1、虛擬專網(wǎng)（VPN）,第9章,本章目標(biāo),能夠配置VPN，使企業(yè)辦事處能夠通過(guò)VPN遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)中心 了解VPN的基本概念 熟悉VPN的工作原理 了解VPN的加密算法 熟悉IPsec VPN技術(shù) 能夠在Cisco路由器上配置IPsec VPN,隧道和加密技術(shù),本章結(jié)構(gòu),虛擬專網(wǎng)VPN,IPsec的安全協(xié)議,IPsec基本概念,VPN概述,IPsec技術(shù),IPsec的傳送方式,IPsec的密鑰交換,IPsec VPN的配置,VPN的結(jié)構(gòu)和分類,VPN的定義,VPN的工作原理,IPsec的運(yùn)行,什么是VPN,VPN（Virtual Private Network） 在公用網(wǎng)絡(luò)中,按照相同的策略和安

2、全規(guī)則, 建立的私有網(wǎng)絡(luò)連接,Internet,北京總部,廣州分公司,虛擬專用網(wǎng)絡(luò),VPN的優(yōu)點(diǎn),Internet,專線,中心站點(diǎn),分支機(jī)構(gòu),專線方式,VPN方式,費(fèi)用高 靈活性差 廣域網(wǎng)的管理 復(fù)雜的拓?fù)浣Y(jié)構(gòu),費(fèi)用低 靈活性好 簡(jiǎn)單的網(wǎng)絡(luò)管理 隧道的拓?fù)浣Y(jié)構(gòu),VPN的結(jié)構(gòu)和分類,總部,Internet,遠(yuǎn)程訪問(wèn)的VPN 站點(diǎn)到站點(diǎn)的VPN,遠(yuǎn)程訪問(wèn)的VPN,移動(dòng)用戶或遠(yuǎn)程小辦公室通過(guò)Internet訪問(wèn)網(wǎng)絡(luò)中心 連接單一的網(wǎng)絡(luò)設(shè)備 客戶通常需要安裝VPN客戶端軟件,站點(diǎn)到站點(diǎn)的VPN,公司總部和其分支機(jī)構(gòu)、辦公室之間建立的VPN 替代了傳統(tǒng)的專線或分組交換WAN連接 它們形成了一個(gè)企業(yè)的內(nèi)部

3、互聯(lián)網(wǎng)絡(luò),總部,Internet,VPN的工作原理,VPN=加密隧道,明文,明文,公共IP網(wǎng)絡(luò),VPN的關(guān)鍵技術(shù),安全隧道技術(shù) 信息加密技術(shù) 用戶認(rèn)證技術(shù) 訪問(wèn)控制技術(shù),安全隧道技術(shù),為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來(lái)的“信息封裝”（Encapsulation）方式 在Internet上傳輸?shù)募用軘?shù)據(jù)包中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外面,Internet,安全隧道,隧道協(xié)議,二層隧道VPN L2TP: Layer 2 Tunnel Protocol PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 三層隧道VPN

4、 GRE : General Routing Encapsulation IPSEC : IP Security Protocol,第二層隧道協(xié)議,建立在點(diǎn)對(duì)點(diǎn)協(xié)議PPP的基礎(chǔ)上 先把各種網(wǎng)絡(luò)協(xié)議（IP、IPX等）封裝到PPP幀中，再把整個(gè)數(shù)據(jù)幀裝入隧道協(xié)議 適用于通過(guò)公共電話交換網(wǎng)或者ISDN線路連接VPN,Internet,內(nèi)部網(wǎng)絡(luò),移動(dòng)用戶,訪問(wèn)集中器,網(wǎng)絡(luò)服務(wù)器,PPP鏈接,第三層隧道協(xié)議,把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議 在可擴(kuò)充性、安全性、可靠性方面優(yōu)于第二層隧道協(xié)議,Internet,IP連接,信息加密技術(shù),機(jī)密性 對(duì)用戶數(shù)據(jù)提供安全保護(hù) 數(shù)據(jù)完整性 確保消息在傳送過(guò)程中沒(méi)有被修改

