虚拟专网(VPN).ppt

《虚拟专网(VPN).ppt》由会员分享，可在线阅读，更多相关《虚拟专网(VPN).ppt（44页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第第第第1313章内容回顾章内容回顾章内容回顾章内容回顾v什么是什么是NAT？vNAT中的几个地址中的几个地址内部局部地址、外部局部地址、内部全局地址、外部全局地址内部局部地址、外部局部地址、内部全局地址、外部全局地址vNAT的应用的应用转换内部地址、转换内部地址、LAN地址复用、地址复用、TCP负载均衡负载均衡vNAT的配置的配置静态静态NAT动态动态NATPATTCP负载均衡负载均衡Page 1/44Version 2.0虚拟专网虚拟专网虚拟专网虚拟专网（VPNVPN）第第第第1414章章章章本章目标本章目标本章目标本章目标v能够配置能够配置VPN，使企业办事处能够通过，使企业办事处能够通

2、过VPN远程接远程接入企业网络中心入企业网络中心了解了解VPN的基本概念的基本概念熟悉熟悉VPN的工作原理的工作原理了解了解VPN的加密算法的加密算法熟悉熟悉IPsec VPN技术技术能够在能够在Cisco路由器上配置路由器上配置IPsec VPNPage 3/44隧道和加密技术隧道和加密技术本章结构本章结构本章结构本章结构虚拟专网虚拟专网VPNIPsec的安全协议的安全协议IPsec基本概念基本概念VPN概述概述IPsec技术技术IPsec的传送方式的传送方式IPsec的密钥交换的密钥交换IPsec VPN的配置的配置VPN的结构和分类的结构和分类VPN的定义的定义VPN的工作原理的工作原理

3、IPsec的运行的运行Page 4/44什么是什么是什么是什么是VPNVPNvVPN（Virtual Private Network）在在公用公用网络中网络中,按照相同的策略和安全规则按照相同的策略和安全规则,建立的私有建立的私有网络连接网络连接Internet北京总部北京总部广州分公司广州分公司虚拟专用网络虚拟专用网络Page 5/44VPNVPN的优点的优点的优点的优点Internet专线专线中心站点中心站点分支机构分支机构Internet专线专线中心站点中心站点分支机构分支机构专线方式专线方式VPN方式方式费用高费用高灵活性差灵活性差广域网的管理广域网的管理复杂的拓扑结构复杂的拓扑结构费

4、用低费用低灵活性好灵活性好简单的网络管理简单的网络管理隧道的拓扑结构隧道的拓扑结构Page 6/44VPNVPN的结构和分类的结构和分类的结构和分类的结构和分类总部总部分支机构分支机构远程办公室远程办公室家庭办公家庭办公PSTN安装了安装了VPN客户客户端软件的移动用户端软件的移动用户Internetv远程访问的远程访问的VPNv站点到站点的站点到站点的VPNPage 7/44远程访问的远程访问的远程访问的远程访问的VPNVPN总部总部家庭办公家庭办公PSTN安装了安装了VPN客户客户端软件的移动用户端软件的移动用户Internetv移动用户或远程小办公室通过移动用户或远程小办公室通过Inte

5、rnet访问网络中访问网络中心心v连接单一的网络设备连接单一的网络设备v客户通常需要安装客户通常需要安装VPN客户端软件客户端软件Page 8/44站点到站点的站点到站点的站点到站点的站点到站点的VPNVPNv公司总部和其分支机构、办公室之间建立的公司总部和其分支机构、办公室之间建立的VPNv替代了传统的专线或分组交换替代了传统的专线或分组交换WAN连接连接v它们形成了一个企业的内部互联网络它们形成了一个企业的内部互联网络 总部总部分支机构分支机构远程办公室远程办公室InternetPage 9/44VPNVPN的工作原理的工作原理的工作原理的工作原理vVPN=加密隧道加密隧道明文明文明文明文

6、访访问问控控制制报报文文加加密密报报文文认认证证IP封封装装IP解解封封报报文文认认证证报报文文解解密密访访问问控控制制IP隧道隧道公共公共IP网络网络Page 10/44VPNVPN的关键技术的关键技术的关键技术的关键技术v安全隧道技术安全隧道技术v信息加密技术信息加密技术v用户认证技术用户认证技术v访问控制技术访问控制技术Page 11/44安全隧道技术安全隧道技术安全隧道技术安全隧道技术v为了在公网上传输私有数据而发展出来的为了在公网上传输私有数据而发展出来的“信息封信息封装装”（Encapsulation）方式）方式v在在Internet上传输的加密数据包中，只有上传输的加密数据包中，

