***基本原理總結

***基本原理總結，歡迎批評指正！！！（基本完成，有空修訂）

一、***特點，共3點
1.***是利用現有公共網絡，通過資源配置形成的邏輯上的網絡。
2.***爲特定企業或用戶羣專用。
3.***不是簡單的高層業務。
二、***的優勢，共5點
1.爲用戶建立可靠的安全連接
2.提高網絡資源利用率
3.***應用靈活
4.滿足移動業務需求
5.MPLS-***能構建具有QoS的***
三、***網絡結構描述，共3點
1.若干site組成***
2.所有site屬於一個企業是intranet ***
3.所有site分屬不同企業是Extranet ***
四、***如何來組建邏輯網絡，共2點
1.呼叫連接過程由ISP得NAS與***服務器共同完成。
2.POP=point of presence服務器（位於ISP得邊緣，直接接用戶）
五、***的本質，共4點
1.***=隧道+加密
2.隧道分爲二層隧道和三層隧道
3.二層隧道一般終止在用戶側設備，三層隧道一般終止在ISP網關；三層隧道比二層隧道更安全更容易擴展更可靠
4.二層隧道和三層隧道可獨立使用，也可配置使用，這樣更更全更佳的性能
六、VPDN總結，共2點
1.VPDN=virtual private dial network虛擬私有撥號網：指利用公共網絡（ISDN或PSTN）的撥號功能及接入網來實現***
2.VPDN有兩種實現方式：①NAS通過隧道協議，與VPDN網關建立通道②客戶機直接與VPDN網關建立隧道
七、L2TP總結
1. 協議背景：PPP協議定義了一種封裝技術，可在二層點到點鏈路傳輸多種協議數據包，用戶與NAS間運行PPP協議，二層鏈路端點與PPP會話點駐留在相同硬件設備上；L2TP提供了對PPP鏈路層數據包的通道（tunnel）傳輸支持，允許二層鏈路端點和PPP會話點駐留在不同設備上，且採用包交換進行信息交互，擴展了PPP模型。
2.術語：LAC=L2TP accessconnectrator（具有PPP端系統和L2TP協議處理能力的設備）
            LNS=L2TP network server（PPP端系統處理L2TP協議服務器端的設備）
3.PPP幀和控制通道及數據通道間的關係：PPP幀在不可靠的L2TP數據通道上傳輸，控制消息在可靠的L2TP控制通道內傳輸。
4.tunnel 和session：tunnel連接定義了一個LNS和LAC對；session連接複用在tunnel之上，用於表示承載在tunnel連接中的每個 PPPsession過程；同一對LAC和LNS間可建立多個L2TP tunnel，tunnel由一個控制連接和一個或多個session組成；session連接必須在tunnel建立成功後進行，每個session對應於LAC和LNS間的一個PPP數據流；控制消息和PPP數據報文都在tunnel上傳輸。
5.控制消息和數據消息：控制消息用於隧道和會話的建立、維護、傳輸控制；數據消息用於封裝PPP幀在隧道上傳輸；控制消息和數據消息共享相同的報文頭。
6.L2TP的兩種tunnel模式：①遠程撥號用戶發起②直接由LAC客戶發起。
7.L2TP 隧道和會話建立過程：（①用戶端PC發起呼叫連接請求②PC和LAC進行PPP LCP協商③LAC對PC提供的用戶信息進行PAP或CHAP認證④LAC將熱證信息（用戶名、密碼）發送給radius服務器進行認證⑤radius服務器認證該用戶；如果認證通過則返回該用戶對應的LNS地址等相關信息且LAC準備發起tunnel連接請求⑥LAC向指定LNS發起tunnel連接請求⑦LAC向指定LNS發送CHAP challenge信息，LNS會送該challenge響應消息CHAP response併發送LNS側的CHAP challenge,LAC返回該challenge的響應消息CHAP response⑧隧道驗證通過⑨LAC將用戶CHAPresponse、response identifier和PPP協商參數傳送給LNS⑩LNS將介入請求信息發送給radius服務器進行認證（11）radius服務器認證該請求信息，如果認證通過則返回響應信息（12）若用戶在LNS配置強制本端CHAP認證，則LNS對用戶進行認證，發送CHAP challenge，用戶側迴應CHAP response（13）LNS再次將接入請求信息發送給radius服務器進行認證（14）radius服務器認證該請求信息，如果認證通過則返回響應信息；驗證通過，用戶訪問企業內部資源。
