Presentation is loading. Please wait.

Presentation is loading. Please wait.

网络互联技术 http://open.gdpi.edu.cn/vc/22001003.

Similar presentations


Presentation on theme: "网络互联技术 http://open.gdpi.edu.cn/vc/22001003."— Presentation transcript:

1 网络互联技术

2 第十四章 VPN技术 理解VPN技术的概念 理解VPN技术的基本原理 掌握GRE VPN的配置 了解L2TP和IPSec技术 1 2 3 4
 4  ①注意:缺省路由不一定都是静态路由,动态路由也可以产生缺省路由 本章的重点在于路由表的工作原理与静态路由的配置,并且要深刻的理解静态路由的特点(简单高效,但不能自动生成),因为这决定了它的使用场景(小规模静态网络)。

3 VPN概念 概念 VPN(Virtual Private Network,虚拟专用网络或虚拟私有网络)技术是利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用、私有网络一样的安全和具有功能保障的一种技术。

4 VPN基本原理 隧道技术 隧道(Tuunel)技术是指通过一种协议(承载协议)来传送另一种协议(载荷协议)的技术。使用承载协议建立隧道,隧道里传递的数据包都是载荷协议类型的数据包。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。 注意:合适路径的选择需要解释,包括:掩码的长度、路由优先级对路由选择的影响。

5 VPN基本原理 封装 封装(Encapsulation)是指在某个协议的数据包外面加上特定的包头、包尾等,来标记某种信息。其它协议可以根据这些标记信息来对封装后的数据包进行处理,而不需要了解封装包里面的协议和数据。

6 VPN基本原理 验证和授权 VPN技术一般使用公共网络建立隧道进行私有数据的传输,而公共网络是任何人都可接入的,为了使具备访问权限的人才可以通过隧道进行私有数据传输,就需要对访问者的身份进行验证并在验证后进行授权。它们是对VPN的连接权限提供保护。

7 VPN基本原理 加解密 私密数据在隧道中传输容易被窃听和篡改(由于隧道建立在公共网络里)。为了保证数据的安全性,数据进入隧道前需要加密,而在离开隧道后需要进行解密。加解密是对数据进行保护。

8 VPN概念 主要的VPN技术 二层VPN技术:L2TP,PPTP,MPLS L2 VPN
三层VPN技术:GRE,IPSec VPN,BGP/MPLS VPN

9 GRE VPN基本原理 GRE VPN概念 GRE(Generic Routing Encapsulation):通用路由封装技术。这种技术是在IP数据包的外面再加上一个IP头。通俗的说,就是把私有数据进行一下伪装,加上一个“外套”,传送到其他地方。

10 GRE VPN基本原理 GRE VPN工作原理
有两个IP私网A和B,它们之间隔着一个IP公网。私网A和B内主机分别使用私网IP地址 /24和 /24。路由器A(RTA)的以太网口E0/0连接到私网A,其IP地址为 ;另外一个串口S0/0连接到互联网,其IP地址为 。路由器B(RTB)的以太网口E0/0连接到私网B,其IP地址为 ;另外一个串口S0/0连接到互联网,其IP地址为 。

11 GRE VPN基本原理 图14-1 GRE原理示意图 GRE Tunnel 私网A 私网B IP公网 RTA RTB IP私网之间的数据流
IP私网B IP私网A GRE Tunnel 私网A 私网B S0/0 E0/0 Tunnel0 /24 /24 /24 /24 /24 /24 IP私网之间的数据流 私网IP包 GRE封装包 1 3 2 1 图14-1 GRE原理示意图

