网络安全高级应用-chap05-v10.ppt

BENET3.0第二学期课程,第五章远程访问VPN,理论部分,本资料由-大学生创业|创业|创业网减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|,课程回顾,在防火墙配置实现IPSecVPN，与路由器相比有何区别？ESP协议默认可以与PAT一起工作吗？为什么？应如何实现对NAT设备的穿越？MM_SA_SETUP和QM_IDLE分别表示何种状态,2,本资料由-大学生创业|创业|创业网减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|,技能展示,了解EasyVPN和SSLVPN的工作原理会配置基于IOS路由器的EasyVPN会配置基于ASA的EasyVPN会配置基于IOS路由器的SSLVPN会配置基于ASA的SSLVPN,3,本资料由-大学生创业|创业|创业网减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|,本章结构,远程访问VPN,远程访问IPSecVPN,远程访问SSLVPN,EasyVPN基于ASA的配置,EasyVPN的工作原理,EasyVPN基于IOS路由器的配置,SSLVPN的工作原理,SSLVPN基于IOS路由器的配置,SSLVPN基于ASA的配置,4,远程访问IPSecVPN,远程访问IPSecVPN的实现方法简单VPN（EasyVPN）动态虚拟隧道接口（DVTI）EasyVPN的工作原理,EasyVPN服务器,网络云或Internet,EasyVPN硬件客户端,EasyVPN软件客户端,中心站点的LAN,远程站点的LAN,5,远程访问IPSecVPN,硬件客户端的操作模式客户端模式（ClientMode）网络扩展模式（NetworkExtensionMode）网络扩展Plus模式（NetworkExtensionPlusMode）,EasyVPN基于IOS路由器的配置路由器与软件客户端之间的配置路由器与硬件客户端之间的配置,6,路由器与软件客户端之间的配置,案例环境,EasyVPN服务器,Internet,EasyVPN软件客户端,ISPDNS服务器,Internet上的Web服务器,服务器,Benet总公司,7,路由器与软件客户端之间的配置,实验环境,Out,In,PC1,F2/0,F0/0,F0/0,S1/0,S1/0,ISP,R1,8,EasyVPN服务器R1的配置,定义AAA,R1(config)#aaanew-modelR1(config)#aaaauthenticationloginvpn_authenlocalR1(config)#aaaauthorizationnetworkvpn_authorlocalR1(config)#usernameciscopasswordcisco,R1(config)#cryptoisakmppolicy10R1(config-isakmp)#encryptionaes128R1(config-isakmp)#hashshaR1(config-isakmp)#authenticationpre-shareR1(config-isakmp)#group2R1(config-isakmp)#exit,定义阶段1的SA参数,9,EasyVPN服务器R1的配置,定义IP地址池定义ACL用于分离隧道定义EasyVPN组及参数,R1(config)#iplocalpoolvpn_pool192.168.1.1192.168.1.200,R1(config)#cryptoisakmpclientconfigurationgroupvpn_groupR1(config-isakmp-group)#keygroupkeyR1(config-isakmp-group)#poolvpn_poolR1(config-isakmp-group)#acl101R1(config-isakmp-group)#exit,R1(config)#access-list101permitip10.10.1.00.0.0.255any,10,EasyVPN服务器R1的配置,定义传输集定义动态的CryptoMap条目使用动态CryptoMap条目的原因配置,R1(config)#cryptoipsectransform-setvpn_transformesp-aesesp-sha-hmacR1(cfg-crypto-trans)#exit,R1(config)#cryptodynamic-mapvpn_dymap10R1(config-crypto-map)#settransform-setvpn_transformR1(config-crypto-map)#exit,11,EasyVPN服务器R1的配置,定义静态的CryptoMap条目和XAUTH将CryptoMap应用到接口,R1(config)#cryptomapmymapclientauthenticationlistvpn_authenR1(config)#cryptomapmymapisakmpauthorizationlistvpn_authorR1(config)#cryptomapmymapclientconfigurationaddressrespondR1(config)#cryptomapmymap1000ipsec-isakmpdynamicvpn_dymap,R1(config)#intS1/0R1(config-if)#cryptomapmymap,12,EasyVPN客户端的配置及测试,配置CiscoVPNClient连接服务器端并通过身份验证查看状态信息和隧道分离情况,13,EAZYVPN通讯测试,使用ipconfig/all命令查看主机PC1的IP配置主机PC1可以ping通10.10.1.1，可以通过远程桌面登录到服务器In主机PC1可以在连接VPN期间同时访问网站使用命令showcryptosessiondetail查看VPN会话信息,Ethernetadapter本地连接2:Connection-specificDNSSuffix.:Description.:CiscoSystemsVPNAdapterPhysicalAddress.:00-05-9A-3C-78-00DhcpEnabled.:NoIPAddress.:192.168.1.1SubnetMask.:255.255.255.0DefaultGateway.