VPN(IPSec)讲解.ppt

《VPN(IPSec)讲解.ppt》由会员分享，可在线阅读，更多相关《VPN(IPSec)讲解.ppt（50页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、VPN的概念的概念v虚拟专用网虚拟专用网(Virtual Private Network) 指的是依靠指的是依靠Internet服务提供商，在服务提供商，在公用网络公用网络中建立中建立专用的数据专用的数据通信网络通信网络的技术。的技术。v在虚拟专用网中，任意两个节点之间的连接并没有传在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。网的资源动态组成的。vIETF草案理解基于草案理解基于IP的的VPN为：使用为：使用IP机制仿真出机制仿真出一个私有的广域网一个私有的广域网是通过私有的隧道技

2、术在公共数是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的络，是指用户可以为自己制定一个最符合自己需求的网络。网络。 VPN的优势的优势v降低成本降低成本 VPN是利用了现有是利用了现有Internet或其他公共网络的基础设施为或其他公共网络的基础设施为用户创建安全隧道，不需要使用专门的线路，如用

3、户创建安全隧道，不需要使用专门的线路，如DDN和和帧中继，只需要接入当地的帧中继，只需要接入当地的ISP就可以安全地接入内部网就可以安全地接入内部网络，这样就节省了线路费用。络，这样就节省了线路费用。v易于扩展易于扩展如果采用专线连接，在分部增多、内部网络节点越来如果采用专线连接，在分部增多、内部网络节点越来越多时，网络结构趋于复杂，费用昂贵。如果采用越多时，网络结构趋于复杂，费用昂贵。如果采用VPN，只是在节点处架设只是在节点处架设VPN设备，就可以利用设备，就可以利用Internet建立安建立安全连接。全连接。v保证安全保证安全VPN技术利用可靠的加密认证技术，在内部网络之间建技术利用可靠

4、的加密认证技术，在内部网络之间建立隧道，能够保证通信数据的机密性和完整性，保证信立隧道，能够保证通信数据的机密性和完整性，保证信息不被泄漏或暴露给未授权的实体，保证信息不被未授息不被泄漏或暴露给未授权的实体，保证信息不被未授权的的实体改变、删除或替代。权的的实体改变、删除或替代。现有的现有的VPN 解决方案解决方案v基于网络第二层的基于网络第二层的VPN解决方案解决方案 L2TP：Lay 2 Tunneling Protocol PPTP：Point-to-Point Tunneling Protocol L2F：Lay 2 Forwardingv基于基于MPLS的的 VPN解决方案解决方案v

5、基于基于 IPSec 的的VPN解决方案解决方案v基于基于SSL的应用层的应用层 VPN解决方案解决方案比较比较v由于第二层由于第二层VPN技术在认证、数据完整性以及密钥技术在认证、数据完整性以及密钥管理等方面的不足，现在已经很少应用。管理等方面的不足，现在已经很少应用。vMPLS VPN由运营商提供，适合分支机构位于较大由运营商提供，适合分支机构位于较大城市的企业集团采用城市的企业集团采用vIPSec VPN由于其较高的安全性、可实施性，得到由于其较高的安全性、可实施性，得到了了广泛的应用广泛的应用。vSSL VPN的优势在于其零客户端的特点，的优势在于其零客户端的特点，SSL VPN可以适

6、用于任何基于可以适用于任何基于B/S的应用。的应用。v在实际应用中，在实际应用中，SSL VPN和和IPSec VPN两种方案往两种方案往往结合实行，往结合实行，SSL VPN网关和网关和IPSec网关有时也被网关有时也被集成到一个设备内。集成到一个设备内。VPN功能功能v机密性机密性对用户数据提供安全保护对用户数据提供安全保护v数据完整性数据完整性 确保消息在传送过程中没有被修改确保消息在传送过程中没有被修改v身份验证身份验证确保宣称已经发送了消息的实体是真正发送消息确保宣称已经发送了消息的实体是真正发送消息的实体的实体 明文明文加密加密密文密文解密解密明文明文密码学基础密码学基础-加密算法

