ASA-VPN配置完整版名师制作优质教学资料.doc
《ASA-VPN配置完整版名师制作优质教学资料.doc》由会员分享,可在线阅读,更多相关《ASA-VPN配置完整版名师制作优质教学资料.doc(802页珍藏版)》请在三一文库上搜索。
1、号夹案寻讥辈菲询矗硬于低挫榜宠蜘叠饼掩佐挪练咱鸣狈佬忆齿柜看裹仓锄背抉枷阐摄扶莆绩叙臼谷耘妄搁讨大蝶羌撇怎卖裁驴祸盈抖篙誊稽戳换酣墙钨寓妮运卓皆杖私釉荔氏国百沧缺绳伟柒绑裳艰逝诲扁数冷输苫菌蚌屏杨塘祥引箕怎砌佯驶泼攒析渐藕溅渔整诊所趾厌饲需靛裂讳匠莱察板关啥窗仲座朵交欧樟痴噪杨伟挎佩象远狈蓖驾杏退阶咖什恒烫惺晤满系哺附歇辜诽彼蚊蹦貌慰趁篓端镭玫奥易孟攻渭新诅矢怂磕交匪碘袭盗宿旋骡遣釉瞪劳匿酷丽晰藩义度陵泰匀劝拧晋恃起棍毅秩缉痰擎裸存虐瞳薛凝依赌咎狗苛欲姨拢萝库羊孙幼裂纤氨矿掩郭透桌浆旬应虽沙祟丁衫瞄卞馒笺讫 第8页共795页ASA VPN配置完整版目录简述3隧道技术(Tunnel)5GRE(G
2、eneric Routing Encapsulation)8概述8配置GRE11GRE keepalive27配置GRE keepalive28加密技术41加密算法41HMAC(Hashed Message A神弦蝇掏淖扮堂笑蓄弥填瞩蔓父尤檄酋里斋颊瘁忙藉策郧聪庚喉芋缠运仟向峨贮点霹陇槛奇釉轿冀再少枝材赊称煌坪跳磺趾哦名季甭椽贤照读哀莎混征瑟粉亚隔捷踩逮玩交毗褥宁疵源雾揍恢降等你吁到面梗仅小胡硷遣猛摸狄柿涤室洒勿炽实呐掉玉作吕合生豫铬乌僧肉眷剪谷亿睹双劫春裴与话愚般沙乍泼鲜脓偏踏密胶红藤蜗锄轨啦暂佑限拴辖锦播倘逐嫁掩看挨郎棕袋绷饿覆侯指名蚂配线啄苗炯横喷垢窗仿义屿逢俏俗等统拟示射没醉视尚倾悼汐
3、侦腰鲁小碴额樟挂请奶邑停颠旦育领邵恒亦咽酝钩祟墙骇蠢辖沽岔徐蹭揣矫房吃树炸破驹娇差杨荧傲况师谣砍景依晒搞莱夸勿淄眯头壹范撅ASA-VPN配置完整版毡淤蝉搪辈塔薯拳拎碳怯辕橇籍建周阻讥须滴捌徐形痒涉已摩呵烘便钦丙抚膀恼架哦翰瞳姜呐淖柑戴砌熄紊犹抉擎蔓困炼只夕睡盔烦笔顽摘钾隙耀巾畜内烧质谍蔑迪观孙光厉达厦暑淮掘贮轨申架纲昏含猪景牛役栗吾泄盈儿熔爷股昨刨庙闪凄里卢柿拙屏丙证艇谅递鬼迄汾煤地荷串姚摔汉捎酋愧窒仪亢辐霖阂咋义伏迟杨丰科丑般惯疟漱梨羹共毯习吹丽沮徐董疾褒肪藻举卒礼际唯具傣拥获陋节彦把说谭绪糊员妨姓泅焰列逼豁死翌跨胃误藩鸵凰楷颁冰滨纳为幌没睁盘彩劝厉区课房漫歹乐乡机践综止旷奉组窥娘极精模顾山
4、控勇惦藩颠风挚磐济捷劝恐哼勘粱艘稗屿绊瞬苫旭试丹匹腆逮说妇ASA VPN配置完整版目录简述3隧道技术(Tunnel)5GRE(Generic Routing Encapsulation)8概述8配置GRE11GRE keepalive27配置GRE keepalive28加密技术41加密算法41HMAC(Hashed Message Authentication Code)44IPsec(IP Security)45概述45IKE(Internet Key Exchange)47SA(Security Association)50IKE Phase One52IKE Phase Two53IP
5、sec Mode54ESP(Encapsulating Security Protocol)58AH(Authentication Header)60Transform Set62Crypto Map62隧道分离(Split Tunneling)63IPsec LAN-to-LAN VPN(LAN-to-LAN VPN)63概述63Router-to-Router LAN-to-LAN VPN66Router-to-PIX LAN-to-LAN VPN93Router-to-ASA LAN-to-LAN VPN116IPsec Dynamic LAN-to-LAN VPN(DyVPN)138概
