網(wǎng)絡(luò)安全技術(shù)第6章2項目背景在我國數(shù)字化建設(shè)的過程中，計算機(jī)網(wǎng)絡(luò)技術(shù)得到了快速得發(fā)展和廣泛的應(yīng)用，給人民的工作、生活帶來了極大的便利，但與此同時網(wǎng)絡(luò)安全問題也不斷顯現(xiàn)。爆出的各類網(wǎng)絡(luò)安全事件，影響著我國人民群眾切身的利益。嚴(yán)重的甚至關(guān)系到人民的生命安危。因此網(wǎng)絡(luò)安全問題已經(jīng)成為了我國重要安全戰(zhàn)略。習(xí)近平總書記在2014年就強(qiáng)調(diào)沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。建設(shè)網(wǎng)絡(luò)強(qiáng)國，要有自己的技術(shù)，有過硬的技術(shù)；要有豐富全面的信息服務(wù)，繁榮發(fā)展的網(wǎng)絡(luò)文化；要有良好的信息基礎(chǔ)設(shè)施，形成實力雄厚的信息經(jīng)濟(jì)；要有高素質(zhì)的網(wǎng)絡(luò)安全和信息化人才隊伍；要積極開展雙邊、多邊的互聯(lián)網(wǎng)國際交流合作。小陳畢業(yè)后來到一家網(wǎng)絡(luò)系統(tǒng)集成公司上班，有幸第一個參與的項目是某公司網(wǎng)絡(luò)建設(shè)項目。該項目已經(jīng)公司已經(jīng)中標(biāo)，并且進(jìn)入到了項目實施階段，目前項目進(jìn)展到網(wǎng)絡(luò)安全設(shè)計與實施部分，這對于剛畢業(yè)的小陳來說是一個新技術(shù)領(lǐng)域，完全不知如何下手，好在他有一個經(jīng)驗豐富的師傅老張來幫助他。在本章節(jié)中，我們將跟著小陳一起，參加由項目經(jīng)理老張組織的培訓(xùn)并手把手的指導(dǎo)實踐。希望通過我們的努力，能夠順利完成項目的網(wǎng)絡(luò)安全設(shè)計與實施，并為后續(xù)的項目驗收打好基礎(chǔ)。3項目目標(biāo)知識目標(biāo)：了解訪問控制列表的基本概念與工作原理了解網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的基本概念與工作原理了解隧道技術(shù)的基本概念了解GRE協(xié)議的基本概念與工作原理了解IPsec協(xié)議的基本概念與工作原理技能目標(biāo)：掌握基本與高級ACL的配置方法掌握靜態(tài)/動態(tài)NAT的配置方法掌握NATServer的配置方法掌握GRE隧道的配置方法掌握IPsec隧道的配置方法掌握GREoverIPsec的配置方法訪問控制列表（ACL）6.1什么是訪問控制列表？5Part.01訪問控制列表ACL（AccessControlList）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址、端口號等。ACL本質(zhì)上是一種報文過濾器，規(guī)則是過濾器的濾芯。設(shè)備基于這些規(guī)則進(jìn)行報文匹配，可以過濾出特定的報文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來允許或阻止該報文通過。ACL配置完成后，必須應(yīng)用在業(yè)務(wù)模塊中才能生效，其中最基本的ACL應(yīng)用，就是在簡化流策略/流策略中應(yīng)用ACL，使設(shè)備能夠基于全局、VLAN或接口下發(fā)ACL，實現(xiàn)對轉(zhuǎn)發(fā)報文的過濾。此外，ACL還可以應(yīng)用在Telnet、FTP、路由等模塊。業(yè)務(wù)模塊之間的ACL默認(rèn)處理動作和處理機(jī)制有所不同。訪問控制列表的工作原理6Part.01一條ACL策略的結(jié)構(gòu)組成ACL名稱：通過名稱來標(biāo)識ACL，就像用域名代替IP地址一樣，更加方便記憶。這種ACL，稱為命名型ACL。命名型ACL一旦創(chuàng)建成功，便不允許用戶再修改其名稱。命名型ACL實際上是“名字+數(shù)字”的形式，可以在定義命名型ACL時同時指定ACL編號。如果不指定編號，則由系統(tǒng)自動分配，設(shè)備為其分配的編號是該類型ACL可用編號中取值范圍內(nèi)的最大值。ACL編號：用于標(biāo)識ACL，也可以單獨使用ACL編號，表明該ACL是數(shù)字型。不同的ACL類型使用不同的ACL編號取值標(biāo)識。訪問控制列表的工作原理7Part.01規(guī)則：即描述報文匹配條件的判斷語句。1)規(guī)則編號：用于標(biāo)識ACL規(guī)則?？梢宰孕信渲靡?guī)則編號，也可以由系統(tǒng)自動分配。ACL規(guī)則的編號范圍是0～4294967294，所有規(guī)則均按照規(guī)則編號從小到大進(jìn)行排序。系統(tǒng)按照規(guī)則編號從小到大的順序，將規(guī)則依次與報文匹配，一旦匹配上一條規(guī)則即停止匹配。