7、只有VPN端端口或网关的口或网关的IP地址暴露在外面地址暴露在外面Internet安全隧道安全隧道Page 12/44隧道协议隧道协议隧道协议隧道协议v二层隧道二层隧道VPNL2TP:Layer 2 Tunnel Protocol PPTP:Point To Point Tunnel ProtocolL2F:Layer 2 Forwardingv三层隧道三层隧道VPNGRE:General Routing Encapsulation IPSEC:IP Security Protocol Page 13/44第二层隧道协议第二层隧道协议第二层隧道协议第二层隧道协议v建立在点对点协议建立在点对点协

8、议PPP的基础上的基础上v先把各种网络协议（先把各种网络协议（IP、IPX等）封装到等）封装到PPP帧中，帧中，再把整个数据帧装入隧道协议再把整个数据帧装入隧道协议v适用于通过公共电话交换网或者适用于通过公共电话交换网或者ISDN线路连接线路连接VPNInternet内部网络内部网络移动用户移动用户访问集中器访问集中器网络服务器网络服务器PPP链接链接隧道隧道Page 14/44第三层隧道协议第三层隧道协议第三层隧道协议第三层隧道协议v把各种网络协议直接装入隧道协议把各种网络协议直接装入隧道协议v在可扩充性、安全性、可靠性方面优于第二层隧在可扩充性、安全性、可靠性方面优于第二层隧道协议道协议I

9、nternet隧道隧道IP连接连接Page 15/44信息加密技术信息加密技术信息加密技术信息加密技术v机密性机密性对用户数据提供安全保护对用户数据提供安全保护v数据完整性数据完整性 确保消息在传送过程中没有被修改确保消息在传送过程中没有被修改v身份验证身份验证确保宣称已经发送了消息的实体是真正发送消息的实确保宣称已经发送了消息的实体是真正发送消息的实体体 明文明文加密加密密文密文解密解密明文明文Page 16/44加密算法加密算法加密算法加密算法v对称加密对称加密DES算法算法AES算法算法IDEA算法、算法、Blowfish算法、算法、Skipjack算法算法v非对称加密非对称加密RSA算

10、法算法PGPPage 17/44对称密钥对称密钥对称密钥对称密钥明文明文密文密文明文明文加密加密共享密钥共享密钥解密解密共享密钥共享密钥发送方发送方接收方接收方v发送方和接收方使用同一密钥发送方和接收方使用同一密钥通常加密比较快（可以达到线速）通常加密比较快（可以达到线速）基于简单的数学操作（可借助硬件）基于简单的数学操作（可借助硬件）需要数据的保密性时，用于大批量加密需要数据的保密性时，用于大批量加密密钥的管理是最大的问题密钥的管理是最大的问题双方使用相同的密双方使用相同的密钥钥Page 18/44非对称密钥非对称密钥非对称密钥非对称密钥v每一方有两个密钥每一方有两个密钥公钥，可以公开公钥，

11、可以公开私钥，必须安全保存私钥，必须安全保存v已知公钥，不可能推算出私钥已知公钥，不可能推算出私钥v一个密钥用于加密，一个用于解密一个密钥用于加密，一个用于解密v比对称加密算法慢很多倍比对称加密算法慢很多倍Page 19/44公钥加密和私钥签名公钥加密和私钥签名公钥加密和私钥签名公钥加密和私钥签名用于数据保密；用于数据保密；利用公钥加密数据，利用公钥加密数据，私钥解密数据私钥解密数据用于数字签名；用于数字签名；发送者使用私钥加密数据，接发送者使用私钥加密数据，接收者用公钥解密数据收者用公钥解密数据Page 20/44阶段总结阶段总结阶段总结阶段总结VPN的基本概念的基本概念VPN的结构和类型的

12、结构和类型VPN的原理的原理安全隧道技术安全隧道技术信息加密技术信息加密技术Page 21/44什么是什么是什么是什么是IPsecIPsecvIPSec（IP Security）是）是 IETF为保证在为保证在Internet上传送数据的安全保密性，而制定上传送数据的安全保密性，而制定的框架协议的框架协议v应用在网络层，保护和认证用应用在网络层，保护和认证用IP数据包数据包 是开放的框架式协议，各算法之间相互独立是开放的框架式协议，各算法之间相互独立提供了信息的机密性、数据的完整性、用户的提供了信息的机密性、数据的完整性、用户的验证和防重放保护验证和防重放保护v支持隧道模式和传输模式支持隧道模

