0/1] interface Serial0/0 [RTA-Serial0/0] link-protocol ppp [RTA-Serial0/0] ip address 10.1.12.1 255.255.255.0 [RTA-Serial0/0] ipsec policy policy1 [RTA] ip route-static 0.0.0.0 0.0.0.0 Serial 0/0

IKE野蛮模式配置示例（续） IPX IP IPSec Tunnel IPSec Tunnel 总部网络 分支网络 RTA RTB E0/1 192.168.1.0/24 RTA RTB 192.168.2.0/24 IPSec Tunnel IPSec Tunnel 总部网络 IPX 分支网络 IP E0/1 S0/0 S0/0 E0/1 192.168.1.1/24 10.1.12.1/24 通过PPP协商，由网络动态获取地址 192.168.2.1/24 [RTB] ike local-name rtb [RTB] ike peer rta [RTB-ike-peer-rta] exchange-mode aggressive [RTB-ike-peer-rta] pre-shared-key abc [RTB-ike-peer-rta] id-type name [RTB-ike-peer-rta] remote-name rta [RTB-ike-peer-rta] remote-address 10.1.12.1 [RTB-ike-peer-rta] ipsec proposal prop-for-rta [RTB-ipsec-proposal-prop-for-rta] esp authentication-algorithm sha1 [RTB-ipsec-proposal-prop-for-rta] esp encryption-algorithm 3des [RTB] acl number 3000 [RTB-acl-adv-3000] rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [RTB-acl-adv-3000] rule 1 deny ip [RTB] ipsec policy policy1 10 isakmp [RTB-ipsec-policy-isakmp-policy1-10] security acl 3000 [RTB-ipsec-policy-isakmp-policy1-10] ike-peer rta [RTB-ipsec-policy-isakmp-policy1-10] proposal prop-for-rta [RTB-acl-adv-3000] interface Ethernet0/1 [RTB-Ethernet0/1] ip address 192.168.2.1 255.255.255.0 [RTB-Ethernet0/1] interface Serial0/0 [RTB-Serial0/0] link-protocol ppp [RTB-Serial0/0] ip address ppp-negotiate [RTB-Serial0/0] ipsec policy policy1 [RTB] ip route-static 0.0.0.0 0.0.0.0 Serial 0/0

配置IPSec VPN（web） 使用IPSec VPN配置向导进行配置

配置IPSec VPN（web） 配置中心节点

配置IPSec VPN（web） 配置分支节点

配置IPSec VPN（web） 配置对等节点

配置IPSec VPN（web） 配置IPSec 配置IPSec安全提议：在导航栏中选择“VPN > IPSec > 安全提议”

配置IPSec VPN（web） 配置安全策略模板 在导航栏中选择“VPN > IPSec > 模板配置”

配置IPSec VPN（web） 配置安全策略 在导航栏中选择“VPN > IPSec > 策略”

配置IPSec VPN（web） 应用安全策略组 在导航栏中选择“VPN > IPSec > 应用”

配置IPSec VPN（web） 查看IPSec安全联盟 查看报文统计 在导航栏中选择“VPN > IPSec > 安全联盟”

配置IPSec VPN（web） 配置IKE安全提议 导航栏中选择“VPN > IKE > 安全提议”

配置IPSec VPN（web） 配置IKE对等体 在导航栏中选择“VPN > IKE > 对等体”

配置IPSec VPN（web） 查看IKE安全联盟 在导航栏中选择“VPN > IKE > 安全联盟”

IPSec故障诊断与排错 非法用户身份信息 提议不匹配 无法建立安全通道 检查协商两端接口上配置的安全策略中的ACL内容是否相容。 对于阶段1，检查IKE proposal是否有与对方匹配的。 对于阶段2协商，检查双方接口上应用的IPsec安全策略的参数是否匹配，引用的IPsec安全提议的协议、加密算法和验证算法是否有匹配的。 无法建立安全通道 使用reset ike sa命令清除错误存在的SA，重新发起协商。

IPSec VPN特点 优点 缺点 保证机密性 保证数据完整性 可以进行数据源验证 具有一定的抗攻击能力 复杂的协议体系，不利用布署和维护 高强度的运算，消耗大量资源 增加了数据传输的延迟，不利于实时性要求强的应用，如语音和视频等 仅能对点对点的数据进行保护，不支持组播

目录 VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划

VPN设计规划 GRE VPN设计 L2TP VPN设计 IPSec VPN设计 此页用来描述该章的授课内容，方便老师授课。 这种形式适合于本章下面不再细分节的情况。 内容处将本章要讲解的主要内容列成简练的标题。 此页仅授课时使用，胶片＋注释不引用。

GRE VPN拓扑设计 全网状连接 部分网状连接 星形连接 树形连接 双星连接

GRE路由规划 载荷网路由AS IP公网 站点A 站点B 承载网路由AS IP私网 IP私网 RTA RTB Tunnel0 Tunnel0

静态路由的弊端 站点A 虽然存在备份隧道，但是由于使用静态路由，备份隧道始终空闲！ 站点B UP RTB UP UP RTA UP RTC Tunnel0 E0/0 E1/0 UP UP Tunnel0 服务器 RTA UP E0/0 E1/0 Tunnel1 站点A 服务器 E1/0 RTC 虽然存在备份隧道，但是由于使用静态路由，备份隧道始终空闲！ E0/0 Tunnel0 站点B

