第十四章 虚拟专网（VPN）.PPT

Page 1/44,第13章内容回顾,什么是NAT？ NAT中的几个地址 内部局部地址、外部局部地址、内部全局地址、外部全局地址 NAT的应用 转换内部地址、LAN地址复用、TCP负载均衡 NAT的配置 静态NAT 动态NAT PAT TCP负载均衡,虚拟专网（VPN）,第14章,Page 3/44,CCIE是Cisco最高等级的考试，全称是Cisco认证互联网专家，不仅全球获得该认证殊荣的人很少，只有1万多名，并且考试也相当的困难（需要参加笔试和实验室考试），考试费也非常昂贵（ 笔试350美元，折合人民币2800元, 实验考试1400美元，折合人民币10584元），所以说CCIE考试是目前最难的最高端的认证考试之一。 CCIE分为五类分别是：CCIE-路由和交换、CCIE-通信和服务、CCIE-安全、CCIE-语音、CCIE-网络存储。其中CCIE-路由和交换，是Cisco最普及的认证，多数CCIE是通过的CCIE-路由和交换的这一项技术认证。 目前Cisco公司将会改动CCIE Security的一些考点和相关设备版本号，目前已经公布的改动有去除VPN 3000 Concentrator和PIX Firewall的内容，版本方面的改动有3560s on 12.2(x)SE、3800s on 12.4T、ASA 8.x、IPS 6.x，IPS 4215替换IPS 4240，还有可能会加入MARS和NAC。,Page 4/44,本章目标,能够配置VPN，使企业办事处能够通过VPN远程接入企业网络中心 了解VPN的基本概念 熟悉VPN的工作原理 了解VPN的加密算法 熟悉IPsec VPN技术 能够在Cisco路由器上配置IPsec VPN,Page 5/44,隧道和加密技术,本章结构,虚拟专网VPN,IPsec的安全协议,IPsec基本概念,VPN概述,IPsec技术,IPsec的传送方式,IPsec的密钥交换,IPsec VPN的配置,VPN的结构和分类,VPN的定义,VPN的工作原理,IPsec的运行,Page 6/44,什么是VPN,VPN（Virtual Private Network） 在公用网络中,按照相同的策略和安全规则, 建立的私有网络连接,Internet,北京总部,广州分公司,虚拟专用网络,Page 7/44,VPN的优点,Internet,专线,中心站点,分支机构,专线方式,VPN方式,费用高 灵活性差 广域网的管理 复杂的拓扑结构,费用低 灵活性好 简单的网络管理 隧道的拓扑结构,Page 8/44,VPN的结构和分类,总部,Internet,远程访问的VPN 站点到站点的VPN,Page 9/44,远程访问的VPN,移动用户或远程小办公室通过Internet访问网络中心 连接单一的网络设备 客户通常需要安装VPN客户端软件,Page 10/44,站点到站点的VPN,公司总部和其分支机构、办公室之间建立的VPN 替代了传统的专线或分组交换WAN连接 它们形成了一个企业的内部互联网络,总部,Internet,Page 11/44,VPN的工作原理,VPN=加密隧道,明文,明文,访问控制,报文加密,报文认证,IP封装,IP解封,报文认证,报文解密,访问控制,公共IP网络,Page 12/44,VPN的关键技术,安全隧道技术 信息加密技术 用户认证技术 访问控制技术,Page 13/44,安全隧道技术,为了在公网上传输私有数据而发展出来的“信息封装”（Encapsulation）方式 在Internet上传输的加密数据包中，只有VPN端口或网关的IP地址暴露在外面,Internet,安全隧道,Page 14/44,隧道协议,二层隧道VPN L2TP: Layer 2 Tunnel Protocol PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 三层隧道VPN GRE : General Routing Encapsulation IPSEC : IP Security Protocol,Page 15/44,第二层隧道协议,建立在点对点协议PPP的基础上 先把各种网络协议（IP、IPX等）封装到PPP帧中，再把整个数据帧装入隧道协议 适用于通过公共电话交换网或者ISDN线路连接VPN,Internet,内部网络,移动用户,访问集中器,网络服务器,PPP链接,Page 16/44,第三层隧道协议,把各种网络协议直接装入隧道协议 在可扩充性、安全性、可靠性方面优于第二层隧道协议,Internet,IP连接,Page 17/44,信息加密技术,机密性 对用户数据提供安全保护 数据完整性 确保消息在传送过程中没有被修改 身份验证 确保宣称已经发送了消息的实体是真正发送消息的实体,明文,加密,密文,解密,明文,Page 