局域网接入安全策略.ppt

《局域网接入安全策略.ppt》由会员分享，可在线阅读，更多相关《局域网接入安全策略.ppt（45页珍藏版）》请在三一办公上搜索。

1、26 局域网接入安全策略,模块1 构建VPN隧道,1.1 问题提出VPN能够利用Internet网络，实现安全、可靠的网上商务活动。它可以使公司获得使用公共通信基础结构所带来的便利和经济效益，同时获得使用专用的点到点连接所带来的安全。VPN可以提供设备认证、数据包完整性检查、加密等功能，可以避免窃听、伪装、中间人等网络攻击。,模块1 构建VPN隧道,1.2 相关知识,1VPN概述虚拟专用网（Virtual Private Network，VPN）的简称。利用公用的Internet网络，为本单位建立具有专用网特性的虚拟网络，实现本单位分布在地理位置不同的各个部门间利用Inernet传递需要保密的

2、商务信息。,模块1构建VPN隧道,VPN网络基础,模块1构建VPN隧道,2VPN类型（1）Access VPN,模块1 构建VPN隧道,（2）Intranet VPN,模块1 构建VPN隧道,（3）Extranet VPN,模块1 构建VPN隧道,3隧道协议（1）二层隧道协议用于传输二层网络协议，用于构建Access VPN及Extranet VPN。二层隧道协议主要有：PPTP（Point to Point Tunneling Protocol，点对点隧道协议）、L2F（Layer 2 Forwarding，二层转发协议）和L2TP（Layer 2 Tunneling Protocol，二层

3、隧道协议）。,模块1 构建VPN隧道,（2）三层隧道协议用于传输三层网络协议，用于构建Intranet VPN和Extranet VPN。三层隧道协议主要有GRE（Genneric Rounting Encapsulation，通用路由封装）和IPSec等。,模块1 构建VPN隧道,4VPN设备配置（1）项目描述假设北京的某公司在上海设立了新的分公司，分公司要远程访问总公司的各种网络资源，如信息管理系统、FTP服务器等。在Internet上传输数据本身存在安全隐患，该公司希望采用VPN技术实现数据的安全传输。,模块1 构建VPN隧道,模块2 构建GRE隧道,2.1 问题提出通过公共网络将总公司

4、与分公司连接起来要实现全网络路由互通，可以通过建立GRE隧道实现网络路由信息交换。,模块2 构建GRE隧道,2.2 相关知识,1GRE工作原理通用路由协议封装（Generic Routing Encapsulation，GRE）是由Cisco和Net-smiths等公司于1994年提交给IETF（互联网的工程任务组）的，标号为RFC1701和RFC1702，用于传输三层网络协议的隧道协议。,模块2 构建GRE隧道,路由器收到一个需要封装和路由的原始数据报文（Payload），这个报文首先被GRE封装成GRE报文，然后又被封装在IP协议中，由IP层负责此报文转发。原始报文的协议被称为乘客协议，G

5、RE被称为封装协议，而负责转发的IP协议被称为传输协议。,模块2 构建GRE隧道,GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。,模块2 构建GRE隧道,GRE优点如下：（1）多协议的本地网络可以通过单一协议的骨干网实现传输；（2）将一些不能连续的子网连接起来，用于组建VPN；（3）扩大网络的工作范围，例如，RIP最多16跳，GRE连接隧道计1跳。,模块2 构建GRE隧道,2GRE配置命令（1）进入Tunnel端口配置模式。Route(config)#interface tunnel

6、 tunnel-number其中：tunnel-number为Tunnel端口标号。,模块2 构建GRE隧道,（2）设置Tunnel端口源地址。Route(config-if)#tunnel source ip-address|interface-name interface-number一个Tunnel端口需要明确配置隧道的源地址和目的地址，为了保证隧道端口的稳定性，一般将Loopback地址作为隧道的源地址和目的地址。,模块2 构建GRE隧道,（3）设置Tunnel端口目的地址。Route(config-if)#tunnel destination ip-address 此处设置的Tunn

