虚拟专网(VPN)(共45张PPT)(共44张PPT)

虚拟(xūnǐ)专网（VPN）第9章第一页，共四十四页。本章(běnzhānɡ)目标能够配置VPN，使企业办事处能够通过VPN远程接入企业网络中心了解(liǎojiě)VPN的基本概念熟悉VPN的工作原理了解VPN的加密算法熟悉IPsecVPN技术能够在Cisco路由器上配置IPsecVPN第二页，共四十四页。隧道(suìdào)和加密技术本章(běnzhānɡ)结构虚拟专网VPNIPsec的安全协议IPsec基本概念VPN概述IPsec技术IPsec的传送方式IPsec的密钥交换IPsecVPN的配置VPN的结构和分类VPN的定义VPN的工作原理IPsec的运行第三页，共四十四页。什么(shénme)是VPNVPN（VirtualPrivateNetwork）在公用网络中,按照相同的策略和安全规则(guīzé),建立的私有网络连接Internet北京总部虚拟专用网络第四页，共四十四页。VPN的优点(yōudiǎn)Internet专线中心站点分支机构Internet专线中心(zhōngxīn)站点分支机构专线方式VPN方式费用高灵活性差广域网的管理复杂的拓扑结构费用低灵活性好简单的网络管理隧道的拓扑结构第五页，共四十四页。VPN的结构(jiégòu)和分类总部(zǒnɡbù)分支机构远程办公室家庭办公PSTN安装了VPN客户端软件的移动用户Internet远程访问的VPN站点到站点的VPN第六页，共四十四页。远程(yuǎnchéng)访问的VPN总部家庭办公PSTN安装了VPN客户端软件的移动用户Internet移动用户或远程小办公室通过Internet访问网络中心连接单一的网络设备客户(kèhù)通常需要安装VPN客户(kèhù)端软件第七页，共四十四页。站点到站点的VPN总部(zǒnɡbù)分支机构远程办公室Internet第八页，共四十四页。VPN的工作(gōngzuò)原理VPN=加密(jiāmì)＋隧道明文明文访问控制报文加密报文认证IP封装IP解封报文认证报文解密访问控制IP隧道公共IP网络第九页，共四十四页。VPN的关键技术安全(ānquán)隧道技术信息加密技术用户认证技术访问控制技术第十页，共四十四页。安全隧道(suìdào)技术为了在公网上传输私有(sīyǒu)数据而发展出来的“信息封装”（Encapsulation）方式在Internet上传输的加密数据包中，只有VPN端口或网关的IP地址暴露在外面Internet安全隧道第十一页，共四十四页。隧道(suìdào)协议二层隧道(suìdào)VPNL2TP:Layer2TunnelProtocolPPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocol第十二页，共四十四页。第二层隧道(suìdào)协议建立在点对点协议PPP的基础上先把各种网络协议（IP、IPX等）封装到PPP帧中，再把整个数据(shùjù)帧装入隧道协议适用于通过公共电话交换网或者ISDN线路连接VPNInternet内部网络移动用户访问集中器网络服务器PPP链接隧道第十三页，共四十四页。第三层隧道(suìdào)协议把各种网络协议直接装入隧道(suìdào)协议在可扩充性、安全性、可靠性方面优于第二层隧道协议Internet隧道IP连接第十四页，共四十四页。信息(xìnxī)加密技术机密性对用户数据提供(tígōng)安全保护数据完整性确保消息在传送过程中没有被修改身份验证确保宣称已经发送了消息的实体是真正发送消息的实体