13、式和传输模式Page 22/44隧道模式和传输模式隧道模式和传输模式隧道模式和传输模式隧道模式和传输模式v隧道模式隧道模式IPsec对整个对整个IP数据包进行封装和加密，隐蔽数据包进行封装和加密，隐蔽了源和目的了源和目的IP地址地址从外部看不到数据包的路由过程从外部看不到数据包的路由过程v传输模式传输模式IPsec只对只对IP有效数据载荷进行封装和加密，有效数据载荷进行封装和加密，IP源和目的源和目的IP地址不加密传送地址不加密传送安全程度相对较低安全程度相对较低Page 23/44IPsecIPsec的组成的组成的组成的组成vIPSec 提供两个安全协议提供两个安全协议AH(Authenti

14、cation Header)认证头协议认证头协议ESP(Encapsulation Security Payload)封装封装安全载荷协议安全载荷协议 v密钥管理协议密钥管理协议IKE（Internet Key Exchange）因特网密钥交）因特网密钥交换协议换协议IPsec不是单独的一个协议，而是一整套不是单独的一个协议，而是一整套体系结构体系结构Page 24/44vAH协议协议隧道中报文的数据源鉴别隧道中报文的数据源鉴别数据的完整性保护数据的完整性保护对每组对每组IP包进行认证，防止黑客利用包进行认证，防止黑客利用IP进行进行攻击攻击AHAH认证头协议认证头协议认证头协议认证头协议Pa

15、ge 25/44AHAH的隧道模式封装的隧道模式封装的隧道模式封装的隧道模式封装AH验证包头验证包头新新IP 包头包头数据数据IP 包头包头数据数据原原IP 包头包头有效负载验证验证使用散列算法计算使用散列算法计算验证值，包含在验证值，包含在AH验证包头中验证包头中为新的为新的IP包插包插入新的包头入新的包头原始原始IP包保持不包保持不变，为整个原始变，为整个原始IP包提供验证包提供验证Page 26/44ESPESP封装安全载荷封装安全载荷封装安全载荷封装安全载荷协议协议协议协议v保证数据的保密性保证数据的保密性v提供报文的认证性、完整性保护提供报文的认证性、完整性保护Page 27/44E

16、SPESP的隧道模式封装的隧道模式封装的隧道模式封装的隧道模式封装ESP头部头部新新IP 包头包头ESP尾部尾部ESP验证验证数据数据原原IP 包头包头数据数据原原IP 包头包头验证有效负载比比AH增加加密功能，如果启增加加密功能，如果启用，则对原始用，则对原始IP包进行加密包进行加密后再传输后再传输Page 28/44AHAH和和和和ESPESP相比较相比较相比较相比较vESP基本提供所有的安全服务基本提供所有的安全服务v如果仅使用如果仅使用ESP，消耗相对较少，消耗相对较少v为什么使用为什么使用AHAH的认证强度比的认证强度比ESP强强AH没有出口限制没有出口限制Page 29/44安全联

17、盟安全联盟安全联盟安全联盟SASAv使用安全联盟（使用安全联盟（SA）是为了解决以下问题）是为了解决以下问题如何保护通信数据如何保护通信数据保护什么通信数据保护什么通信数据由谁实行保护由谁实行保护v建立建立SA是其他是其他IPsec服务的前提服务的前提vSA定义了通信双方保护一定数据流量的策定义了通信双方保护一定数据流量的策略略Page 30/44SASA的内容的内容的内容的内容v 一个一个SA通常包含以下的安全参数通常包含以下的安全参数 认证认证/加密算法，密钥长度及其他的参数加密算法，密钥长度及其他的参数 认证和加密所需要的密钥认证和加密所需要的密钥 哪些数据要使用到该哪些数据要使用到该S

18、A IPsec的封装协议和模式的封装协议和模式如何保护如何保护保护什么保护什么由谁实行由谁实行Page 31/44IKEIKE因特网密钥交换协议因特网密钥交换协议因特网密钥交换协议因特网密钥交换协议v在在IPsec网络中用于密钥管理网络中用于密钥管理v为为IPSec提供了自动协商交换密钥、建立安提供了自动协商交换密钥、建立安全联盟的服务全联盟的服务v通过数据交换来计算密钥通过数据交换来计算密钥 Page 32/44IPsecIPsec VPN VPN的配置的配置的配置的配置v步骤步骤1 配置配置IKE的协商的协商v步骤步骤2 配置配置IPSEC的协商的协商v步骤步骤3 配置端口的应用配置端口的

19、应用v步骤步骤4 调试调试并排错并排错Page 33/44配置配置配置配置IKEIKE协商协商协商协商3-13-1v启动启动IKERouter(config)#crypto isakmp enablev建立建立IKE协商策略协商策略Router(config)#crypto isakmp policy priority取值范围取值范围110000数值越小，优先级越高数值越小，优先级越高Page 34/44配置配置配置配置IKEIKE协商协商协商协商3-23-2v配置配置IKE协商策略协商策略Router(config-isakmp)#authentication pre-shareRouter