2)動作：報文處理動作，包括permit/deny兩種，表示允許/拒絕。3)匹配項：ACL定義了極其豐富的匹配項。除了圖2-2中的源地址和生效時間段，ACL還支持很多其他規(guī)則匹配項。例如，二層以太網(wǎng)幀頭信息（如源MAC、目的MAC、以太幀協(xié)議類型），三層報文信息（如目的IP地址、協(xié)議類型），以及四層報文信息（如TCP/UDP端口號）等。關(guān)于每種匹配項的詳細(xì)介紹，請參見交換機(jī)支持的ACL及常用匹配項。訪問控制列表的匹配機(jī)制8Part.01ACL在匹配報文時遵循“命中即止”的原則匹配（命中規(guī)則）：指存在ACL，且在ACL中查找到了符合匹配條件的規(guī)則。不論匹配的動作是“permit”還是“deny”，都稱為“匹配”，而不是只是匹配上permit規(guī)則才算“匹配”。不匹配（未命中規(guī)則）：指不存在ACL，或ACL中無規(guī)則，再或者在ACL中遍歷了所有規(guī)則都沒有找到符合匹配條件的規(guī)則。切記以上三種情況，都叫做“不匹配”。訪問控制列表的匹配機(jī)制9Part.01從上面的ACL匹配報文流程圖中，可以看到，只要報文未命中規(guī)則且仍剩余規(guī)則，系統(tǒng)會一直從剩余規(guī)則中選擇下一條與報文進(jìn)行匹配。系統(tǒng)是根據(jù)什么樣的順序來選擇規(guī)則進(jìn)行報文匹配的呢？在回答這個問題之前我們先來看個例子。假設(shè)我們先后執(zhí)行了以下兩條命令進(jìn)行配置：#表示拒絕目的IP地址為網(wǎng)段的報文通過ruledenyipdestination55#表示允許目的IP地址為網(wǎng)段的報文通過，該網(wǎng)段地址范圍小于網(wǎng)段范圍rulepermitipdestination55這條permit規(guī)則與deny規(guī)則是相互矛盾的。對于目的IP=的報文，如果系統(tǒng)先將deny規(guī)則與其匹配，則該報文會被禁止通過。相反，如果系統(tǒng)先將permit規(guī)則與其匹配，則該報文會得到允許通過。因此，對于規(guī)則之間存在重復(fù)或矛盾的情形，報文的匹配結(jié)果與ACL規(guī)則匹配順序是息息相關(guān)的。訪問控制列表的分類10Part.01根據(jù)ACL所具備的特性不同，可將ACL分成不同類型，如：基本ACL高級ACL二層ACL用戶自定義ACL其中應(yīng)用最廣泛的是基本ACL和高級ACL。各種類型ACL區(qū)別，如表所示。ACL類型編號范圍規(guī)則制訂的主要依據(jù)基本ACL2000～2999報文源IP地址等信息。高級ACL3000～3999報文源IP地址、目的IP地址、報文優(yōu)先級、IP承載的協(xié)議類型及特性等三、四層信息。二層ACL4000～4999報文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、鏈路層協(xié)議類型等二層信息用戶自定義ACL5000～5999用戶自定義報文的偏移位置和偏移量、從報文中提取出相關(guān)內(nèi)容等信息通配符11Part.01通配符（wildcard-mask）與IP地址配合使用時，表示的是一個由若干個IP地址組成的集合。通配符是一個32比特長度的數(shù)值，用于指示IP地址中哪些比特位需要嚴(yán)格匹配，哪些比特位無需匹配。通配符通常采用類似網(wǎng)絡(luò)掩碼的點分十進(jìn)制形式表示，但是含義卻與網(wǎng)絡(luò)掩碼完全不同的。通配符換算成二進(jìn)制后，“0”表示匹配，“1”表示“不關(guān)心”。訪問控制列表的配置思路12Part.011、基本ACLor高級ACL如果只基于數(shù)據(jù)包源IP地址進(jìn)行控制，就是用基本ACL。如果需要基于數(shù)據(jù)包的源IP地址、目標(biāo)IP地址、協(xié)議、目標(biāo)端口進(jìn)行控制，那就需要使用高級ACL。2、確定ACL中規(guī)則的順序如果每條規(guī)則中的地址范圍不重疊，則規(guī)則編號順序無關(guān)緊要；如果多條規(guī)則中用到的地址有重疊，就要把地址塊小的規(guī)則放在前面，地址塊大的放在后面。3、確認(rèn)應(yīng)用的接口與方向每個接口的出向和入向的每個方向只能綁定一個ACL，一個ACL可以綁定到多個接口。訪問控制列表的配置示例13Part.01案例1基本ACL的配置示例本示例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示，某公司內(nèi)有一臺運維PC與網(wǎng)絡(luò)設(shè)備之間路由可達(dá)，網(wǎng)絡(luò)管理員希望簡單方便的配置和管理遠(yuǎn)程網(wǎng)絡(luò)設(shè)備，并且保證只有符合安全策略的用戶才能登錄設(shè)備。IP:77/24GE1/0/0

