第十四章 虚拟专网VPN.PPT

Page 1/44,第13章内容回顾,什么是NAT？NAT中的几个地址内部局部地址、外部局部地址、内部全局地址、外部全局地址NAT的应用转换内部地址、LAN地址复用、TCP负载均衡NAT的配置静态NAT动态NATPATTCP负载均衡,虚拟专网（VPN）,第14章,Page 3/44,CCIE是Cisco最高等级的考试，全称是Cisco认证互联网专家，不仅全球获得该认证殊荣的人很少，只有1万多名，并且考试也相当的困难（需要参加笔试和实验室考试），考试费也非常昂贵（笔试350美元，折合人民币2800元,实验考试1400美元，折合人民币10584元），所以说CCIE考试是目前最难的最高端的认证考试之一。CCIE分为五类分别是：CCIE-路由和交换、CCIE-通信和服务、CCIE-安全、CCIE-语音、CCIE-网络存储。其中CCIE-路由和交换，是Cisco最普及的认证，多数CCIE是通过的CCIE-路由和交换的这一项技术认证。目前Cisco公司将会改动CCIE Security的一些考点和相关设备版本号，目前已经公布的改动有去除VPN 3000 Concentrator和PIX Firewall的内容，版本方面的改动有3560s on 12.2(x)SE、3800s on 12.4T、ASA 8.x、IPS 6.x，IPS 4215替换IPS 4240，还有可能会加入MARS和NAC。,Page 4/44,本章目标,能够配置VPN，使企业办事处能够通过VPN远程接入企业网络中心了解VPN的基本概念熟悉VPN的工作原理了解VPN的加密算法熟悉IPsec VPN技术能够在Cisco路由器上配置IPsec VPN,Page 5/44,隧道和加密技术,本章结构,虚拟专网VPN,IPsec的安全协议,IPsec基本概念,VPN概述,IPsec技术,IPsec的传送方式,IPsec的密钥交换,IPsec VPN的配置,VPN的结构和分类,VPN的定义,VPN的工作原理,IPsec的运行,Page 6/44,什么是VPN,VPN（Virtual Private Network）在公用网络中,按照相同的策略和安全规则,建立的私有网络连接,Internet,北京总部,广州分公司,虚拟专用网络,Page 7/44,VPN的优点,Internet,专线,中心站点,分支机构,专线方式,VPN方式,费用高灵活性差广域网的管理复杂的拓扑结构,费用低灵活性好简单的网络管理隧道的拓扑结构,Page 8/44,VPN的结构和分类,总部,Internet,远程访问的VPN站点到站点的VPN,Page 9/44,远程访问的VPN,移动用户或远程小办公室通过Internet访问网络中心连接单一的网络设备客户通常需要安装VPN客户端软件,Page 10/44,站点到站点的VPN,公司总部和其分支机构、办公室之间建立的VPN替代了传统的专线或分组交换WAN连接它们形成了一个企业的内部互联网络,总部,Internet,Page 11/44,VPN的工作原理,VPN=加密隧道,明文,明文,访问控制,报文加密,报文认证,IP封装,IP解封,报文认证,报文解密,访问控制,公共IP网络,Page 12/44,VPN的关键技术,安全隧道技术信息加密技术用户认证技术访问控制技术,Page 13/44,安全隧道技术,为了在公网上传输私有数据而发展出来的“信息封装”（Encapsulation）方式在Internet上传输的加密数据包中，只有VPN端口或网关的IP地址暴露在外面,Internet,安全隧道,Page 14/44,隧道协议,二层隧道VPNL2TP:Layer 2 Tunnel Protocol PPTP:Point To Point Tunnel ProtocolL2F:Layer 2 Forwarding三层隧道VPNGRE:General Routing Encapsulation IPSEC:IP Security Protocol,Page 15/44,第二层隧道协议,建立在点对点协议PPP的基础上先把各种网络协议（IP、IPX等）封装到PPP帧中，再把整个数据帧装入隧道协议适用于通过公共电话交换网或者ISDN线路连接VPN,Internet,内部网络,移动用户,访问集中器,网络服务器,PPP链接,Page 16/44,第三层隧道协议,把各种网络协议直接装入隧道协议在可扩充性、安全性、可靠性方面优于第二层隧道协议,Internet,IP连接,Page 17/44,信息加密技术,机密性对用户数据提供安全保护数据完整性 确保消息在传送过程中没有被修改身份验证确保宣称已经发送了消息的实体是真正发送消息的实体,明文,加密,密文,解密,明文,Page 