20、(config-isakmp)#encryption des|3des Router(config-isakmp)#hash md5|sha1 Router(config-isakmp)#lifetime seconds使用预定义密钥使用预定义密钥加密算法加密算法SA的活动时间的活动时间认证算法认证算法Page 35/44配置配置配置配置IKEIKE协商协商协商协商3-33-3v设置共享密钥和对端地址设置共享密钥和对端地址Router(config)#crypto isakmp key keystring address peer-address密钥密钥对端对端IPPage 36/44配置配置

21、配置配置IPsecIPsec协商协商协商协商2-12-1v设置传输模式集设置传输模式集Router(config)#crypto ipsec transform-set transform-set-name transform1 transform2 transform3定义了使用定义了使用AH还是还是ESP协议，协议，以及相应协议所用的算法以及相应协议所用的算法Page 37/44配置配置配置配置IPsecIPsec协商协商协商协商2-22-2v配置保护访问控制列表配置保护访问控制列表Router(config)#access-list access-list-number deny|per

22、mit protocol source source-wildcard destination destination-wildcard用来定义哪些报文需要经过用来定义哪些报文需要经过IPSec加密后加密后发送，哪些报文直接发送发送，哪些报文直接发送Page 38/44配置配置配置配置端口的应用端口的应用端口的应用端口的应用2-12-1v创建创建Crypto MapsRouter(config)#crypto map map-name seq-num ipsec-isakmp v配置配置Crypto MapsRouter(config-crypto-map)#match address acc

23、ess-list-number Router(config-crypto-map)#set peer ip_addressRouter(config-crypto-map)#set transform-set nameACL编号编号对端对端IP地址地址传输模式的名称传输模式的名称Map优先级，取值范优先级，取值范围围165535，值越小，值越小，优先级越高优先级越高Page 39/44配置配置配置配置端口的应用端口的应用端口的应用端口的应用2-22-2v应用应用Crypto Maps到端口到端口Router(config)#interface interface_name interface_

24、numRouter(config-if)#crypto map map-namePage 40/44检查检查检查检查IPsecIPsec配置配置配置配置v查看查看IKE策略策略Router#show crypto isakmp policyv查看查看IPsce策略策略Router#show crypto ipsec transform-setv查看查看SA信息信息Router#show crypto ipsec sav查看加密映射查看加密映射Router#show crypto mapPage 41/44RouterA(config)#ip route 0.0.0.0 0.0.0.0 20.2

25、0.20.20RouterA(config)#crypto isakmp policy 1RouterA(config-isakmap)#hash md5RouterA(config-isakmap)#authentication preshareRouterA(config)#crypto isakmp key benet-password address 20.20.20.20RouterA(config)#crypto ipsec transformset benetset ahmd5hmac espdesRouterA(config)#accesslist 101 permit ip

26、50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255RouterA(config)#crypto map benetmap 1 ipsecisakmpRouterA(config-crypto-map)#set peer 20.20.20.20RouterA(config-crypto-map)#set transformset benetsetRouterA(config-crypto-map)#match address 101RouterA(config)#interface serial 0/0RouterA(config-if)#crypto map b

27、enetmapVPNVPN配置实例配置实例配置实例配置实例Page 42/44本章总结本章总结本章总结本章总结隧道和加密技术隧道和加密技术虚拟专网虚拟专网VPNIPsec的安全协议的安全协议IPsec基本概念基本概念VPN概述概述IPsec技术技术IPsec的安全联盟的安全联盟IPsec的密钥交换的密钥交换IPsec VPN的配置的配置VPN的结构和分类的结构和分类VPN的定义的定义VPN的工作原理的工作原理远程接入远程接入VPN站点到站点站点到站点VPN安全隧道技术安全隧道技术信息加密技术信息加密技术用户认证技术用户认证技术访问控制技术访问控制技术二层隧道二层隧道VPN和三层隧道和三层隧道VPN对称加密和非对称加密对称加密和非对称加密AHESPIKEPage 43/44实验实验实验实验v任务任务配置配置IPSec VPN协议，连接协议，连接BENET广州办事处和公司广州办事处和公司总部总部v需求需求使用使用IPSec VPN协议协议使用使用AH认证方式连接认证方式连接v完成标准完成标准VPN连接能够正常建立连接能够正常建立办事处办事处PC和总部和总部PC间可以相互间可以相互ping通通v网络拓朴网络拓朴Page 44/44