信息安全产品配置与应用-课件 项目5-虚拟专用网络配置与应用

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务5.1-GREVPN配置Part03知识储备项目5-虚拟专用网络配置与应用任务目标知识目标技能目标素养目标1．理解VPN的定义、分类和关键技术。2.

理解GREVPN的工作原理。1.提高对网络安全重要性的认识，增强信息安全意识。2.培养严谨细致的工作态度和良好的网络管理习惯。1.掌握GREVPN的配置方法。任务描述本任务要完成的工作：由于业务需要，XUN公司跨区域建设了自己的分支机构，总部和分支机构之间需要进行业务通信。小锐要在总部和分支机构的出口防火墙上部署GREVPN，解决总部和分支机构内网数据通信安全问题。我们在《功勋》中看到，有大国重器的时代所需，就有于敏、孙家栋、黄旭华一心报国的奋斗；有人民群众的生计所系，就有袁隆平、屠呦呦呕心沥血的钻研；有父老乡亲的家国所依，就有申纪兰、李延年、张富清满腔热血的赤诚。功勋人物的故事，是千万个问路人的缩影，而无数个平凡的同路人，进行着不平凡的奋斗，成就着壮丽的篇章。知识储备5.1.2GREVPN5.1.1VPN概述5.1.1VPN概述VPN的定义VPN即虚拟专用网，用于在公用网络上构建私人专用虚拟网络，并在此虚拟网络中传输私网流量。VPN把现有的物理网络分解成逻辑上隔离的网络，在不改变网络现状的情况下实现安全、可靠的连接。VPN广泛应用于企业分支机构和出差员工连接总部内部网络的场景。5.1.1VPN概述VPN的分类VPN即虚拟专用网，用于在公用网络上构建私人专用虚拟网络，并在此虚拟网络中传输私网流量。VPN把现有的物理网络分解成逻辑上隔离的网络，在不改变网络现状的情况下实现安全、可靠的连接。根据应用场景不同分类：Client-to-SiteVPN：即客户端与企业内网之间通过VPN隧道建立连接，客户端可以是一台防火墙、路由器，也可以是个人计算机。此场景可以使用以下几种VPN技术实现：SSL、IPSec、L2TP和L2TPoverIPSec；Site-to-SiteVPN：即两个局域网之间通过VPN隧道建立连接，部署的设备通常为路由器或者防火墙。此场景可以使用以下几种VPN技术实现：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec和IPSecoverGRE。Client-to-SiteVPN客户端企业内网VPN隧道Site-to-SiteVPN网络1网关1网络2网关2VPN隧道5.1.1VPN概述根据应用对象不同分类：ExtranetVPN：

利用VPN将企业网延伸至合作伙伴处，使不同企业间通过Internet来构筑VPN；IntranetVPN：通过公用网络进行企业内部各个网络的互连；AccessVPN：面向出差员工，允许出差员工跨越公用网络远程接入公司内部网络。总部ExtranetVPN合作伙伴IntranetVPN分支机构AccessVPN出差员工5.1.1VPN概述根据VPN技术实现的网络层次分类：数据链路层网络层应用层SSLVPNGREIPSecPPTPL2FL2TPL3VPNL2VPN5.1.1VPN概述VPN的关键技术：主要采用隧道技术、加密技术、数据验证技术和身份认证技术。VPN的基本原理是利用隧道（Tunnel）技术，对传输报文进行封装，利用VPN骨干网建立专用数据传输通道，实现报文的安全传输。隧道技术使用一种协议封装另外一种协议报文（通常是IP报文），而封装后的报文也可以再次被其他封装协议所封装。对用户来说，隧道是其所在网络的逻辑延伸，在使用效果上与实际物理链路相同。总部分支封装后的报文原始报文解封装后的报文VPN隧道5.1.1VPN概述身份认证技术，其主要用于移动办公用户远程接入的情况。总部的VPN网关对用户的身份进行认证，确保接入内部网络的用户是合法用户，而非恶意用户。不同的VPN技术能提供的用户身份认证方法不同：GRE：不支持针对用户的身份认证技术；L2TP：依赖PPP提供的认证。对接入用户进行认证时候，可以使用本地认证方式也可以使用第三方RADIUS服务器来认证，认证通过以后会给用户分配内部的IP地址，通过此IP地址对用户进行授权和管理；IPSec：使用IKEv2时，支持对用户进行EAP认证。认证方式同L2TP一样，认证通过后分配IP地址，通过此IP地址可以对用户进行授权和管理；SSL