TelnetServer

PCClientIP:/24配置思路：1)配置Telnet方式登錄設(shè)備，以實現(xiàn)遠(yuǎn)程維護(hù)網(wǎng)絡(luò)設(shè)備。2)配置基于ACL的安全策略，保證只有符合安全策略的用戶才能登錄設(shè)備。3)配置管理員的用戶名和密碼，并配置AAA認(rèn)證策略，保證只有認(rèn)證通過的用戶才能登錄設(shè)備。訪問控制列表的配置示例14Part.01配置步驟：1)配置服務(wù)器的端口以及開啟telnet服務(wù)功能。<Huawei>system-view[Huawei]sysnameTelnetServer[TelnetServer]telnetserverpermitinterfaceall[TelnetServer]telnetserverenable[TelnetServer]telnetserverport10252)配置VTY用戶界面的最大個數(shù)。[TelnetServer]user-interfacemaximum-vty8訪問控制列表的配置示例15Part.013)配置允許用戶登錄設(shè)備的主機(jī)地址。[TelnetServer]acl2001[TelnetServer-acl-basic-2001]rulepermitsource0[TelnetServer-acl-basic-2001]quit[TelnetServer]user-interfacevty07[TelnetServer-ui-vty0-7]acl2001inbound4)配置VTY用戶界面的終端屬性。[TelnetServer-ui-vty0-7]shell[TelnetServer-ui-vty0-7]idle-timeout20[TelnetServer-ui-vty0-7]screen-length30[TelnetServer-ui-vty0-7]history-commandmax-size20訪問控制列表的配置示例16Part.015)配置VTY用戶界面的用戶驗證方式。[TelnetServer-ui-vty0-7]authentication-modeaaa[TelnetServer-ui-vty0-7]quit6)配置登錄驗證方式。[TelnetServer]aaa[TelnetServer-aaa]local-useradmin1234passwordirreversible-cipherHelloworld@6789[TelnetServer-aaa]local-useradmin1234service-typetelnet[TelnetServer-aaa]local-useradmin1234privilegelevel3[TelnetServer-aaa]quit訪問控制列表的配置示例17Part.01案例2高級ACL的配置示例本示例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示，某公司通過路由器實現(xiàn)各部分之間的互連。為了方便管理公司網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員為公司的研發(fā)部門和市場部門規(guī)劃了兩個網(wǎng)段的IP地址。同時為了隔離廣播域，又將兩個部門劃分在不同的VLAN之中?，F(xiàn)要求路由器能夠限制兩個網(wǎng)段之間的互訪，防止公司機(jī)密泄露。GE1/0/1

