华为vpn技术详解.ppt-得力文库

资源描述

《华为vpn技术详解.ppt》由会员分享，可在线阅读，更多相关《华为vpn技术详解.ppt（33页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、华为3Com培训中心华为华为华为华为3Com3Com公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播公司版权所有，未经授权不得使用与传播Chapter11 Chapter11 网络安全技术网络安全技术网络安全技术网络安全技术ISSUE 4.0ISSUE 4.0学习目标学习目标l了解了解VPN基本概念基本概念l掌握掌握IPsec基本理论基本理论学习完本课程，您应该能够：学习完本课程，您应该能够：2路由器实现防火墙功能路由器实现防火墙功能IP报文转发机制IP PacketIP Packet网络层数据链路层规则查找机制输入报文规则库手工配置

2、规则生成机制手工配置规则生成机制规则查找机制输出报文规则库由规则决定报文转发动作:丢弃或转发由规则决定报文转发动作:丢弃或转发3在接口上应用访问控制列表在接口上应用访问控制列表l将访问控制列表应用到接口上l指明在接口上是OUT还是IN方向Ethernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效4课程内容课程内容第一节第一节第一节第一节 VPN VPN基本概念基本概念基本概念基本概念第二节第二节第二节第二节 IPSEC IPSEC原理介绍原理介绍原理介绍原理介绍5InternetVPN的定义的定义VPN

3、 Virtual Private Network出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构合作伙伴合作伙伴异地办事处异地办事处6VPN的分类的分类l按应用类型分类：Access VPNIntranet VPNExtranet VPNl按实现的层次分类：二层隧道 VPN三层隧道 VPN7VPDN POPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接总部总部隧道隧道适用范围：出差员工异地小型办公机构8Intranet VPNInternet/ISP IPATM/FR隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构9Extranet VPNI

4、nternet/ISP IPATM/FR分支机构分支机构合作伙伴合作伙伴总部总部异地办事处异地办事处10按实现的层次分类按实现的层次分类l二层隧道VPNL2TP:Layer 2 Tunnel Protocol(RFC 2661)PPTP:Point To Point Tunnel ProtocolL2F:Layer 2 Forwardingl三层隧道VPN GRE:General Routing Encapsulation IPSEC:IP Security Protocol 11网络层隔离客户图示网络层隔离客户图示Blue1Rt1Red1Blue2Rt2Red212GRElGRE(Gener

5、ic Routing Encapsulation):是对某些网络层协议（如：I P,IPX,AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议）中传输lGRE 提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel13GRE 协议栈协议栈IP/IPXGREIP链路层协议链路层协议乘客乘客协协议议封装封装协协议议运输运输协协议议GRE 协协议议栈栈隧道接口的报文格式隧道接口的报文格式链路层链路层GREIP/IPXIPPayload14G

6、RE构建构建 VPNOriginal Data PacketTransfer Protocol HeaderGRE HeaderInternetTunnel企业总部企业总部分支机构分支机构15隧道技术组建隧道技术组建VPN示意图示意图Blue1Rt1Red1Blue2Rt2Red2公共IP网络GRE TunnelGRE Tunnel16课程内容课程内容第一节第一节第一节第一节 VPN VPN基本概念基本概念基本概念基本概念第二节第二节第二节第二节 IPSEC IPSEC原理介绍原理介绍原理介绍原理介绍17对称加密算法图示对称加密算法图示加密算法解密算法PKeyPKeyE(P)AB18加密算法加

7、密算法lECB(Electronic Codebook)lCBC(Cipher Block Chaining)lCFB(Cipher Feedback)lOFB(Output Feedback)DES的四种操作模式:19公钥密码算法图示公钥密码算法图示加密算法解密算法PkpubBPkprvBEkpubB(P)kprvB保密的私钥保密的私钥kprvB保密的私钥保密的私钥AkpubABkpubB公开私钥表公开私钥表AB20MD5算法图示算法图示MD5MD5PMD5(P)PMD5(P)MD5(P)OKAB21IPSeclIPSec（IP Security）是 IETF制定的为保证在Internet上