12 GRE VPN基本原理 GRE分别在RTA和RTB上建立了一个隧道口(注意:隧道口只是一个逻辑的接口,它需要绑定在物理接口上),分别绑在RTA和RTB的S0/0接口上。隧道穿过IP公网,隧道口的私网IP地址分别为: /24, /24;而隧道口绑定的公网接口IP地址为: , 注意: 两个隧道口的IP地址必须在同一网段(只限于隧道口的IP地址),因为从逻辑上讲两个隧道口之间是直连的;隧道穿了公网,所以两个隧道口绑定的公网接口IP一般都在不同网段。 但在GRE隧道两端的两个私网中的私网IP地址不可以在同一网段,否则这个网段无法跟隧道另一侧的私网通信。

13 GRE VPN基本配置 GRE VPN基本配置过程 创建虚拟Tunnel接口(系统视图) 指定Tunnel的源端(Tunnel接口视图)

14 GRE VPN基本配置 创建虚拟Tunnel接口(系统视图) [SYS]interface tunnel number
number:Tunnel接口号,范围0~1023 如果尚未创建,指令则先创建Tunnel接口并进入Tunnel接口视图;如果已经创建,则执行interface tunnel number命令可以进入指定隧道的接口视图。 Tunnel 接口号只具有本地意义,隧道两端可以使用相同或不同的接口号。缺省情况下,设备上无Tunnel 接口。

15 GRE VPN基本配置 指定Tunnel的源端(Tunnel接口视图)
[SYS-Tunnel0]source { ip-addr | interface-type interface-num } ip-addr:使用点分十进制的地址形式来指定发出GRE报文的实际接口的IP地址(一般为公网IP)。 interface-type interface-num:接口类型及接口号,接口包括:Ethernet、Serial、ATM、Tunnel和Loopback等。

16 GRE VPN基本配置 指定Tunnel的目的端(Tunnel接口视图) [SYS-Tunnel0]destination ip-addr
ip-addr:使用点分十进制的地址形式来指定发出GRE报文的实际接口的IP地址(一般为公网IP)。 interface-type interface-num:接口类型及接口号,接口包括:Ethernet、Serial、ATM、Tunnel和Loopback等。 注意: Tunnel 接口的源端地址是发出GRE 报文的接口的物理地址,该地址一般设置为对端Tunnel 接口的目的地址。

17 GRE VPN基本配置 设置Tunnel接口的网络地址(Tunnel接口视图)
[SYS-Tunnel0]ip address ip-address mask 两端的Tunnel接口都需要设置IP地址,并且要在同一网段 注意: 指定的隧道目的地址是接收GRE报文的实际物理接口的IP地址,该地址必须与对端Tunnel接口指定的源地址相同,并且要保证到对端物理接口的路由可达。不能对两个或两个以上使用同种封装协议的Tunnel接口配置完全相同的源地址和目的地址。

18 GRE VPN基本配置 配置通过Tunnel的路由
目的是指定需要从隧道传递的数据包,也就是说到对端网络的哪个IP网段的数据包需要从隧道转发。

19 GRE VPN基本配置 配置通过Tunnel的路由
对于路由器A到私网 /24这个网段的数据包需要通过GRE隧道;对于路由器B到私网 /24这个网段的数据包需要通过GRE隧道(两个私网的IP不可以在同一网段);那可以这样来配置隧道的路由: 路由器A(RTA):[RTA]ip route-static tunnel0 路由器B(RTB):[RTB]ip route-static tunnel0

20 L2TP 和 IPSec L2TP L2TP( Layer 2 Tunneling Protocol,二层隧道传输协议):这是一种在特定链路层实现的VPN技术。具体是把二层协议PPP的报文封装在IP 报文中进行传输。 IPsec(Internet Protocol Security,互联网络安全协议):这个协议提供了互联网的验证,加密等功能,实现了数据的安全传输。

21 习题与思考 什么是承载协议,什么是载荷协议? 同一个VPN的两个隧道接口的IP地址如果不在同一网段,隧道能搭建成功吗?为什么?
没有使用加密技术的GRE VPN能保证安全吗?

22 Thank You !


Download ppt "网络互联技术 http://open.gdpi.edu.cn/vc/22001003."

Similar presentations


Ads by Google