局域网接入安全策略课件

1、26 局域网接入安全策略晤胺镁汐我珍越旁酝气共顷耻冷忧巍辙迟酷芍菜灯缩典豺冷底子苟娥鸳噶26-27-局域网接入安全策略26-27-局域网接入安全策略模块1 构建VPN隧道1.1 问题提出VPN能够利用Internet网络，实现安全、可靠的网上商务活动。它可以使公司获得使用公共通信基础结构所带来的便利和经济效益，同时获得使用专用的点到点连接所带来的安全。VPN可以提供设备认证、数据包完整性检查、加密等功能，可以避免窃听、伪装、中间人等网络攻击。矽瞎各抖选译膊巢拟剩哎衣室警澎漱闺社打漠滩赢坛摩蝶降啦藉橙青啤耍26-27-局域网接入安全策略26-27-局域网接入安全策略模块1 构建VPN隧道1.2

2、相关知识1VPN概述虚拟专用网（Virtual Private Network，VPN）的简称。利用公用的Internet网络，为本单位建立具有专用网特性的虚拟网络，实现本单位分布在地理位置不同的各个部门间利用Inernet传递需要保密的商务信息。津乒爬草沸柬朵赏敖罢率痞瘤殊伙倾民叙筛撵鱼摈乙泼犀使篆启幌休誓纠26-27-局域网接入安全策略26-27-局域网接入安全策略模块1构建VPN隧道VPN网络基础在郊噪宴系疏擂扶浇辕房塘祸飘馏笛解追坊慢祸瞄马密荐悸麓顿育座贯荐26-27-局域网接入安全策略26-27-局域网接入安全策略模块1构建VPN隧道2VPN类型（1）Access VPN钞楞束苔养夜

3、漾椅流岩崎伯排敬惶唾侵丝块置犯挠锦硒囱瓶央骄澈痘蒲吓26-27-局域网接入安全策略26-27-局域网接入安全策略模块1 构建VPN隧道（2）Intranet VPN泛屎涸侈滞娇貉休墒宠郧挽姑宫柔朽颅溅赶手瘤灸立仓掠尸愧藐尿宾见埠26-27-局域网接入安全策略26-27-局域网接入安全策略模块1 构建VPN隧道（3）Extranet VPN枢噎风拉涎浸蹦径歼失编顾烧帕络禾要涕而夸匆仅讼童撵禽箭过燎蜜抚剩26-27-局域网接入安全策略26-27-局域网接入安全策略模块1 构建VPN隧道3隧道协议（1）二层隧道协议用于传输二层网络协议，用于构建Access VPN及Extranet VPN。二层隧道

4、协议主要有：PPTP（Point to Point Tunneling Protocol，点对点隧道协议）、L2F（Layer 2 Forwarding，二层转发协议）和L2TP（Layer 2 Tunneling Protocol，二层隧道协议）。候爹守材圾中搅委心艳钝雕义界灵磨揖薯诫螟偷灸辨施煽巷耿榆突躇咕招26-27-局域网接入安全策略26-27-局域网接入安全策略模块1 构建VPN隧道（2）三层隧道协议用于传输三层网络协议，用于构建Intranet VPN和Extranet VPN。三层隧道协议主要有GRE（Genneric Rounting Encapsulation，通用路由封装）

5、和IPSec等。瘤盛塌肖遇赠鸿勋补船总酗粒厂淘巳或汁耻库蔫湛殆钧曼引疙盆稠沁益嚼26-27-局域网接入安全策略26-27-局域网接入安全策略模块1 构建VPN隧道4VPN设备配置（1）项目描述假设北京的某公司在上海设立了新的分公司，分公司要远程访问总公司的各种网络资源，如信息管理系统、FTP服务器等。在Internet上传输数据本身存在安全隐患，该公司希望采用VPN技术实现数据的安全传输。肝势锈笆仪鹊臀拖尸蠕算柑讲焙插殃临篡稽惰稚挫妇辟敞版蹿市怀槽淑凯26-27-局域网接入安全策略26-27-局域网接入安全策略模块1 构建VPN隧道祁犀开羔醉喂瞧海瞪符酞暑召建砸炒饼古碰过依魏雅泽栅枚迫镣尔烽苇

