防火墙技术与应用课件 模块6 VPN技术

模块6VPN技术防火墙技术与应用微课版01模块概述03知识准备04项目实施02教学目标C教学过程壹模块概述模块概述随着网络技术的发展和网络应用的普及，企业网络中出现分支机构、出差员工与总部网络通信的需求，以便共享资源、协同办公。传统的专线联网方式，需要租用运营商线路，费用高且扩展性和灵活性差；采用VPN技术，可以利用廉价的公共网络，以低成本方案满足上述通信需求。VPN技术通过在公共网络上建立一个安全的、加密的通道，使得远程用户或分支机构能够像在本地局域网一样安全地访问内部网络资源。它利用了隧道技术、加密技术和身份验证等多种手段来实现这一目标。贰教学目标教学目标知识目标技能目标素养目标1．了解VPN采用的主要技术及特点。2．掌握GRE、L2TP、IPSec、SSL等VPN技术的工作原理。3．掌握GREoverIPSec、L2TPoverIPSec的作用及应用。1．强化密钥生命周期管理意识，建立定期更新机制。2．培养隧道分离思维，严格区分管理流量和业务流量。3．提升协议协同决策能力，明确“认证嵌套加密”的必要性。1．能够配置IPSecVPN。2．能够配置GREVPN及GREoverIPSecVPN。3．能够配置L2TPVPN及L2TPoverIPSecVPN。4．能够配置SSLVPN。叁知识准备知识准备6.2.1VPN技术简介6.2.2VPN采用的主要技术6.2.3

主流VPN技术6.2.1VPN技术简介VPN（虚拟专用网络）是一种通过共享的公共网络建立私有的数据通道，将各个需要接入这张虚拟网的网络或终端通过通道连接起来，构成一个专用的、具有一定安全性和服务质量保证的网络。定义虚拟：使用IP机制仿真出一个私有的广域网。专用网络：是指用户可以根据通信需求，定制专属的私有网络。

关键词126.2.1VPN技术简介（1）企业远程办公：为员工提供安全的远程访问企业内部网络的方式，提高工作效率。（2）跨地域企业通信：连接企业的多个分支机构，实现数据共享和协同工作。（3）移动设备接入：支持智能手机、平板电脑等移动设备接入企业网络，方便员工随时随地办公。（4）在线游戏和视频流：一些玩家和用户可能会使用VPN访问特定地区的游戏服务器或视频内容。一、VPN应用场景6.2.1VPN技术简介（1）企业远程办公：为员工提供安全的远程访问企业内部网络的方式，提高工作效率。（2）跨地域企业通信：连接企业的多个分支机构，实现数据共享和协同工作。（3）移动设备接入：支持智能手机、平板电脑等移动设备接入企业网络，方便员工随时随地办公。（4）在线游戏和视频流：一些玩家和用户可能会使用VPN访问特定地区的游戏服务器或视频内容。二．VPN的优点6.2.1VPN技术简介三、VPN组网方式根据客户网络接入方式的不同，VPN组网可分为：站点到站点（SitetoSite）总部网络分支机构合作伙伴6.2.1VPN技术简介三、VPN组网方式根据客户网络接入方式的不同，VPN组网可分为：远程访问（RemoteAccess）总部网络出差员工6.2.2VPN采用的主要技术01隧道技术03加密技术02认证技术04密钥管理技术6.2.2VPN采用的主要技术数据进入源VPN网关后，将数据“封装”后通过公网传输到目的VPN网关后再对数据“解封装”。总部网络分支机构原始报文原始报文VPN隧道封装后的报文解封装后的报文1.隧道技术6.2.2VPN采用的主要技术（1）身份认证技术。用于验证接入入户的合法性。主要采用用户名、密码以及USBKey等认证方式。（2）数据认证技术。用于保证数据在网络传输过程中不被篡改，以保证数据的原始性。主要采用散列算法。2.认证技术6.2.2VPN采用的主要技术将明文数据转换为密文数据。可以保证网络中数据传输的安全性，使数据不会被篡改和窥探。加密123456AC&D23#S@123456解密源目的VPN3.加密技术6.2.2VPN采用的主要技术主要作用：保证在互联网上传递的密钥不被窃取。功能包括：密钥的产生、分配保存、更换销毁等环节。4.密钥管理技术6.2.3主流VPN技术GREVPN是一种三层VPN封装技术。GRE可以实现数据报文在互联网隧道中进行封装和解封装；也可以解决了跨越异种网络的报文传输问题。1.GREVPNGRE隧道Dst:Src:dataDst:Src:GREDst:Src:dataDst:Src:data/24/24tunnel0:tunnel0:GRE封装PC2PC1FW1FW2L2TPVPN是为在用户和企业的服务器之间透明传输PPP报文而设置的二层隧道协议。提供了对PPP链路层数据包的通道传输支持。主要用于企业驻外机构和出差人员远程连接企业总部网络。2.L2TPVPN6.2.3主流VPN技术三种使用场景：LNS-Initiated(L2TP网络服务器发起)LAC自动拨号