八、GRE總結，共6點。
1.GRE=generic routing encapsulation（通用路由封裝）：是對某些網絡層協議（如ip和IPX）的數據報文進行封裝，使被封裝的數據報文能在另一網絡層協議（如ip）中傳輸。
2.GRE是***的三層隧道協議。
3.tunnel是一個虛擬點到點連接，可以看成僅支持點到點連接的虛擬接口。
4.報文在tunnel中傳輸，必須經歷2個處理過程：①encapsulation②de-encapsulation
5.GRE的使用：①多協議的本地網通過單一協議骨幹網傳輸②擴大步跳數受限協議（如IPX）的網絡工作範圍③將不連續子網連接用於組建***④與IPsec結合使用。
6.GRE的配置：①必須先創建tunnel虛擬接口，然後在tunnel接口上配置其它功能特性（刪除tunnel接口同時接口所有配置也被刪除）②目前comware不支持GRE對IPX的封裝。
九、IPsec總結
1.IPsec 概述：①由IETF制定②IPsec是特定通信方在ip層通過加密與數據源驗證等來保證數據傳輸的私有性、完整性、真實性和放重放③IPsec通過AH和 ESP實現安全，通過IKE自動協商交換密鑰、建立和維護SA④AH提供數據源驗證、數據完整性校驗、報文放重放功能⑤ESP提供AH所有功能外，還提供對ip報文加密。⑥AH和ESP可單獨使用也可搭配使用更安全。
2. 安全聯盟SA：①IPsec在對等體間提供安全通信②通過SA，IPsec能對不同數據流提供不同安全級別，專業說法叫“控制對等體間安全服務的粒度”③SA是IPsec對等體間對某些要素的約定④SA是單向的（兩個對等體間雙向通信，至少需要兩個SA）⑤SA由三元組來標識（SPI\目的ip地址 \安全協議號AH或ESP）⑥SA有生存週期，計算方式有兩種（時間和流量）。
3.IPsec的操作模式有2種：①傳輸模式（AH或ESP被插入到ip頭之後所有傳輸層協議之前或所有其他IPsec協議之前）②隧道模式（AH或ESP插入在原始ip頭之前，另外生成一個新頭放在AH或ESP之前）③隧道模式的安全性優於傳輸模式但性能不及傳輸模式。
4. 驗證算法和加密算法：①驗證算法（有兩種MD5和SHA-1；用於完整性驗證判斷報文在傳輸過程中是否被篡改；驗證算法通過雜湊函數接受任意長的消息輸入，產生固定長度輸出的算法，輸出信息稱爲消息摘要；MD5輸入任意長度產生128bits摘要，SHA-A輸入小於2的64次方bits產生 160bits摘要）②加密算法（DES=data encryption standard使用56bits的密鑰對64bits明文加密；3DES=Triple DES使用3個56bits密鑰對明文加密；AES=advanced encryption standard -comware實現了128bits/192bits/256bits密鑰長度的AES算法）。
5.IPsec 的2種協商方式：①手工方式（manual）②IKE自動協商③手工方式配置複雜且IPsec一些高級特性（如定時更新密鑰）不被支持；IKE只需配置好 IKE協商安全策略信息由IKE自動協商來創建和維護SA④對等體設備數量少或小型靜態環境使用手工配置SA；大中型動態網絡環境中使用IKE協商建立 SA。
6.加密卡：①加密/解密、認證算法一般比較複雜，佔用大量CPU資源，影響路由器整體處理效率②模塊化路由可以使用加密卡，以硬件方式完成IPsec運算；提高了路由器工作效率也提高了IPsec處理效率。