温建京IPsec-VPN讲座39260.pptx-得力文库

资源描述

《温建京IPsec-VPN讲座39260.pptx》由会员分享，可在线阅读，更多相关《温建京IPsec-VPN讲座39260.pptx（39页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、IPsec-VPN技术技术日期：2009.8.27山西工程职业技术学院温建京山西工程职业技术学院温建京n了解了解IPSec提出背景提出背景n熟悉熟悉IPSec工作原理工作原理n熟悉熟悉IKE工作原理工作原理n掌握掌握IPSec的基本配置和应用的基本配置和应用课程目标课程目标学习完本课程，学生应该能够：学习完本课程，学生应该能够：nIPSec提出背景提出背景n IPSec概述概述n IPsec基本概念基本概念n IKE概述概述n IKE安全机制安全机制n IKE与与IPSEC的关系的关系n IPSEC配置配置目录目录4IPSEC提出背景提出背景uIP包本身不具有任何的安全性，不能保证：包本身不具

2、有任何的安全性，不能保证：数据机密性（Confidentiality）数据完整性（Data Integrity）数据来源认证（Data Authentication）uIPsec提供了标准、健壮且包含广泛的机制来保证提供了标准、健壮且包含广泛的机制来保证IP以上以上层的安全层的安全nIPSec提出背景提出背景n IPSec概述概述n IPsec基本概念基本概念n IKE概述概述n IKE安全机制安全机制n IKE与与IPSEC的关系的关系n IPSEC配置配置目录目录6lIPSec（IP Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议lIPSec包

3、括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议lIPSec有隧道（tunnel）和传送（transport）两种工作方式 IPSecIPSec概述概述概述概述7IPSec 的组成的组成lIPSec 提供两个安全协议AH(Authentication Header)报文认证头协议报文认证头协议 MD5(Message Digest 5)SHA1(Secure Hash Algorithm)ESP(Encapsulation Security Payload)封装安全载荷封装安全载荷协议协议 DES(Data Encryption Standard),3DESAE

4、S 其他的加密算法其他的加密算法：Blowfish，cast 8IPSec 的安全特点的安全特点l数据机密性（Confidentiality）l数据完整性（Data Integrity）l数据来源认证（Data Authentication）l反重播（Anti-Replay）nIPSec提出背景提出背景n IPSec概述概述n IPsec基本概念基本概念n IKE概述概述n IKE安全机制安全机制n IKE与与IPSEC的关系的关系n IPSEC配置配置目录目录10IPSec 基本概念基本概念l数据流(Data Flow)l安全联盟(Security Association)l安全参数索引(S

5、ecurity Parameter Index)l安全联盟生存时间(Life Time)l安全策略（Security Policy)l安全提议（Security Proposal)11AHAH协议协议协议协议数据数据IP 包头包头数据数据IP 包头包头AH数据数据原原IP 包头包头AH新新IP 包头包头传输模式传输模式隧道模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构头结构08163112ESP ESP 协议协议协议协议数据数据IP 包头包头加密后的数据加密后的数据IP 包头包头ESP头部头部ESP头头新新IP 包头包头传输模式传输模式隧道模式隧道模式ESP尾

6、部尾部ESP验证验证ESP尾部尾部ESP验证验证081624安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构协议包结构数据数据原原IP 包头包头加密部分加密部分n IPSec提出背景提出背景n IPSec概述概述n IPsec基本概念基本概念n IKE概述概述n IKE安全机制安全机制n IKE与与IPSEC的关系的关系n IPSEC配置配置目录目录14IKEIKEl IKE（Internet Key Exchange，因特网密钥交换协议）l为IPSec提供了自动协商交换密钥、建立安全联盟的服务l通过数据交换来计算密钥 nI

7、PSec提出背景提出背景n IPSec概述概述n IPsec基本概念基本概念n IKE概述概述n IKE安全机制安全机制n IKE与与IPSEC的关系的关系n IPSEC配置配置目录目录16IKEIKE的安全机制的安全机制的安全机制的安全机制l完善的前向安全性l数据验证身份验证身份验证身份保护身份保护lDH交换和密钥分发17IKEIKE的交换过程（主模式）的交换过程（主模式）的交换过程（主模式）的交换过程（主模式）SA交换交换密钥交换密钥交换ID交换及验证交换及验证发送本地发送本地IKE策略策略身份验证和身份验证和交换过程验证交换过程验证密钥生成密钥生成密钥生成密钥生成接受对端接受对端确认的策

