1、26 局域網接入安全策略,模塊1 構建VPN隧道,1.1 問題提出 VPN能夠利用Internet網絡，實現(xiàn)安全、可靠的網上商務活動。它可以使公司獲得使用公共通信基礎結構所帶來的便利和經濟效益，同時獲得使用專用的點到點連接所帶來的安全。 VPN可以提供設備認證、數(shù)據包完整性檢查、加密等功能，可以避免竊聽、偽裝、中間人等網絡攻擊。,模塊1 構建VPN隧道,1.2 相關知識,1VPN概述 虛擬專用網（Virtual Private Network，VPN）的簡稱。利用公用的Internet網絡，為本單位建立具有專用網特性的虛擬網絡，實現(xiàn)本單位分布在地理位置不同的各個部門間利用Inernet傳遞需要

2、保密的商務信息。,模塊1構建VPN隧道,VPN網絡基礎,模塊1構建VPN隧道,2VPN類型 （1）Access VPN,模塊1 構建VPN隧道,（2）Intranet VPN,模塊1 構建VPN隧道,（3）Extranet VPN,模塊1 構建VPN隧道,3隧道協(xié)議 （1）二層隧道協(xié)議用于傳輸二層網絡協(xié)議，用于構建Access VPN及Extranet VPN。 二層隧道協(xié)議主要有：PPTP（Point to Point Tunneling Protocol，點對點隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Proto

3、col，二層隧道協(xié)議）。,模塊1 構建VPN隧道,（2）三層隧道協(xié)議用于傳輸三層網絡協(xié)議，用于構建Intranet VPN和Extranet VPN。三層隧道協(xié)議主要有GRE（Genneric Rounting Encapsulation，通用路由封裝）和IPSec等。,模塊1 構建VPN隧道,4VPN設備配置 （1）項目描述 假設北京的某公司在上海設立了新的分公司，分公司要遠程訪問總公司的各種網絡資源，如信息管理系統(tǒng)、FTP服務器等。在Internet上傳輸數(shù)據本身存在安全隱患，該公司希望采用VPN技術實現(xiàn)數(shù)據的安全傳輸。,模塊1 構建VPN隧道,模塊2 構建GRE隧道,2.1 問題提出 通

4、過公共網絡將總公司與分公司連接起來要實現(xiàn)全網絡路由互通，可以通過建立GRE隧道實現(xiàn)網絡路由信息交換。,模塊2 構建GRE隧道,2.2 相關知識,1GRE工作原理 通用路由協(xié)議封裝（Generic Routing Encapsulation，GRE）是由Cisco和Net-smiths等公司于1994年提交給IETF（互聯(lián)網的工程任務組）的，標號為RFC1701和RFC1702，用于傳輸三層網絡協(xié)議的隧道協(xié)議。,模塊2 構建GRE隧道,路由器收到一個需要封裝和路由的原始數(shù)據報文（Payload），這個報文首先被GRE封裝成GRE報文，然后又被封裝在IP協(xié)議中，由IP層負責此報文轉發(fā)。 原始報文的

5、協(xié)議被稱為乘客協(xié)議，GRE被稱為封裝協(xié)議，而負責轉發(fā)的IP協(xié)議被稱為傳輸協(xié)議。,模塊2 構建GRE隧道,GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、OSPF等）。,模塊2 構建GRE隧道,GRE優(yōu)點如下： （1）多協(xié)議的本地網絡可以通過單一協(xié)議的骨干網實現(xiàn)傳輸； （2）將一些不能連續(xù)的子網連接起來，用于組建VPN； （3）擴大網絡的工作范圍，例如，RIP最多16跳，GRE連接隧道計1跳。,模塊2 構建GRE隧道,2GRE配置命令 （1）進入Tunnel端口配置模式。 Route(config)#

6、interface tunnel tunnel-number 其中： tunnel-number為Tunnel端口標號。,模塊2 構建GRE隧道,（2）設置Tunnel端口源地址。 Route(config-if)#tunnel source ip-address | interface-name interface-number 一個Tunnel端口需要明確配置隧道的源地址和目的地址，為了保證隧道端口的穩(wěn)定性，一般將Loopback地址作為隧道的源地址和目的地址。,模塊2 構建GRE隧道,（3）設置Tunnel端口目的地址。 Route(config-if)#tunnel destinati