8、传送数据的安全保密性能的框架协议lIPSec包括报文验证头协议 AH（协议号51）和报文安全封装协议 ESP（协议号50）两个协议lIPSec有隧道（tunnel）和传送（transport）两种工作方式 22IPSec 的组成的组成lIPSec 提供两个安全协议AH(Authentication Header)报文认证头协议 MD5(Message Digest 5)SHA1(Secure Hash Algorithm)ESP(Encapsulation Security Payload)封装安全载荷协议 DES(Data Encryption Standard)

9、3DES 其他的加密算法：Blowfish，blowfish、cast 23IPSec 的安全特点的安全特点l数据机密性（Confidentiality）l数据完整性（Data Integrity）l数据来源认证（Data Authentication）l反重放（Anti-Replay）24IPSec 基本概念基本概念l数据流(Data Flow)l安全联盟(Security Association)l安全参数索引(Security Parameter Index)l安全联盟生存时间(Life Time)l安全策略(Crypto Map)l转换方式(Transform Mode)25验证协议和

10、加密算法验证协议和加密算法l验证协议authenticaton：用户和接入服务器之间的验证协议 pap、chap、ms-chap v2、eap、802.1x 接入服务器和认证服务器之间 radius、tacacs+l加密算法对称密钥算法 DES 3DES blowfish 公钥算法 RSA DH 信息摘要算法 MD5 SHA1 l密钥交换密钥管理 26IKEl IKE（Internet Key Exchange，因因特特网网密密钥钥交交换换协协议议）l为为IPSec提提供供了了自自动动协协商商交交换换密密钥钥、建建立立安安全全联联盟盟的的服服务务l通过数据交换来计算密钥通过数

11、据交换来计算密钥 27IKE的交换过程的交换过程SA交换交换密钥交换密钥交换ID交换及验证交换及验证发送本地发送本地IKE策略策略身份验证和身份验证和交换过程验证交换过程验证密钥生成密钥生成密钥生成密钥生成接受对端接受对端确认的策略确认的策略查找匹配查找匹配的策略的策略身份验证和身份验证和交换过程验证交换过程验证确认对方使确认对方使用的算法用的算法产生密钥产生密钥验证对方验证对方身份身份发起方策略发起方策略发起方策略发起方策略接收方确认的策略接收方确认的策略接收方确认的策略接收方确认的策略发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息发起方的密钥生成信息接收方的密钥生成信息接收方

12、的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据发起方身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据接收方的身份和验证数据Peer1Peer1Peer2Peer228DH交换及密钥产生交换及密钥产生ac=gamodpdamodppeer2peer2peer1peer1bd=gbmodpcbmodpd da amodp=cmodp=cb bmodp=gmodp=gababmodpmodp(g,p)(g,p)29AH协议协议数据数据IP 包头包头数据数据IP 包头包头AH数据数据原原IP 包头包头A

13、H新新IP 包头包头传输模式传输模式隧道模式隧道模式下一个头下一个头负载长度负载长度保留域保留域安全参数索引安全参数索引(SPI)序列号序列号验证数据验证数据AH头结构头结构08163130ESP 协议协议数据数据IP 包头包头加密后的数据加密后的数据IP 包头包头ESP头部头部ESP头头新新IP 包头包头传输模式传输模式隧道模式隧道模式ESP尾部尾部ESP验证验证ESP尾部尾部ESP验证验证081624安全参数索引安全参数索引(SPI)序列号序列号有效载荷数据（可变）有效载荷数据（可变）填充字段填充字段(0-255字节）字节）填充字段长度填充字段长度下一个头下一个头验证数据验证数据ESP协议包结构协议包结构数据数据原原IP 包头包头加密部分加密部分31小结小结lVPN基本理论lIPSEC基本原理l网络安全算法32华为3Com技术有限公司华为3Com公司网址:华为3Com技术论坛网址:33

展开阅读全文