VPN：对接入用户进行认证时，支持本地认证、证书认证和服务器认证，另外，接入用户也可以对SSLVPN服务器进行身份认证，确认SSLVPN服务器的合法性。5.1.1VPN概述加密技术就是把明文加密成密文的过程，这样即便黑客截获了报文也无法知道其真实含义。加密对象有数据报文和协议报文之分，能够实现协议报文和数据报文都加密的协议安全系数更高。GRE和L2TP协议本身不提供加密技术，所以通常结合IPSec协议一起使用，依赖IPSec的加密技术。IPSec：支持对数据报文和协议报文进行加密。SSLVPN：支持对数据报文和协议报文加密。明文明文密文加密密文解密源目的密文5.1.1VPN概述数据验证技术就是对报文的真伪进行检查，丢弃伪造的、被篡改的报文。那么验证是如何实现的呢？它采用一种称为“摘要”的技术。“摘要”技术主要采用Hash函数将一段长的报文通过函数变换，映射为一段短的报文。在收发两端都对报文进行验证，只有摘要一致的报文才被接受。明文摘要Hash明文摘要Hash源目的明文摘要摘要是否一致？5.1.1VPN概述VPN技术对比技术保护范围适用场景身份认证加密和验证GREIP及以上数据IntranetVPN不支持支持简单的关键字验证、校验和验证IPSecIP及以上数据AccessVPNIntranetVPNExtranetVPN支持预共享密钥或证书认证；支持IKEv2的EAP认证支持L2TPIP及以上数据支持基于PPP的CHAP、PAP、EAP认证不支持SSL

VPN应用层特定数据AccessVPN支持用户名/密码或证书认证支持5.1.2GREVPNGenericRoutingEncapsulation，简称GRE，是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、AppleTalk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel（隧道）。通常通过在IPv4网络上建立GRE隧道，解决两个IPv6网络的通信问题。IPv6网络IPv6网络IPv4网络GRE隧道5.1.2GREVPNGRE协议栈网络封装技术，其基本的构成要素都可以分为三个部分：乘客协议、封装协议、传输协议。GRE也不例外，为了方便理解，我们用邮政系统打个比方：乘客协议就是我们自己写的信，信的语言可以是汉语、英语、法语等，具体的内容由写信人、读信人自己负责；封装协议可以理解为信封，可以是平信、挂号或者EMS，不同的信封就对应于多种封装协议；运输协议就是信的运输方式，可以是陆运、海运或者空运，不同的运输方式就对应于多种运输协议。传输协议封装协议乘客协议GREHeaderIP/IPXHeader净荷校验和链路层HeaderIPHeader5.1.2GREVPNGRE封装GRE是按照协议栈对报文进行逐层封装。封装过程可以分成两步：第一步是为原始报文添加GRE头；第二步是在GRE头前面再加上新的IP头。GRE的封装操作是通过逻辑接口Tunnel完成的，Tunnel接口是一个通用的隧道接口，所以GRE协议在使用这个接口的时候，会将接口的封装协议设置为GRE协议。总部分支GRE隧道EthernetIPGREHeaderIP/IPXPayload新的传输协议头部5.1.2GREVPNGRE报文处理过程目的IP：data目的地址下一跳/24/24Tunnel接口封装隧道源地址隧道目的地址目的地址下一跳/24目的IP：GRE目的IP：dataTunnel接口解封装隧道源地址隧道目的地址PC_APC_B/24/24防火墙A防火墙B公网IP：TunnelIP：GRE隧道路由表路由表公网IP：TunnelIP：123456目的IP：data目的IP：data5.1.2GREVPNGRE安全策略PC_A发出的原始报文进入Tunnel接口这个过程中，报文经过的安全域间是Trust>DMZ；原始报文被GRE封装后，防火墙A在转发这个报文时，报文经过的安全域间是Local>Untrust。当报文到达防火墙B时，防火墙B会进行解封装。在此过程中，报文经过的安全域间是Untrust>Local；GRE报文被解封装后，防火墙B在转发原始报文时，报文经过的安全域间是DMZ>Trust。GRE报文PC_A访问PC_B的原始报文PC_A/24TrustGE1/0/1GE1/0/2LocalUntrustDMZTunnel防火墙APC_B/24TrustGE1/0/2GE1/0/1LocalUntrustDMZTunnel防火墙BGRE隧道任务实施实施场景根据网络安全的要求，总部的内网HTTP服务器只允许公司内网访问，为保证分支机构访问总部的内网HTTP服务器，公司网络部门决定使用GREVPN来实现。小锐根据公司现有网络环境，在公司总部和分支机构部署了GREVPN。具体配置任务如下：1）根据拓扑图完成防火墙、路由器、交换机和主机的网络参数的基本配置。2）配置防火墙各接口所属安全区域。3）创建安全策略trust_untrust，放行从Trust区域到Untrust区域的流量。4）配置NAPT方式的源NAT，对内网主机访问Internet的报文源地址进行转换。5）配置各安全区域间对应方向安全策略。6）配置隧道Tunnel0接口、隧道IP地址、隧道协议GRE、隧道源IP地址和目的IP地址、隧道接口的所属安全区域DMZ。7）配置静态路由，将要访问私网的流量引入Tunnel0接口进行封装。任务实施实施设备1）USG6000V防火墙2台；2）Client机1台；3）S5700交换机3台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1、Client2、Client3和PC1网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置内网HTTP服务器和公网HTTP服务器的网络参数，开启HTTP服务，以内网HTTP服务器为例。内网HTTP服务器网络参数配置内网HTTP服务器配置任务实施实施过程