7、分类加密算法分类v对称加密对称加密(加密和解密使用同一密钥加密和解密使用同一密钥)DES算法算法AES算法算法IDEA算法、算法、Blowfish算法、算法、Skipjack算法算法v非对称加密非对称加密(加密和解密不是同一密钥加密和解密不是同一密钥)RSA算法算法密码学基础密码学基础-对称加密对称加密明文明文密文密文明文明文加加密密共享密钥共享密钥解密解密共享密钥共享密钥发送方发送方接收方接收方v发送方和接收方使用同一密钥发送方和接收方使用同一密钥通常加密比较快（可以达到线速）通常加密比较快（可以达到线速）基于简单的数学操作（可借助硬件）基于简单的数学操作（可借助硬件）需要数据的保密性时，用

8、于大批量加密需要数据的保密性时，用于大批量加密密钥的管理是最大的问题密钥的管理是最大的问题双方使用相同双方使用相同的密钥的密钥密码学基础密码学基础-非对称加密非对称加密v每一方有两个密钥每一方有两个密钥公钥公钥，可以公开，可以公开私钥私钥，必须安全保存，必须安全保存v已知公钥，不可能推算出私钥已知公钥，不可能推算出私钥v一个密钥用于加密，一个用于解密一个密钥用于加密，一个用于解密v比对称加密算法慢很多倍比对称加密算法慢很多倍密码学基础密码学基础-公钥加密和私钥签名公钥加密和私钥签名用于数据保密；用于数据保密；利用公钥加密数据，利用公钥加密数据，私钥解密数据私钥解密数据用于数字签名；用于数字签名

9、；发送者使用私钥加密数据，接发送者使用私钥加密数据，接收者用公钥解密数据收者用公钥解密数据管理子网管理子网一般子网一般子网内部内部WWW重点子网重点子网密文密文传输明文传输密文密文传输VPN功能功能1-数据机密性保护数据机密性保护内部工作子网内部工作子网管理子网管理子网一般子网一般子网内部内部WWW重点子网重点子网原始数据包对原始数据包进行Hash加密后的数据包加密后的数据包摘要摘要Hash摘要摘要对原始数据包进行加密加密后的数据包加密后的数据包加密加密后的数据包加密后的数据包摘要摘要加密后的数据包加密后的数据包摘要摘要摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性

10、VPN功能功能2-数据完整性保护数据完整性保护管理子网一般子网内部WWW重点子网原始数据包对原始数据包进行HashHash摘要摘要加密摘要摘要摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过VPN功能功能3-数据源身份认证数据源身份认证保留保留负载长度负载长度认证数据认证数据（完整性校验值（完整性校验值ICV）变长）变长序列号序列号安全参数索引（安全参数索引（SPI）下一头部下一头部填充（填充（0255字节）字节）下一头部下一头部填充长度填充长度认证数

11、据认证数据（变长的）（变长的）负载数据负载数据（变长的）（变长的）序列号序列号安全参数索引（安全参数索引（SPI）AH协议头ESP协议头SA建立之初，序列号初始化为0，使用该SA传递的第一个数据包序列号为1，序列号不允许重复，当序列号达到最大时，就需要建立一个新的SA，使用新的密钥。VPN功能功能4-重放攻击保护重放攻击保护IPSec 框架的组成框架的组成v 身份认证报头身份认证报头AH协议协议提供数据源身份认证、数据完整性保护、重放攻击提供数据源身份认证、数据完整性保护、重放攻击保护功能保护功能v 负载安全封装负载安全封装ESP协议协议提供数据保密、数据源身份认证、数据完整性、重提供数据保密