(L2TP接入集中器自动拨号)Client-Initiated

(L2TP客户端发起)2.L2TPVPN6.2.3主流VPN技术Client-InitiatedVPN中，每个接入用户和LNS之间均建立一条隧道，每条隧道中仅承载一条L2TP会话和PPP连接。2.L2TPVPN6.2.3主流VPN技术IPSec（IPSecurity）协议族是IETF制定的一系列安全协议，它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSecVPN是利用IPSec隧道建立的网络层VPN。3.IPsecVPN6.2.3主流VPN技术协议体系IPSec通过验证头AH和封装安全载荷ESP两个安全协议实现IP报文的安全保护。安全联盟IPSec安全传输数据的前提是在IPSec对等体（即运行IPSec协议的两个端点）之间成功建立安全联盟SA。3.IPsecVPN6.2.3主流VPN技术封装模式传输模式：AH头或ESP头被插入到IP头与传输层协议头之间，保护TCP/UDP/ICMP负载。隧道模式：AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和负载。IKESA为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务。3.IPsecVPN6.2.3主流VPN技术SSL是一个安全协议，为基于TCP的应用层协议提供安全连接；SSL可以为HTTP提供安全连接，广泛应用于电子商务、网上银行等领域；SSLVPN的主要功能包括：用户认证、web代理、文件共享、端口转发和网络拓展等。4.SSLVPN6.2.3主流VPN技术肆项目实施6.3.1配置GREVPN

实训：GREVPN配置某公司在异地开设了分支机构，总、分支网络都已接入到Internet，公网路由可达。总部网络部署了FTP服务器，只为内网用户提供文件共享服务。为方便办公，公司希望分支机构用户也能够访问总部的FTP服务器。通过在防火墙配置GREVPN，实现上述通信要求。任务描述6.3.1配置GREVPN

(三)任务实施1．拓扑图2．需求说明总部、分支网络分别接入运营商，均可访问Internet。分支/24网络可通过GREVPN隧道访问总部FTP服务器1/24。分支FW1FTPG1/0/154/248/30G1/0/6总部PC10/28G1/0/6FW2G1/0/154/24/241/24GREVPN/24tunnel0/24tunnel06.3.1配置GREVPN

3．配置说明(三)任务实施部署Internet环境，使用一台路由器模拟运营商，充当总部、分支的出口网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置GRE隧道接口，并设置安全区域为untrust；配置防火墙安全策略；配置源NAT策略，使总、分支网络均可访问外网；配置隧道静态路由；测试配置结果是否满足需求。6.3.1配置GREVPN

（四）关键操作步骤创

建隧道接口并设置安全区域

配置隧道静态路由防火墙FW1配置隧道接口Tunnel0：[FW1]inttunnel0[FW1-Tunnel0]tunnel-protocolgre//启动gre协议[FW1-Tunnel0]ipadd24[FW1-Tunnel0]source0[FW1-Tunnel0]destination8防火墙FW1配置隧道接口安全区域：[FW1]firewallzoneuntrust[FW1-zone-untrust]addintertunnel06.3.1配置GREVPN

