《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》課件 （秦?zé)觯┑?章 虛擬專用網(wǎng)技術(shù)

第4章虛擬專用網(wǎng)技術(shù)任務(wù)4.1配置IPSECVPN

隨著A公司的發(fā)展壯大，在多地開設(shè)了分公司，總公司和各分公司之間的網(wǎng)絡(luò)需要互連；在家辦工的員工以及出差的員工需要連接到公司內(nèi)網(wǎng)；供貨商、銷售商也需要連接到公司的外聯(lián)網(wǎng)。傳統(tǒng)的專線連接，雖然可以確保總公司與分公司間網(wǎng)絡(luò)連接的安全性，但布署成本高、變更不靈活。出差的員工雖然可以通過遠(yuǎn)程撥號(hào)接入公司內(nèi)網(wǎng)，但速度慢、費(fèi)用高。而虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術(shù)，能利用因特網(wǎng)或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，創(chuàng)建一條安全的虛擬專用網(wǎng)絡(luò)通道，是公司建立自己的內(nèi)聯(lián)網(wǎng)（Intrannet）和外聯(lián)網(wǎng)（Extranet）的最好選擇。

虛擬專用網(wǎng)絡(luò)，一方面是虛擬的，它的傳輸通道可以是因特網(wǎng)這樣的共享資源，因?yàn)楣蚕恚再M(fèi)用低。另一方面，它又是專用的，利用加密技術(shù)和隧道技術(shù)，可以為分處各地的公司節(jié)點(diǎn)構(gòu)建出一條安全的專用隧道，確保數(shù)據(jù)的私密性（Confidentiality）、完整性（Integrity）和源認(rèn)證（Authentication）等得到保障。再一方面，它是靈活的，只需通過軟件配置，就可以方便的增刪用戶，擴(kuò)充分支接入點(diǎn)。

加密技術(shù)是虛擬專用網(wǎng)絡(luò)的基礎(chǔ)，安全隧道技術(shù)是虛擬專用網(wǎng)絡(luò)的核心。安全隧道技術(shù)實(shí)質(zhì)上是一個(gè)加密、封裝、傳輸和拆封、解密的過程。虛擬專用網(wǎng)絡(luò)傳輸數(shù)據(jù)的過程形式多樣，為便于理解，抽取一種典型的情況舉例說明：公司分部與公司總部分處兩地，運(yùn)用VPN技術(shù)，通過因特網(wǎng)，將它們連接成一個(gè)專用網(wǎng)絡(luò)。現(xiàn)從公司分部，以私網(wǎng)IP地址訪問公司總部的網(wǎng)絡(luò)。

首先，發(fā)送端的明文流量進(jìn)入VPN設(shè)備，根據(jù)訪問控制列表和安全策略決定該流量是直接明文轉(zhuǎn)發(fā)，還是加密封裝后進(jìn)入安全隧道轉(zhuǎn)發(fā)，還是將該流量丟棄。

若需進(jìn)入安全隧道，先把包括私網(wǎng)IP地址在內(nèi)的數(shù)據(jù)報(bào)文進(jìn)行加密，以確保數(shù)據(jù)的私密性；再將安全協(xié)議頭部、加密后的數(shù)據(jù)報(bào)文和預(yù)共享密鑰與一起進(jìn)行HASH運(yùn)算提取指紋，即進(jìn)行HMAC，以確保數(shù)據(jù)的完整性和源認(rèn)證；再封裝上新的公網(wǎng)IP地址，轉(zhuǎn)發(fā)進(jìn)入公網(wǎng)。數(shù)據(jù)在公網(wǎng)傳輸?shù)倪^程，即是在安全隧道中傳輸?shù)倪^程，除了公網(wǎng)IP地址是明文的，其它部分都被加密封裝保護(hù)起來了。數(shù)據(jù)到達(dá)隧道的另一端，即到達(dá)公司總部后，先由VPN設(shè)備對(duì)數(shù)據(jù)包進(jìn)行裝配、還原，經(jīng)過認(rèn)證、解密，獲取、查看其私網(wǎng)目的IP地址，轉(zhuǎn)發(fā)到公司總部的目的地。任務(wù)4.1IPSECVPN