12、、数据源身份认证、数据完整性、重放攻击保护功能放攻击保护功能v 因特网安全关联和密钥管理协议因特网安全关联和密钥管理协议IKE 提供自动建立安全关联和管理密钥的功能提供自动建立安全关联和管理密钥的功能隧道模式和传输模式隧道模式和传输模式v隧道模式隧道模式IPsec对整个对整个IP数据包进行封装和加密，数据包进行封装和加密，隐蔽了源和目的隐蔽了源和目的IP地址地址从外部看不到数据包的路由过程从外部看不到数据包的路由过程v传输模式传输模式IPsec只对只对IP有效数据载荷进行封装和加有效数据载荷进行封装和加密，密，IP源和目的源和目的IP地址不加密传送地址不加密传送安全程度相对较低安全程度相对较低

13、传输模式下的传输模式下的AH认证工作原理认证工作原理Internet负负 载载IP头头部部Host AHost BVPN网关VPN网关负负 载载AH头部头部IP头部头部负负 载载AH头部头部IP头部头部负负 载载IP头头部部经过IPSec 核心处理以后经过IPSec 核心处理以后负负 载载AH头部头部IP头部头部隧道模式下的隧道模式下的AH认证工作原理认证工作原理Internet负负 载载IP 头头Host AHost BVPN网关1VPN网关2负负 载载IP 头头经过IPSec 核心处理以后经过IPSec 核心处理以后负负 载载IP头头AH头头新新IP头头负负 载载IP头头AH头头新新IP头

14、头负负 载载IP头头AH头头新新IP头头Source IP=VPN网关1Destination IP=VPN网关2Source IP=Host ADestination IP=Host B传输模式下的传输模式下的ESP工作原理工作原理Internet负负 载载IP头头部部Host AHost BVPN网关VPN网关负负 载载IP头头部部经过IPSec 核心处理以后经过IPSec 核心处理以后ESP认认证证ESP尾尾负负 载载ESP头头IP头头加密数据认证数据ESP认认证证ESP尾尾负负 载载ESP头头IP头头ESP认认证证ESP尾尾负负 载载ESP头头IP头头加密数据认证数据隧道模式下的隧道模

15、式下的ESP工作原理工作原理Internet负负 载载IP 头头Host AHost BVPN网关网关1VPN网关网关2负负 载载IP 头头经过经过IPSec 核心处理以后核心处理以后经过经过IPSec 核心处理以后核心处理以后Source IP=VPN网关网关1Destination IP=VPN网关网关2Source IP=Host ADestination IP=Host B负载负载ESP认认证证ESP尾尾IP头头ESP头头新新IP头头负载负载ESP认认证证ESP尾尾IP头头ESP头头新新IP头头负载负载ESP认认证证ESP尾尾IP头头ESP头头新新IP头头组合组合IPSec 协议协议I

16、nternet负负 载载IP 头头Host AHost BVPN网关1VPN网关2负负 载载IP 头头经过IPSec 核心处理以后经过IPSec 核心处理以后Source IP=VPN网关1Destination IP=VPN网关2Source IP=Host ADestination IP=Host B内内IP头头ESP尾尾负负 载载ESP头头AH头头外外IP头头内内IP头头ESP尾尾负负 载载ESP头头AH头头外外IP头头内内IP头头ESP尾尾负负 载载ESP头头AH头头外外IP头头ESP认认证证ESP尾尾负负 载载ESP头头IP头头为什么还要为什么还要AH协议协议 负负 载载IP头部头部

17、认证数据认证数据AH头部头部认证数据认证数据AH协议协议ESP协议协议v 身份认证身份认证v 数据加密数据加密v 数据完整性校验数据完整性校验v 重放攻击保护重放攻击保护v 身份认证身份认证v数据完整性校验数据完整性校验v 重放攻击保护重放攻击保护ESP可以取可以取代代AH吗？吗？ESP并不检查整个并不检查整个IP包的完整性，它所保护的内容不包括包的完整性，它所保护的内容不包括IP包头。而包头。而AH与之相反，它检查整个与之相反，它检查整个IPSec包的完整性，其中也包括包的完整性，其中也包括IP包头。包头。安全联盟安全联盟SAv使用安全联盟（使用安全联盟（SA）是为了解决以下问）是为了解决以