GE1/0/2

vlanif10:/24vlanif20:/24L3Switch研發(fā)部門：/24市場部門：/24配置思路：1)配置高級ACL和基于ACL的流分類，使設(shè)備可以對研發(fā)部與市場部互訪的報文進(jìn)行過濾。2)配置流行為，拒絕匹配上ACL規(guī)則的報文通過。3)配置并應(yīng)用流策略，使ACL和流行為生效。訪問控制列表的配置示例18Part.01配置步驟：1)創(chuàng)建VLAN10和VLAN20。<Huawei>system-view[Huawei]sysnameRouter[Router]vlanbatch10202)配置Router的接口GE1/0/1和GE1/0/2為trunk類型接口，并分別加入VLAN10和VLAN20。[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]portlink-typetrunk[Router-GigabitEthernet1/0/1]porttrunkallow-passvlan10[Router-GigabitEthernet1/0/1]quit[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]portlink-typetrunk[Router-GigabitEthernet1/0/2]porttrunkallow-passvlan20[Router-GigabitEthernet1/0/2]quit訪問控制列表的配置示例19Part.013)創(chuàng)建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。[Router]interfacevlanif10[Router-Vlanif10]ipaddress24[Router-Vlanif10]quit[Router]interfacevlanif20[Router-Vlanif20]ipaddress24[Router-Vlanif20]quit4)創(chuàng)建高級ACL3001并配置ACL規(guī)則，拒絕研發(fā)部訪問市場部的報文通過。[Router]acl3001[Router-acl-adv-3001]ruledenyipsource55destination55[Router-acl-adv-3001]quit訪問控制列表的配置示例20Part.015)創(chuàng)建高級ACL3002并配置ACL規(guī)則，拒絕市場部訪問研發(fā)部的報文通過。[Router]acl3002[Router-acl-adv-3002]ruledenyipsource55destination55[Router-acl-adv-3002]quit6)配置流分類tc1，對匹配ACL3001和ACL3002的報文進(jìn)行分類。[Router]trafficclassifiertc1[Router-classifier-tc1]if-matchacl3001[Router-classifier-tc1]if-matchacl3002[Router-classifier-tc1]quit訪問控制列表的配置示例21Part.018)定義流策略，將流分類與流行為關(guān)聯(lián)。[Router]trafficbehaviortb1[Router-behavior-tb1]deny[Router-behavior-tb1]quit7)配置流行為tb1，動作為拒絕報文通過。[Router]trafficpolicytp1[Router-trafficpolicy-tp1]classifiertc1behaviortb1[Router-trafficpolicy-tp1]quit訪問控制列表的配置示例22Part.019)由于研發(fā)部和市場部互訪的流量分別從接口GE1/0/1和GE1/0/2進(jìn)入Router，所以在接口GE1/0/1和GE1/0/2的入方向應(yīng)用流策略。[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]traffic-policytp1inbound[Router-GigabitEthernet1/0/1]quit[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]traffic-policytp1inbound[Router-GigabitEthernet1/0/2]quit網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）6.2什么是NAT？24Part.02隨著互聯(lián)網(wǎng)的用戶增多，IP的公網(wǎng)地址資源顯得越發(fā)的短缺。同時IPv4公網(wǎng)地址資源存在地址分配不均的問題，這導(dǎo)致部分地區(qū)的IPv4可用公網(wǎng)地址嚴(yán)重不足。NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)就是目前主要的解決手段之一（IPv6、VLSM、CIDR也是解決地址不足問題的手段）。NAT可以將來自一個網(wǎng)絡(luò)的IP數(shù)據(jù)報報頭中的IP地址轉(zhuǎn)換為另一個網(wǎng)絡(luò)的IP地址。這里轉(zhuǎn)換的IP地址可以是目的IP地址、源IP地址或者兩者同時。NAT的分類25Part.02靜態(tài)NAT動態(tài)NATNATServer靜態(tài)NAT26Part.02在路由器中，將內(nèi)網(wǎng)IP地址固定的轉(zhuǎn)換為外網(wǎng)IP地址，通常應(yīng)用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的場景。靜態(tài)NAT的工作過程如圖所示。動態(tài)NAT27Part.02將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址池中的一個IP地址（公有地址）。動態(tài)NAT和靜態(tài)NAT的在地址轉(zhuǎn)換上很相似，只是可用的公有IP地址不是被某個專用網(wǎng)絡(luò)的計算機(jī)所永久獨自占有。動態(tài)NAT的工作過程如圖所示。動態(tài)NAPT28Part.02以IP地址及端口號（TCP或UDP）為轉(zhuǎn)換條件，將內(nèi)部網(wǎng)絡(luò)的私有IP地址及端口號轉(zhuǎn)換成外部公有IP地址及端口號。在靜態(tài)NAT和動態(tài)NAT中，都是“IP地址”到“IP地址”的轉(zhuǎn)換關(guān)系，而動態(tài)NAPT，則是“IP地址+端口”到“IP地址+端口”的轉(zhuǎn)換關(guān)系。動態(tài)NAPT的工作過程如圖所示。NATServer29Part.02在路由器中以“IP+端口”形式，將內(nèi)網(wǎng)IP及端口固定轉(zhuǎn)換為外網(wǎng)IP及端口，應(yīng)用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)計算機(jī)特定服務(wù)的場景。NATServer的工作工程如圖所示。NAT的配置示例30Part.01案例1靜態(tài)NAT的配置示例本示例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示，路由器A的外網(wǎng)側(cè)接口GE0/0/0的IP地址為/24，內(nèi)網(wǎng)側(cè)接口G0/0/1的IP地址為54/24。外網(wǎng)接口的對端為路由器B，其接口GE0/0/0的IP地址為/24。內(nèi)網(wǎng)接口的對端為PC-1，其接口Eth0/0/1接口的IP地址為/24。現(xiàn)內(nèi)網(wǎng)PC-1需要使用固定的公網(wǎng)IP地址來訪問外網(wǎng)的路由器B。配置思路：這是一個僅要求配置一條StaitcNAT的配置示例，根據(jù)之前介紹的配置步驟與命令，可以知道最基本的配置就是在系統(tǒng)視圖或者路由器A外網(wǎng)接口視圖下配置靜態(tài)地址轉(zhuǎn)表。路由器A路由器BPC-1GE0/0/0