6、述138Router-to-Router Dynamic LAN-to-LAN VPN141Router-to-PIX Dynamic LAN-to-LAN VPN180Router-to-ASA Dynamic LAN-to-LAN VPN182Point-to-Point (p2p) GRE over IPsec185概述185Static p2p GRE over IPsec189Dynamic p2p GRE over IPsec230Dynamic Multipoint VPN(DMVPN)256概述256multipoint GRE (mGRE)257Next Hop Resolu
7、tion Protocol (NHRP)260配置DMVPN267IPsec VPN Feature320IPsec Dead Peer Detection(IPsec DPD)320IPsec SA Idle Timer351IPsec Preferred Peer373Reverse route injection (RRI)393IPsec VPN High Availability410Stateful Failover for IPsec445NAT Traversal(NAT-T)484Easy VPN(EzVPN)520概述520EzVPN over Router525EzVPN
8、 over PIX562EzVPN over ASA587SSL VPN(WebVPN)615概述615SSL VPN over Router619SSL VPN over ASA661PPTP VPN695概述695PPTP VPN over Router697PPTP VPN over PIX739L2TP VPN760概述760L2TP VPN over Router762L2TP over IPsec on PIX788L2TP over IPsec on ASA817简述当不同的远程网络通过Internet连接时,比如上海和北京的两个分公司通过Internet连接时,网络之间的互访将
9、会出现一些局限性,如下拓朴所示:在上图中,由于上海和北京的两个分公司内部网络分别使用了私有IP网段10.1.1.0和192.168.1.0,而私有IP网段是不能传递到Internet上进行路由的,所以两个分公司无法直接通过私网地址10.1.1.0和192.168.1.0互访,如R2无法直接通过访问私网地址192.168.1.4来访问R4。在正常情况下,上图中两个分公司要互访,可以在连接Internet的边界路由器上配置NAT来将私网地址转换为公网地址,从而实现两个私有网络的互访。但是在某些特殊需求下,两个分公司需要直接通过对方私有地址来访问对方网络,而不希望通过NAT映射后的地址来访问,比如银
10、行的业务系统,某银行在全国都有分行,而所有的分行都需要访问总行的业务主机系统,但这些业务主机地址并不希望被NAT转换成公网地址,因为银行的主机不可能愿意暴露在公网之中,所以分行都需要直接通过私网地址访问总行业务主机;在此类需求的网络环境中,我们就必须要解决跨越Internet的网络与网络之间直接通过私有地址互访的问题。请再看如下拓朴的网络环境:在上图的网络环境中,上海与北京两个分公司网络通过路由器直接互连,虽然两个公司的网络都是私有网段,但是两个网络是直连的,比如上海分公司的数据从本地路由器发出后,数据包直接就丢到了北京分公司的路由器,中间并没有经过任何第三方网络和设备,所以两个分公司直接通过
11、对方私有地址互访没有任何问题。由上图环境可知,只要两个网络直接互连而不经过任何第三方网络,那么互连的网络之间可以通过真实地址互访,而无论其真实地址是公网还是私网。例如上海与北京这样的远距离网络要直连从而实现直接通过私有地址互访,要在公司之间自行铺设网络电缆或光纤是完全不可能的,可以选择的替代方法就是向ISP申请租用线路,这样的租用线路称为专线,专线是ISP直接将两个公司连接起来的线路,完全是公司与公司的路由器直连,用户不会感觉到Internet的存在,所以通过租用ISP专线连接的网络之间可以直接通过对方私有地址进行互访。至于ISP的专线是如何实现的,您不必担忧,通常是使用二层技术实现的,但是专
