L2TP-***通用原理取證及在華爲防火牆上的實施
課程目標:
ü 系列***課程的起步,通過該課程識別***的典型架構
ü 完整的理解並取證L2TP的工作原理及各種配置方案
ü 爲理解其它***比如:IPSec、MPLS-***打下基礎
ü 因爲各種***在必要時,它們可以借力打力,相互承載
適合人羣:希望深入理解各種***的人羣、***技術工程人員、華爲、思科的安全學員。
課程位置:http://edu.51cto.com/course/course_id-5736.html
課程簡介:
理解***的定義及基本架構、是否需要運營商協調、理解***的隧道技術及二次封裝過程、演示並取證:GRE隧道及運作原理、關於解讀二層***和三層***分類及一直在爭論的問題、初識PPTP、L2F、L2TPv2、L2TPv3、IPsec、SSL、理解並取證:L2TP的工作原理及隧道建立、封裝過程、演示:由公派出差用戶直接初始化L2TP-*** 、何時配置L2TP的域名關聯隧道,何時不配(活用L2TP的關鍵)、演示:由企業防火牆做LAC直接初始化L2TP-***(自由模式)、演示:由運營商的LAC初始化到企業LNS的L2TP-***(強制模式)、由運營商的LAC和LNS承載多個企業的L2TP並隔離重複地址、關於L2TP規劃與應用中的典型提問-回答。
具體內容:
第一課:理解***的定義及基本架構、是否需要運營商協調
本課是筆者一系列各種***課程的起步,描述了***的定義、特點、以及常見的幾種基礎本架構,並說明在一系列的不同架構中,那些是需要運營商協助,那些是用戶完全高度自治的***,如何針對自身的情況去選擇不同的架構,理解什麼是P、PE、CE這三個定義適合於所有的***,並非MPLS-***獨有,然後描述了L2TP-***課程的結構及需要演示和取證的實驗。
第二課:理解***的隧道技術及二次封裝過程
本課程描述了,什麼是隧道技術,以及隧道的層次、典型的隧道技術有哪些、及隧道技術對常規包檢測的逃逸性。申明出一個關鍵的問題,隧道的層次並不代表***的層次。並從理論角度描述了隧道二次封裝數據的過程和穿過Internet時中間設備轉發的過程。
第三課:演示並取證:GRE隧道及運作原理
本課將緊接上一堂課的隧道技術,以分析典型的隧道GRE來取證二次封裝過程,相當於是對上堂課的理論進行了證實,並且分別描述了RFC1701和RFC2784的兩種GRE報文,並通過實驗來舉證GRE運載OSPF的過程。強調出爲什麼GRE嚴格的講不是一種完全的***技術。並指出不同隧道與間是可以相互封裝的,爲深入研究***做出了提示。
第四課:關於解讀二層***和三層***分類及一直在爭論的問題:
本課描述了典型的二層***和三層***,並指出很多情況下***是建立在三層隧道上的,比如PPTP事實上是基於GRE建立的,但爲什麼會將PPTP規劃到二層***而不是三層,指出識別二層還是三層***的關鍵區分原則。並在該課程中指出L2TP事實上是屬於狹義的二層***,那麼廣義(廣泛)的二層***有哪些。
第五課:初識PPTP、L2F、L2TPv2、L2TPv3、IPsec、SSL
本課重點對狹義的二層***技術PPTP、L2F、L2TPv2及廣義的二層***技術L2TPV3及AtoM和三層***的IPsec、SSL的關鍵特性做了相關描述,並描述了典型的二層***中PPTP、L2F、L2TPv2、L2TPv3它們之間的區別及應用取捨。最後建議出應該掌握的典型***
第六課:理解並取證:L2TP的工作原理及隧道建立、封裝過程
注意本課程的所有內容是L2TP-***的通用原理,主要描述了L2TP典型的架構模型,什麼是自主模式與強制模式、L2TP-LAC和LNS的定義、L2TP-***的基本模型、然後描述並取證了強制模式下由運營商的LAC發起初始化的L2TP的工作原理、及隧道建立、封裝過程、兩次認證過程等、描述爲什麼PPPOE、L2TP、PPTP都需要使用虛擬模式的原因、併爲深度解讀L2TP的數據幀做出提示,包括:L2TP的報文分析及AVP分解。
第七課:演示:由公派出差用戶直接初始化L2TP-***
本課主要描述並完整演示L2TP的遠程撥號到企業的LNS過程,然後總結遠程撥號L2TP的通用配置邏輯,分析在遠程撥號L2TP-***之間的路由及該環境爲什麼不需要配置前面理論部分所描述的通過L2TP的域名識別隧道,併爲深入理解L2TP的域名做準備。
第八課:何時配置L2TP的域名關聯隧道,何時不配(活用L2TP的關鍵)
本課程主要應解放在工業環境中靠死記指令和套用配置文件上的模板的技術員突破配置模式的限制活用L2TP-***架構而生,其中主要通過描述L2TP域名關聯隧道的作用,來解讀必須要配置域名與L2TP隧道關聯的案例,不需要域名關聯隧道的案例,來幫讀學習擴展L2TP的靈活使用,以及理解認證域、遠程配置文件、隧道之間的關聯。
第九課:演示:由企業防火牆做LAC直接初始化L2TP-***(自由模式)
本課完整的演示了由企業防火牆LAC直接初始化到LNS的L2TP-***,相關於是一種Site-to-Site的L2TP-***;並說明該架構中是否需要配置L2TP的域名,總結在該架構下L2TP-***的通用配置邏輯。
第十課:演示:由運營商的LAC初始化到企業LNS的L2TP-***(強制模式)
本課完整的演示由運營商的LAC初始化到企業LNS的L2TP-***(強制模式),在該環境中,首先由企業路由器通過PPPOE撥號到運營商的LAC(NAS),然後由LAC幫助企業用戶連接向LNS,在這個過程中企業的撥號用戶始終不感知***的存在。然後取證分析了數據報文在PPPOE和L2TP段的不同封裝,並描述了在該環境中建議必須配域名的理由,最後總結了該L2TP-***架構下的通用配置原理。
第十一課:由運營商的LAC和LNS承載多個企業的L2TP並隔離重複地址
本課完整的演示了由運營商的LAC和LNS承載多個企業的L2TP並隔離重複地址,這是屬於一種用戶讓運營商完全託管L2TP-***的例子。通過域名與L2TP隧道的關聯在LAC側識別不同的企業流量,然後通過將LNS虛擬化(事實上是一種實例化)虛擬化後的不同實例下配置RD來解決LNS側的地址衝突,並檢測整效果。
本課幫助初識L2TP-***技術的用戶解答瞭如下相關問題:現今IPsec、MPLS-***如此之流行,爲什麼筆者需要對L2TP做如此詳細的描述和演示?L2TP的安全性如何保障、爲什麼不用PPTP去替代L2TP、是否所有廠商都支持L2TP、它們的配置是否相同、在本課L2TP一般應用最爲廣泛的環境是哪幾個、不同廠商之間L2TP是否能互聯、事實上L2TP-***是整個***航程的起點。