GE0/0/1

GE0/0/0

Eth0/0/1

NAT的配置示例31Part.02<Huawei>system-view[Huawei]sysnameRouterA[RouterA]interfacegigabitethernet0/0/0[RouterA-GigabitEthernet0/0/0]ipaddress[RouterA-GigabitEthernet0/0/0]quit[RouterA]interfacegigabitethernet0/0/1[RouterA-GigabitEthernet0/0/1]ipaddress54[RouterA-GigabitEthernet0/0/1]quit2)配置外網(wǎng)接口GE0/0/0一對一的StaticNAT映射表項。1)配置各接口IP地址。根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖的標(biāo)注，本示例路由器A的外網(wǎng)接口和內(nèi)網(wǎng)接口都是三層接口，均可直接配置IP地址。[RouterA]interfacegigabitethernet0/0/0[RouterA-GigabitEthernet0/0/0]natstaticglobalinside[RouterA-GigabitEthernet0/0/0]quit3)配置到達(dá)外網(wǎng)的缺省路由，下一跳地址為路由器B的IP地址。[RouterA]iproute-staticNAT的配置示例32Part.02案例2NAPT的配置示例本示例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示，路由器A的外網(wǎng)側(cè)接口GE0/0/1的IP地址為/24，A公司申請的公網(wǎng)IP地址范圍是/24~0/24。內(nèi)網(wǎng)接口GE0/0/0的IP地址為54/24。其作為內(nèi)網(wǎng)客戶端的網(wǎng)關(guān)。A公司通過動態(tài)NAT實現(xiàn)了內(nèi)網(wǎng)主機(jī)和公網(wǎng)之間的通信，但隨著公司員工的不斷增加，有限的公網(wǎng)IP地址已不能滿足所有員工上網(wǎng)需求，公司希望采用NAPT來解決更多員工的外網(wǎng)接入需求。配置思路：在路由器A配置公網(wǎng)IP地址池，然后配置ACL規(guī)則，該規(guī)則定義可用于映射公網(wǎng)的主機(jī)，最后在路由器A配置NAPT，將符合ACL規(guī)則的主機(jī)自動映射到公網(wǎng)地址池IP中。NAT的配置示例33Part.02<Huawei>system-view[Huawei]sysnameRouterA[RouterA]interfacegigabitethernet0/0/0[RouterA-GigabitEthernet0/0/0]ipadd5424[RouterA-GigabitEthernet0/0/0]quit[RouterA]interfaceg0/0/1[RouterA-GigabitEthernet0/0/1]ipadd24[RouterA]nataddress-group102)路由器A配置ACL規(guī)則，定義映射公網(wǎng)的內(nèi)網(wǎng)主機(jī)1)路由器A配置公網(wǎng)IP地址與IP地址池[RouterA]acl2000[RouterA-acl-basic-2000]rule5permitsource55[RouterA-acl-basic-2000]quit3)路由器A配置NAPT[RouterA]interfaceg0/0/1[RouterA-GigabitEthernet0/0/1]natoutbound2000address-group1NAT的配置示例34Part.02案例3NATServer的配置示例本示例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示，某公司的網(wǎng)絡(luò)提供WEBServer供外部網(wǎng)絡(luò)用戶訪問。WEBServer的內(nèi)部IP地址為/24，提供服務(wù)的端口為8080，對外發(fā)布的IP地址為/24。對端外網(wǎng)側(cè)地址為/24。要求通過路由器的NATServer功能把該公司的內(nèi)部網(wǎng)絡(luò)連接到外網(wǎng)上。路由器A路由器BWebServerGE0/0/0