因?yàn)镮P協(xié)議在設(shè)計(jì)之初并沒有考慮安全性，存在很多安全隱患，所以在隨后的IPV6設(shè)計(jì)中，加強(qiáng)了安全設(shè)計(jì)，IPSec（IPSecurity）成為IPV6的重要組成部分。IPSec不僅是IPV6的一個(gè)部分，同時(shí)，它也能被IPv4使用，通過IPSec可以選擇所需的安全協(xié)議、算法、定義密鑰的生成與交換方法，為通信節(jié)點(diǎn)間提供安全的IP傳輸通道。

IPSec使用兩種安全協(xié)議提供服務(wù)，一種是AH（AuthenticationHeader,驗(yàn)證頭），另一種是ESP（EncapsulatingSecurityPayload，封裝安全載荷）。其中，AH協(xié)議只提供源認(rèn)證和完整性校驗(yàn)，不提供加密保護(hù)。ESP協(xié)議則提供加密、源認(rèn)證和完整性校驗(yàn)。

不論是AH還是ESP，都有兩種工作模式，一種是傳輸模式（TransportMode），另一種是隧道模式（TunnelMode）。在傳輸模式中，源和目的IP地址及IP包頭域是不加密的，從源到目的端的數(shù)據(jù)使用原來的IP地址進(jìn)行通信。攻擊者截獲數(shù)據(jù)后，雖無(wú)法破解數(shù)據(jù)內(nèi)容，但可看到通信雙方的地址信息。傳輸模式適用于保護(hù)端到端的通信，如局域網(wǎng)內(nèi)網(wǎng)絡(luò)管理員遠(yuǎn)程網(wǎng)管設(shè)備時(shí)的通道加密。

隧道模式中，用戶的整個(gè)IP數(shù)據(jù)包被加密后封裝在一個(gè)新的IP數(shù)據(jù)包中，新的源和目的IP地址是隧道兩端的兩個(gè)安全網(wǎng)關(guān)的IP地址，原來的IP地址被加密封裝起來了。攻擊者截獲數(shù)據(jù)后，不但無(wú)法破解數(shù)據(jù)內(nèi)容，而且也無(wú)法了解通信雙方的地址信息。隧道模式適用于站點(diǎn)到站點(diǎn)間建立隧道，保護(hù)站點(diǎn)間的通信數(shù)據(jù)，如跨越公網(wǎng)的總公司和分公司、移動(dòng)用戶通過公網(wǎng)訪問公司內(nèi)網(wǎng)等場(chǎng)景。

IPSECVPN的傳輸分為兩個(gè)階段，協(xié)商階段和數(shù)據(jù)傳輸階段。

如圖4-1-1所示，打開EVE-NG，搭建實(shí)驗(yàn)拓?fù)洹D4-1-1實(shí)驗(yàn)拓?fù)鋱D

一、基礎(chǔ)配置：1.IP地址配置：VPCS1>ip54R1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshuR1(config-if)#intg0/0R1(config-if)#ipaddR1(config-if)#noshuR2(config)#intg0/0R2(config-if)#ipaddR2(config-if)#noshuR2(config-if)#intg0/1R2(config-if)#ipaddR2(config-if)#noshuR3(config)#intg0/1R3(config-if)#ipaddR3(config-if)#noshuR3(config-if)#intg0/0R3(config-if)#ipaddR3(config-if)#noshuR4(config)#intg0/0R4(config-if)#ipaddR4(config-if)#noshuR4(config-if)#intg0/1R4(config-if)#ipadd54R4(config-if)#noshuVPCS2>ip542.配置內(nèi)網(wǎng)路由（1）總公司網(wǎng)絡(luò)內(nèi)部互通，配置如下：R2(config)#iproute（2）為總公司內(nèi)部路由器R1配置默認(rèn)路由：R1(config)#iproute（3）分公司網(wǎng)絡(luò)內(nèi)部已互通，不需要配置。3.配置外網(wǎng)路由，使Internet公網(wǎng)互通：R2(config)#iprouteR4(config)#iproute

二、為R2配置IPSecVPN

采用IPSec保護(hù)通信雙方的數(shù)據(jù)，需要通信雙方協(xié)商決定一個(gè)SA（SecurityAssociation，安全聯(lián)盟），SA是單向的，它包括協(xié)議、算法、密鑰等內(nèi)容。IPSecSA由三個(gè)參數(shù)唯一標(biāo)識(shí)，這三個(gè)參數(shù)是：目的IP地址、安全協(xié)議（ESP或AH）和一個(gè)稱為SPI（SecurityParametersIndex）的32位值。SPI可以手工指定，也可以由第一階段自動(dòng)生成。