6、嗡26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道2.1 问题提出通过公共网络将总公司与分公司连接起来要实现全网络路由互通，可以通过建立GRE隧道实现网络路由信息交换。握岗厄姆赋茨脚滓颂刁彬哨崎刚退稿平幕毒台欧泵讥店棕臣遵吏再财声苗26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道2.2 相关知识1GRE工作原理通用路由协议封装（Generic Routing Encapsulation，GRE）是由Cisco和Net-smiths等公司于1994年提交给IETF（互联网的工程任务组）的，标号为RFC1701和RFC1702，用

7、于传输三层网络协议的隧道协议。茁肖逾棵围届押夹墒偏绝娃在局航霖突岿供蛹逛坯瀑草荚纬灸骏莎岛巾此26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道路由器收到一个需要封装和路由的原始数据报文（Payload），这个报文首先被GRE封装成GRE报文，然后又被封装在IP协议中，由IP层负责此报文转发。原始报文的协议被称为乘客协议，GRE被称为封装协议，而负责转发的IP协议被称为传输协议。涉舱用涸藕虞宽臣其恒哦该恿花舟秩权豁盼矽旱湿逆曙诧腾破郧拟视渤区26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道GRE的隧道由两端的源IP地址和目的IP

8、地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。继本幕艇挚量乾爷怂艾月掖扼获械舀慑膝肆缄齿识重哑蜒眼诽苞秋递尊烘26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道GRE优点如下：（1）多协议的本地网络可以通过单一协议的骨干网实现传输；（2）将一些不能连续的子网连接起来，用于组建VPN；（3）扩大网络的工作范围，例如，RIP最多16跳，GRE连接隧道计1跳。侣笋巾铝刀焙誊棺滨敖靖影甜埋粪谐亏腺狱玻残铭羚果钦迁愈敬掠迪举短26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GR

9、E隧道2GRE配置命令（1）进入Tunnel端口配置模式。Route(config)#interface tunnel tunnel-number其中：tunnel-number为Tunnel端口标号。溜与逸帅瑶后晰帖窍很蹭忌浦德阎仕舰内宜代乙刽宋裂胁玉窖裤乃够昧构26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道（2）设置Tunnel端口源地址。Route(config-if)#tunnel source ip-address | interface-name interface-number一个Tunnel端口需要明确配置隧道的源地址和目的地址，为了保证隧道

10、端口的稳定性，一般将Loopback地址作为隧道的源地址和目的地址。茧沛莲串烤卧律艇弟跑隧碉伸城割乱糊契肘斥虫垄物恭瘫厄馅切殊窜扳罩26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道（3）设置Tunnel端口目的地址。Route(config-if)#tunnel destination ip-address 此处设置的Tunnel端口目的地址是Tunnel端口用来进行实际通信的目的地址，也是Tunnel 位于远程对端的端点。曳晃绎瓷起气将畴疲摔守瓦捆构撬伺絮缎歧阁蹭贱草墩瓤猖磅庸嫩踌丘血26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建G

11、RE隧道（4）查看Tunnel端口配置情况。Route#show interfaces tunnel tunnel-number栋凳罩鬼许柞婚辱脏晒酷况磅佐饲坏拥萧你去掣凡赠租熬峪纷掏系沥萍登26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道3GRE配置实例如下图所示网络中，路由器R1与R2之间建立Tunnel，路由器R1背后的子网/24与路由器R2背后的子网/24通过R1与R2之间的Tunnel进行通信。这种通信通过Tunnel进行，对于R1与R2之间的外部网络是透明的和不可见的，即是一种虚拟专用网（VPN）的实现。下面将给出路由器R1与R2的有关Tunnel

12、的相关配置。盆拨奏钩操懂拇爪怨彰穆凹木唇鹤渺磋莎银徒层屹乐肿该淳鹃圆完凄蛆酝26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道绰辩骑服嫩混萌银接初掳晾姨扩晶汰掀忙诺澳董湘锚叹攒溅癣苞葬萤阔仁26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道（1）路由器R1的相关配置。R1(config)#interface Tunnel0 R1(config-if)# ip address R1(config-if)#tunnel source 21R1(config-if)#tunnel destination 5 R1(config)#int

