网络互联技术 http://open.gdpi.edu.cn/vc/22001003

第十四章 VPN技术 理解VPN技术的概念 理解VPN技术的基本原理 掌握GRE VPN的配置 了解L2TP和IPSec技术 1 2 3 ４ 　４　 ①注意：缺省路由不一定都是静态路由，动态路由也可以产生缺省路由 本章的重点在于路由表的工作原理与静态路由的配置，并且要深刻的理解静态路由的特点（简单高效，但不能自动生成），因为这决定了它的使用场景（小规模静态网络）。

VＰＮ概念 概念 VPN(Virtual Private Network，虚拟专用网络或虚拟私有网络)技术是利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用、私有网络一样的安全和具有功能保障的一种技术。

VＰＮ基本原理 隧道技术 隧道(Tuunel)技术是指通过一种协议(承载协议)来传送另一种协议(载荷协议)的技术。使用承载协议建立隧道，隧道里传递的数据包都是载荷协议类型的数据包。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。 注意：合适路径的选择需要解释，包括：掩码的长度、路由优先级对路由选择的影响。

VＰＮ基本原理 封装 封装(Encapsulation)是指在某个协议的数据包外面加上特定的包头、包尾等，来标记某种信息。其它协议可以根据这些标记信息来对封装后的数据包进行处理，而不需要了解封装包里面的协议和数据。

VＰＮ基本原理 验证和授权 VPN技术一般使用公共网络建立隧道进行私有数据的传输，而公共网络是任何人都可接入的，为了使具备访问权限的人才可以通过隧道进行私有数据传输，就需要对访问者的身份进行验证并在验证后进行授权。它们是对VPN的连接权限提供保护。

VＰＮ基本原理 加解密 私密数据在隧道中传输容易被窃听和篡改(由于隧道建立在公共网络里)。为了保证数据的安全性，数据进入隧道前需要加密，而在离开隧道后需要进行解密。加解密是对数据进行保护。

VＰＮ概念 主要的VPN技术 二层VPN技术：L2TP，PPTP，MPLS L2 VPN 三层VPN技术：GRE，IPSec VPN，BGP/MPLS VPN

GRE VPN基本原理 GRE VPN概念 GRE（Generic Routing Encapsulation）：通用路由封装技术。这种技术是在IP数据包的外面再加上一个IP头。通俗的说，就是把私有数据进行一下伪装，加上一个“外套”，传送到其他地方。

GRE VPN基本原理 GRE VPN工作原理 有两个IP私网A和B，它们之间隔着一个IP公网。私网A和B内主机分别使用私网IP地址10.1.1.0/24和10.1.3.0/24。路由器A（RTA）的以太网口E0/0连接到私网A，其IP地址为10.1.1.1；另外一个串口S0/0连接到互联网，其IP地址为210.1.1.1。路由器B（RTB）的以太网口E0/0连接到私网B，其IP地址为10.1.3.1；另外一个串口S0/0连接到互联网，其IP地址为211.1.1.1。

GRE VPN基本原理 图14-1 GRE原理示意图 GRE Tunnel 私网A 私网B IP公网 RTA RTB IP私网之间的数据流 IP私网B IP私网A GRE Tunnel 私网A 私网B S0/0 E0/0 Tunnel0 10.1.1.1/24 10.1.2.1/24 10.1.2.2/24 10.1.3.1/24 211.1.1.1/24 210.1.1.1/24 IP私网之间的数据流 私网IP包 GRE封装包 1 3　2　1 图14-1　GRE原理示意图