7、on ip-address 此處設置的Tunnel端口目的地址是Tunnel端口用來進行實際通信的目的地址，也是Tunnel 位于遠程對端的端點。,模塊2 構建GRE隧道,（4）查看Tunnel端口配置情況。 Route#show interfaces tunnel tunnel-number,模塊2 構建GRE隧道,3GRE配置實例 如下圖所示網絡中，路由器R1與R2之間建立Tunnel，路由器R1背后的子網/24與路由器R2背后的子網/24通過R1與R2之間的Tunnel進行通信。這種通信通過Tunnel進行，對于R1與R2之間的外部網絡是透

8、明的和不可見的，即是一種虛擬專用網（VPN）的實現(xiàn)。下面將給出路由器R1與R2的有關Tunnel的相關配置。,模塊2 構建GRE隧道,模塊2 構建GRE隧道,（1）路由器R1的相關配置。 R1(config)#interface Tunnel0 R1(config-if)# ip address R1(config-if)#tunnel source 21 R1(config-if)#tunnel destination 5 R1(config)#interface FastEthernet0/0

9、 R1(config-if)#ip address 21 R1(config-if)#exit R1(config)#interface FastEthernet0/1 R1(config-if)#ip address ,模塊2 構建GRE隧道,（2）路由器 R2 的相關配置。 R2(config)#interface Tunnel0 R2(config-if)# ip address R2(config-if)#tunnel source

10、 5 R2(config-if)#tunnel destination 21 R2(config)#interface FastEthernet0/0 R2(config-if)#ip address 5 R2(config)#interface FastEthernet0/1 R2(config-if)#ip address 02 ,模塊3 構建IPSec隧道,知識目標、技能點,了解IPSec隧道協(xié)議意義,1,2,掌握IPSec隧道協(xié)議工作原理,3

11、,掌握IPSec隧道協(xié)議配置技能,模塊3 構建IPSec隧道,3.1 問題提出（教師講述） 某公司網絡由北京總公司及上海分公司構成。根據公司業(yè)務需要，總公司與分公司間建立VPN網絡傳輸公司專用數(shù)據，VPN網絡采用IPSec技術實現(xiàn)。,模塊3 構建IPSec隧道,3.2 相關知識（教師講述與交流）,1IPSec概述 IPSec是一套安全體系架構，在IPSec實體之間提供數(shù)據保密性、完整性和數(shù)據驗證服務，為主機之間、子網之間、安全網關之間的一條和多條數(shù)據流提供保護。 （1）ISAKMP/IKE：這些標準用于建立一個安全的管理連接，提供加密的密鑰及驗證信息； （2）AH及ESP：這些標準用于建立一個

12、安全的數(shù)據連接，提供數(shù)據加密性、完整性及驗證性服務。,模塊3 構建IPSec隧道,2IPSec連接過程 IPSec連接建立過程如下： （1）IPSec的啟動 當一個對等體向另一個對等體發(fā)送需要保護的數(shù)據流量時，則IPSec建立過程自動啟動，也可以通過手動啟動。 （2）建立管理連接（ISAKMP/IKE階段1） 這個階段主要完成如下任務：對等體之間協(xié)商采用哪些安全策略建立一個安全的管理連接，對等體使用DH交換技術產生一個共享密鑰信息，對等體間進行設備驗證。,模塊3 構建IPSec隧道,（3）建立數(shù)據連接（ISAKMP/IKE階段2） 這個階段在管理連接保護下主要完成如下任務：對等體之間協(xié)商采用哪