18/44,加密算法,对称加密DES算法AES算法IDEA算法、Blowfish算法、Skipjack算法非对称加密RSA算法PGP,Page 19/44,对称密钥,明文,密文,明文,发送方和接收方使用同一密钥通常加密比较快（可以达到线速）基于简单的数学操作（可借助硬件）需要数据的保密性时，用于大批量加密密钥的管理是最大的问题,双方使用相同的密钥,Page 20/44,非对称密钥,每一方有两个密钥公钥，可以公开私钥，必须安全保存已知公钥，不可能推算出私钥一个密钥用于加密，一个用于解密比对称加密算法慢很多倍,Page 21/44,公钥加密和私钥签名,用于数据保密；利用公钥加密数据，私钥解密数据,用于数字签名；发送者使用私钥加密数据，接收者用公钥解密数据,Page 22/44,阶段总结,VPN的基本概念VPN的结构和类型VPN的原理安全隧道技术信息加密技术,Page 23/44,什么是IPsec,IPSec（IP Security）是 IETF为保证在Internet上传送数据的安全保密性，而制定的框架协议应用在网络层，保护和认证用IP数据包 是开放的框架式协议，各算法之间相互独立提供了信息的机密性、数据的完整性、用户的验证和防重放保护支持隧道模式和传输模式,Page 24/44,隧道模式和传输模式,隧道模式IPsec对整个IP数据包进行封装和加密，隐蔽了源和目的IP地址从外部看不到数据包的路由过程传输模式IPsec只对IP有效数据载荷进行封装和加密，IP源和目的IP地址不加密传送安全程度相对较低,Page 25/44,IPsec的组成,IPSec 提供两个安全协议AH(Authentication Header)认证头协议ESP(Encapsulation Security Payload)封装安全载荷协议 密钥管理协议IKE（Internet Key Exchange）因特网密钥交换协议,IPsec不是单独的一个协议，而是一整套体系结构,Page 26/44,AH协议隧道中报文的数据源鉴别数据的完整性保护对每组IP包进行认证，防止黑客利用IP进行攻击,AH认证头协议,Page 27/44,AH的隧道模式封装,AH验证包头,新IP 包头,数据,IP 包头,有效负载,使用散列算法计算验证值，包含在AH验证包头中,为新的IP包插入新的包头,原始IP包保持不变，为整个原始IP包提供验证,Page 28/44,ESP封装安全载荷协议,保证数据的保密性提供报文的认证性、完整性保护,Page 29/44,ESP的隧道模式封装,ESP头部,新IP 包头,ESP尾部,ESP验证,数据,原IP 包头,数据,原IP 包头,验证,有效负载,比AH增加加密功能，如果启用，则对原始IP包进行加密后再传输,Page 30/44,AH和ESP相比较,ESP基本提供所有的安全服务如果仅使用ESP，消耗相对较少为什么使用AHAH的认证强度比ESP强AH没有出口限制,Page 31/44,安全联盟SA,使用安全联盟（SA）是为了解决以下问题如何保护通信数据保护什么通信数据由谁实行保护建立SA是其他IPsec服务的前提SA定义了通信双方保护一定数据流量的策略,Page 32/44,SA的内容,一个SA通常包含以下的安全参数 认证/加密算法，密钥长度及其他的参数 认证和加密所需要的密钥 哪些数据要使用到该SA IPsec的封装协议和模式,如何保护,保护什么,由谁实行,Page 33/44,IKE因特网密钥交换协议,在IPsec网络中用于密钥管理为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥,Page 34/44,IPsec VPN的配置,步骤1 配置IKE的协商步骤2 配置IPSEC的协商步骤3 配置端口的应用步骤4 调试并排错,Page 35/44,配置IKE协商3-1,启动IKERouter(config)#crypto isakmp enable建立IKE协商策略Router(config)#crypto isakmp policy priority,取值范围110000数值越小，优先级越高,Page 36/44,配置IKE协商3-2,配置IKE协商策略Router(config-isakmp)#authentication pre-shareRouter(config-isakmp)#encryption des|3des Router(config-isakmp)#hash md5|sha1 Router(config-isakmp)#lifetime seconds,使用预定义密钥,加密算法,SA的活动时间,认证算法,Page 37/44,配置IKE协商3-3,设置共享密钥和对端地址Router(config)#crypto