網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)四 Site IpsecVlan配置_第1頁(yè)
網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)四 Site IpsecVlan配置_第2頁(yè)
網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)四 Site IpsecVlan配置_第3頁(yè)
網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)四 Site IpsecVlan配置_第4頁(yè)
網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)四 Site IpsecVlan配置_第5頁(yè)
已閱讀5頁(yè),還剩20頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

網(wǎng)絡(luò)安全技術(shù)吳偉項(xiàng)目二任務(wù)四:IPSecVPN一、任務(wù)介紹二、IPSecVPN基礎(chǔ)三、IPSecVPN應(yīng)用四、site-to-siteIPSecVPN配置五、任務(wù)配置一、任務(wù)介紹

根據(jù)任務(wù)網(wǎng)絡(luò)拓?fù)浼捌髽I(yè)網(wǎng)絡(luò)需求,應(yīng)用IPSecVPN實(shí)現(xiàn)任務(wù)要求,理解IPSecVPN特點(diǎn)、結(jié)構(gòu),理解IKE、SA、AH、ESP在IPSec中的作用,掌握IPSecVPN兩種模式的配置過(guò)程,學(xué)會(huì)應(yīng)用IPSecVPN為企業(yè)構(gòu)建遠(yuǎn)程傳輸網(wǎng)絡(luò)。

二、IPSecVPN基礎(chǔ)GREVPN缺陷: 隧道密鑰驗(yàn)證,數(shù)據(jù)明文 只能實(shí)現(xiàn)site-to-siteVPNGREVPN實(shí)現(xiàn): PCtunnel:source:(動(dòng)態(tài)) destination: Routertunnel:source:destination:(動(dòng)態(tài))

二、IPSecVPN基礎(chǔ)IPsecVPN是網(wǎng)絡(luò)層的VPN技術(shù)是隨著IPv6的制定而產(chǎn)生的,鑒于IPv4的應(yīng)用仍然很廣泛,所以后來(lái)在IPSec的制定中也增加了對(duì)IPv4的支持,它獨(dú)立于應(yīng)用程序;通過(guò)使用現(xiàn)代密碼學(xué)方法支持保密和認(rèn)證服務(wù),使用戶能有選擇地使用,以AH或ESP協(xié)議封裝原始IP信息,實(shí)現(xiàn)數(shù)據(jù)加密、帶驗(yàn)證機(jī)制,安全性較高。支持VPN類型site-to-siteVPNRemoteAccessVPN連接類型PC-PCPC-VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)-VPN網(wǎng)關(guān)二、IPSecVPN基礎(chǔ)VPN核心:兩層封裝:隧道數(shù)據(jù)分流:VPN與非VPNIPSEC:數(shù)據(jù)加密、數(shù)據(jù)驗(yàn)證二、IPSecVPN基礎(chǔ)主要協(xié)議集:安全協(xié)議認(rèn)證報(bào)文頭(AuthenticationHeader,AH)封裝安全載荷(EncapsulatingSecurityPayload,ESP)Internet密鑰交換(InternetKeyExchange,IKE)主要概念:安全關(guān)聯(lián)(SecurityAssociation,SA)傳輸方式:傳輸模式和隧道模式二、IPSecVPN基礎(chǔ)隧道模式隧道模式下數(shù)據(jù)包最終目的地不是安全終點(diǎn)。通常情況下,只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器,就必須使用隧道模式。加密整個(gè)IP數(shù)據(jù)包括頭部傳輸模式傳輸模式下,IPSec主要對(duì)上層協(xié)議即IP包的載荷進(jìn)行封裝保護(hù),通常情況下,傳輸模式只用于兩臺(tái)主機(jī)之間的安全通信。只加密整個(gè)IP數(shù)據(jù)負(fù)載部分二、IPSecVPN基礎(chǔ)AH為IP包提供數(shù)據(jù)完整性校驗(yàn)和身份認(rèn)證具備可選擇的重放攻擊保護(hù)保護(hù)上層協(xié)議(傳輸模式)或完整的IP數(shù)據(jù)包(隧道模式)二、IPSecVPN基礎(chǔ)ESP為IP報(bào)文提供數(shù)據(jù)完整性校驗(yàn)、身份認(rèn)證、數(shù)據(jù)加密以及重放攻擊保護(hù)等。二、IPSecVPN基礎(chǔ)傳輸模式二、IPSecVPN基礎(chǔ)隧道模式二、IPSecVPN基礎(chǔ)SA安全關(guān)聯(lián)(SecurityAssociation)SA是構(gòu)成IPSec的基礎(chǔ),是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來(lái)的一種協(xié)定,它們決定了用來(lái)保護(hù)數(shù)據(jù)包安全的安全協(xié)議(AH協(xié)議或者ESP協(xié)議)、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時(shí)間等。單向邏輯連接SPI、目的IP地址、安全協(xié)議二、IPSecVPN基礎(chǔ)Internet密鑰交換協(xié)議(IKE)IKE是IPSec默認(rèn)的安全密鑰協(xié)商方法密鑰交換協(xié)議,AH和ESP協(xié)議提供密鑰交換管理SA管理二、IPSecVPN基礎(chǔ)二、IPSecVPN基礎(chǔ)三、IPSec應(yīng)用Site-to-SiteVPN隧道模式RemoteAccessVPN隧道模式(End-Site)傳輸模式(End-End)三、IPSecVPN應(yīng)用Site-to-SiteIPSecVPN參與設(shè)備:兩端VPN網(wǎng)關(guān)隧道建立:sa第一階段區(qū)分VPN數(shù)據(jù)與非VPN:傳輸VPN數(shù)據(jù),sa第二階段數(shù)據(jù)加密、數(shù)據(jù)驗(yàn)證三、IPSecVPN應(yīng)用