7、el端口目的地址是Tunnel端口用来进行实际通信的目的地址，也是Tunnel 位于远程对端的端点。,模块2 构建GRE隧道,（4）查看Tunnel端口配置情况。Route#show interfaces tunnel tunnel-number,模块2 构建GRE隧道,3GRE配置实例如下图所示网络中，路由器R1与R2之间建立Tunnel，路由器R1背后的子网与路由器R2背后的子网通过R1与R2之间的Tunnel进行通信。这种通信通过Tunnel进行，对于R1与R2之间的外部网络是透明的和不可见的，即是一种虚拟专用网（VPN）的实现。下面将给出路由器R1与R2的有关Tunnel的相关配置。,

8、模块2 构建GRE隧道,模块2 构建GRE隧道,（1）路由器R1的相关配置。R1(config)#interface Tunnel0 R1(config-if)#ip address 21.21.21.3 255.255.255.0 R1(config-if)#tunnel source R1(config-if)#tunnel destination R1(config)#interface FastEthernet0/0 R1(config-if)#exitR1(config)#interface FastEthernet0/1 R1(config-if)#ip address 202.1

9、06.101.2 255.255.255.0,模块2 构建GRE隧道,（2）路由器 R2 的相关配置。R2(config)#interface Tunnel0 R2(config-if)#ip address 21.21.21.5 255.255.255.0 R2(config-if)#tunnel source R2(config-if)#tunnel destination R2(config)#interface FastEthernet0/0 R2(config-if)#ip address 179.208.12.55 255.255.255.0 R2(config)#interfac

10、e FastEthernet0/1 R2(config-if)#ip address 67.151.69.202 255.255.25.0,模块3 构建IPSec隧道,知识目标、技能点,了解IPSec隧道协议意义,1,2,掌握IPSec隧道协议工作原理,3,掌握IPSec隧道协议配置技能,模块3 构建IPSec隧道,3.1 问题提出（教师讲述）某公司网络由北京总公司及上海分公司构成。根据公司业务需要，总公司与分公司间建立VPN网络传输公司专用数据，VPN网络采用IPSec技术实现。,模块3 构建IPSec隧道,3.2 相关知识（教师讲述与交流）,1IPSec概述IPSec是一套安全体系架构，在

11、IPSec实体之间提供数据保密性、完整性和数据验证服务，为主机之间、子网之间、安全网关之间的一条和多条数据流提供保护。（1）ISAKMP/IKE：这些标准用于建立一个安全的管理连接，提供加密的密钥及验证信息；（2）AH及ESP：这些标准用于建立一个安全的数据连接，提供数据加密性、完整性及验证性服务。,模块3 构建IPSec隧道,2IPSec连接过程IPSec连接建立过程如下：（1）IPSec的启动当一个对等体向另一个对等体发送需要保护的数据流量时，则IPSec建立过程自动启动，也可以通过手动启动。（2）建立管理连接（ISAKMP/IKE阶段1）这个阶段主要完成如下任务：对等体之间协商采用哪些安

12、全策略建立一个安全的管理连接，对等体使用DH交换技术产生一个共享密钥信息，对等体间进行设备验证。,模块3 构建IPSec隧道,（3）建立数据连接（ISAKMP/IKE阶段2）这个阶段在管理连接保护下主要完成如下任务：对等体之间协商采用哪些安全策略建立一个安全的数据连接，周期性地对数据连接更新密钥信息。（4）传输数据当数据连接建立后，对等体间就可以通过这条数据连接通道安全地传输用户数据了。,模块3 构建IPSec隧道,3IPSec配置IPSec 安全联盟即可以由手工方式建立也可以由 IKE 协商自动方式建立。这里介绍自动方式。（1）创建加密访问列表加密访问列表用于定义哪些数据流要被加密保护，哪些