18/44,加密算法,对称加密 DES算法 AES算法 IDEA算法、Blowfish算法、Skipjack算法 非对称加密 RSA算法 PGP,Page 19/44,对称密钥,明文,密文,明文,发送方和接收方使用同一密钥 通常加密比较快（可以达到线速） 基于简单的数学操作（可借助硬件） 需要数据的保密性时，用于大批量加密 密钥的管理是最大的问题,双方使用相同的密钥,Page 20/44,非对称密钥,每一方有两个密钥 公钥，可以公开 私钥，必须安全保存 已知公钥，不可能推算出私钥 一个密钥用于加密，一个用于解密 比对称加密算法慢很多倍,Page 21/44,公钥加密和私钥签名,用于数据保密； 利用公钥加密数据，私钥解密数据,用于数字签名； 发送者使用私钥加密数据，接收者用公钥解密数据,Page 22/44,阶段总结,VPN的基本概念 VPN的结构和类型 VPN的原理 安全隧道技术 信息加密技术,Page 23/44,什么是IPsec,IPSec（IP Security）是 IETF为保证在Internet上传送数据的安全保密性，而制定的框架协议 应用在网络层，保护和认证用IP数据包 是开放的框架式协议，各算法之间相互独立 提供了信息的机密性、数据的完整性、用户的验证和防重放保护 支持隧道模式和传输模式,Page 24/44,隧道模式和传输模式,隧道模式 IPsec对整个IP数据包进行封装和加密，隐蔽了源和目的IP地址 从外部看不到数据包的路由过程 传输模式 IPsec只对IP有效数据载荷进行封装和加密，IP源和目的IP地址不加密传送 安全程度相对较低,Page 25/44,IPsec的组成,IPSec 提供两个安全协议 AH (Authentication Header) 认证头协议 ESP (Encapsulation Security Payload)封装安全载荷协议 密钥管理协议 IKE（Internet Key Exchange）因特网密钥交换协议,IPsec不是单独的一个协议，而是一整套体系结构,Page 26/44,AH协议 隧道中报文的数据源鉴别 数据的完整性保护 对每组IP包进行认证，防止黑客利用IP进行攻击,AH认证头协议,Page 27/44,AH的隧道模式封装,AH验证包头,新IP 包头,数据,IP 包头,有效负载,使用散列算法计算验证值，包含在AH验证包头中,为新的IP包插入新的包头,原始IP包保持不变，为整个原始IP包提供验证,Page 28/44,ESP封装安全载荷协议,保证数据的保密性 提供报文的认证性、完整性保护,Page 29/44,ESP的隧道模式封装,ESP头部,新IP 包头,ESP尾部,ESP验证,数据,原IP 包头,数据,原IP 包头,验证,有效负载,比AH增加加密功能，如果启用，则对原始IP包进行加密后再传输,Page 30/44,AH和ESP相比较,ESP基本提供所有的安全服务 如果仅使用ESP，消耗相对较少 为什么使用AH AH的认证强度比ESP强 AH没有出口限制,Page 31/44,安全联盟SA,使用安全联盟（SA）是为了解决以下问题 如何保护通信数据 保护什么通信数据 由谁实行保护 建立SA是其他IPsec服务的前提 SA定义了通信双方保护一定数据流量的策略,Page 32/44,SA的内容,一个SA通常包含以下的安全参数 认证/加密算法，密钥长度及其他的参数 认证和加密所需要的密钥 哪些数据要使用到该SA IPsec的封装协议和模式,如何保护,保护什么,由谁实行,Page 33/44,IKE因特网密钥交换协议,在IPsec网络中用于密钥管理 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥,Page 34/44,IPsec VPN的配置,步骤1 配置IKE的协商 步骤2 配置IPSEC的协商 步骤3 配置端口的应用 步骤4 调试并排错,Page 35/44,配置IKE协商3-1,启动IKE Router(config)# crypto isakmp enable 建立IKE协商策略 Router(config)# crypto isakmp policy priority,取值范围110000 数值越小，优先级越高,Page 36/44,配置IKE协商3-2,配置IKE协商策略 Router(config-isakmp)# authentication pre-share Router(config-isakmp)# encryption des | 3des Router(config-isakmp)# hash md5 | sha1 Router(config-isakmp)# lifetime seconds,使用预定义密钥,加密算法,SA的活动时间,认证算法,Page 