3）配置防火墙FW1和FW2网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424[FW2]interfaceGigabitEthernet1/0/1[FW2-GigabitEthernet1/0/1]ipaddress24[FW2-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW2-GigabitEthernet1/0/2]ipaddress24[FW2-GigabitEthernet1/0/2]service-manageallpermit任务实施实施过程

4）划分防火墙FW1和FW2的安全区域，将FW1的GE1/0/1口加入Trust区域，GE1/0/2口加入Untrust区域，GE1/0/0口加入DMZ区域；将FW2的GE1/0/1口加入Trust区域，GE1/0/2口加入Untrust区域。配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/0[FW1-zone-dmz]quit[FW2]firewallzonetrust[FW2-zone-trust]addinterfaceGigabitEthernet1/0/1[FW2-zone-trust]quit[FW2]firewallzoneuntrust[FW2-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW2-zone-untrust]quit任务实施实施过程

5）配置防火墙FW1和FW2的安全策略，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit[FW1-policy-security]rulenamedmz_untrust[FW1-policy-security-rule-dmz_untrust]source-zonedmz[FW1-policy-security-rule-dmz_untrust]destination-zoneuntrust[FW1-policy-security-rule-dmz_untrust]actionpermit[FW1-policy-security-rule-dmz_untrust]quit[FW2]security-policy[FW2-policy-security]rulenametrust_untrust[FW2-policy-security-rule-trust_untrust]source-zonetrust[FW2-policy-security-rule-trust_untrust]destination-zoneuntrust[FW2-policy-security-rule-trust_untrust]actionpermit[FW2-policy-security-rule-trust_untrust]quit任务实施实施过程

6）在FW1和FW2上配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换，配置命令如下：[FW1]nat-policy[FW1-policy-nat]rulenamenat_gz[FW1-policy-nat-rule-nat_gz]source-zonetrust[FW1-policy-nat-rule-nat_gz]destination-zoneuntrust[FW1-policy-nat-rule-nat_gz]actionsource-nateasy-ip[FW1-policy-nat-rule-nat_gz]quit[FW1-policy-nat]quit[FW1]iproute-static054[FW2]nat-policy[FW2-policy-nat]rulenamenat_sd[FW2-policy-nat-rule-nat_sd]source-zonetrust[FW2-policy-nat-rule-nat_sd]destination-zoneuntrust[FW2-policy-nat-rule-nat_sd]actionsource-nateasy-ip[FW2-policy-nat-rule-nat_sd]quit[FW2]iproute-static054任务实施实施过程

7）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipaddress24[AR1-GigabitEthernet0/0/1]quit任务实施实施过程

8）配置交换机SW1，在SW1上创建VLAN10、VLAN20和VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为54/24，配置VLAN20的VLANIF接口IP地址为54/24，配置VLAN50的VLANIF接口IP地址为/24。配置命令如下：[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlanif10[SW1-Vlanif10]ipaddress5424[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress5424[SW1-Vlanif20]quit[SW1]interfaceVlanif50[SW1-Vlanif50]ipaddress24[SW1-Vlanif50]quit任务实施实施过程

9）交换机SW1与防火墙FW1采用OSPF动态路由协议互联，配置命令如下：[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由协议，区域号为0，进程号为1，宣告/24[FW1-ospf-1]area0[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]quit[FW1-ospf-1]default-route-advertisealways//防火墙FW1配置了默认路由，强制通告默认路由[FW1-ospf-1]quit任务实施实施过程

10）配置交换机SW3，在SW3上创建VLAN10、VLAN20和VLAN100，并将GE0/0/1口加入VLAN100，GE0/0/2口加入VLAN10，GE0/0/3口加入VLAN20。配置VLAN10的VLANIF接口IP地址为/24，配置VLAN20的VLANIF接口IP地址为/24，配置VLAN100的VLANIF接口IP地址为/24。配置命令如下：[SW3]vlanbatch1020100[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]portlink-typeaccess[SW3-GigabitEthernet0/0/1]portdefaultvlan100[SW3-GigabitEthernet0/0/1]quit[SW3]interfaceGigabitEthernet0/0/2[SW3-GigabitEthernet0/0/2]portlink-typeaccess[SW3-GigabitEthernet0/0/2]portdefaultvlan10[SW3-GigabitEthernet0/0/2]quit[SW3]interfaceGigabitEthernet0/0/3[SW3-GigabitEthernet0/0/3]portlink-typeaccess[SW3-GigabitEthernet0/0/3]portdefaultvlan20[SW3-GigabitEthernet0/0/3]quit[SW3]interfaceVlanif10[SW3-Vlanif10]ipaddress24[SW3-Vlanif10]quit[SW3]interfaceVlanif20[SW3-Vlanif20]ipaddress24[SW3-Vlanif20]quit[SW3]interfaceVlanif100[SW3-Vlanif100]ipaddress24[SW3-Vlanif100]quit任务实施实施过程