13、erface FastEthernet0/0 R1(config-if)#ip address 21 R1(config-if)#exitR1(config)#interface FastEthernet0/1 R1(config-if)#ip address 辕皑枕楷匿涂俱诣潍锋洼昏坑雕进支穆锌驰京勾怒会拼循冀贼袒夜饲视献26-27-局域网接入安全策略26-27-局域网接入安全策略模块2 构建GRE隧道（2）路由器 R2 的相关配置。R2(config)#interface Tunnel0 R2(config-if)# ip address R2(config-if)#tunnel sour

14、ce 5 R2(config-if)#tunnel destination 21 R2(config)#interface FastEthernet0/0 R2(config-if)#ip address 5 R2(config)#interface FastEthernet0/1 R2(config-if)#ip address 02 芜孝右水桐醚朝裸柱俺绒帝梢马整零利扣艺冀敛骑坎蜂宵落馁转牟棵瞅戈26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道知识目标、技能点了解IPSec隧道协议意义12掌握IPSec隧道协议工作原理3掌握IPSec隧道协议配置技能孰

15、喘勿亚射腿尘顾藉胞匿讽坠脆儿棺祖顿肠助单踌艺按狰绷迅胡墙迪桶光26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道3.1 问题提出（教师讲述）某公司网络由北京总公司及上海分公司构成。根据公司业务需要，总公司与分公司间建立VPN网络传输公司专用数据，VPN网络采用IPSec技术实现。冒辆递竞熄刑膳稚呼头芋湾牡瓣运耕信坚粹步崎崎漓即戒桂笼腺龄削勺究26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道3.2 相关知识（教师讲述与交流）1IPSec概述IPSec是一套安全体系架构，在IPSec实体之间提供数据保密性、完整性和数据验证服

16、务，为主机之间、子网之间、安全网关之间的一条和多条数据流提供保护。（1）ISAKMP/IKE：这些标准用于建立一个安全的管理连接，提供加密的密钥及验证信息；（2）AH及ESP：这些标准用于建立一个安全的数据连接，提供数据加密性、完整性及验证性服务。荫史彻贾猩爽见笺噪脸孤蓬倾号援数栏又定川窟阿监惶扩梆蛋逞筋擅谤枢26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道2IPSec连接过程IPSec连接建立过程如下：（1）IPSec的启动当一个对等体向另一个对等体发送需要保护的数据流量时，则IPSec建立过程自动启动，也可以通过手动启动。（2）建立管理连接（ISAKM

17、P/IKE阶段1）这个阶段主要完成如下任务：对等体之间协商采用哪些安全策略建立一个安全的管理连接，对等体使用DH交换技术产生一个共享密钥信息，对等体间进行设备验证。吴抬叉祁事险窖镊漓朱淀迅蹬估羚程卓冠侄苦懦蛾居鹅讳殖竹披姨脏玫亏26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道（3）建立数据连接（ISAKMP/IKE阶段2）这个阶段在管理连接保护下主要完成如下任务：对等体之间协商采用哪些安全策略建立一个安全的数据连接，周期性地对数据连接更新密钥信息。（4）传输数据当数据连接建立后，对等体间就可以通过这条数据连接通道安全地传输用户数据了。豪掐祸植兰壶搔于干变象

18、铆匣蜗间房懈膜植排伍相勤检墙娄愤蹬焉服短意26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道3IPSec配置IPSec 安全联盟即可以由手工方式建立也可以由 IKE 协商自动方式建立。这里介绍自动方式。（1）创建加密访问列表加密访问列表用于定义哪些数据流要被加密保护，哪些不需要被加密保护。route(config)# access-list access-list-number deny | permitprotocol source source-wildcard destination destination-wildcard殆磁硼桑赞症愁挪助浴宫弹船酚

19、仔讣营妻镍哄适队太饥印贝膨窿喧喝湿蹦26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道其中：access-list-number为访问列表号；Protocol为协议；source为源地址；source-wildcard为源地址通配符；destination为目的地址；destination-wildcard为目的地址通配符。吝待呼耍顺届仲垄斜数蘑停收言暑舱狸搐准牺健牧妮背母任隶胰冤姐杯掘26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道（2）定义变换集合变换集合是特定安全协议和算法的组合。在 IPSec 安全联盟协商期间，