37/44,配置IKE协商3-3,设置共享密钥和对端地址 Router(config)# crypto isakmp key keystring address peer-address,密钥,对端IP,Page 38/44,配置IPsec协商2-1,设置传输模式集 Router(config)# crypto ipsec transform-set transform-set-name transform1 transform2 transform3,定义了使用AH还是ESP协议，以及相应协议所用的算法,Page 39/44,配置IPsec协商2-2,配置保护访问控制列表 Router(config)# access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard,用来定义哪些报文需要经过IPSec加密后发送，哪些报文直接发送,Page 40/44,配置端口的应用2-1,创建Crypto Maps Router(config)# crypto map map-name seq-num ipsec-isakmp 配置Crypto Maps Router(config-crypto-map)# match address access-list-number Router(config-crypto-map)# set peer ip_address Router(config-crypto-map)# set transform-set name,ACL编号,对端IP地址,传输模式的名称,Map优先级，取值范围165535，值越小，优先级越高,Page 41/44,配置端口的应用2-2,应用Crypto Maps到端口 Router(config)# interface interface_name interface_num Router(config-if)# crypto map map-name,Page 42/44,检查IPsec配置,查看IKE策略 Router# show crypto isakmp policy 查看IPsce策略 Router# show crypto ipsec transform-set 查看SA信息 Router# show crypto ipsec sa 查看加密映射 Router# show crypto map,Page 43/44,RouterA(config)# ip route 0.0.0.0 0.0.0.0 20.20.20.20 RouterA(config)#crypto isakmp policy 1 RouterA(config-isakmap)#hash md5 RouterA(config-isakmap)#authentication preshare RouterA(config)#crypto isakmp key benet-password address 20.20.20.20 RouterA(config)#crypto ipsec transformset benetset ahmd5hmac espdes RouterA(config)#accesslist 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 RouterA(config)#crypto map benetmap 1 ipsecisakmp RouterA(config-crypto-map)#set peer 20.20.20.20 RouterA(config-crypto-map)#set transformset benetset RouterA(config-crypto-map)#match address 101 RouterA(config)#interface serial 0/0 RouterA(config-if)# crypto map benetmap,VPN配置实例,Page 44/44,本章总结,隧道和加密技术,虚拟专网VPN,IPsec的安全协议,IPsec基本概念,VPN概述,IPsec技术,IPsec的安全联盟,IPsec的密钥交换,IPsec VPN的配置,VPN的结构和分类,VPN的定义,VPN的工作原理,远程接入VPN 站点到站点VPN,安全隧道技术 信息加密技术 用户认证技术 访问控制技术,二层隧道VPN和三层隧道VPN 对称加密和非对称加密,AH ESP,IKE,Page 45/44,实验,任务 配置IPSec VPN协议，连接BENET广州办事处和公司总部 需求 使用IPSec VPN协议 使用AH认证方式连接 完成标准 VPN连接能够正常建立 办事处PC和总部PC间可以相互ping通,网络拓朴,