12）分支机构Client3使用HttpClient可以正常访问公网HTTP服务器，如图所示。[SW3]iproute-static0[FW2]iproute-static16

11）交换机SW3与防火墙采FW2使用静态路由互联，配置命令如下：Client3访问公网HTTP服务器任务实施实施过程13）分支机构Client3使用HttpClient无法正常访问总部内网HTTP服务器，如图所示。Client3无法访问内网HTTP服务器任务实施实施过程

14）在FW1和FW2上配置GREVPN安全策略，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenamedmz_untrust[FW1-policy-security-rule-dmz_untrust]source-zonedmz[FW1-policy-security-rule-dmz_untrust]destination-zoneuntrust[FW1-policy-security-rule-dmz_untrust]serviceprotocol47//GRE协议号为47[FW1-policy-security-rule-dmz_untrust]actionpermit[FW1-policy-security-rule-dmz_untrust]quit[FW1-policy-security]rulenameuntrust_dmz[FW1-policy-security-rule-untrust_dmz]source-zoneuntrust[FW1-policy-security-rule-untrust_dmz]destination-zonedmz[FW1-policy-security-rule-untrust_dmz]serviceprotocol47[FW1-policy-security-rule-untrust_dmz]actionpermit[FW1-policy-security-rule-untrust_dmz]quit[FW1-policy-security]rulenamelocal_any[FW1-policy-security-rule-local_any]source-zonelocal[FW1-policy-security-rule-local_any]destination-zoneany[FW1-policy-security-rule-local_any]actionpermit[FW1-policy-security-rule-local_any]quit[FW1-policy-security]rulenameuntrust_local[FW1-policy-security-rule-untrust_local]source-zoneuntrust[FW1-policy-security-rule-untrust_local]destination-zonelocal[FW1-policy-security-rule-untrust_local]serviceprotocol47[FW1-policy-security-rule-untrust_local]actionpermit[FW1-policy-security-rule-untrust_local]quit任务实施实施过程

14）在FW1和FW2上配置GREVPN安全策略，配置命令如下：[FW2]security-policy[FW2-policy-security]rulenameuntrust_trust[FW2-policy-security-rule-untrust_trust]source-zoneuntrust[FW2-policy-security-rule-untrust_trust]destination-zonetrust[FW2-policy-security-rule-untrust_trust]serviceprotocol47[FW2-policy-security-rule-untrust_trust]actionpermit[FW2-policy-security-rule-untrust_trust]quit[FW2-policy-security]rulenamelocal_any[FW2-policy-security-rule-local_any]source-zonelocal[FW2-policy-security-rule-local_any]destination-zoneany[FW2-policy-security-rule-local_any]actionpermit[FW2-policy-security-rule-local_any]quit[FW2-policy-security]rulenameuntrust_local[FW2-policy-security-rule-untrust_local]source-zoneuntrust[FW2-policy-security-rule-untrust_local]destination-zonelocal[FW2-policy-security-rule-untrust_local]serviceprotocol47[FW2-policy-security-rule-untrust_local]actionpermit[FW2-policy-security-rule-untrust_local]quit任务实施实施过程

15）在FW1和FW2上配置GRE隧道Tunnel0，实现分公司的Client3可以访问总部的内网HTTP服务器。配置命令如下：[FW1]interfaceTunnel0[FW1-Tunnel0]ipaddress024[FW1-Tunnel0]tunnel-protocolgre[FW1-Tunnel0]source[FW1-Tunnel0]destination[FW1-Tunnel0]service-managepingpermit[FW1-Tunnel0]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceTunnel0[FW1-zone-dmz]quit[FW1]iproute-static24Tunnel0[FW2]interfaceTunnel0[FW2-Tunnel0]ipaddress024[FW2-Tunnel0]tunnel-protocolgre[FW2-Tunnel0]source[FW2-Tunnel0]destination[FW2-Tunnel0]service-managepingpermit[FW2-Tunnel0]quit[FW2]firewallzoneuntrust[FW2-zone-untrust]addinterfaceTunnel0[FW2-zone-untrust]quit[FW2]iproute-static24Tunnel0任务实施实施过程16）Client3使用HttpClient可以正常访问内网HTTP服务器，如图所示。Client3访问总部内网HTTP服务器任务实施实施过程