（四）关键操作步骤创

建隧道接口并设置安全区域

配置隧道静态路由

防火墙FW2WEB配置隧道接口：6.3.1配置GREVPN

（四）关键操作步骤创

建隧道接口并设置安全区域

配置隧道静态路由

防火墙FW1配置隧道静态路由：[FW1]iproute-static24tunnel0

防火墙FW2WEB配置隧道静态路由：6.3.1配置GREVPN

（四）关键操作步骤测试结果1.分支用户访问总部FTP服务器：6.3.1配置GREVPN

（四）关键操作步骤测试结果2.分支FW2查看GRE监控信息：6.3.1配置GREVPN

注意事项隧道接口创建后，需要加入到安全区域，并且保证防火墙安全策略放行VPN流量。GREVPN建立后，隧道两端可互相通信的网络是通过隧道静态路由来设置的。特别注意出接口为隧道接口。6.3.2配置L2TPVPN实训：L2TPVPN配置某公司因业务需要，需派遣员工前往异地出差。为方便办公，出差员工希望在异地也能够访问总部内网。通过在防火墙配置L2TPVPN，实现上述通信要求。任务描述6.3.2配置L2TPVPN(三)任务实施1．拓扑图2．需求说明总部网络和出差员工均可访问Internet。出差员工通过L2TPVPN隧道可访问总部服务器/24。FW1ServerG1/0/154/24总部0/28G1/0/6出差员工/24/24L2TPVPN隧道6.3.2配置L2TPVPN3．配置说明(三)任务实施使用一台路由器模拟运营商，充当总部、出差员工的网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置L2TP客户端地址池及用户信息；创建L2TP虚拟模板（虚拟接口及IP地址、身份验证方式、安全区域及关联用户地址池）；配置L2TP组（隧道名、隧道认证方式及密码、调用虚拟模板）配置防火墙安全策略和配置源NAT策略；配置客户端SecoClient，并进行连接测试及通信测试。6.3.2配置L2TPVPN（四）关键操作步骤

配置L2TP客户端地址池及用户信息

配置L2TP虚拟模板

配置L2TP组防火墙FW1配置客户端用户地址池：[FW1]ippooll2tp[FW1-ip-pool-l2tp]section00050[FW1-ip-pool-l2tp]aaa [FW1-aaa]service-schemel2tp_pool //定义服务计划[FW1-aaa-service-l2tp_pool]ip-pooll2tp//绑定ip地址l2tp[FW1-aaa-service-l2tp_pool]quit [FW1-aaa]domaindefault [FW1-aaa-domain-default]service-schemel2tp_pool//默认域default调用服务计划防火墙FW1配置客户端用户信息：[FW1]user-manageuserl2tp-user1[FW1-localuser-l2tp-user1]passworduser1@1236.3.2配置L2TPVPN（四）关键操作步骤

配置L2TP客户端地址池及用户信息

配置L2TP虚拟模板

配置L2TP组防火墙FW1配置L2TPVPN虚拟模板：[FW1]intVirtual-Template1[FW1-Virtual-Template1]ipadd5424 [FW1-Virtual-Template1]pppauthentication-modechap//配置身份验证模式为chap[FW1-Virtual-Template1]remoteservice-schemel2tp_pool[FW1]firewallzoneuntrust[FW1-zone-untrust]addintVirtual-Template1//虚拟接口加入到untrust域6.3.2配置L2TPVPN（四）关键操作步骤

配置L2TP客户端地址池及用户信息

配置L2TP虚拟模板

配置L2TP组防火墙FW1配置L2TP组：[FW1]l2tpenable //开启L2TP服务[FW1]l2tp-group1//创建L2TP组[FW1-l2tp-1]tunnelnameLNS//本端隧道名[FW1-l2tp-1]tunnelauthentication//开启认证[FW1-l2tp-1]tunnelpasswordcipherhuawei@123 //配置认证密码[FW1-l2tp-1]allowl2tpvirtual-template1remoteL2TP_Client

//调用L2TP虚拟模板，对端隧道名为L2TP_Client6.3.2配置L2TPVPN（四）关键操作步骤测试结果1.配置客户端参数并拨号连接：6.3.2配置L2TPVPN（四）关键操作步骤测试结果2.出差用户访问总部服务器：6.3.2配置L2TPVPN注意事项如果存在多个远程用户需要同时拨号建立L2TPVPN，需要使用地址池方式为客户端分配地址。如果仅存在一个远程用户，可以直接指定客户端地址。远程用户拨号可以使用华为客户端工具SecoClient，也可以使用系统创建VPN连接。6.3.3配置IPSecVPN实训：IPSec