通信雙方需要保護(hù)的數(shù)據(jù)稱為感興趣流，通過ACL配置，ACL允許的流量，將被保護(hù)。保護(hù)感興趣流所用的安全協(xié)議（AH、ESP），工作模式（transport、tunnel），加密算法（des、3des、aes、gcm、gmac、seal），驗(yàn)證算法（md5、sha、sha256、sha384、sha512），由第二階段的ipsec轉(zhuǎn)換集來定義。

第二階段還要定義安全策略cryptomap用來指定對(duì)哪個(gè)感興趣流進(jìn)行保護(hù)；保護(hù)感興趣流時(shí)采用哪個(gè)ipsec轉(zhuǎn)換集；指定密鑰和SPI等參數(shù)的產(chǎn)生方法是手工配置，還是通過調(diào)用第一階段的IKE自動(dòng)協(xié)商生成；對(duì)于隧道模式還要指定隧道對(duì)端的IP地址。

相同策略名不同序號(hào)的安全策略構(gòu)成一個(gè)安全策略組，一個(gè)安全策略組可以應(yīng)用到一個(gè)接口上。將安全策略組應(yīng)用到安全網(wǎng)關(guān)的接口上后，一旦有流量經(jīng)過這個(gè)接口，就會(huì)撞上這個(gè)cryptomap安全策略組，若該這些流量匹配這個(gè)安全策略組指定的感興趣流，就對(duì)這些流量進(jìn)行加密封裝，同時(shí)加上新的源IP地址和目的IP地址。再根據(jù)新的目的IP地址，重新查路由表送出受保護(hù)的流量。為R2配置IPSecVPN的方法如下：1.啟用IKER2(config)#cryptoisakmpenable命令cryptoisakmpenable用于啟用第一階段的IKE。IKE（InternetKeyExchange,因特網(wǎng)密鑰交換）是一種通用的交換協(xié)議，可為IPSEC提供自動(dòng)協(xié)商交換密鑰的服務(wù)。若第二階段的安全策略cryptomap指定密鑰和SPI等參數(shù)的產(chǎn)生方式是通過調(diào)用第一階段的IKE自動(dòng)協(xié)商產(chǎn)生，則需要啟用IKE，IKE默認(rèn)已經(jīng)啟用，若被手工關(guān)閉，則需再次啟用。IKE采用了ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）所定義的密鑰交換框架體系，若無(wú)特殊說明，后文中IKE與ISAKMP這兩個(gè)詞可互相通用。2.配置第一階段：1）創(chuàng)建isakmppolicy10，查看默認(rèn)參數(shù)：R2(config)#cryptoisakmppolicy10R2#showcryptoisakmppolicyGlobalIKEpolicyProtectionsuiteofpriority10encryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:SecureHashStandardauthenticationmethod:Rivest-Shamir-AdlemanSignatureDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimit可以看到IKE的默認(rèn)參數(shù)：加密算法是DES，驗(yàn)證算法是SHA，驗(yàn)證方法是RSA簽名，DH組是組1，ISAKMPSA的存活時(shí)間是86400秒。2）為isakmppolicy10自定義參數(shù)：R2(config)#cryptoisakmppolicy10R2(config-isakmp)#encryption3desR2(config-isakmp)#hashsha512R2(config-isakmp)#authenticationpre-share//將驗(yàn)證方法設(shè)置為預(yù)共享密鑰。R2(config-isakmp)#group23）配置ISAKMP預(yù)共享密鑰：R2(config)#cryptoisakmpkeyciscoaddress3.配置第二階段：（1）配置感興趣流。通過ACL配置感興趣流，ACL允許的流量將被保護(hù)。命令如下：R2(config)#ipaccess-listextendedvpnacl1R2(config-ext-nacl)#permitip55552）配置ipsec轉(zhuǎn)換集：ipsec轉(zhuǎn)換集用來定義保護(hù)感興趣流所用的安全協(xié)議（AH、ESP），工作模式（transport、tunnel），加密算法（des、3des、aes、gcm、gmac、seal），驗(yàn)證算法（md5、sha、sha256、sha384、sha512）。R2(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmac3）配置第二階段的安全策略cryptomap安全策略由策略名、序號(hào)組成，相同策略名的安全策略構(gòu)成一個(gè)安全策略組，一個(gè)接口只能連接一個(gè)安全策略組。安全策略用來指定對(duì)哪個(gè)感興趣流進(jìn)行保護(hù)；保護(hù)時(shí)采用哪個(gè)ipsec轉(zhuǎn)換集；密鑰和SPI等參數(shù)的產(chǎn)生方法是手工指定，還是通過調(diào)用第一階段的IKE自動(dòng)協(xié)商生成；隧道模式下還要指定隧道對(duì)端的IP地址。