17）分别在FW1和FW2上检查会话。执行displayfirewallsessiontable命令。[FW1]dispfirewallsessiontablegreVPN:public-->public:0-->:0[FW2]displayfirewallsessiontablegreVPN:public-->public:0-->:0以上信息显示，FW1和FW2上存在带有GREVPN标记的会话，表示GREVPN配置成功。任务小结本任务介绍了VPN的定义、分类、关键技术以及GREVPN的工作原理。通过实施GREVPN配置任务，学生掌握了GREVPN配置方法，深化了对GREVPN应用场景、隧道技术的理解。在配置GREVPN时需关注隧道接口安全区域、安全策略等技术要点，确保总部与分支机构私网互联互通。思考题1.简述GREVPN工作原理。谢谢观看！目录ContentsPart01任务目标Part02任务描述Part04任务实施任务5.2-IPSecVPN配置Part03知识储备项目5-虚拟专用网络配置与应用任务目标知识目标技能目标素养目标1．理解IPsecVPN的体系架构。2.

理解IKE协议。1.培养执着专注、追求卓越的精神风貌。2.培养善于表达、有效沟通的职业素质。1.掌握IPsecVPN的配置方法。任务描述本任务要完成的工作：由于业务需要，XUN公司跨区域建设了自己的分支机构，总部和分支机构之间需要进行业务通信。小锐要在总部和分支机构的出口防火墙上部署IPsecVPN，解决总部和分支机构内网数据通信问题。。“盛年不重来,一日难再晨。及时当勉励，岁月不待人。”盛世之下，青年学生要惜时如金，学好知识，报效国家。知识储备5.2.2IPsec的安全体系框架5.2.1IPsecVPN简介5.2.1IPsecVPN简介5.2.1 IPsecVPN简介IPsec是IETF定义的一个开放的网络安全协议组。它不是一个单独的协议，而是一系列为IP网络提供安全性协议和服务的集合，包括身份认证头（AuthenticationHeader，AH）协议、封装安全载荷（EncapsulatingSecurityPayload，ESP）协议、互联网密钥交换（InternetKeyExchange，IKE）协议和用于验证及加密的一些算法。IPsecVPN是利用IPsec隧道建立的网络层VPN，通常部署在企业出口设备之间，通过加密与验证等方式，实现数据来源验证、数据加密、数据完整性校验和抗重放攻击等功能。防火墙AIPSec隧道防火墙B分支总部5.2.1IPsecVPN简介IPSec通过加密与验证等方式，从以下几个方面保障了用户业务数据在Internet中的安全传输：数据来源验证：接收方验证发送方身份是否合法；数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发；数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改；抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。防火墙AIPSec隧道防火墙B分支总部5.2.2IPsec的安全体系框架IPsec是一个完整的安全框架体系，而非单一协议。它通过一系列组件协议协同工作，为IP网络提供安全服务：IPSec通过验证头AH（AuthenticationHeader）和封装安全载荷ESP（EncapsulatingSecurityPayload）两个安全协议实现IP报文的安全保护。AH是报文头验证协议，协议号为51，主要提供数据源验证、数据完整性验证和防报文重放功能，不提供加密功能；ESP是封装安全载荷协议，协议号为50，主要提供加密、数据源验证、数据完整性验证和防报文重放功能。ESPAHIKE(ISAKMP,DH)DES3DESAESSM1/SM4MD5SHA1SHA2SM3MD5SHA1SHA2SM3安全协议加密验证密钥交换5.2.2IPsec的安全体系框架Reserved认证范围NextHeaderPadLengthSPISequenceNumberAuthenticationDataSPISequenceNumberNextHeaderPadLength认证范围加密范围NewIPHeaderAHHeaderRawIPHeaderTCPHeaderDataIPHeaderDataESPTailESPAuthdataESPHeaderTCPHeader5.2.2IPsec的安全体系框架IPSecIPsec数据的封装模式有传输模式和隧道模式两种。数据的封装是指将AH或ESP相关的字段插入原始IP报文中，以实现对报文的验证和加密。传输模式：在传输模式中，AH头或ESP头被插入到IP头与传输层协议头之间，保护TCP/UDP/ICMP负载。以TCP报文为例，原始报文经过传输模式封装后，报文格式如图所示。ESP认证范围加密范围AH认证范围（IPHeader中可变域除外）ESPAH+ESP认证范围AHIPHeaderAHHeaderTCPHeaderData认证范围加密范围IPHeaderESPHeaderTCPHeaderDataESPTailESPAuthDataIPHeaderAHHeaderTCPHeaderDataESPHeaderESPTailESPAuthData5.2.2IPsec的安全体系框架隧道模式：在隧道模式下，AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和负载。以TCP报文为例，原始报文经隧道模式封装后的报文结构如图所示。认证范围AHESPAH+ESPESP认证范围加密范围AH认证范围（IPHeader中可变域除外）IPHeaderAHHeaderTCPHeaderDataESPHeaderESPTailESPAuthDataRawIPHeaderESP认证范围加密范围IPHeaderTCPHeaderDataESPHeaderESPTailESPAuthDataRawIPHeaderIPHeaderTCPHeaderDataRawIPHeaderAHHeader5.2.2IPsec的安全体系框架传输模式和隧道模式的区别在于：从安全性来讲，隧道模式优于传输模式，它可以完全地对原始IP数据报进行验证和加密，隐藏内部IP地址、协议类型和端口；从性能来讲，隧道模式因为有一个额外的IP头，所以它将比传输模式占用更多带宽。