18、下问题题如何保护通信数据如何保护通信数据保护什么通信数据保护什么通信数据由谁实行保护由谁实行保护v建立建立SA是其他是其他IPsec服务的前提服务的前提vSA定义了通信双方保护一定数据流量的定义了通信双方保护一定数据流量的策略策略SA的内容的内容v 一个一个SA通常包含以下的安全参数通常包含以下的安全参数 认证认证/加密算法，密钥长度及其他的参数加密算法，密钥长度及其他的参数 认证和加密所需要的密钥认证和加密所需要的密钥 哪些数据要使用到该哪些数据要使用到该SA IPsec的封装协议和模式的封装协议和模式如何保护如何保护保护什么保护什么由谁实行由谁实行IKE因特网密钥交换协议因特网密钥交换协议

19、v在在IPsec网络中用于密钥管理网络中用于密钥管理v为为IPSec提供了自动协商交换密钥、建提供了自动协商交换密钥、建立安全联盟的服务立安全联盟的服务v通过数据交换来计算密钥通过数据交换来计算密钥 VPN通道的建立方式通道的建立方式 Host 对对 HostVPN网关网关 对对 VPN 网关网关Remote User 对对 VPN 网关网关Internet公司公司BVPN网关网关AVPN网关网关B公司公司BHost to Host 模式：模式：v 该模式要求两边主机都支持该模式要求两边主机都支持IPSec v VPN网关可支持也可不支持网关可支持也可不支持IPSec安全通道安全通道安全通道安

20、全通道安全通道安全通道主机必须支主机必须支持持IPSec主机必须支主机必须支持持IPSecGateway 可可支持也可不支持也可不支持支持IPSecGateway 可可支持也可不支持也可不支持支持IPSecHost to HostInternet公司公司BVPN网关网关AVPN网关网关B公司公司BVPN to VPN 模式：模式：v 该模式不要求主机支持该模式不要求主机支持IPSec v两边的两边的VPN网关必须都支持网关必须都支持IPSec非安全通道非安全通道安全通道安全通道主机可以不主机可以不支持支持IPSec主机可以不主机可以不支持支持IPSecGateway 必必须支持须支持IPSec

21、Gateway 必必须支持须支持IPSec非安全通道非安全通道VPN Gateway to VPN GatewayInternet公司公司BISP接入接入服务器服务器VPN网关网关B安全通道安全通道安全通道安全通道主机必须支主机必须支持持IPSecGateway 必必须支持须支持IPSec非安全通道非安全通道PSTNRemote User to VPN GatewayVPN的具体应用的具体应用v 用用VPN连接分支机构连接分支机构v 用用VPN连接业务伙伴连接业务伙伴v 用用VPN连接远程用户连接远程用户远程访问远程访问Internet内部网内部网合作伙伴合作伙伴分支机构分支机构VPNVPNV

22、PNVPN是企业网在是企业网在因特网上的延伸因特网上的延伸VPN的具体应用的具体应用Intranet VPNExtranet VPNAccess VPN用用VPN连接分支机构连接分支机构Internet分支机构分支机构VPN网关网关AVPN网关网关B总部总部通道只需定义在两边的网关上通道只需定义在两边的网关上Gateway 必必须支持须支持IPSecGateway 必须必须支持支持IPSec数据在这一段是认证的数据在这一段是认证的数据在这一段是加密的数据在这一段是加密的ISPISP用用VPN连接合作伙伴连接合作伙伴Internet业务伙伴业务伙伴VPN网关网关AVPN网关网关B公司公司A主机必