——IPSECVPN封裝IPSec封裝-PC1:IP原始數(shù)據(jù)包,R1Fa0/0:路由處理,內(nèi)網(wǎng)IP無(wú)路由(ISP屏蔽),根據(jù)ACL識(shí)別VPN數(shù)據(jù)(感興趣流)并交給IPSEC驅(qū)動(dòng)程序進(jìn)行封裝,建立VPN隧道,sa第一階段;隧道建立好后,利用隧道進(jìn)行VPN數(shù)據(jù)傳輸,sa第二階段R1IPSEC驅(qū)動(dòng)程序:根據(jù)sa中定義安全協(xié)議、加密算法、驗(yàn)證算法對(duì)數(shù)據(jù)進(jìn)行封裝R1S0/0/0:根據(jù)新IP包目的地址進(jìn)行路由轉(zhuǎn)發(fā)TCPDATATCPDATAAH/ESP路由VPN封裝二、虛擬專用網(wǎng)(VPN)基礎(chǔ)

——IPSecVPN解封裝IPSec解封裝-R2S0/0/0:若sa協(xié)商成功,成功建立通道IP包與接口地址相同,接收去除IP頭,根據(jù)IP包頭信息交與相應(yīng)IPSEC驅(qū)動(dòng)程序處理

R2IPSEC驅(qū)動(dòng)程序:根據(jù)sa中定義參數(shù)對(duì)數(shù)據(jù)包進(jìn)行解密、驗(yàn)證R2Fa0/0:如有路由則進(jìn)行二層通信進(jìn)行ARPTCPDATATCPDATAAH/ESP路由VPN封裝4、site-to-siteIPSecVPN配置1:配置IKE

R1(config)#cryptoisakmpenable

//啟用IKE(默認(rèn)是啟動(dòng)的)R1(config)#cryptoisakmppolicy100

//建立IKE策略,優(yōu)先級(jí)為100R1(config-isakmp)#authenticationpre-share

//使用預(yù)共享的密碼進(jìn)行身份驗(yàn)證R1(config-isakmp)#encryptiondes

//使用des加密方式R1(config-isakmp)#group1

(可選)

//指定密鑰位數(shù),group2安全性更高,但更耗cpuR1(config-isakmp)#hashmd5

//指定hash算法為MD5(其他方式:sha,rsa)R1(config-isakmp)#lifetime86400

(可選)

//指定SA有效期時(shí)間。默認(rèn)86400秒,兩端要一致

以上配置可通過(guò)showcryptoisakmppolicy顯示。VPN兩端路由器的上述配置要完全一樣。

4、site-to-siteIPSecVPN配置2:配置Keys

R1(config)#cryptoisakmpkeycisco1122address

//(設(shè)置要使用的預(yù)共享密鑰和指定vpn另一端路由器的IP地址)

3:配置IPSEC

R1(config)#cryptoipsectransform-setabcesp-des

esp-md5-hmac

//配置IPSec交換集abc這個(gè)名字可以隨便取,兩端的名字也可不一樣,但其他參數(shù)要一致。

R1(config)#cryptoipsecsecurity-associationlifetime86400

(可選)

//ipsec安全關(guān)聯(lián)存活期,也可不配置,在下面的map里指定即可

R1(config)#access-list110permitip5555

//定義感興趣數(shù)據(jù),IPSECVPN地址為雙方內(nèi)網(wǎng)IP地址4、site-to-siteIPSecVPN配置4.配置IPSEC加密映射

R1(config)#cryptomapmymap100ipsec-isakmp

//創(chuàng)建加密圖R1(config-crypto-map)#matchaddress110

//用ACL來(lái)定義加密的通信

R1(config-crypto-map)#setpeer

//標(biāo)識(shí)對(duì)方路由器IP地址

R1(config-crypto-map)#settransform-setabc

//指定加密圖使用的IPSEC交換集

R1(config-crypto-map)#setsecurity-associationlife

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論