当安全协议同时采用AH和ESP时，AH和ESP协议必须采用相同的封装模式。5.2.2IPsec的安全体系框架IPSec提供了两种安全机制：加密和认证。IPSec采用对称加密算法对数据进行加密和解密。数据发送方和接收方使用相同的密钥进行加密和解密；IPSec采用HMAC（Hash-basedMessageAuthenticationCode）功能，比较数字签名进行数据完整性和真实性认证。IPSec发送方ICV2IPSec接收方数据密钥数据密钥加密IP报文ICV1加密IP报文ICV1MAC密钥加密IP报文加密IP报文MAC密钥加密解密匹配不匹配加密IP报文ICV1验证算法（HMAC）验证算法（HMAC）传输丢弃IP报文IP报文ICV1对比5.2.2IPsec的安全体系框架IPsec密钥管理策略，使用IKE，包括ISAKMP、DH等。IKE协议是一种基于UDP的应用层协议，默认端口号是500，它主要用于安全联盟（SecurityAssociation，SA）协商和密钥管理。IKE协议分IKEv1和IKEv2两个版本，IKEv2与IKEv1相比，修复了多处公认的密码学方面的安全漏洞，提高了安全性能，同时简化了安全联盟的协商过程，提高了协商效率。IKE协议属于一种混合型协议，它综合了ISAKMP协议、Oakley协议和SKEME协议这三个协议。其中，ISAKMP协议定义了IKESA的建立过程，Oakley协议和SKEME协议的核心是DH算法，主要用于在Internet上安全地分发密钥、验证身份，以保证数据传输的安全性。IKESA和IPsecSA需要的加密密钥和验证密钥都是通过DH算法生成的，它还支持密钥动态刷新。5.2.2IPsec的安全体系框架IKE是UDP之上的一个应用层协议，是IPSec的信令协议，协议号是500。IKE为IPSec协商生成密钥,供AH/ESP加解密和验证使用。AH协议和ESP协议有自己的协议号，分别是51和50。IKE协议有IKEv1和IKEv2两个版本。IKETCPUDPAH/ESPIKETCPUDPAH/ESP加密的IP报文KEYKEYIKE的秘钥协商防火墙防火墙IP5.2.2IPsec的安全体系框架IKE使用了两个阶段为IPSec进行密钥协商并建立安全联盟。第一阶段：通信各方彼此间建立了一个已通过身份验证和安全保护的隧道，即IKESA。协商模式包括主模式、野蛮模式。认证方式包括预共享密钥、数字签名方式、公钥加密；第二阶段：用在第一阶段建立的安全隧道为IPSec协商安全服务，建立IPSecSA。IPSecSA用于最终的IP数据安全传送。协商模式为快速模式。IKE的秘钥协商IKETCPUDPAH/ESPIKETCPUDPAH/ESP加密的IP报文KEYKEY防火墙防火墙第一阶段第二阶段5.2.2IPsec的安全体系框架现网中交互对称密钥一般会使用密钥分发协议：IKE（InternetKeyExchange，因特网密钥交换）。IKE协议建立在ISAKMP（Internet安全联盟和密钥管理协议）定义的框架上，是基于UDP的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务，能够简化IPSec的配置和维护工作。IKE通过ISAKMP交互SA信息IPSec设备IPSec隧道IPSec设备IKE模块SA协商IKE模块IPHeaderISAKMPDataUDP:500IPHeaderISAKMPDataUDP：500IKE模块通过ISAKMP数据包交互SA信息IKESA5.2.2IPsec的安全体系框架IKEv1第一阶段协商–主模式预共享密钥协商过程模式协商DH交换Nonce交换身份验证发起者接受者发起者cookie响应者cookie发起者cookie，SA载荷响应者cookie，响应SA载荷密钥交换载荷Xa临时值载荷NiXaNi密钥交换载荷Xb临时值载荷NrXbNr各类算法确定各类密钥生成密钥Hash生成散列载荷密钥Hash生成散列载荷响应者标识载荷、散列载荷结束发送者标识载荷、散列载荷5.2.2IPsec的安全体系框架IKEv1第一阶段协商–主模式预共享密钥协商过程模式协商DH交换Nonce交换身份验证发起者接受者发起者cookie响应者cookie发起者cookie，SA载荷响应者cookie，响应SA载荷密钥交换载荷Xa临时值载荷NiXaNi密钥交换载荷Xb临时值载荷NrXbNr各类算法确定各类密钥生成密钥Hash生成散列载荷密钥Hash生成散列载荷响应者标识载荷、散列载荷结束发送者标识载荷、散列载荷5.2.2IPsec的安全体系框架IKEv1第一阶段协商-野蛮模式预共享密钥协商过程野蛮模式一共需要交换3个消息：消息1交换SA载荷、密钥材料、和身份信息；消息2在交换消息1内容的同时增加了Hash认证载荷；消息3是响应方对发起方的认证。保护套件列表、DH公共值Nonce、身份资料同消息1、验证载荷验证载荷对等体1对等体2发送方接收方5.2.2IPsec的安全体系框架IKEv1主模式和野蛮模式区别交换的消息：主模式为6个，野蛮模式为3个。身份保护：主模式的最后两条消息有加密，可以提供身份保护功能；而野蛮模式消息集成度过高，因此无身份保护功能。对等体标识：主模式只能采用IP地址方式标识对等体；而野蛮模式可以采用IP地址方式或者Name方式标识对等体。5.2.2IPsec的安全体系框架IKEv1第二阶段协商-快速模式协商过程快速模式一共需要交换3个消息：消息1和消息2中，交换SA、KEY、Nonce和ID。用以协商算法、保证PFS以及提供“在场证据”；消息3是用于验证响应者是否可以通信，相当于确认信息。对等体1对等体2发送方接收方SA载荷、Ni、Xa、发起者ID