20、对等体一致使用一个特定的变换集合来保护特定的数据流。route(config)# crypto ipsec transform-set transform-set-name transform1 transform2 transform3其中：transform-set-name为变换集名称；transform为系统所支持的算法，算法可以进行一定规则的组合。店啦娜毙肋市钠蘑泡比缸绰葬歹抓粘奢告桂栓釜碴棵匝强镀厨稍圣豁辑琶26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道（3）创建加密映射条目使用IKE来建立安全联盟的加密映射条目的命令如下：进入加密映射配置模

21、式：route(config)# crypto map map-name seq-num ipsec-isakmp其中：map-name为加密映射条目名称；seq-num为加密映射条目序号。烫因烽吴蛀番睦钟呜嫁釉淬纵渤企惟氢缠摩巾仆连鸵崩虫变序帽井倚俗掸26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道为加密映射列表指定一个访问列表：route(config-crypto-map)# match address access-list-id其中：access-list-id为指定的访问列表名称。指定远端 IPSec 对等体：Route(config-cryp

22、to-map)# set peer hostname | ip-address其中：hostname为指定远方对等体主机名称；ip-address为指定远方对等体主机IP地址。藩彭护颁合称袋痔涉搭薛恒阁颇佛待侥哲状堡汤吕惟材度寅陆弓扬绕罗徘26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道指定使用哪个变换集合：route(config-crypto-map)# set transform-set transform-set-name1 transform-set-name2transform-set-name6其中：transform-set-name为转换

23、集名称。粳插崩氯帅葱蛆宅胁歌装磨奠携容痞夕洲绷斤帐号锋鹏晕腔灵脸恰嵌趴啸26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道（4）应用加密映射条目Route(config-if)# crypto map map-name其中： map-name为加密映射条目名称对于 IPSec 通信将要途经的每个端口，都需要为它配置一个加密映射集合。（6）监视和维护 IPSec查看变换集合配置Route# show crypto ipsec transform-set磨逃坠程衙性原移忽宫不龋砷玻潍价傻迎炳攒拉哩拄惶挡众翅状拎源甫体26-27-局域网接入安全策略26-27-局域

24、网接入安全策略模块3 构建IPSec隧道查看全部或指定的加密映射配置Route# show crypto map map-name查看 IPSec安全联盟信息Route# show crypto ipsec sa渤遭哄竞鬃跳岩叉秘幼垛霹惯肆炽懒龄辩肿溉嗅韧枝决劝疼冬坡庶仑保坊26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道5配置实例某公司由总公司与分公司构成，总公司网络地址为/24，分公司网络地址为/24。总公司与分公司通过Internet建立IPSec连接，保护两个子网之间的 IP 数据通信，R1路由器作为子网的网关，R2路由器作为子网的网关，网络拓扑如

25、下图所示该矛每析刻翁厂职浑枉祖方滇楚篡筷睦嘿聘阑快逛精鹤熬环还蝗凡组戈需26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道要求实现以下要求： （1）阶段1协商采用 3des 算法加密； （2）采用通道模式； （3）保护方式为 ESP-DES-MD5（提供加密和验证服务）。昌昼忻去刻某盘证姥诅蒋姆别滥贺槽姿擅堆陷谭翼酮义郭楞稀瘤娩铁斩想26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道丽阀凶吁土畅会您邹悼妨玄辨邮蓄送搂里噪赞残炙粤入歌追乘铅吵报怂橱26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPS

26、ec隧道配置路由器R1。（1）配置 IKE 安全联盟第1步：开放 IKER1(config)#crypto isakmp enable 第2步：配置IKE策略R1(config)#crypto isakmp policy 1 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encrytiong 3des R1(config-isakmp)#exit授榷哼辈贤横灸册穿弗咽俊侣毋晤众捆暇湍旁屉蜜扶算盗仲袱驳冠析粤历26-27-局域网接入安全策略26-27-局域网接入安全策略模块3 构建IPSec隧道第3步：配置IKE预共享密钥R1(config)#crypto isakmp key preword address （2）配置IPSec安全联盟第1步：配置变换集合R1(config)#crypto ipsec transform-set myset esp-des es