明文加密密文解密明文第十五页，共四十四页。加密算法对称(duìchèn)加密DES算法AES算法IDEA算法、Blowfish算法、Skipjack算法非对称加密RSA算法PGP第十六页，共四十四页。对称(duìchèn)密钥明文(míngwén)密文明文加密共享密钥解密共享密钥发送方接收方发送方和接收方使用同一密钥通常加密比较快（可以达到线速）基于简单的数学操作（可借助硬件）需要数据的保密性时，用于大批量加密密钥的管理是最大的问题双方使用相同的密钥第十七页，共四十四页。非对称密钥每一方有两个密钥公钥，可以公开私钥，必须安全(ānquán)保存已知公钥，不可能推算出私钥一个密钥用于加密，一个用于解密比对称加密算法慢很多倍第十八页，共四十四页。公钥加密(jiāmì)和私钥签名用于数据保密(bǎomì)；利用公钥加密数据，私钥解密数据用于数字签名；发送者使用私钥加密数据，接收者用公钥解密数据第十九页，共四十四页。阶段(jiēduàn)总结VPN的基本概念VPN的结构(jiégòu)和类型VPN的原理安全隧道技术信息加密技术第二十页，共四十四页。什么(shénme)是IPsecIPSec（IPSecurity）是IETF为保证在Internet上传送数据的安全保密性，而制定的框架协议应用在网络层，保护和认证用IP数据包是开放的框架式协议，各算法之间相互独立提供了信息(xìnxī)的机密性、数据的完整性、用户的验证和防重放保护支持隧道模式和传输模式第二十一页，共四十四页。隧道模式(móshì)和传输模式(móshì)隧道(suìdào)模式IPsec对整个IP数据包进行封装和加密，隐蔽了源和目的IP地址从外部看不到数据包的路由过程传输模式IPsec只对IP有效数据载荷进行封装和加密，IP源和目的IP地址不加密传送安全程度相对较低第二十二页，共四十四页。IPsec的组成(zǔchénɡ)IPSec提供(tígōng)两个安全协议AH(AuthenticationHeader)认证头协议ESP(EncapsulationSecurityPayload)封装安全载荷协议密钥管理协议IKE（InternetKeyExchange）因特网密钥交换协议IPsec不是单独的一个协议，而是一整套体系结构第二十三页，共四十四页。AH协议隧道中报文的数据源鉴别数据的完整性保护对每组IP包进行认证，防止黑客利用(lìyòng)IP进行攻击AH认证(rènzhèng)头协议第二十四页，共四十四页。AH的隧道(suìdào)模式封装AH验证(yànzhèng)包头新IP包头数据IP包头数据原IP包头有效负载验证使用散列算法计算验证值，包含在AH验证包头中为新的IP包插入新的包头原始IP包保持不变，为整个原始IP包提供验证第二十五页，共四十四页。ESP封装安全载荷(zàihè)协议保证数据的保密性提供(tígōng)报文的认证性、完整性保护第二十六页，共四十四页。ESP的隧道(suìdào)模式封装ESP头部新IP包头(bāotóu)ESP尾部ESP验证数据原IP包头数据原IP包头验证有效负载比AH增加加密功能，如果启用，则对原始IP包进行加密后再传输第二十七页，共四十四页。AH和ESP相比较(bǐjiào)ESP基本提供所有的安全服务如果仅使用ESP，消耗相对较少为什么使用AHAH的认证强度(qiángdù)比ESP强AH没有出口限制第二十八页，共四十四页。安全(ānquán)联盟SA使用安全联盟（SA）是为了解决以下问题如何保护通信数据保护什么通信数据由谁实行保护建立SA是其他IPsec服务的前提SA定义了通信双方(shuāngfāng)保护一定数据流量的策略第二十九页，共四十四页。SA的内容(nèiróng)一个SA通常包含以下的安全参数认证/加密算法，密钥长度及其他的参数认证和加密(jiāmì)所需要的密钥哪些数据要使用到该SAIPsec的封装协议和模式

如何保护保护什么由谁实行第三十页，共四十四页。IKE因特网密钥交换(jiāohuàn)协议在IPsec网络中用于密钥管理(guǎnlǐ)为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥第三十一页，共四十四页。IPsecVPN的配置(pèizhì)步骤(bùzhòu)1—配置IKE的协商步骤2—配置IPSEC的协商步骤3—配置端口的应用步骤4—调试并排错第三十二页，共四十四页。配置(pèizhì)IKE协商3-1启动(qǐdòng)IKERouter(config)#cryptoisakmpenable建立IKE协商策略Router(config)#cryptoisakmppolicypriority取值范围1~10000数值越小，优先级越高第三十三页，共四十四页。配置(pèizhì)IKE协商3-2配置IKE协商(xiéshāng)策略Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#encryption｛des|3des｝Router(config-isakmp)#hash｛md5|sha1｝Router(config-isakmp)#lifetimeseconds使用预定义密钥加密算法SA的活动时间认证算法第三十四页，共四十四页。配置(pèizhì)IKE协商3-3设置(shèzhì)共享密钥和对端地址Router(config)#cryptoisakmpkeykeystring

addresspeer-address密钥对端IP第三十五页，共四十四页。配置(pèizhì)IPsec协商2-1设置传输(chuánshū)模式集Router(config)#cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]定义了使用AH还是ESP协议，以及相应协议所用的算法第三十六页，共四十四页。配置(pèizhì)IPsec协商2-2配置(pèizhì)保护访问控制列表Router(config)#access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard用来定义哪些报文需要经过IPSec加密后发送，哪些报文直接发送第三十七页，共四十四页。配置(pèizhì)端口的应用2-1创建(chuàngjiàn)CryptoMapsRouter(config)#cryptomapmap-nameseq-numipsec-isakmp配置CryptoMapsRouter(config-crypto-map)#matchaddressaccess-list-number

Router(config-crypto-map)#setpeerip_addressRouter(config-crypto-map)#settransform-setnameACL编号对端IP地址传输模式的名称Map优先级，取值范围1~65535，值越小，优先级越高第三十八页，共四十四页。配置(pèizhì)端口的应用2-2应用(yìngyòng)CryptoMaps到端口Router(config)#interfaceinterface_nameinterface_numRouter(config-if)#cryptomapmap-name第三十九页，共四十四页。检查(jiǎnchá)IPsec配置查看IKE策略Router#showcryptoisakmppolicy查看IPsce策略Router#showcryptoipsectransform-set查看SA信息(xìnxī)Router#showcryptoipsecsa查看加密映射Router#showcryptomap第四十页，共四十四页。RouterA(config)#iproute0.0.0.00.0.0.020.20.20.20RouterA(config)#cryptoisakmppolicy1RouterA(config-isakmap)#hashmd5RouterA(config-isakmap)#authenticationpre−shareRouterA(config)#cryptoisakmpkeybenet-passwordaddress20.20.20.20RouterA(config)#cryptoipsectransform−setbenetsetah−md5−hmacesp−desRouterA(config)#access−list101permitip50.50.50.00.0.0.25560.60.60.00.0.0.255RouterA(config)#cryptomapbenetmap1ipsec−isakmpRouterA(config-crypto-map)#setpeer20.20.20.20RouterA(config-crypto-map)#settransform−setbenets