GE2/0/0

GE0/0/0

Eth2/0/0

配置思路：根據(jù)用戶需求僅需要在出口路由器A上做NATServer即可。NAT的配置示例35Part.02[RouterA]vlan100[RouterA-vlan100]quit[RouterA]interfacevlanif100[RouterA-Vlanif100]ipaddress54[RouterA-Vlanif100]quit[RouterA]interfaceethernet2/0/0[RouterA-Ethernet2/0/0]portlink-typeaccess[RouterA-Ethernet2/0/0]portdefaultvlan100[RouterA-Ethernet2/0/0]quit[RouterA]interfacegigabitethernet0/0/0[RouterA-GigabitEthernet0/0/0]ipaddress2)配置WEB服務(wù)器地址映射以及到達(dá)Internet的缺省路由，下一跳為運營商側(cè)的IP地址。1)配置各接口IP地址。這里假設(shè)連接WEB服務(wù)器的LAN接口是二層接口，必須先加入到一個VLAN中，然后在對應(yīng)的VLANIF接口上配置IP地址。[RouterA-GigabitEthernet0/0/0]natserverprotocoltcpglobalwwwwinside8080[RouterA-GigabitEthernet0/0/0]quit[RouterA]iproute-static虛擬專用網(wǎng)絡(luò)技術(shù)（VPN）6.3VPN技術(shù)產(chǎn)生的背景37Part.03什么是VPN38Part.03VPN的定義VPN—VirtualPrivateNetwork虛擬專用網(wǎng)。依靠ISP（InternetServiceProvider）和NSP(NetworkServiceProvider)，在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。VPN的特點？專用性：VPN資源只能被該VPN的用戶使用，不能被網(wǎng)絡(luò)中其他用戶所使用。同時VPN提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_。虛擬性：VPN用戶內(nèi)部的通信是通過一個公共網(wǎng)絡(luò)進(jìn)行的，而這個公共網(wǎng)絡(luò)同時也被其他非VPN用戶使用。VPN的隧道機(jī)制39Part.03什么是隧道機(jī)制？IPVPN可以理解為：通過隧道技術(shù)在公眾IP網(wǎng)絡(luò)上仿真一條點到點的專線。隧道是利用一種協(xié)議來傳輸另外一種協(xié)議的技術(shù)，共涉及三種協(xié)議，包括：乘客協(xié)議、隧道協(xié)議和承載協(xié)議。輕量級隧道協(xié)議-GRE40Part.03GRE（GenericRoutingEncapsulation，通用路由封裝）是一種最傳統(tǒng)的隧道協(xié)議，其根本功能就是要實現(xiàn)隧道功能，通過隧道連接的兩個遠(yuǎn)程網(wǎng)絡(luò)就如同直連，GRE在兩個遠(yuǎn)程網(wǎng)絡(luò)之間模擬出直連鏈路，從而使網(wǎng)絡(luò)間達(dá)到直連的效果。步驟1：接收原始IP數(shù)據(jù)包當(dāng)作乘客協(xié)議，原始IP數(shù)據(jù)包包頭的IP地址為私有IP地址。步驟2：將原始IP數(shù)據(jù)包封裝進(jìn)GRE協(xié)議，GRE協(xié)議稱為封裝協(xié)議（EncapsulationProtocol），封裝的包頭IP地址為虛擬直連鏈路兩端的IP地址。步驟3：將整個GRE數(shù)據(jù)包當(dāng)作數(shù)據(jù)，在外層封裝公網(wǎng)IP包頭，也就是隧道的起源和終點，從而路由到隧道終點。GRE傳輸數(shù)據(jù)過程41Part.03隧道起點路由查找加封裝承載協(xié)議路由轉(zhuǎn)發(fā)中途轉(zhuǎn)發(fā)解封裝隧道終點路由查找GRE傳輸數(shù)據(jù)過程42Part.03隧道起點路由查找加封裝承載協(xié)議路由轉(zhuǎn)發(fā)中途轉(zhuǎn)發(fā)解封裝隧道終點路由查找GRE傳輸數(shù)據(jù)過程43Part.03隧道起點路由查找加封裝承載協(xié)議路由轉(zhuǎn)發(fā)中途轉(zhuǎn)發(fā)解封裝隧道終點路由查找GRE傳輸數(shù)據(jù)過程44Part.03隧道起點路由查找加封裝承載協(xié)議路由轉(zhuǎn)發(fā)中途轉(zhuǎn)發(fā)解封裝隧道終點路由查找GRE傳輸數(shù)據(jù)過程45Part.03隧道起點路由查找加封裝承載協(xié)議路由轉(zhuǎn)發(fā)中途轉(zhuǎn)發(fā)解封裝隧道終點路由查找GRE傳輸數(shù)據(jù)過程46Part.03隧道起點路由查找加封裝承載協(xié)議路由轉(zhuǎn)發(fā)中途轉(zhuǎn)發(fā)解封裝隧道終點路由查找IPSec協(xié)議介紹47Part.03IPSec是一種開放標(biāo)準(zhǔn)的框IPSec特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要(Hash)等手段，來保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私密性(confidentiality)、完整性(dataintegrity)和真實性(originauthentication)。IPSec只能工作在IP層，為IP數(shù)據(jù)流提供安全服務(wù)，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議IPSec由ESP協(xié)議（或者Ah協(xié)議）、IKE協(xié)議組成IPSec封裝模式48Part.03傳輸模式（Transport）用于主機(jī)到主機(jī)間的安全連接保護(hù)數(shù)據(jù)源與目的間的信息安全性不封裝額外的IP頭對報文的高層信息進(jìn)行保護(hù)隧道模式（Tunnel）用于網(wǎng)關(guān)到網(wǎng)關(guān)間的安全連接數(shù)據(jù)在傳輸?shù)倪^程中被網(wǎng)關(guān)封裝與解封裝封裝額外的IP頭，用于構(gòu)建VPN對整個原始報文進(jìn)行保護(hù)ESP封裝協(xié)議49Part.03ESP（EncapsulatedSecurityPayload安全封裝載荷，使用較廣）：可以同時提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法實現(xiàn)數(shù)據(jù)加密，使用MD5或SHA1來實現(xiàn)數(shù)據(jù)完整性。提供數(shù)據(jù)的完整性驗證，使用散列算法，驗證不包括IP頭。采用加密，提供數(shù)據(jù)的機(jī)密性。提供反重放保護(hù)。使用IP協(xié)議號50。ESP頭部：