8、略确认的策略查找匹配查找匹配的策略的策略身份验证和身份验证和交换过程验证交换过程验证确认对方使确认对方使用的算法用的算法产生密钥产生密钥验证对方验证对方身份身份发起方策略发起方策略发起方策略发起方策略接收方确认的策略接收方确认的策略接收方确认的策略接收方确认的策略发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据Peer

9、1Peer1Peer2Peer218IKEIKE的交换过程（野蛮模式）的交换过程（野蛮模式）的交换过程（野蛮模式）的交换过程（野蛮模式）SA交换，交换，密钥生成密钥生成ID交换及验证交换及验证发送本地发送本地IKE策略，策略，密钥生成信息密钥生成信息身份验证和身份验证和交换过程验证交换过程验证接受对端接受对端确认的策略，确认的策略，密钥生成密钥生成查找匹配查找匹配的策略，密钥生成的策略，密钥生成确认对方使确认对方使用的算法，用的算法，产生密钥产生密钥验证对方验证对方身份身份发起方策略，密钥生成信息发起方策略，密钥生成信息发起方策略，密钥生成信息发起方策略，密钥生成信息接收方的密钥生成信息，接收

10、方的密钥生成信息，接收方的密钥生成信息，接收方的密钥生成信息，身份和验证数据身份和验证数据身份和验证数据身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据Peer1Peer1Peer2Peer2nIPSec提出背景提出背景n IPSec概述概述n IPsec基本概念基本概念n IKE概述概述n IKE安全机制安全机制n IKE与与IPSEC的关系的关系n IPSEC配置配置目录目录20IPSec IPSec 与与与与IKEIKE的关系的关系的关系的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的加密的加密的加密的IPIP报文报文报文

11、报文IPIPIKEIKE的的的的SASA协商协商协商协商SASASASA21IKEIKE在在在在IPSecIPSec中的作用中的作用中的作用中的作用l降低手工配置的复杂度l安全联盟定时更新l密钥定时更新l允许IPSec提供反重播服务l允许在端与端之间动态认证22IPSEC NAT穿越穿越ISP分配私网分配私网IP地址地址IP网IPSEC穿越穿越NAT存在的问题存在的问题IKE协商的协商的IP地址和端口不匹配地址和端口不匹配IPSEC不能验证不能验证NAT报文报文NAT超时影响超时影响IPSEC23IPSEC穿越穿越NAT的实现的实现lIKE协商协商解决IKE报文使用UDP端口500的问题双

12、方支持NAT穿越的确认双方的协商报文经过了NAT设备的确认lUDP封装格式来实现数据报文封装格式来实现数据报文NAT穿越穿越 l使用使用IKE 握手保持握手保持NAT表项不超时表项不超时24使用使用NAT穿越穿越RTBIPXIPXIPSec TunnelRTANAT网关网关IPUDPIPSec报文报文25IPSEC NAT穿越典型应用穿越典型应用NATADSL获得私网获得私网IP地地址址ADSL获得私网获得私网IP地址地址企业总部企业总部不检查IKE源IP/UDP端口使用UDP 500/500封装通过IKE握手保持NAT表项通过IKE握手保持NAT表项IKE使能NAT穿越IPSEC隧道隧道

13、企业分支企业分支企业分支企业分支nIPSec提出背景提出背景n IPSec概述概述n IPsec基本概念基本概念n IKE概述概述n IKE安全机制安全机制n IKE与与IPSEC的关系的关系n IPSEC配置配置目录目录27IPSecIPSec配置前的准备配置前的准备配置前的准备配置前的准备l确定需要保护的数据l确定使用安全保护的路径l确定使用那种安全保护l确定安全保护的强度28IPSec IPSec 的配置任务及命令的配置任务及命令的配置任务及命令的配置任务及命令(1/0)(1/0)l创建加密访问控制列表l定义安全提议H3C ipsec proposal proposal-name H3C

14、 ipsec card-proposal proposal-name l设置安全协议对IP报文的封装模式H3C-ipsec-proposal-test encapsulation-mode transport|tunnel l选择安全协议H3C-ipsec-proposal-test transform ah|esp|ah-esp 设置AH协议采用的认证算法 ah authentication-algorithm md5-hmac-96|sha1-hmac-1-96 ESP协议采用的认证算法esp authentication-algorithm md5-hmac-96|sha1-hmac-9