5、 身份驗(yàn)證 確保宣稱已經(jīng)發(fā)送了消息的實(shí)體是真正發(fā)送消息的實(shí)體,明文,加密,密文,解密,明文,加密算法,對(duì)稱加密 DES算法 AES算法 IDEA算法、Blowfish算法、Skipjack算法 非對(duì)稱加密 RSA算法 PGP,對(duì)稱密鑰,明文,密文,明文,發(fā)送方和接收方使用同一密鑰 通常加密比較快（可以達(dá)到線速） 基于簡(jiǎn)單的數(shù)學(xué)操作（可借助硬件） 需要數(shù)據(jù)的保密性時(shí)，用于大批量加密 密鑰的管理是最大的問(wèn)題,雙方使用相同的密鑰,非對(duì)稱密鑰,每一方有兩個(gè)密鑰 公鑰，可以公開 私鑰，必須安全保存 已知公鑰，不可能推算出私鑰 一個(gè)密鑰用于加密，一個(gè)用于解密 比對(duì)稱加密算法慢很多倍,公鑰加密和私鑰簽名,用

6、于數(shù)據(jù)保密； 利用公鑰加密數(shù)據(jù)，私鑰解密數(shù)據(jù),用于數(shù)字簽名； 發(fā)送者使用私鑰加密數(shù)據(jù)，接收者用公鑰解密數(shù)據(jù),階段總結(jié),VPN的基本概念 VPN的結(jié)構(gòu)和類型 VPN的原理 安全隧道技術(shù) 信息加密技術(shù),什么是IPsec,IPSec（IP Security）是 IETF為保證在Internet上傳送數(shù)據(jù)的安全保密性，而制定的框架協(xié)議 應(yīng)用在網(wǎng)絡(luò)層，保護(hù)和認(rèn)證用IP數(shù)據(jù)包 是開放的框架式協(xié)議，各算法之間相互獨(dú)立 提供了信息的機(jī)密性、數(shù)據(jù)的完整性、用戶的驗(yàn)證和防重放保護(hù) 支持隧道模式和傳輸模式,隧道模式和傳輸模式,隧道模式 IPsec對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行封裝和加密，隱蔽了源和目的IP地址 從外部看不到數(shù)

7、據(jù)包的路由過(guò)程 傳輸模式 IPsec只對(duì)IP有效數(shù)據(jù)載荷進(jìn)行封裝和加密，IP源和目的IP地址不加密傳送 安全程度相對(duì)較低,IPsec的組成,IPSec 提供兩個(gè)安全協(xié)議 AH (Authentication Header) 認(rèn)證頭協(xié)議 ESP (Encapsulation Security Payload)封裝安全載荷協(xié)議 密鑰管理協(xié)議 IKE（Internet Key Exchange）因特網(wǎng)密鑰交換協(xié)議,IPsec不是單獨(dú)的一個(gè)協(xié)議，而是一整套體系結(jié)構(gòu),AH協(xié)議 隧道中報(bào)文的數(shù)據(jù)源鑒別 數(shù)據(jù)的完整性保護(hù) 對(duì)每組IP包進(jìn)行認(rèn)證，防止黑客利用IP進(jìn)行攻擊,AH認(rèn)證頭協(xié)議,AH的隧道模式封裝,A

8、H驗(yàn)證包頭,新IP 包頭,數(shù)據(jù),IP 包頭,有效負(fù)載,使用散列算法計(jì)算驗(yàn)證值，包含在AH驗(yàn)證包頭中,為新的IP包插入新的包頭,原始IP包保持不變，為整個(gè)原始IP包提供驗(yàn)證,ESP封裝安全載荷協(xié)議,保證數(shù)據(jù)的保密性 提供報(bào)文的認(rèn)證性、完整性保護(hù),ESP的隧道模式封裝,ESP頭部,新IP 包頭,ESP尾部,ESP驗(yàn)證,數(shù)據(jù),原IP 包頭,數(shù)據(jù),原IP 包頭,驗(yàn)證,有效負(fù)載,比AH增加加密功能，如果啟用，則對(duì)原始IP包進(jìn)行加密后再傳輸,AH和ESP相比較,ESP基本提供所有的安全服務(wù) 如果僅使用ESP，消耗相對(duì)較少 為什么使用AH AH的認(rèn)證強(qiáng)度比ESP強(qiáng) AH沒(méi)有出口限制,安全聯(lián)盟SA,使用安全聯(lián)