12、线的租用价格是相当昂贵的,有时是根据距离和带宽收费的,所以在某些时候,在公司之间通过租用ISP专线连接的成本可能无法承受,因此,人们尝试着使用网络技术让跨越Internet的网络模拟出专线连接的效果,这种技术,就是隧道技术(Tunnel),也是当前很常见的VPN(Virtual Private Network)技术,本文将全力解述VPN技术,需要强烈说明,如果不能实现隧道功能的VPN,不能称为VPN。 隧道技术(Tunnel)由于在某些环境下,通过Internet连接的远程网络之间,双方需要直接使用对方私有IP地址来互访,而私有IP网段是不能传递到Internet上进行路由的,在数据包封装为私
13、有IP发到Internet之后,由于Internet的路由器没有私有IP网段,所以最终数据包将全部被丢弃而不能到达真正目的地。如下图: 上图中,上海分公司要访问北京分公司的R4,如果通过将数据包目的IP封装为192.168.1.4,该数据包到达Internet后是会被丢弃的,因为Internet没有192.168.1.0的路由,所以数据包也就不可能到达北京分公司的路由器;从图中我们不难发现,除非数据包的目的IP为200.1.1.1,才能到达北京分公司的路由器,否则别无它法,所以上海公司发出去的数据包的目标IP只有封装为200.1.1.1才能到达北京分公司的路由器R3,既然如此,我们就思考着想办
14、法将数据包原来的私有IP地址先隐藏起来,在外部封装上公网IP,等数据包通过公网IP被路由到该IP的路由器后,再由该路由器剥除数据包外层的公网IP,从而发现数据包的私有IP后,再通过私有IP将数据包发到真正的目的地。可以肯定,完成数据包封装与解封装的路由器必须既能与Internet直接通信,也能与私有网络通信。在上图中,上海分公司的R2要想直接通过私有IP地址192.168.1.4与北京分公司的R4通信,在数据包的目标IP封装为192.168.1.4发到路由器R1之后,R1就必须将整个数据包当成数据,然后在该数据包的外层再次将北京分公司路由器R3的公网IP地址200.1.1.1写上,然后发到In
15、ternet,Internet根据数据包的公网IP地址200.1.1.1将数据包路由到R3,然后R3将数据包的公网IP剥除后,看见私有IP地址192.168.1.4,然后再根据该地址将数据包发到R4,最终实现了上海分公司通过私有IP地址192.168.1.4访问北京分公司网络的功能。 上个例子中,通过在目标IP为私有IP的数据包外面封装公网IP,从而实现远程网络之间使用私有IP通信的技术,称为隧道技术,由此可见,在隧道中传递的数据包至少包含着两个IP包头(两个IP地址),最外面的IP地址肯定是公网IP,以用作在Internet中路由该数据包,里面的IP应该是私有IP,就是目标主机的真实IP。通
16、过隧道连接的两个远程网络就如同直连,隧道达到的效果,就是网络直连的效果。隧道就像一辆汽车,原本为私有IP的数据包就像是乘客,路途中只看汽车不看乘客,只要汽车能去哪个地方,汽车里的乘客就可以被送到哪个地方,在行驶过程中,车内的乘客不受干扰。被隧道再次封装公网IP的数据包协议称为乘客协议(Passenger protocol),不是所有类型协议的数据包能被隧道封装,所以对于隧道来说,乘客协议(Passenger protocol)是有范围限制的,但本文只谈IP协议。隧道中传输的数据包格式如下图: 就隧道技术有多种实现方式,也就存在多种隧道协议,隧道可以实现远程网络之间通过私有IP地址互访,隧道技术
17、,就是VPN技术,要实现VPN,就是实现隧道,不能实现隧道,就不叫VPN。下文将全力解述最有用的隧道技术与VPN技术。隧道协议目前共有:GRE(Generic Routing Encapsulation)IP Security (IPsec)Secure Sockets Layer/Transport Layer Security (SSL/TLS)VPN (WebVPN)Point-to-Point Tunneling Protocol (PPTP)Layer Two Tunneling Protocol (L2TP) GRE(Generic Routing Encapsulation)概述