GRE VPN基本原理 GRE分别在RTA和RTB上建立了一个隧道口(注意：隧道口只是一个逻辑的接口，它需要绑定在物理接口上)，分别绑在RTA和RTB的S0/0接口上。隧道穿过IP公网，隧道口的私网IP地址分别为：10.1.2.1/24，10.1.2.2/24；而隧道口绑定的公网接口IP地址为：210.1.1.1，211.1.1.1 注意： 两个隧道口的IP地址必须在同一网段（只限于隧道口的IP地址），因为从逻辑上讲两个隧道口之间是直连的；隧道穿了公网，所以两个隧道口绑定的公网接口IP一般都在不同网段。 但在GRE隧道两端的两个私网中的私网IP地址不可以在同一网段，否则这个网段无法跟隧道另一侧的私网通信。

GRE VPN基本配置 GRE VPN基本配置过程 创建虚拟Tunnel接口（系统视图） 指定Tunnel的源端(Tunnel接口视图)

GRE VPN基本配置 创建虚拟Tunnel接口（系统视图） [SYS]interface tunnel number number：Tunnel接口号，范围0～1023 如果尚未创建，指令则先创建Tunnel接口并进入Tunnel接口视图；如果已经创建，则执行interface tunnel number命令可以进入指定隧道的接口视图。 Tunnel 接口号只具有本地意义，隧道两端可以使用相同或不同的接口号。缺省情况下，设备上无Tunnel 接口。

GRE VPN基本配置 指定Tunnel的源端(Tunnel接口视图) [SYS-Tunnel0]source { ip-addr | interface-type interface-num } ip-addr：使用点分十进制的地址形式来指定发出GRE报文的实际接口的IP地址(一般为公网IP)。 interface-type interface-num：接口类型及接口号，接口包括：Ethernet、Serial、ATM、Tunnel和Loopback等。

GRE VPN基本配置 指定Tunnel的目的端(Tunnel接口视图) [SYS-Tunnel0]destination ip-addr ip-addr：使用点分十进制的地址形式来指定发出GRE报文的实际接口的IP地址(一般为公网IP)。 interface-type interface-num：接口类型及接口号，接口包括：Ethernet、Serial、ATM、Tunnel和Loopback等。 注意： Tunnel 接口的源端地址是发出GRE 报文的接口的物理地址，该地址一般设置为对端Tunnel 接口的目的地址。

GRE VPN基本配置 设置Tunnel接口的网络地址(Tunnel接口视图) [SYS-Tunnel0]ip address ip-address mask 两端的Tunnel接口都需要设置IP地址，并且要在同一网段 注意： 指定的隧道目的地址是接收GRE报文的实际物理接口的IP地址，该地址必须与对端Tunnel接口指定的源地址相同，并且要保证到对端物理接口的路由可达。不能对两个或两个以上使用同种封装协议的Tunnel接口配置完全相同的源地址和目的地址。

GRE VPN基本配置 配置通过Tunnel的路由 目的是指定需要从隧道传递的数据包，也就是说到对端网络的哪个IP网段的数据包需要从隧道转发。

GRE VPN基本配置 配置通过Tunnel的路由 对于路由器A到私网10.1.3.0/24这个网段的数据包需要通过GRE隧道；对于路由器B到私网10.1.1.0/24这个网段的数据包需要通过GRE隧道（两个私网的IP不可以在同一网段）；那可以这样来配置隧道的路由： 路由器A(RTA)：[RTA]ip route-static 10.1.3.0 255.255.255.0 tunnel0 路由器B(RTB)：[RTB]ip route-static 10.1.1.0 255.255.255.0 tunnel0

L2TP 和 IPSec L2TP L2TP( Layer 2 Tunneling Protocol,二层隧道传输协议)：这是一种在特定链路层实现的VPN技术。具体是把二层协议PPP的报文封装在IP 报文中进行传输。 IPsec(Internet Protocol Security，互联网络安全协议)：这个协议提供了互联网的验证，加密等功能，实现了数据的安全传输。

习题与思考 什么是承载协议，什么是载荷协议？ 同一个VPN的两个隧道接口的IP地址如果不在同一网段，隧道能搭建成功吗？为什么？ 没有使用加密技术的GRE VPN能保证安全吗?

Thank You ! http://open.gdpi.edu.cn/vc/22001003