基于CISCO路由器的IPSEC_VPN和BGPMPLS_VPN.pptx

基于CISCO路由器的IPSEC VPN和BGP/MPLS VPN;目 录;VPN背景;VPN简介;隧道机制;隧道带来的好处;按隧道类型对VPN分类;L2TP;L2TP的典型应用--VPDN;IPSec;MPLS VPN的基本工作模式;MPLS VPN的特点;三种VPN的比较;目 录;IPSec概述;通过加密保证数据的私密性;对称加密;对数据进行hash运算来保证完整性;对数据和密钥一起进行hash运算;对称密钥交换;DH算法的基本原理;通过身份认证保证数据的真实性;预共享密钥;数字证书;数字签名认证;IPSec框架结构;IPSec安全协议;IPSec封装模式;IPSec封装模式;IPSec与NAT;IPSec与NAT;IPSec与NAT;目 录;对上一节的回顾;端到端IPSec VPN的工作原理;IKE阶段1;IKE阶段1;IKE阶段1;IKE阶段1;IKE阶段2;IKE阶段2;IKE与IPSec安全参数的比较;IKE阶段2;IPSec SA;IPSec SA;IPSec SA;IPSec SA;SA示例;端到端IPSec VPN的配置流程;端到端IPSec VPN的配置步骤1;配置IPSec前的准备工作;端到端IPSec VPN的配置步骤2;启用IKE;创建IKE策略;IKE策略集的取值;IKE策略集的优先级;使用共享密钥进行身份认证;验证IKE配置;端到端IPSec VPN的配置步骤3;配置IPSec变换集;IOS支持的变换;用ACL定义需要IPSec保护的流量;两端路由器要配置对称的ACL;Crypto map的主要配置参数;创建crypto map;Crypto map 配置示例;应用crypto map到路由器端口上;端到端IPSec VPN的配置步骤4;端到端IPSec VPN的配置步骤4;端到端IPSec VPN的配置示例;目 录;Easy VPN的特点;流程1--client向server发送IKE policy;流程2-- server 找到匹配的policy;流程3-- server 要client输入用户/口令;流程4--server向client推送参数;流程5--server进行反向路由注入;流程6--建立IPSec SA;Easy VPN在server端的配置步骤;创建IKE策略集;Cisco vpn client内置的部分策略集;定义分配给client的地址池;定义推送给client的组属性;配置组属性的查询模式;把组属性查询模式与crypto map关联;配置路由器响应client的IP地址申请;创建IPSec变换集;创建动态crypto map;动态crypto map与静态crypto map;把动态map与静态map相关联;启用IKE的DPD死亡对端检测;启用AAA登录认证;定义扩展认证Xauth的超时时间;把Xauth认证方式与crypto map关联;把crypto map应用到路由器的端口;Easy VPN在client端的配置步骤1;Easy VPN在client端的配置步骤2;Easy VPN在client端的配置步骤3;Xauth扩展认证;连接成功后的状态信息;目 录;VPN中的角色;对IPSec VPN的回顾;BGP/MPLS VPN要达到的目标;要解决的主要问题;动态隧道----MPLS;MPLS与动态隧道;MPLS包头结构;MPLS标签的生成1;MPLS标签的生成2;MPLS标签生成的要点;MPLS数据包转发;MPLS的优化1;MPLS的优化2;地址冲突----BGP;地址冲突的细分;解决本地路由冲突的思路;VRF;RT（Route target）;RT的灵活应用;总结： VRF作用：1、 ;问题：如何在PE之间传递各VRF中的路由以及相应的RT？;BGP简介;用BGP传递VPN路由的好处;BGP报文的种类;Update报文的格式;常见的路由属性;RT的表示;路由传播的冲突问题;RD (Route Distinguisher);RD的本质;数据包转发的冲突问题;对BGP的要求;BGP的多协议扩展----MP-BGP;BGP/MPLS VPN的关键流程;CE与PE之间交换路由;VRF路由注入MP-iBGP;MP-iBGP 路由注入VRF;分配PE之间的公网标签;数据包转发－从CE到入口PE;入口PE-出口PE- CE;控制流程－私网路由及标签传递;控制流程－公网LSP的建立;数据流程－私网数据包的转发;目 录;BGP/MPLS VPN在PE上的配置流程;查看PE1和CE1的路由表;配置VRF、RD、RT;把与CE相连的接口和VRF关联;查看VRF的配置;查看全局路由表和VRF路由表;针对VPN路由的命令必须加VRF参数;配置CE与PE