Tunnel接口Keepalive 站点A RTA收不到RTB的Keepalive报文，Tunnel0接口down 站点B RTB DOWN 服务器 RTA UP E0/0 E1/0 Tunnel1 站点A 服务器 E1/0 RTC RTA收不到RTB的Keepalive报文，Tunnel0接口down E0/0 Tunnel0 站点B

在Tunnel接口运行动态路由 利用动态路由的选路功能实现路由备份 OSPF IP公网 站点A 站点B IP私网 IP私网 RTA RTB

L2TP拓扑的选择 独立LAC方式 客户LAC方式 ISP提供LAC设备 可由LAC设备提供附加的用户控制和管理 可以统一PPP和PPPoE用户的接入 不依赖IP接入点 客户LAC方式 需要直接的Internet接入点 不依赖额外的LAC设备，灵活性强 企业可以依托Internet直接构建VPN

L2TP的验证 Internet 三次验证可以提高更好的安全性 L2TP TUNNEL HOST LNS Client LAC Home LAN LNS再次对用户验证 呼叫接入PPP验证 隧道验证 三次验证可以提高更好的安全性

L2TP客户端 Internet H3C扩展了标准的L2TP功能，支持LAC客户端功能 L2TP TUNNEL VT:192.168.0.1 VT:192.168.0.2 Internet HOST LAC LNS Client PUB:1.1.1.1 PUB:1.1.1.2 Home LAN H3C扩展了标准的L2TP功能，支持LAC客户端功能 不仅可以为PPP或PPPOE用户提供接入，而且也可以为其他连接方式的用户提供接入 可以适用动态路由协议如OSPF进行路由选路，增强了可扩展性。

用IPSec保护L2TP Internet L2TP OVER IPSEC HOST LNS Client LAC Home LAN

L2TP+IPSec穿越NAT Internet LAC在同位于NAT之后的LNS建立连接时可能会出现问题 PUB:202.38.1.1 HOST NAT LNS Client L2TP OVER IPSEC Pri:1.1.1.1 Pri:1.1.1.2 LAC Home LAN LAC在同位于NAT之后的LNS建立连接时可能会出现问题

隧道模式与传输模式 传输模式 隧道模式 端系统执行安全服务操作 保证端到端安全性 在端系统配置IPSec 对网络设备透明 专用的安全网关或路由器提供安全服务 保证站点到站点安全性 只在安全网关上布署 安全网关的资源考虑

IPSec拓扑设计 星形连接 树形连接 全网状连接 部分网状连接

GRE OVER IPSEC 配合动态路由协议 IKE KEEPALIVE 或DPD同VRRP配合 高可靠性设计 主用 备用 GRE OVER IPSEC 配合动态路由协议 主用 IKE KEEPALIVE 或DPD VRRP 建立新的SA安全联盟 备用 IKE KEEPALIVE 或DPD同VRRP配合

IPSec隧道嵌套 Internet 内层隧道 外层隧道

选择安全协议 AH 完整性保护和数据源验证 验证包括IP头 ESP 机密性保护 验证不包括IP头 AH+ESP

选择安全算法 更多的位数说明算法更加安全 加密算法 散列算法 DH交换 DES/3DES/AES HMAC-SHA/HMAC-MD5 MODP/EC2N

选择IKE工作模式 主模式 野蛮模式 六条消息 速度较慢 更高的安全性，抵抗DoS攻击 使用预共享密钥时必须知道对方的IP地址 三条消息，简化的过程 速度较快 安全性略低 允许动态获得地址的移动用户使用预共享密钥

IP地址规划 无论总部或分支，尽量使用可汇总的IP地址段 10.1.2.0/24 10.2.3.0/24 Site1 Site2 Site n 10.1.0.0/24 …… 无论总部或分支，尽量使用可汇总的IP地址段

移动用户的IPSec VPN接入 移动办公用户接入IPSEC VPN的考虑： 笔记本电脑软件防火墙，防病毒软件的安装 IPSEC TUNNEL 移动办公用户接入IPSEC VPN的考虑： 笔记本电脑软件防火墙，防病毒软件的安装 硬件防火墙同VPN网关相互配合 使用防火墙和VPN网关功能相互融合的设备

VPN流量和上网流量都需要由总部统一进行转发 IPSec和Internet接入 VPN流量和上网流量都需要由总部统一进行转发 集中式 分布式 只有VPN流量由总部进行转发 远程VPN站点可以通过两种方式访问INTERNET 集中式：访问INTERNET的流量统一由总部的VPN节点进行转发 分布式：访问INTERNET的流量由本地的VPN节点进行转发

用IPSec保护组播 IPSec本身不支持组播 可以使用GRE over IPSec 首先配置GRE Tunnel 配置IPSec，对Tunnel接口的通信加以保护

NAT穿越 NAT 使用IPSec的ESP封装方式实现NAT穿越

路径MTU考虑 PMTU 1500 PMTU 1400 当VPN数据通过的网络路径中具有不同的路径MTU要求时，需要将设备的MTU设置为所有经过的路径MTU中较小值，避免某些情况下数据分片造成的不良影响。

本章总结 VPN技术不是一种单纯的协议或技术，而是一类应用的总称 VPN由各式各样复杂的的技术和协议体系构成 GRE/L2TP/IPSec VPN的工作原理 GRE/L2TP/IPSec VPN的配置和故障排除