VPN配置某公司在异地开设了分支机构，总、分支网络都已接入到Internet，公网路由可达。总部网络部署了OA办公系统，只允许内部员工使用。为方便办公，公司希望分支机构用户也能够使用OA办公系统，并实现安全的数据传输。通过在防火墙配置IPsecVPN，实现上述通信要求。任务描述6.3.3配置IPSecVPN(三)任务实施1．拓扑图2．需求说明总部和分支均可访问Internet。总部和分支机构建立IPsecVPN，实现分支机构用户能够访问企业OA系统。分支FW1OAG1/0/154/248/30G1/0/6总部PC10/28G1/0/6FW2G1/0/154/24/2400/24IPsecVPN6.3.3配置IPSecVPN3．配置说明(三)任务实施使用路由器模拟运营商，充当总部、分支机构的网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置防火墙安全策略和配置源NAT策略；配置ACL，定义VPN流量；配置IKE安全提议，并创建IKE对等体；配置ipsec安全提议，并配置ipsec安全策略；接口应用安全策略；通信测试。6.3.3配置IPSecVPN（四）关键操作步骤防火墙FW1配置ACL，定义VPN流量：配置ACL

配置IKE对等体

配置IPsec安全策略

接口应用安全策略[FW1]acl3000[FW1-acl-adv-3000]rulepermitipsource000destination55

//允许OA系统服务器00与分支网络/24通信6.3.3配置IPSecVPN（四）关键操作步骤防火墙FW1配置IKE对等体：配置ACL

配置IKE对等体

配置IPsec安全策略

接口应用安全策略[FW1]ikeproposal1//创建IKE安全提议1，采用默认参数[FW1-ike-proposal-1]quit [FW1]ikepeerfw2 [FW1-ike-peer-fw2]exchange-modeauto//对等体信息交换模式为自动[FW1-ike-peer-fw2]pre-shared-keyhuawei@123 //设置预共享密钥[FW1-ike-peer-fw2]ike-proposal1 //调用安全提议1[FW1-ike-peer-fw2]remote-address8//配置IKE对端地址

[FW1-ike-peer-fw2]remote-id-typeip

//对端ID类型为IP6.3.3配置IPSecVPN（四）关键操作步骤防火墙FW1配置IPSEC安全策略：配置ACL

配置IKE对等体

配置IPsec安全策略

接口应用安全策略[FW1]ipsecproposal1//配置IPsec安全提议[FW1-ipsec-proposal-1]encapsulation-modeauto//隧道模式为自动[FW1-ipsec-proposal-1]quit [FW1]ipsecpolicyipsecvpn1isakmp//配置IPsec安全策略，名称为ipsecvpn[FW1-ipsec-policy-isakmp-ipsecvpn-1]securityacl3000 //关联VPN流量[FW1-ipsec-policy-isakmp-ipsecvpn-1]ike-peerfw2 //指定对端设备[FW1-ipsec-policy-isakmp-ipsecvpn-1]proposal1//调用IPsec安全提议1，采用默认参数6.3.3配置IPSecVPN（四）关键操作步骤防火墙FW1接口应用IPsec安全策略：配置ACL

配置IKE对等体

配置IPsec安全策略

接口应用安全策略[FW1]intg1/0/6

[FW1-GigabitEthernet1/0/6]ipsecpolicyipsecvpn6.3.3配置IPSecVPN

防火墙FW2

WEB界面配置：（四）关键操作步骤6.3.3配置IPSecVPN（四）关键操作步骤测试结果1.FW2查看IPsecVPN监控信息：6.3.3配置IPSecVPN（四）关键操作步骤测试结果2.分支用户访问总部OA服务器：6.3.3配置IPSecVPN注意事项实际环境中，出口设备需要配置NAT来实现内网用户访问互联网。为保证VPN流量的正常转发，在制定NAT策略的时候注意规避VPN流量(destination-address-exclude)。本例中IKE安全提议和IPsec安全提议均采用系统默认参数。可自行定义，需要注意两端的一致性。6.3.4配置SSLVPN实训：SSLVPN配置某公司因业务需要，允许出差员工及合作伙伴访问内网服务器，同时希望能保证数据传输的安全性，避免信息泄露。通过在防火墙配置SSLVPN，实现上述通信要求。任务描述6.3.4配置SSLVPN(三)任务实施1．拓扑图2．需求说明总部和远程用户均可访问Internet。总部网络部署SSL网关，允许远程用户以合法身份访问总部服务器。FW1ServerG1/0/154/24总部0/28G1/0/6客户端/24/24SSLVPN隧道6.3.4配置SSLVPN3．配置说明(三)任务实施使用路由器模拟运营商，充当总部、远程用户的网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置防火墙安全策略和配置源NAT策略；配置SSLVPN虚拟网关；配置SSL网关的网络扩展功能；配置授权访问的用户信息；通信测试。6.3.4配置SSLVPN（四）关键操作步骤配置SSLVPN网关