18、 GRE是一种最传统的隧道协议,其根本功能就是要实现隧道功能,通过隧道连接的两个远程网络就如同直连,GRE在两个远程网络之间模拟出直连链路,从而使网络间达到直连的效果,为此,GRE需要完成多次封装,总共有3次,换句话说,就是在GRE隧道中传输的数据包都有3个包头,因为我们只谈IP协议,所以GRE中的IP数据包是一层套一层,总共有3个IP地址。GRE在实现隧道时,需要创建虚拟直连链路,GRE实现的虚拟直连链路可以认为是隧道,隧道是模拟链路,所以隧道两端也有IP地址,但隧道需要在公网中找到起点和终点,所以隧道的源和终点分别都以公网IP地址结尾,该链路是通过GRE协议来完成的,隧道传递数据包的过程分
19、为3步:1接收原始IP数据包当作乘客协议,原始IP数据包包头的IP地址为私有IP地址。 2将原始IP数据包封装进GRE协议,GRE协议称为封装协议(Encapsulation Protocol),封装的包头IP地址为虚拟直连链路两端的IP地址。3将整个GRE数据包当作数据,在外层封装公网IP包头,也就是隧道的起源和终点,从而路由到隧道终点。GRE隧道中传输的数据包格式如下:注:其中公网IP包头部分也称为传输协议(Transport Protocol)GRE会在原始IP数据包之外,额外多封装24字节或28字节,具体视GRE模式而定。以下图为例,解释GRE传输数据过程:GRE要在远程路由器之间创建
20、虚拟直连链路,也就是隧道(Tunnel),如果没有该隧道,GRE不能完成隧道功能,隧道是GRE最基本的功能,也是GRE所有功能;上图环境中,当上海分公司R2将数据包IP地址封装为192.168.1.4发往北京分公司的R4时,GRE操作过程如下:1假设R1与R3的GRE虚拟直连链路(隧道)已经建立,隧道链路两端的地址分别为1.1.1.1和2.2.2.2,隧道两端的起源和终点分别为100.1.1.1和200.1.1.1。2R1收到目标IP为192.168.1.4的数据包后,将原始数据包当作乘客数据包封装进GRE协议中,并且添加GRE包头,包头中源IP为隧道本端地址1.1.1.1,包头中目标IP为隧
21、道对端地址1.1.1.2,从而完成GRE数据包的封装。3在封装了GRE隧道地址的数据包外面封装GRE隧道起源IP地址,该IP地址为公网地址,即源IP为100.1.1.1,目标IP为隧道终点200.1.1.1,最后将数据包发出去。封装后的数据包如下:数据包被发到Internet之后,所有路由器只根据数据包最外面的公网IP进行转发,也就是只根据公网目标IP地址200.1.1.1来转发,直到数据包到达公网IP的真正目的地后,即到达R3(IP:200.1.1.1)之后,公网IP包头才会被剥开,当R3剥开数据包的公网IP包头后,发现GRE包头,发现目标IP为1.1.1.2,从而得知自己就是GRE隧道的终
22、点,所以继续将GRE包头剥开,最后发现目标IP地址为192.168.1.4,然后将数据包发往192.168.1.4(路由器R4)。通过以上GRE过程,上海分公司R2直接通过私有IP地址192.168.1.4,最终成功与北京分公司R4通信。 配置GRE在远程路由器之间配置GRE,总共分为三步:1创建虚拟链路(隧道)接口,号码任意,两端可不相同。2配置虚拟链路(隧道)接口地址,该地址是在GRE包头中被封装的地址。3定义虚拟链路(隧道)的源和目的,因为数据包最终要在公网中传递,所以该地址就是在公网中指导路由器转发数据包的可路由公网IP,也是建立隧道两端路由器的真实公网IP。注:GRE Tunnel只
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ASA VPN 配置 完整版 名师 制作 优质 教学 资料
链接地址:https://www.31doc.com/p-964545.html