13、不需要被加密保护。route(config)#access-list access-list-number deny|permitprotocol source source-wildcard destination destination-wildcard,模块3 构建IPSec隧道,其中：access-list-number为访问列表号；Protocol为协议；source为源地址；source-wildcard为源地址通配符；destination为目的地址；destination-wildcard为目的地址通配符。,模块3 构建IPSec隧道,（2）定义变换集合变换集合是特定安全协议和

14、算法的组合。在 IPSec 安全联盟协商期间，对等体一致使用一个特定的变换集合来保护特定的数据流。route(config)#crypto ipsec transform-set transform-set-name transform1 transform2 transform3其中：transform-set-name为变换集名称；transform为系统所支持的算法，算法可以进行一定规则的组合。,模块3 构建IPSec隧道,（3）创建加密映射条目使用IKE来建立安全联盟的加密映射条目的命令如下：进入加密映射配置模式：route(config)#crypto map map-name se

15、q-num ipsec-isakmp其中：map-name为加密映射条目名称；seq-num为加密映射条目序号。,模块3 构建IPSec隧道,为加密映射列表指定一个访问列表：route(config-crypto-map)#match address access-list-id其中：access-list-id为指定的访问列表名称。指定远端 IPSec 对等体：Route(config-crypto-map)#set peer hostname|ip-address其中：hostname为指定远方对等体主机名称；ip-address为指定远方对等体主机IP地址。,模块3 构建IPSec隧道,

16、指定使用哪个变换集合：route(config-crypto-map)#set transform-set transform-set-name1 transform-set-name2transform-set-name6其中：transform-set-name为转换集名称。,模块3 构建IPSec隧道,（4）应用加密映射条目Route(config-if)#crypto map map-name其中：map-name为加密映射条目名称对于 IPSec 通信将要途经的每个端口，都需要为它配置一个加密映射集合。（6）监视和维护 IPSec查看变换集合配置Route#show crypto i

17、psec transform-set,模块3 构建IPSec隧道,查看全部或指定的加密映射配置Route#show crypto map map-name查看 IPSec安全联盟信息Route#show crypto ipsec sa,模块3 构建IPSec隧道,5配置实例某公司由总公司与分公司构成，总公司网络地址为，分公司网络地址为。总公司与分公司通过Internet建立IPSec连接，保护两个子网之间的 IP 数据通信，R1路由器作为子网的网关，R2路由器作为子网的网关，网络拓扑如下图所示,模块3 构建IPSec隧道,要求实现以下要求：（1）阶段1协商采用 3des 算法加密；（2）采用通

18、道模式；（3）保护方式为 ESP-DES-MD5（提供加密和验证服务）。,模块3 构建IPSec隧道,模块3 构建IPSec隧道,配置路由器R1。（1）配置 IKE 安全联盟第1步：开放 IKER1(config)#crypto isakmp enable 第2步：配置IKE策略R1(config)#crypto isakmp policy 1 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encrytiong 3des R1(config-isakmp)#exit,模块3 构建IPSec隧道,第3步：配置IKE预共享

19、密钥R1(config)#crypto isakmp key preword address 12.12.12.2（2）配置IPSec安全联盟第1步：配置变换集合R1(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac,模块3 构建IPSec隧道,第2步：定义一个加密映射集合。R1(config)#crypto map mymap 5 ipsec-isakmp R1(config-crypto-map)#set peer 12.12.12.2 R1(config-crypto-map)#set transform-set

20、myset R1(config-crypto-map)#match address 101 R1(config-crypto-map)#exit,模块3 构建IPSec隧道,（3）配置端口IP及应用映射条目。R1(config)#interface FastEthernet 0/0 R1(config-if)#no shutdownR1(config-if)#crypto map mymapR1(config-if)#exitR1(config)#interface FastEthernet 0/1 R1(config-if)#no shutdownR1(config-if)#exit,模块3 构建IPSec隧道,（4）定义加密访问列表。R1(config)#access-list 101 permit ip 202.126.101.0 0.0.0.255 67.151.69.0 0.0.0.255（5）设置默认路由。R1(config)#ip route 0.0.0.0 0.0.0.0 Fa 0/0 R1(config)#end路由器R2的配置相似，在此略。,