主要是包括SPI和Seqnumber，放在加密數(shù)據(jù)之前ESP尾部：被放置在加密數(shù)據(jù)之后，包括一個填充區(qū)域和填充長度以及一個NextHeader，

這個地方比較特殊，ESPheader中沒有NextHeader放在Trailer中

ESP認(rèn)證：必須是32bit的整數(shù)倍，是在前面?zhèn)€字段基礎(chǔ)上計算的出來的完整性校驗值ICV外部IP頭部ESP頭部密文ESP尾部ESP認(rèn)證原IP頭部ESP頭部密文ESP尾部ESP認(rèn)證ESP包結(jié)構(gòu)50Part.03安全參數(shù)索引：與IP地址一同用來標(biāo)識安全關(guān)聯(lián)串行號：單調(diào)遞增的數(shù)值，用來防止重放攻擊。載荷數(shù)據(jù)：實際要傳輸?shù)臄?shù)據(jù)。填充：某些塊加密算法用此將數(shù)據(jù)填充至塊的長度。填充長度：以位為單位的填充數(shù)據(jù)的長度。下一個頭：標(biāo)識被傳送數(shù)據(jù)所屬的協(xié)議。認(rèn)證數(shù)據(jù)：包含了認(rèn)證當(dāng)前包所必須的數(shù)據(jù)。不同模式下ESP數(shù)據(jù)封裝51Part.03傳輸模式隧道模式AH協(xié)議52Part.03AH協(xié)議（AuthenticationHeader，使用較少）：可以同時提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)來源確認(rèn)、防重放等安全特性；AH常用摘要算法（單向Hash函數(shù)）MD5和SHA1實現(xiàn)該特性。提供數(shù)據(jù)的完整性驗證，使用散列算法驗證整個報文。不加密數(shù)據(jù)，不提供數(shù)據(jù)的機(jī)密性。提供反重放保護(hù)。使用IP協(xié)議號51。IP頭部AH頭部TCP頭部數(shù)據(jù)新IP頭部AH頭部原IP頭部TCP頭部數(shù)據(jù)AH包結(jié)構(gòu)53Part.03NextHeader：AHheader的下一個頭部的協(xié)議號PayloadLength：AHheader的長度Reserverd：保留SPI:安全的參數(shù)，目的地址和安全協(xié)議類型的組合，用于識別對這個包進(jìn)行驗證的安全聯(lián)盟SequenceNumber:

單調(diào)增加的32位無符號整數(shù)，利用該域抵抗重發(fā)攻擊（ReplayAttack）AuthenticationData:是一個長度可變的域，長度為32比特的整數(shù)倍。具體格式因認(rèn)證算法而異。該認(rèn)證數(shù)據(jù)也被稱為數(shù)據(jù)報的完整性校驗值（ICV）不同模式下AH數(shù)據(jù)封裝54Part.03傳輸模式隧道模式IPSec的兩個數(shù)據(jù)庫55Part.03SPD(安全策略數(shù)據(jù)庫)：SPD決定了什么流量將接受IPSec處理