R2(config)#cryptomapcrymap110ipsec-isakmp//關(guān)鍵字ipsec-isakmp指密鑰和SPI等參數(shù)由第一階段isakmp自動(dòng)協(xié)商生成。R2(config-crypto-map)#matchaddressvpnacl1R2(config-crypto-map)#settransform-settrans1R2(config-crypto-map)#setpeer4.在外部接口調(diào)用cryptomapR2(config)#intg0/1R2(config-if)#cryptomapcrymap1三、配置網(wǎng)關(guān)R4在公司分部的網(wǎng)關(guān)R4上用同樣的方法進(jìn)行配置：R4(config)#cryptoisakmpenableR4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryption3desR4(config-isakmp)#hashsha512R4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#group2R4(config-isakmp)#exitR4(config)#cryptoisakmpkeyciscoaddressR4(config)#ipaccess-listextendedvpnacl2R4(config-ext-nacl)#permitip5555R4(config-ext-nacl)#exitR4(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR4(cfg-crypto-trans)#exitR4(config)#cryptomapcrymap210ipsec-isakmp（將紅色字體部分加粗）R4(config-crypto-map)#matchaddressvpnacl2R4(config-crypto-map)#setpeerR4(config-crypto-map)#settransform-settrans1R4(config-crypto-map)#exitR4(config)#intg0/0R4(config-if)#cryptomapcrymap2四、配置總部與分部間的私網(wǎng)路由1.在總部出口網(wǎng)關(guān)上配置去往分部?jī)?nèi)網(wǎng)的路由。在總部的出口網(wǎng)關(guān)R2上，配置“iproute”，R2遇到去往的流量，通過查路由表，從g0/1接口送出。在g0/1接口上，撞上cryptomap，匹配感興趣流，并根據(jù)IPSECVPN的配置，對(duì)數(shù)據(jù)進(jìn)行加密封裝，同時(shí)加上新的源IP地址和目的IP地址，分別是源，目的。根據(jù)新的目的IP地址，重新查路由表，發(fā)現(xiàn)出接口是g0/1，再把加密后的數(shù)據(jù)從g0/1送出。配置命令如下：R2(config)#iproute2.在分部出口網(wǎng)關(guān)上配置去往總部?jī)?nèi)網(wǎng)的路由。R4(config)#iproute五、測(cè)試及查詢：1.ping測(cè)試R1#pingsource54re100由于源地址54和目的地址匹配感興趣流，所以路由器會(huì)將這些從54出發(fā)的ICMP數(shù)據(jù)包加密封裝后送往目的IP地址。2.查詢配置及狀態(tài)1）查詢crypto的相關(guān)配置R2#showrun|secryptocryptoisakmppolicy10encr3deshashsha512authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-settrans1esp-aesesp-sha512-hmacmodetunnelcryptomapcrymap110ipsec-isakmpsetpeersettransform-settrans1matchaddressvpnacl1cryptomapcrymap12）查詢第一階段的安全聯(lián)盟SAR2#showcryptoisakmpsaIPv4CryptoISAKMPSAdstsrcstateconn-idstatusQM_IDLE1001ACTIVEIPv6CryptoISAKMPSA3）查詢cryptoengine連接狀態(tài)。R2#showcryptoengineconnectionsactiveCryptoEngineConnectionsIDTypeAlgorithmEncryptDecryptLastSeqNIP-Address1IPsecAES+SHA512099992IPsecAES+SHA51299001001IKESHA512+3DES000（4）查詢第二階段的安全聯(lián)盟SA，命令如下：R2#showcryptoipsecsa（5）查詢cryptosession，命令如下：R2#showcryptosession六、清除安全聯(lián)盟SA1.清除第一階段安全聯(lián)盟ISAKMP/IKESAR2#clearcryptoisakmp2.清除第二階段安全聯(lián)盟IPSECSAR2#clearcryptosa謝謝欣賞第4章虛擬專用網(wǎng)技術(shù)任務(wù)4.2.1配置GREOverIPSec任務(wù)4.2配置GREOverIPSec和SVTIVPN