响应SA载荷、Ni、Xa、响应者ID

确认信息5.2.2IPsec的安全体系框架IKEv1第二阶段协商-快速模式协商过程快速模式一共需要交换3个消息：消息1和消息2中，交换SA、KEY、Nonce和ID。用以协商算法、保证PFS以及提供“在场证据”；消息3是用于验证响应者是否可以通信，相当于确认信息。对等体1对等体2发送方接收方SA载荷、Ni、Xa、发起者ID

响应SA载荷、Ni、Xa、响应者ID

确认信息5.2.2IPsec的安全体系框架IKEv2定义了三种交换：初始交换（InitialExchanges）、创建子SA交换（Create_Child_SAExchange）以及通知交换（InformationalExchange）。正常情况下，IKEv2通过初始交换就可以完成第一对IPSecSA的协商建立。IKEv2初始交换对应IKEv1的第一阶段，初始交换包含两次交换四条消息，如下图所示：IKEv2协商–初始交换协商发起方协商响应方发送IKESA参数身份验证和交换过程验证查找匹配的IKESA参数接受参数发送身份信息发送匹配的IKESA参数身份验证和交换过程验证发送身份信息12345.2.2IPsec的安全体系框架当一个IKESA需要创建多对IPSecSA时，需要使用创建子SA交换来协商多于一对的IPSecSA。另外，创建子SA交换还可以用于IKESA的重协商；创建子SA交换包含一个交换两条消息，对应IKEv1协商阶段2，交换的发起者可以是初始交换的协商发起方，也可以是初始交换的协商响应方。创建子SA交换必须在初始交换完成后进行，交换消息由初始交换协商的密钥进行保护；类似于IKEv1，如果启用PFS，创建子SA交换需要额外进行一次DH交换，生成新的密钥材料。生成密钥材料后，子SA的所有密钥都从这个密钥材料衍生出来。IKEv2协商–创建子SA交换5.2.2IPsec的安全体系框架IKEv2定义了三种交换：初始交换（InitialExchanges）、创建子SA交换（Create_Child_SAExchange）以及通知交换（InformationalExchange）。正常情况下，IKEv2通过初始交换就可以完成第一对IPSecSA的协商建立。IKEv2初始交换对应IKEv1的第一阶段，初始交换包含两次交换四条消息，如下图所示：IKEv2协商–通知交换协商发起方协商响应方发送控制信息根据控制信息进行相应操作接受参数回应控制信息125.2.2IPsec的安全体系框架IPSecSAIPSec安全传输数据的前提是在IPSec对等体（即运行IPSec协议的两个端点）之间成功建立安全联盟SA（SecurityAssociation）。SA可以帮助IPSec对特定要素进行约定，比如：加密算法使用DES，认证算法使用MD5，封装方式使用Tunnel等。建立IPSecSA一般有两种方式：手工方式和IKE方式。使用IKE方式建立IPSecSAIKE模块IKE模块IKESA协商认证加密策略1密钥1…协商后，统一加密认证等要素IPSecSA协商手工方式建立IPSecSA手工配置IPSecSA认证策略1加密策略1密钥1...认证策略1加密策略1密钥1...认证策略2加密策略2密钥2...认证策略2加密策略2密钥2...5.2.2IPsec的安全体系框架IPSecVPNIPSec的数据封装方式分为传输模式和隧道模式两种，当使用隧道模式时，除保护数据流量外，还能够实现VPN的功能，称为IPSecVPN。下图是分支1与分支2之间使用IPSecVPN加密通信的典型应用场景。载荷IPSec安全协议IPSec安全协议隧道载荷防火墙A防火墙BIPSecTunnel分支1PC1分支2PC2SA：DA：载荷被加密的数据SA：DA：IPSec安全协议报头被加密的数据SA：DA：IPSec安全协议报头SA：DA：载荷加密传输解密5.2.2IPsec的安全体系框架配置思路SecurityACLRule定义需要保护的数据流IkeProposalauthentication-methodauthentication-algorithmencryption-algorithmdh1配置IKE安全提议2IkePeerversionexchange-modepre-shared-keyIkeProposalRemote-address配置IKE对等体3IPSecProposalencapsulation-modeAHorESPparameter配置IPSec安全提议4IPSecpolicyXseqisakmpSecurityACLIPSecProposalIkePeer配置ISAKMP模式的IPSec安全策略5interfaceIPSecpolicyX接口下应用6配置基本参数绑定策略并调用任务实施实施场景根据网络安全的要求，总部的内网HTTP服务器只允许公司内网访问，为保证分支机构访问总部的内网HTTP服务器，公司网络部门决定使用GREVPN来实现。小锐根据公司现有网络环境，在公司总部和分支机构部署了GREVPN。具体配置任务如下：1）根据拓扑图完成防火墙、路由器、交换机和主机网络参数的基本配置。2）配置防火墙各接口所属安全区域。3）创建安全策略trust_untrust，放行从Trust区域到Untrust区域的流量。4）配置NAPT方式的源NAT，对内网主机访问Internet的报文源地址进行转换。5）配置各安全区域间对应方向安全策略。6）配置IPsec策略，包括IPsec感兴趣流、安全提议、IKE协商参数、对等体等各项参数。任务实施实施设备1）USG6000V防火墙2台；2）Client机1台；3）S5700交换机3台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1、Client2、Client3和PC1网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置内网HTTP服务器和公网HTTP服务器的网络参数，开启HTTP服务，以内网HTTP服务器为例。内网HTTP服务器网络参数配置内网HTTP服务器配置任务实施实施过程