23、须支主机必须支持持IPSec主机必须支主机必须支持持IPSec通道建立在两边的主机之间，因为业通道建立在两边的主机之间，因为业务伙伴内的主机不是都可以信任的务伙伴内的主机不是都可以信任的数据在这一段是加密的数据在这一段是加密的数据在这一段是认证的数据在这一段是认证的数据在这一段是认证的数据在这一段是认证的数据在这一段是加密的数据在这一段是加密的数据在这一段是认证的数据在这一段是认证的数据在这一段是加密的数据在这一段是加密的ISPISP用用VPN连接远程用户连接远程用户Internet公司公司BISP接入接入服务器服务器VPN网关网关B主机必须支主机必须支持持IPSecGateway 必必须支持

24、须支持IPSec数据在这一段是加密的数据在这一段是加密的数据在这一段是认证的数据在这一段是认证的数据在这一段是加密的数据在这一段是加密的数据在这一段是认证的数据在这一段是认证的通道建立在移动用户与通道建立在移动用户与公司内部网的网关处公司内部网的网关处IPsec VPN的配置的配置v步骤步骤1 配置配置IKE的协商的协商v步骤步骤2 配置配置IPSec的协商的协商v步骤步骤3 配置端口的应用配置端口的应用v步骤步骤4 调试调试并排错并排错配置配置IKE协商协商1-1v启动启动IKERouter(config)# crypto isakmp enablev建立建立IKE协商策略协商策略Route

25、r(config)# crypto isakmp policy priority取值范围取值范围110000数值越小，优先级越高数值越小，优先级越高配置配置IKE协商协商1-2v配置配置IKE协商策略协商策略Router(config-isakmp)#authentication pre-shareRouter(config-isakmp)# encryption des | 3des Router(config-isakmp)# hash md5 | sha1 Router(config-isakmp)# lifetime seconds使用预定义密钥使用预定义密钥加密算法加密算法SA的活动

26、时间的活动时间认证算法认证算法配置配置IKE协商协商1-3v设置共享密钥和对端地址设置共享密钥和对端地址Router(config)# crypto isakmp key keystring address peer-address密钥密钥对端对端IP配置配置IPsec协商协商2-1v设置传输模式集设置传输模式集Router(config)# crypto ipsec transform-set transform-set-name transform1 transform2 transform3定义了使用定义了使用AH还是还是ESP协议，协议，以及相应协议所用的算法以及相应协议所用的算法配置

27、配置IPsec协商协商2-2v配置保护访问控制列表配置保护访问控制列表Router(config)# access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard用来定义哪些报文需要经过用来定义哪些报文需要经过IPSec加密后加密后发送，哪些报文直接发送发送，哪些报文直接发送配置配置端口的应用端口的应用3-1v创建创建Crypto MapsRouter(config)# crypto map map-name seq-num ipsec-

28、isakmp v配置配置Crypto MapsRouter(config-crypto-map)# match address access-list-number Router(config-crypto-map)# set peer ip_addressRouter(config-crypto-map)# set transform-set nameACL编号编号对端对端IP地址地址传输模式的名称传输模式的名称Map优先级，取值范优先级，取值范围围165535，值越小，值越小，优先级越高优先级越高配置配置端口的应用端口的应用3-2v应用应用Crypto Maps到端口到端口Router(c

29、onfig)# interface interface_name interface_numRouter(config-if)# crypto map map-name检查检查IPsec配置配置v查看查看IKE策略策略Router# show crypto isakmp policyv查看查看IPsec策略策略Router# show crypto ipsec transform-setv查看查看SA信息信息Router# show crypto ipsec sav查看加密图查看加密图Router# show crypto map实验目的实验目的v了解了解VPN的作用及基本概念的作用及基本概念