15、6 ESP协议采用的加密算法 esp encryption-algorithm 3des|des|aes 29IPSec IPSec 的配置任务及命令的配置任务及命令的配置任务及命令的配置任务及命令(1/1)(1/1)l定义加密卡安全提议H3C ipsec card-proposal proposal-name l设置安全协议对IP报文的封装模式H3C-ipsec-card-proposal-testencapsulation-mode transport|tunnel l选择安全协议H3C-ipsec-card-proposal-test transform ah|esp|ah-esp 设置

16、AH协议采用的认证算法 ah authentication-algorithm md5|sha1 ESP协议采用的认证算法esp authentication-algorithm md5|sha1 ESP协议采用的加密算法 esp encryption-algorithm 3des|des|aes l选择加密卡 H3C-ipsec-card-proposal-aause encrypt-card Slot number30IPSec IPSec 的配置任务及命令的配置任务及命令的配置任务及命令的配置任务及命令(2)(2)l创建安全策略H3C ipsec policy policy-name s

17、equence-number manual|isakmp 配置安全策略引用的访问控制列表H3C-ipsec-policy-policy1-10 security acl access-list-number指定安全隧道的终点tunnel remote ip-address 配置安全策略中引用的转换方式 proposal proposal-name1 proposal-name2.proposal-name6 l在接口上应用安全策略组 H3C-GigabitEthernet0/0 ipsec policy policy-name 31IKEIKE的配置任务的配置任务的配置任务的配置任务(1)(1

18、)l创建创建IKE安全策略安全策略选择加密算法选择认证方法选择哈希散列算法选择DH的组标识设置IKE协商安全联盟的生存周期32IKEIKE的配置任务的配置任务的配置任务的配置任务(2)(2)l配置预共享密钥l配置IKE keepalive定时器33IPSec IPSec 的配置举例的配置举例的配置举例的配置举例G0:10.1.1.1G1:202.38.162.1G1:202.38.163.1G0:10.1.2.1E0:10.1.1.2IPSEC VPN隧道隧道E0:10.1.2.234IPSec IPSec 的监控与调试的监控与调试的监控与调试的监控与调试l显示安全联盟的相关信息显示安全联盟的

19、相关信息 ldisplay ipsec sa all|brief|remote ip-address|policy policy-name sequence-number|parameters dest-address protocol spi H3CH3C display ipsec sa brief display ipsec sa briefSrc Address Dst Address SPI Protocol AlgorithmSrc Address Dst Address SPI Protocol Algorithm202.38.162.1 202.38.163.1 54321 N

20、EW_ESP E:DES;A:HMAC-SHA1-96;202.38.162.1 202.38.163.1 54321 NEW_ESP E:DES;A:HMAC-SHA1-96;202.38.163.1 202.38.162.1 12345 NEW_ESP E:DES;A:HMAC-SHA1-96;#202.38.163.1 202.38.162.1 12345 NEW_ESP E:DES;A:HMAC-SHA1-96;#lIPSec调试信息开关调试信息开关 debugging ipsec misc|packet|sa 35IKE IKE 的监控与调试的监控与调试的监控与调试的监控与调试l显示

21、显示IKE安全联盟参数安全联盟参数 display ike sa H3CH3C display ike sa display ike saConnect-ID Peer Flag Phase DoiConnect-ID Peer Flag Phase Doi 2 11.0.0.2 RD 2 IPSEC 2 11.0.0.2 RD 2 IPSEC 1 11.0.0.2 RD 1 IPSEC 1 11.0.0.2 RD 1 IPSECFlag meaningFlag meaning RD-READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUT RD-

22、READY ST-STAYALIVE RL-REPLACED FD-FADING TO-TIMEOUT l调试调试IKE安全联盟安全联盟debugging ike all|crypto|error|message|misc|sysdep|timer|transport 36IPSec IPSec 故障排错故障排错故障排错故障排错l非法用户身份信息非法用户身份信息用户身份信息是发起IPSec通信的用户用来标识自己的数据。我们是通过用户的IP地址来标识用户检查协商两端接口上配置的ipsec policy中的访问控制列表内容是否相容.建议用户将两端的访问控制列表配置成互为镜像的l策略不匹配策略不匹配检查双方接口上配置的ipsec policy使用的协议，加密算法和认证算法是否一致 n了解了了解了IPSec提出背景提出背景n熟悉熟悉IPSec工作原理工作原理n熟悉熟悉IKE工作原理工作原理n掌握了掌握了IPSec的基本配置和应用的基本配置和应用本章总结本章总结38谢谢！谢谢！39演讲完毕，谢谢观看！

展开阅读全文