13、些安全策略建立一個安全的數(shù)據連接，周期性地對數(shù)據連接更新密鑰信息。 （4）傳輸數(shù)據 當數(shù)據連接建立后，對等體間就可以通過這條數(shù)據連接通道安全地傳輸用戶數(shù)據了。,模塊3 構建IPSec隧道,3IPSec配置 IPSec 安全聯(lián)盟即可以由手工方式建立也可以由 IKE 協(xié)商自動方式建立。這里介紹自動方式。 （1）創(chuàng)建加密訪問列表 加密訪問列表用于定義哪些數(shù)據流要被加密保護，哪些不需要被加密保護。 route(config)# access-list access-list-number deny | permitprotocol source source-wildcard destination

14、destination-wildcard,模塊3 構建IPSec隧道,其中： access-list-number為訪問列表號； Protocol為協(xié)議； source為源地址； source-wildcard為源地址通配符； destination為目的地址； destination-wildcard為目的地址通配符。,模塊3 構建IPSec隧道,（2）定義變換集合 變換集合是特定安全協(xié)議和算法的組合。在 IPSec 安全聯(lián)盟協(xié)商期間，對等體一致使用一個特定的變換集合來保護特定的數(shù)據流。 route(config)# crypto ipsec transform-set transform-

15、set-name transform1 transform2 transform3 其中： transform-set-name為變換集名稱； transform為系統(tǒng)所支持的算法，算法可以進行一定規(guī)則的組合。,模塊3 構建IPSec隧道,（3）創(chuàng)建加密映射條目 使用IKE來建立安全聯(lián)盟的加密映射條目的命令如下： 進入加密映射配置模式： route(config)# crypto map map-name seq-num ipsec-isakmp 其中： map-name為加密映射條目名稱； seq-num為加密映射條目序號。,模塊3 構建IPSec隧道,為加密映射列表指定一個訪問列表： ro

16、ute(config-crypto-map)# match address access-list-id 其中： access-list-id為指定的訪問列表名稱。 指定遠端 IPSec 對等體： Route(config-crypto-map)# set peer hostname | ip-address 其中： hostname為指定遠方對等體主機名稱； ip-address為指定遠方對等體主機IP地址。,模塊3 構建IPSec隧道,指定使用哪個變換集合： route(config-crypto-map)# set transform-set transform-set-name1 tr

17、ansform-set-name2transform-set-name6 其中： transform-set-name為轉換集名稱。,模塊3 構建IPSec隧道,（4）應用加密映射條目 Route(config-if)# crypto map map-name 其中： map-name為加密映射條目名稱 對于 IPSec 通信將要途經的每個端口，都需要為它配置一個加密映射集合。 （6）監(jiān)視和維護 IPSec 查看變換集合配置 Route# show crypto ipsec transform-set,模塊3 構建IPSec隧道,查看全部或指定的加密映射配置 Route# show crypt

18、o map map-name 查看 IPSec安全聯(lián)盟信息 Route# show crypto ipsec sa,模塊3 構建IPSec隧道,5配置實例 某公司由總公司與分公司構成，總公司網絡地址為/24，分公司網絡地址為/24?？偣九c分公司通過Internet建立IPSec連接，保護兩個子網之間的 IP 數(shù)據通信，R1路由器作為子網的網關，R2路由器作為子網的網關，網絡拓撲如下圖所示,模塊3 構建IPSec隧道,要求實現(xiàn)以下要求： （1）階段1協(xié)商采用 3des 算法加密； （2）采用通道模式

19、； （3）保護方式為 ESP-DES-MD5（提供加密和驗證服務）。,模塊3 構建IPSec隧道,模塊3 構建IPSec隧道,配置路由器R1。 （1）配置 IKE 安全聯(lián)盟 第1步：開放 IKE R1(config)#crypto isakmp enable 第2步：配置IKE策略 R1(config)#crypto isakmp policy 1 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encrytiong 3des R1(config-isakmp)#exit,模塊3 構建IPSec隧道,第3步：配置IKE預共享密鑰 R1(config)#crypto isakmp key preword address （2）配置IPSec安全聯(lián)盟 第1步：配置變換集合 R1(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac,模塊3 構建IPSec隧道,第2步：定義一個加密映射集合。 R1(config)#crypto map mymap 5 ipsec-isakmp R1(config-crypto-map)#