30、v了解了解VPN的工作模式的工作模式v掌握掌握VPN配置配置实验拓扑图实验拓扑图实验步骤实验步骤v连接实验拓扑图，注意连接实验拓扑图，注意R2与与R3需使用需使用cisco 2811系系列路由器（列路由器（2900系列路由器不支持系列路由器不支持IPSec）v配置各主机配置各主机IP地址与默认网关（地址与默认网关（注意不同网段主机注意不同网段主机IP）v启用路由器各接口并配置局域网接口与广域网接口启用路由器各接口并配置局域网接口与广域网接口地址地址(注意区分注意区分DTE与与DCE)v配置默认路由与静态路由配置默认路由与静态路由vRouter2(config)#ip route 0.0.0.0

31、 0.0.0.0 100.1.1.1vRouter3(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1vRouter1(config)#ip route 192.168.1.0 255.255.255.0 100.1.1.2vRouter1(config)#ip route 192.168.2.0 255.255.255.0 200.1.1.2检查检查192.168.1.2是否是否ping通通192.168.2.2？ （截图）（截图）v配置配置Router2与与Router3之间的之间的VPN（见后两页）（见后两页）vRouter2配置配置vRouter(c

32、onfig)#crypto isakmp policy 1 /配置配置IKE策略，策略，1是策略号，可自是策略号，可自定义定义 vRouter(config-isakmp)#encryption 3des/加密使用加密使用3DES算法算法vRouter(config-isakmp)#hash md5/验证密钥使用验证密钥使用MD5算法算法vRouter(config-isakmp)#authentication pre-share/配置配置IKE的验证方法，的验证方法，在此为在此为pre-share，即预共享密钥认证方法，即预共享密钥认证方法 vRouter(config-isakmp)#cr

33、ypto isakmp key example address 200.1.1.2/设置设置远端对等体的共享密钥为远端对等体的共享密钥为example vRouter(config)#crypto ipsec transform-set testtag ah-md5-hmac esp-3des/设置名为设置名为“testtag”的交换集指定的交换集指定AH散列算法为散列算法为md5,ESP加密算法为加密算法为3DESvRouter(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255vRout

34、er(config)#crypto map test 10 ipsec-isakmp /设置加密图，加密图名设置加密图，加密图名称为称为“test”，序号为，序号为10 vRouter(config-crypto-map)#set peer 200.1.1.2 /设置对端设置对端IP地址地址 vRouter(config-crypto-map)#set transform-set testtag /设置隧道的设置隧道的AH及及ESP，即将加密图用于交换集，即将加密图用于交换集 vRouter(config-crypto-map)#match address 101 /设置匹配设置匹配101号访

35、问列表号访问列表 vRouter(config)#int s0/0/01.Router(config-if)#crypto map test/将加密图将加密图test应用于此端口，即用其加应用于此端口，即用其加密密 vRouter3配置（与配置（与Router2类似，注意类似，注意IP地址）地址）vRouter(config)#crypto isakmp policy 1vRouter(config-isakmp)#encryption 3desvRouter(config-isakmp)#hash md5vRouter(config-isakmp)#authentication pre-sh

36、arevRouter(config-isakmp)#crypto isakmp key example address 100.1.1.2vRouter(config)#crypto ipsec transform-set testtag ah-md5-hmac esp-3desvRouter(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255vRouter(config)#crypto map test 10 ipsec-isakmpvRouter(config-crypto-map)#s

37、et peer 100.1.1.2vRouter(config-crypto-map)#set transform-set testtagvRouter(config-crypto-map)#match address 101vRouter(config-crypto-map)#int s0/0/01.Router(config-if)#crypto map test查看查看v首先检查公司总部和公司分部的机子是否能首先检查公司总部和公司分部的机子是否能ping通（通（截图截图）v检查检查IPSec配置配置vRouter#sh crypto isakmp savRouter#show crypto ipsec sa vRouter#sh crypto ipsec transform-set （截图）（截图）vRouter#sh crypto isakmp policy （截图）（截图）vRouter#sh crypto map （截图）（截图）