:,14,路由器与硬件客户端之间的配置,案例环境,15,路由器与硬件客户端之间的配置,实验环境,Out,In,PC1,F0/0,F0/0,F0/0,S1/0,S1/0,R1,ISP,R2,S1/1,S1/1,16,路由器与硬件客户端之间的配置,EasyVPN硬件客户端R2的配置建立EasyVPN远端配置,R2(config)#cryptoipsecclientezvpnmyeasyvpnR2(config-crypto-ezvpn)#connectautoR2(config-crypto-ezvpn)#groupvpn_groupkeygroupkeyR2(config-crypto-ezvpn)#modenetwork-extensionR2(config-crypto-ezvpn)#peer200.1.1.1R2(config-crypto-ezvpn)#usernameciscopasswordciscoR2(config-crypto-ezvpn)#exitR2(config)#intf0/0R2(config-if)#cryptoipsecclientezvpnmyeasyvpninsideR2(config-if)#ints1/1R2(config-if)#cryptoipsecclientezvpnmyeasyvpnoutside,17,路由器与硬件客户端之间的配置,EasyVPN硬件客户端R2的配置配置服务器端允许硬件客户端存储XAUTH认证信息配置路由器R2对VPN流量不做NAT转换,R2(config)#noaccess-list1permit10.20.1.00.0.0.255R2(config)#noipnatinsidesourcelist1interfaceSerial1/1overloadR2(config)#access-list110denyip10.20.1.00.0.0.25510.10.1.00.0.0.255R2(config)#access-list110permitipanyanyR2(config)#ipnatinsidesourcelist110interfaceSerial1/1overload,R1(config)#cryptoisakmpclientconfigurationgroupvpn_groupR1(config-isakmp-group)#save-passwordR1(config-isakmp-group)#exit,18,路由器与硬件客户端之间的配置,测试使用ipconfig/all命令查看主机PC1的IP配置主机PC1可以ping通10.10.1.1，可以通过远程桌面登录到服务器In主机PC1可以在连接VPN期间同时访问网站使用命令R2#shcryptoipsecclientezvpn检验EasyVPN的配置,19,EasyVPN基于ASA的配置,实验环境,Out,In,PC1,F1/1,F1/0,E0/1,F0/0,E0/0,ISP,ASA,20,EasyVPN基于ASA的配置,定义XAUTH（用户）验证定义阶段1的SA参数定义IP地址池,asa802(config)#usernameciscopasswordcisco,asa802(config)#cryptoisakmpenableoutsideasa802(config)#cryptoisakmppolicy10asa802(config-isakmp-policy)#encryptionaesasa802(config-isakmp-policy)#hashshaasa802(config-isakmp-policy)#authenticationpre-shareasa802(config-isakmp-policy)#group2asa802(config-isakmp-policy)#exit,asa802(config)#iplocalpoolvpn_pool192.168.1.1-192.168.1.200,21,EasyVPN基于ASA的配置,定义ACL用于分离隧道定义组策略,asa802(config)#access-listsplit_tunnelpermitip10.10.1.0255.255.255.0any,asa802(config)#group-policyvpn_group_policyinternalasa802(config)#group-policyvpn_group_policyattributesasa802(config-group-policy)#split-tunnel-policytunnelspecifiedasa802(config-group-policy)#split-tunnel-network-listvaluesplit_tunnelasa802(config-group-policy)#exit,22,EasyVPN基于ASA的配置,建立隧道组定义传输集,asa802(config)#cryptoipsectransform-setvpn_transformesp-aesesp-sha-hmac,asa802(config)#tunnel-groupvpn_grouptypeipsec-raasa802(config)#tunnel-groupvpn_groupgeneral-attributesasa802(config-tunnel-general)#address-poolvpn_poolasa802(config-tunnel-general)#default-group-policyvpn_group_policyasa802(config-tunnel-general)#exitasa802(config)#tunnel-groupvpn_groupipsec-attributesasa802(config-tunnel-ipsec)#pre-shared-keygroupkeyasa802(config-tunnel-ipsec)#exit,23,EasyVPN基于ASA的配置,定义动态的CryptoMap条目定义静态的CryptoMap条目将CryptoMap应用到接口,asa802(config)#cryptodynamic-mapvpn_dymap10settransform-setvpn_transform,asa802(config)#cryptomapmymap1000ipsec-isakmpdynamicvpn_dymap,asa802(config)#cryptomapmymapinterfaceoutside,24,小结,请思考：EasyVPN硬件客户端有哪3种操作模式？