SADB（安全關(guān)聯(lián)數(shù)據(jù)庫）：SADB維護(hù)每一個SA（安全關(guān)聯(lián)）包含的參數(shù)SPD（安全策略數(shù)據(jù)庫）

選擇器選擇感興趣流加密，可以通過源IP，目的IP，名字，傳輸層協(xié)議，源目端口號來進(jìn)行選擇

選擇流量后有三種處理方式：旁路、丟棄和IPSec加密。

SPD中每一個條目都與SA關(guān)聯(lián)SADB（安全關(guān)聯(lián)數(shù)據(jù)庫）

在SADB里面的每一個條目決定了一個特定SA的參數(shù)，當(dāng)一個IPSecSA被創(chuàng)建，SADB更新所有關(guān)于這個SA的參數(shù)。當(dāng)一個inboundIPSec數(shù)據(jù)包抵達(dá)，SADB基于外層IP頭部的目的IP地址，SPI和IPSec封裝協(xié)議（ESP/AH）檢索數(shù)據(jù)庫以獲得相應(yīng)的SA，然后用這個SA的相關(guān)參數(shù)處理這個inboundIPSec數(shù)據(jù)包。對于outboundIPSec數(shù)據(jù)包處理的相關(guān)參數(shù)，是由SPD相關(guān)聯(lián)的SA來獲取的。IKE的簡介56Part.03IKE（網(wǎng)絡(luò)密鑰交換協(xié)議），主要負(fù)責(zé)建立和維護(hù)IKESAs與IPsecSAs。功能主要體現(xiàn)在如下幾個方面：對雙方進(jìn)行認(rèn)證交換公共密鑰，產(chǎn)生密鑰資源，管理密鑰協(xié)商協(xié)議參數(shù)（封裝、加密、驗證）IPSec框架57Part.03IKE與ISAKMP以及IKE的三個模式58Part.03我們經(jīng)?；QIKE與ISAKMP，例如IKESAs也稱為ISAKMPSAs我們配置IPsecVPN的時候主要配置的也是ISAKMP，所以常常認(rèn)為IKE和ISAKMP是一樣的。由于SKEME的存在IKE能夠決定密鑰交換的方式，但I(xiàn)SAKMP只能夠為密鑰交換交換信息，但不能決定密鑰交換如何實現(xiàn)主模式的工作過程59Part.03第1-2數(shù)據(jù)包的交互：數(shù)據(jù)包1：發(fā)起方提供IP地址和提案，信息被封裝在UDP包中，目的端口為UDP500數(shù)據(jù)包2：響應(yīng)方選擇其中一個提案作為回應(yīng)。主模式的工作過程60Part.03第3-4數(shù)據(jù)包執(zhí)行DH交換，包含DH公共值和隨機(jī)數(shù)，并不真正傳遞密鑰，只是交互用于生產(chǎn)密鑰的關(guān)鍵參數(shù)，交互的結(jié)果將生成3個密鑰分別是：SKEYID_d=用于計算后續(xù)的IPSEC密鑰資源SKEYID_a=用于提供IKE消息的數(shù)據(jù)完整性和認(rèn)證SKEYID_e=用于加密IKE消息主模式的工作過程61Part.03第5-6數(shù)據(jù)包驗證雙方身份，提供兩種身份驗證方法（1.PSK2.證書）身份信息驗證過程加密前面的1-2和3-4數(shù)據(jù)包的交互是為5-6數(shù)據(jù)包的交互提供服務(wù)建立起一個雙向ISAKMPSA快速模式的工作過程62Part.03協(xié)商IPSecSA（協(xié)商IPsec轉(zhuǎn)換集、可選的密鑰交換、協(xié)商保護(hù)的子網(wǎng)）。第1個數(shù)據(jù)包發(fā)起方發(fā)起，包含HASH值、感興趣流、SA提案、轉(zhuǎn)換集、密鑰材料等第2個數(shù)據(jù)包響應(yīng)方發(fā)起，包含HASH值、接受的SA提案，響應(yīng)方的SPI，密鑰第3個數(shù)據(jù)包HASH用于確認(rèn)隧道建立受ISAKMPSA保護(hù)。IPSec策略介紹63Part.03QM模式協(xié)商策略決定了IPSECVPN對具體流量的處理感興趣流是策略的綱要（SPD）加密策略（DES和AES）：加密A到B流程的策略散列策略（MD5和SHA-1）：驗證（HMAC）A到B流量的策略模式（Tunnel和Transport）：IPSEC工作模式封裝（AH或者ESP）：封裝A到B流量的協(xié)議IPSecVPN工作原理64Part.03主機(jī)