第1章VPN原理和配置随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来 组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性 VPN概述 GREVPN L2TP IPSecVPN VPN设计规划VPN概述VPN（VirtualPrivateNetwork）什么是VPNVPN的优势VPN的关键概念术语VPN的分类方法AccessVPNIntranetVPNCPE-BasedVPNNetwork-BasedVPNVLL，虚拟专线VPRNVPDN，虚拟私有拨号网络VPLS，虚拟私有LAN服务不同网络层次的VPN主要VPN技术其它VPN技术VPN概述 GREVPN L2TP IPSecVPN VPN设计规划 GREVPNGREVPNGRE协议栈RFC1701GRE头格式RFC1701SRE格式常见GRE载荷协议号RFC2784GRE标准头格式GRE扩展头格式以IP作为载荷协议的GRE封装IPoverIP的GRE封装IPoverIPGRE隧道GRE隧道处理流程GRE隧道处理——隧道起点路由查找GRE隧道处理——加封装GRE隧道处理——承载协议路由转发GRE隧道处理——中途转发GRE隧道处理——解封装GRE隧道处理——隧道终点载荷协议路由查找GRE穿越NATGREVPN基本配置GREVPN高级配置GREVPN配置实例（待续）GREVPN配置实例GREVPN的显示和调试连接不连续的网络单一骨干承载多个上层协议扩大载荷协议的工作范围GREVPN的优点GREVPN的缺点VPN概述 GREVPN L2TP IPSecVPN VPN设计规划L2TPL2TP传统拨号接入使用L2TP构建VPDNL2TP功能组件L2TP功能组件L2TP术语呼叫隧道和控制连接会话L2TP拓扑结构（1）——独立LAC方式L2TP拓扑结构（2）——客户LAC方式L2TP头格式L2TP协议栈和封装过程L2TP协议操作建立控制连接建立会话转发PPP帧Keepalive关闭会话关闭控制连接L2TP的验证过程L2TP多实例L2TP基本配置任务L2TP基本配置命令（未完）L2TP的基本配置命令（未完）L2TP的基本配置命令L2TP可选配置任务L2TP的可选配置命令（未完）L2TP的可选配置命令（未完）L2TP的可选配置命令L2TP配置例子（未完）L2TP配置例子L2TP信息显示和调试L2TP故障排除L2TP特点VPN概述 GREVPN L2TP IPSecVPN VPN设计规划IPSecVPNIPSecVPN基本概念和术语（待续）基本概念和术语安全性基本要求加密算法非对称加密算法单向散列函数Diffie-Hellman交换加密的实现层次IPSecVPN的体系结构IPSec传输模式IPSec隧道模式IPSecSAIPSec处理流程AHAH头格式传输模式AH封装隧道模式AH封装ESPESP头格式传输模式ESP封装隧道模式ESP封装IKEIKE的作用IKE与IPSec的关系IKE协商的两个阶段CookieIKE主模式策略协商的内容IKE野蛮模式IKE的优点NAT与IPSec/IKE的不兼容性使用NAT穿越IPSec配置前准备IPSec的配置任务配置访问控制列表定义安全提议创建安全策略——手工创建（未完）创建安全策略——手工创建创建安全策略——用IKE创建在接口上应用安全策略IKE配置任务（未完）IKE配置任务配置本端安全网关的名字定义IKE安全提议配置IKE对等体（未完）配置IKE对等体IPSec隧道配置例子（未完）IPSec隧道配置例子IPSec的显示与调试（未完）IPSec的显示与调试IKE的显示与调试IPSec故障诊断与排错IPSec特点VPN概述 GREVPN L2TP IPSecVPN VPN设计规划VPN设计规划VPN设计的安全性原则隧道与加密数据验证用户识别与设备验证入侵检测和网络接入控制QoS考虑扩展性经济性和可靠性隧道效率和MTUGREVPN拓扑设计GRE路由规划静态路由的弊端Tunnel接口Keepalive在Tunnel接口运行动态路由L2TP拓扑的选择L2TP的验证L2TP客户端LNS与防火墙的相对位置用IPSec保护L2TPL2TP+IPSec穿越NAT隧道模式与传输模式IPSec拓扑设计高可靠性设计选择安全协议选择安全算法选择IKE工作模式IP地址规划移动用户的IPSecVPN接入IPSec和Internet接入用IPSec保护组播NAT穿越路径MTU考虑VPN配置实验配置GRE隧道实验L2TP独立LAC方式实验L2TP客户LAC方式实验IPSec+IKE主模式实验IPSec+IKE野蛮模式实验VPN技术不是一种单纯的协议或技术，而是一类应用的总称 VPN由各式各样复杂的的技术和协议体系构成