3）配置防火墙FW1和FW2网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424[FW2]interfaceGigabitEthernet1/0/1[FW2-GigabitEthernet1/0/1]ipaddress24[FW2-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW2-GigabitEthernet1/0/2]ipaddress24[FW2-GigabitEthernet1/0/2]service-manageallpermit任务实施实施过程

4）划分防火墙FW1和FW2的安全区域，将FW1的GE1/0/1口加入Trust区域，GE1/0/2口加入Untrust区域，GE1/0/0口加入DMZ区域；将FW2的GE1/0/1口加入Trust区域，GE1/0/2口加入Untrust区域。配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/0[FW1-zone-dmz]quit[FW2]firewallzonetrust[FW2-zone-trust]addinterfaceGigabitEthernet1/0/1[FW2-zone-trust]quit[FW2]firewallzoneuntrust[FW2-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW2-zone-untrust]quit任务实施实施过程

5）配置防火墙FW1和FW2的安全策略，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit[FW1-policy-security]rulenamedmz_untrust[FW1-policy-security-rule-dmz_untrust]source-zonedmz[FW1-policy-security-rule-dmz_untrust]destination-zoneuntrust[FW1-policy-security-rule-dmz_untrust]actionpermit[FW1-policy-security-rule-dmz_untrust]quit[FW2]security-policy[FW2-policy-security]rulenametrust_untrust[FW2-policy-security-rule-trust_untrust]source-zonetrust[FW2-policy-security-rule-trust_untrust]destination-zoneuntrust[FW2-policy-security-rule-trust_untrust]actionpermit[FW2-policy-security-rule-trust_untrust]quit任务实施实施过程

6）在FW1和FW2上配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换，配置命令如下：[FW1]nat-policy[FW1-policy-nat]rulenamenat_gz[FW1-policy-nat-rule-nat_gz]source-zonetrust[FW1-policy-nat-rule-nat_gz]destination-zoneuntrust[FW1-policy-nat-rule-nat_gz]actionsource-nateasy-ip[FW1-policy-nat-rule-nat_gz]quit[FW1-policy-nat]quit[FW1]iproute-static054[FW2]nat-policy[FW2-policy-nat]rulenamenat_sd[FW2-policy-nat-rule-nat_sd]source-zonetrust[FW2-policy-nat-rule-nat_sd]destination-zoneuntrust[FW2-policy-nat-rule-nat_sd]actionsource-nateasy-ip[FW2-policy-nat-rule-nat_sd]quit[FW2]iproute-static054任务实施实施过程

7）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipaddress24[AR1-GigabitEthernet0/0/1]quit任务实施实施过程

8）配置交换机SW1，在SW1上创建VLAN10、VLAN20和VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为54/24，配置VLAN20的VLANIF接口IP地址为54/24，配置VLAN50的VLANIF接口IP地址为/24。配置命令如下：[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[