9、盟（SA）是為了解決以下問(wèn)題 如何保護(hù)通信數(shù)據(jù) 保護(hù)什么通信數(shù)據(jù) 由誰(shuí)實(shí)行保護(hù) 建立SA是其他IPsec服務(wù)的前提 SA定義了通信雙方保護(hù)一定數(shù)據(jù)流量的策略,SA的內(nèi)容,一個(gè)SA通常包含以下的安全參數(shù) 認(rèn)證/加密算法，密鑰長(zhǎng)度及其他的參數(shù) 認(rèn)證和加密所需要的密鑰 哪些數(shù)據(jù)要使用到該SA IPsec的封裝協(xié)議和模式,如何保護(hù),保護(hù)什么,由誰(shuí)實(shí)行,IKE因特網(wǎng)密鑰交換協(xié)議,在IPsec網(wǎng)絡(luò)中用于密鑰管理 為IPSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù) 通過(guò)數(shù)據(jù)交換來(lái)計(jì)算密鑰,IPsec VPN的配置,步驟1 配置IKE的協(xié)商 步驟2 配置IPSEC的協(xié)商 步驟3 配置端口的應(yīng)用 步驟4 調(diào)

10、試并排錯(cuò),配置IKE協(xié)商3-1,啟動(dòng)IKE Router(config)# crypto isakmp enable 建立IKE協(xié)商策略 Router(config)# crypto isakmp policy priority,取值范圍110000 數(shù)值越小，優(yōu)先級(jí)越高,配置IKE協(xié)商3-2,配置IKE協(xié)商策略 Router(config-isakmp)# authentication pre-share Router(config-isakmp)# encryption des | 3des Router(config-isakmp)# hash md5 | sha1 Router(con

11、fig-isakmp)# lifetime seconds,使用預(yù)定義密鑰,加密算法,SA的活動(dòng)時(shí)間,認(rèn)證算法,配置IKE協(xié)商3-3,設(shè)置共享密鑰和對(duì)端地址 Router(config)# crypto isakmp key keystring address peer-address,密鑰,對(duì)端IP,配置IPsec協(xié)商2-1,設(shè)置傳輸模式集 Router(config)# crypto ipsec transform-set transform-set-name transform1 transform2 transform3,定義了使用AH還是ESP協(xié)議，以及相應(yīng)協(xié)議所用的算法,配置IPs

12、ec協(xié)商2-2,配置保護(hù)訪問(wèn)控制列表 Router(config)# access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard,用來(lái)定義哪些報(bào)文需要經(jīng)過(guò)IPSec加密后發(fā)送，哪些報(bào)文直接發(fā)送,配置端口的應(yīng)用2-1,創(chuàng)建Crypto Maps Router(config)# crypto map map-name seq-num ipsec-isakmp 配置Crypto Maps Router(config-crypto-map)#

13、match address access-list-number Router(config-crypto-map)# set peer ip_address Router(config-crypto-map)# set transform-set name,ACL編號(hào),對(duì)端IP地址,傳輸模式的名稱,Map優(yōu)先級(jí)，取值范圍165535，值越小，優(yōu)先級(jí)越高,配置端口的應(yīng)用2-2,應(yīng)用Crypto Maps到端口 Router(config)# interface interface_name interface_num Router(config-if)# crypto map map-name

14、,檢查IPsec配置,查看IKE策略 Router# show crypto isakmp policy 查看IPsce策略 Router# show crypto ipsec transform-set 查看SA信息 Router# show crypto ipsec sa 查看加密映射 Router# show crypto map,RouterA(config)# ip route 0.0.0.0 0.0.0.0 20.20.20.20 RouterA(config)#crypto isakmp policy 1 RouterA(config-isakmap)#hash md5 Rout

15、erA(config-isakmap)#authentication preshare RouterA(config)#crypto isakmp key benet-password address 20.20.20.20 RouterA(config)#crypto ipsec transformset benetset ahmd5hmac espdes RouterA(config)#accesslist 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 RouterA(config)#crypto map benetmap

16、1 ipsecisakmp RouterA(config-crypto-map)#set peer 20.20.20.20 RouterA(config-crypto-map)#set transformset benetset RouterA(config-crypto-map)#match address 101 RouterA(config)#interface serial 0/0 RouterA(config-if)# crypto map benetmap,VPN配置實(shí)例,本章總結(jié),隧道和加密技術(shù),虛擬專網(wǎng)VPN,IPsec的安全協(xié)議,IPsec基本概念,VPN概述,IPsec技術(shù),I