配置网络扩展功能

配置授权用户防火墙FW1配置SSLVPN虚拟网关：[FW1]v-gatewaySSL_VPNinterfaceg1/0/6port4430private

//网关地址关联g1/0/6，端口为4430防火墙FW1SSLVPN列表：6.3.4配置SSLVPN（四）关键操作步骤配置SSLVPN网关

配置网络扩展功能

配置授权用户防火墙FW1WEB配置网络扩展功能：6.3.4配置SSLVPN（四）关键操作步骤配置SSLVPN网关

配置网络扩展功能

配置授权用户防火墙FW1WEB配置授权用户：6.3.4配置SSLVPN（四）关键操作步骤配置SSLVPN网关

配置网络扩展功能

配置授权用户防火墙FW1WEB配置授权用户：6.3.4配置SSLVPN（四）关键操作步骤测试结果1.客户端使用SecoClient工具连接SSLVPN网关：6.3.4配置SSLVPN（四）关键操作步骤测试结果2.客户端使用浏览器连接SSLVPN网关：6.3.4配置SSLVPN（四）关键操作步骤测试结果3.通信测试：6.3.4配置SSLVPN注意事项因版本原因，默认在WEB界面下无法创建SSLVPN虚拟网关，需先在CLI下创建，然后WEB配置界面刷新显示。6.3.5配置GREoverIPsecVPN实训：GREoverIPsecVPN配置某公司网络由总、分支构成，因业务需要，两端需要传输多种协议类型的数据报文。公司希望利用公共互联网传输，并要保证数据的安全性。通过在防火墙配置GREoverIPsecVPN，实现上述通信要求。任务描述6.3.5配置GREoverIPsecVPN(三)任务实施1．拓扑图2．需求说明总部和分支均可访问Internet。总部和分支机构建立GREoverIPsecVPN，实现两端网络之间多种数据报文的可靠传输。分支FW1PC1G1/0/154/248/30G1/0/6总部PC20/28G1/0/6FW2G1/0/154/24/24/24GREoverIPsecVPN6.3.5配置GREoverIPsecVPN3．配置说明(三)任务实施使用路由器模拟运营商，充当总部、分支机构的网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置防火墙安全策略和配置源NAT策略；配置GRE接口参数；配置IPsec安全策略及加密数据流；配置隧道静态路由；通信测试。6.3.5配置GREoverIPsecVPN防火墙FW1配置GRE接口参数：

配置GRE接口参数

配置IPsec安全策略

配置加密数据流

配置隧道静态路由防火墙FW2配置GRE接口参数：（四）关键操作步骤6.3.5配置GREoverIPsecVPN防火墙FW1配置IPsec安全策略：防火墙FW2配置IPsec安全策略：

配置GRE接口参数

配置IPsec安全策略

配置加密数据流

配置隧道静态路由（四）关键操作步骤6.3.5配置GREoverIPsecVPN

配置GRE接口参数

配置IPsec安全策略

配置加密数据流

配置隧道静态路由（四）关键操作步骤

防火墙FW1配置加密数据流：防火墙FW2配置加密数据流：6.3.5配置GREoverIPsecVPN

防火墙FW1配置隧道静态路由：防火墙FW2配置隧道静态路由：

配置GRE接口参数

配置IPsec安全策略

配置加密数据流

配置隧道静态路由（四）关键操作步骤6.3.5配置GREoverIPsecVPN（四）关键操作步骤测试结果1.FW1查看IPsecVPN监控信息：2.FW2查看IPsecVPN监控信息：6.3.5配置GREoverIPsecVPN（四）关键操作步骤测试结果3.分支用户访问总部：6.3.5配置GREoverIPsecVPN注意事项GREoverIPsecVPN在设置加密流量的时候，使用两端出口公网地址，协议为GRE。而不再是内网地址。隧道建立后，两端网络之间的互访通过配置隧道静态路由来确定。6.3.6配置L2TPoverIPsecVPN实训：L2TPoverIPsecVPN配置某公司因业务需要，需派遣员工前往异地出差。为方便办公，出差员工希望在异地也能够访问总部内网，同时要保证数据传输的安全性，通过在防火墙配置L2TPoverIPsecVPN，实现上述通信要求。任务描述6.3.6配置L2TPoverIPsecVPN(三)任务实施1