×××基本原理总结

一、×××特点，共3点
1.×××是利用现有公共网络，通过资源配置形成的逻辑上的网络。
2.×××为特定企业或用户群专用。
3.×××不是简单的高层业务。
二、×××的优势，共5点
1.为用户建立可靠的安全连接
2.提高网络资源利用率
3.×××应用灵活
4.满足移动业务需求
5.MPLS-×××能构建具有QoS的×××
三、×××网络结构描述，共3点
1.若干site组成×××
2.所有site属于一个企业是intranet ×××
3.所有site分属不同企业是Extranet ×××
四、×××如何来组建逻辑网络，共2点
1.呼叫连接过程由ISP得NAS与×××服务器共同完成。
2.POP=point of presence服务器（位于ISP得边缘，直接接用户）
五、×××的本质，共4点
1.×××=隧道+加密
2.隧道分为二层隧道和三层隧道
3.二层隧道一般终止在用户侧设备，三层隧道一般终止在ISP网关；三层隧道比二层隧道更安全更容易扩展更可靠
4.二层隧道和三层隧道可独立使用，也可配置使用，这样更更全更佳的性能
六、VPDN总结，共2点
1.VPDN=virtual private dial network虚拟私有拨号网：指利用公共网络（ISDN或PSTN）的拨号功能及接入网来实现×××
2.VPDN有两种实现方式：①NAS通过隧道协议，与VPDN网关建立通道②客户机直接与VPDN网关建立隧道
七、L2TP总结
1. 协议背景：PPP协议定义了一种封装技术，可在二层点到点链路传输多种协议数据包，用户与NAS间运行PPP协议，二层链路端点与PPP会话点驻留在相同硬件设备上；L2TP提供了对PPP链路层数据包的通道（tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，且采用包交换进行信息交互，扩展了PPP模型。
2.术语：LAC=L2TP accessconnectrator（具有PPP端系统和L2TP协议处理能力的设备）
            LNS=L2TP network server（PPP端系统处理L2TP协议服务器端的设备）
3.PPP帧和控制通道及数据通道间的关系：PPP帧在不可靠的L2TP数据通道上传输，控制消息在可靠的L2TP控制通道内传输。
4.tunnel 和session：tunnel连接定义了一个LNS和LAC对；session连接复用在tunnel之上，用于表示承载在tunnel连接中的每个 PPPsession过程；同一对LAC和LNS间可建立多个L2TP tunnel，tunnel由一个控制连接和一个或多个session组成；session连接必须在tunnel建立成功后进行，每个session对应于LAC和LNS间的一个PPP数据流；控制消息和PPP数据报文都在tunnel上传输。
5.控制消息和数据消息：控制消息用于隧道和会话的建立、维护、传输控制；数据消息用于封装PPP帧在隧道上传输；控制消息和数据消息共享相同的报文头。
6.L2TP的两种tunnel模式：①远程拨号用户发起②直接由LAC客户发起。
7.L2TP 隧道和会话建立过程：（①用户端PC发起呼叫连接请求②PC和LAC进行PPP LCP协商③LAC对PC提供的用户信息进行PAP或CHAP认证④LAC将热证信息（用户名、密码）发送给radius服务器进行认证⑤radius服务器认证该用户；如果认证通过则返回该用户对应的LNS地址等相关信息且LAC准备发起tunnel连接请求⑥LAC向指定LNS发起tunnel连接请求⑦LAC向指定LNS发送CHAP challenge信息，LNS会送该challenge响应消息CHAP response并发送LNS侧的CHAP challenge,LAC返回该challenge的响应消息CHAP response⑧隧道验证通过⑨LAC将用户CHAPresponse、response identifier和PPP协商参数传送给LNS⑩LNS将介入请求信息发送给radius服务器进行认证（11）radius服务器认证该请求信息，如果认证通过则返回响应信息（12）若用户在LNS配置强制本端CHAP认证，则LNS对用户进行认证，发送CHAP challenge，用户侧回应CHAP response（13）LNS再次将接入请求信息发送给radius服务器进行认证（14）radius服务器认证该请求信息，如果认证通过则返回响应信息；验证通过，用户访问企业内部资源。
八、GRE总结，共6点。
1.GRE=generic routing encapsulation（通用路由封装）：是对某些网络层协议（如ip和IPX）的数据报文进行封装，使被封装的数据报文能在另一网络层协议（如ip）中传输。
2.GRE是×××的三层隧道协议。
3.tunnel是一个虚拟点到点连接，可以看成仅支持点到点连接的虚拟接口。
4.报文在tunnel中传输，必须经历2个处理过程：①encapsulation②de-encapsulation
5.GRE的使用：①多协议的本地网通过单一协议骨干网传输②扩大步跳数受限协议（如IPX）的网络工作范围③将不连续子网连接用于组建×××④与IPsec结合使用。
6.GRE的配置：①必须先创建tunnel虚拟接口，然后在tunnel接口上配置其它功能特性（删除tunnel接口同时接口所有配置也被删除）②目前comware不支持GRE对IPX的封装。
九、IPsec总结
1.IPsec 概述：①由IETF制定②IPsec是特定通信方在ip层通过加密与数据源验证等来保证数据传输的私有性、完整性、真实性和放重放③IPsec通过AH和 ESP实现安全，通过IKE自动协商交换密钥、建立和维护SA④AH提供数据源验证、数据完整性校验、报文放重放功能⑤ESP提供AH所有功能外，还提供对ip报文加密。⑥AH和ESP可单独使用也可搭配使用更安全。
2. 安全联盟SA：①IPsec在对等体间提供安全通信②通过SA，IPsec能对不同数据流提供不同安全级别，专业说法叫“控制对等体间安全服务的粒度”③SA是IPsec对等体间对某些要素的约定④SA是单向的（两个对等体间双向通信，至少需要两个SA）⑤SA由三元组来标识（SPI\目的ip地址 \安全协议号AH或ESP）⑥SA有生存周期，计算方式有两种（时间和流量）。
3.IPsec的操作模式有2种：①传输模式（AH或ESP被插入到ip头之后所有传输层协议之前或所有其他IPsec协议之前）②隧道模式（AH或ESP插入在原始ip头之前，另外生成一个新头放在AH或ESP之前）③隧道模式的安全性优于传输模式但性能不及传输模式。
4. 验证算法和加密算法：①验证算法（有两种MD5和SHA-1；用于完整性验证判断报文在传输过程中是否被篡改；验证算法通过杂凑函数接受任意长的消息输入，产生固定长度输出的算法，输出信息称为消息摘要；MD5输入任意长度产生128bits摘要，SHA-A输入小于2的64次方bits产生 160bits摘要）②加密算法（DES=data encryption standard使用56bits的密钥对64bits明文加密；3DES=Triple DES使用3个56bits密钥对明文加密；AES=advanced encryption standard -comware实现了128bits/192bits/256bits密钥长度的AES算法）。
5.IPsec 的2种协商方式：①手工方式（manual）②IKE自动协商③手工方式配置复杂且IPsec一些高级特性（如定时更新密钥）不被支持；IKE只需配置好 IKE协商安全策略信息由IKE自动协商来创建和维护SA④对等体设备数量少或小型静态环境使用手工配置SA；大中型动态网络环境中使用IKE协商建立 SA。
6.加密卡：①加密/解密、认证算法一般比较复杂，占用大量CPU资源，影响路由器整体处理效率②模块化路由可以使用加密卡，以硬件方式完成IPsec运算；提高了路由器工作效率也提高了IPsec处理效率。