isakmp key keystring address peer-address,密钥,对端IP,Page 38/44,配置IPsec协商2-1,设置传输模式集Router(config)#crypto ipsec transform-set transform-set-name transform1 transform2 transform3,定义了使用AH还是ESP协议，以及相应协议所用的算法,Page 39/44,配置IPsec协商2-2,配置保护访问控制列表Router(config)#access-list access-list-number deny|permit protocol source source-wildcard destination destination-wildcard,用来定义哪些报文需要经过IPSec加密后发送，哪些报文直接发送,Page 40/44,配置端口的应用2-1,创建Crypto MapsRouter(config)#crypto map map-name seq-num ipsec-isakmp 配置Crypto MapsRouter(config-crypto-map)#match address access-list-number Router(config-crypto-map)#set peer ip_addressRouter(config-crypto-map)#set transform-set name,ACL编号,对端IP地址,传输模式的名称,Map优先级，取值范围165535，值越小，优先级越高,Page 41/44,配置端口的应用2-2,应用Crypto Maps到端口Router(config)#interface interface_name interface_numRouter(config-if)#crypto map map-name,Page 42/44,检查IPsec配置,查看IKE策略Router#show crypto isakmp policy查看IPsce策略Router#show crypto ipsec transform-set查看SA信息Router#show crypto ipsec sa查看加密映射Router#show crypto map,Page 43/44,RouterA(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.20RouterA(config)#crypto isakmp policy 1RouterA(config-isakmap)#hash md5RouterA(config-isakmap)#authentication preshareRouterA(config)#crypto isakmp key benet-password address 20.20.20.20RouterA(config)#crypto ipsec transformset benetset ahmd5hmac espdesRouterA(config)#accesslist 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255RouterA(config)#crypto map benetmap 1 ipsecisakmpRouterA(config-crypto-map)#set peer 20.20.20.20RouterA(config-crypto-map)#set transformset benetsetRouterA(config-crypto-map)#match address 101RouterA(config)#interface serial 0/0RouterA(config-if)#crypto map benetmap,VPN配置实例,Page 44/44,本章总结,隧道和加密技术,虚拟专网VPN,IPsec的安全协议,IPsec基本概念,VPN概述,IPsec技术,IPsec的安全联盟,IPsec的密钥交换,IPsec VPN的配置,VPN的结构和分类,VPN的定义,VPN的工作原理,远程接入VPN站点到站点VPN,安全隧道技术信息加密技术用户认证技术访问控制技术,二层隧道VPN和三层隧道VPN对称加密和非对称加密,AHESP,IKE,Page 45/44,实验,任务配置IPSec VPN协议，连接BENET广州办事处和公司总部需求使用IPSec VPN协议使用AH认证方式连接完成标准VPN连接能够正常建立办事处PC和总部PC间可以相互ping通,网络拓朴,