分离隧道有什么作用？在隧道组中指定隧道类型用于远程访问的参数是什么？,25,远程访问SSLVPN,SSLVPN的工作原理SSLVPN客户端无客户端模式瘦客户端模式胖客户端模式SSLVPN网关,26,SSLVPN基于ASA的配置,实验环境,Out,In,PC1,F1/1,F1/0,E0/1,F0/0,E0/0,ISP,ASA,27,SSLVPN基于ASA的配置,定义XAUTH（用户）验证在outside口启用WebVPN和SSLVPN定义IP地址池,asa802(config)#usernameciscopasswordcisco,asa802(config)#webvpnasa802(config-webvpn)#enableoutsideasa802(config-webvpn)#svcimagedisk0:/sslclient-win-1.1.3.173.pkgasa802(config-webvpn)#svcenableasa802(config-webvpn)#exit,asa802(config)#iplocalpoolvpn_pool192.168.1.1-192.168.1.200,28,SSLVPN基于ASA的配置,定义ACL用于分离隧道定义组策略,asa802(config)#access-listsplit_tunnelpermitip10.10.1.0255.255.255.0any,asa802(config)#group-policyvpn_group_policyinternalasa802(config)#group-policyvpn_group_policyattributesasa802(config-group-policy)#vpn-tunnel-protocolwebvpnsvcasa802(config-group-policy)#split-tunnel-policytunnelspecifiedasa802(config-group-policy)#split-tunnel-network-listvaluesplit_tunnelasa802(config-group-policy)#webvpnasa802(config-group-webvpn)#svcaskenableasa802(config-group-webvpn)#exitasa802(config-group-policy)#exit,29,SSLVPN基于ASA的配置,建立隧道组,asa802(config)#tunnel-groupvpn_grouptypewebvpnasa802(config)#tunnel-groupvpn_groupgeneral-attributesasa802(config-tunnel-general)#address-poolvpn_poolasa802(config-tunnel-general)#default-group-policyvpn_group_policyasa802(config-tunnel-general)#exitasa802(config)#tunnel-groupvpn_groupwebvpn-attributesasa802(config-tunnel-webvpn)#group-aliasgroupsenableasa802(config-tunnel-webvpn)#exitasa802(config)#webvpnasa802(config-webvpn)#tunnel-group-listenableasa802(config-webvpn)#exit,30,SSLVPN客户端的配置及测试,SSLVPN客户端的配置输入登录地址输入用户名密码点击StartAnyConnect安装客户端安装证书测试,31,SSLVPN基于IOS路由器的配置,实验环境,Out,In,PC1,F2/0,F0/0,F0/0,S1/0,S1/0,R1,ISP,32,SSLVPN基于IOS路由器的配置,安装SVC软件定义AAA，创建SSLVPN用户启用WebVPN，产生自签名证书,R1(config)#webvpninstallsvcflash:/sslclient-win-1.1.3.173.pkg,R1(config)#aaanew-modelR1(config)#aaaauthenticationloginvpn_authenlocalR1(config)#usernameciscopasswordcisco,R1(config)#webvpngatewayvpn_gatewayR1(config-webvpn-gateway)#ipaddress200.1.1.1port443R1(config-webvpn-gateway)#inserviceR1(config-webvpn-gateway)#exit,33,SSLVPN基于IOS路由器的配置,定义IP地址池建立WebVPN环境,R1(config)#iplocalpoolvpn_pool192.168.1.1192.168.1.200R1(config)#intlo0R1(config-if)#ipaddress192.168.1.254255.255.255.0R1(config-if)#exit,R1(config)#webvpncontextvpn_contextR1(config-webvpn-context)#gatewayvpn_gatewaydomaingroup1R1(config-webvpn-context)#aaaauthenticationlistvpn_authenR1(config-webvpn-context)#inserviceR1(config-webvpn-context)#exit,34,SSLVPN基于IOS路由器的配置,定义组策略,R1(config)#webvpncontextvpn_contextR1(config-webvpn-context)#policygroupvpn_group_policyR1(config-webvpn-group)#functionssvc-enabledR1(config-webvpn-group)#svcaddress-poolvpn_poolR1(config-webvpn-group)#svcsplitinclud