IPSECVPN通過校驗(yàn)算法、驗(yàn)證算法和加密算法確保了數(shù)據(jù)在公網(wǎng)上傳輸時(shí)的安全性，但I(xiàn)OS12.4之前版本的IPSEC，無(wú)法使用虛擬隧道接口技術(shù)，難以很好的支持組播和路由協(xié)議等IP協(xié)議族中的協(xié)議，只適用于簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境。

GRE（GenericRoutingEncapsulation，通用路由封裝），是一種通用的封裝協(xié)議，采用的虛擬隧道接口，可以支持組播、廣播和路由等協(xié)議，實(shí)現(xiàn)任意一種網(wǎng)絡(luò)層協(xié)議在另一種網(wǎng)絡(luò)層協(xié)議上的封裝。但是GRE不能確保數(shù)據(jù)的私密性、完整性和源認(rèn)證。

將IPSEC和GRE結(jié)合起來，綜合了兩者的優(yōu)點(diǎn)，既能保證數(shù)據(jù)的安全性，又可以支持組播、廣播，可以配置動(dòng)態(tài)路由協(xié)議以及配置ACL、QoS等對(duì)數(shù)據(jù)流進(jìn)行控制。

IOS12.4之后全新的虛擬隧道接口（VirtualTunnelInterface，VTI）技術(shù)不再需要依托GRE，可直接使用IPSec建立隧道接口，并且比GREOverIPSec少了4個(gè)字節(jié)的GRE頭部。VTI技術(shù)分為SVTI(靜態(tài)VTI)和動(dòng)態(tài)VTI（DVTI），其中SVTI可用于替換傳統(tǒng)的靜態(tài)cryptomap配置，用于站點(diǎn)到站點(diǎn)的VPN。

本節(jié)將分別介紹GREOverIPSec和SVTIVPN的配置。任務(wù)4.2.1配置GREOVERIPSec如圖4-2-1所示，打開EVE-NG，搭建實(shí)驗(yàn)拓?fù)?。圖4-2-1GREOverIPSec和SVTIVPN實(shí)驗(yàn)拓?fù)鋱D一、基礎(chǔ)配置：VPCS1>ip54R1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshuR1(config-if)#intg0/0R1(config-if)#ipaddR1(config-if)#noshuR2(config)#intg0/0R2(config-if)#ipaddR2(config-if)#noshuR2(config-if)#intg0/1R2(config-if)#ipaddR2(config-if)#noshuR3(config)#intg0/1R3(config-if)#ipaddR3(config-if)#noshuR3(config-if)#intg0/0R3(config-if)#ipaddR3(config-if)#noshuR4(config)#intg0/0R4(config-if)#ipaddR4(config-if)#noshuR4(config-if)#intg0/1R4(config-if)#ipadd54R4(config-if)#noshuVPCS2>ip54配置Internet路由：R2(config)#iprouteR4(config)#iproute二、配置GREoveripsec配置GREoveripsec與配置IPSECVPN類似，需要配置cryptoisakmp策略、ipsec轉(zhuǎn)換集、感興趣流、cryptomap（含對(duì)等體等）。要注意的是，感興趣流的配置是“permitgrehosthost”，匹配的是gre流量，不是ip流量；源、目地址匹配的是公網(wǎng)地址，不是私網(wǎng)地址。配置R2的tunnel0：R2(config)#inttunnel0R2(config-if)#ipaddR2(config-if)#tunnelsourceR2(config-if)#tunneldestination配置R4的tunnel0：R4(config)#inttunnel0R4(config-if)#ipaddR4(config-if)#tunnelsourceR4(config-if)#tunneldestination在R4上運(yùn)行ping測(cè)試：R4#ping//能成功ping通在R2上，配置GREoveripsec：R2(config)#cryptoisakmppolicy10R2(config-isakmp)#encryptionaesR2(config-isakmp)#hashsha512R2(config-isakmp)#authenticationpre-shareR2(config-isakmp)#group2R2(config-isakmp)#exitR2(config)#cryptoisakmpkeyciscoaddressR2(config)#ipaccess-listextendedvpnacl1R2(config-ext-nacl)#permitgrehosthostR2(config-ext-nacl)#exitR2(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR2(cfg-crypto-trans)#exitR2(config)#cryptomapcrymap110ipsec-isakmpR2(config-crypto-map)#matchaddressvpnacl1R2(config-crypto-map)#setpeerR2(config-crypto-map)#settransform-settrans1R2(config-crypto-map)#exitR2(config)#intg0/1R2(config-if)#cryptomapcrymap1

R4上，配置GREoveripsecR4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryptionaesR4(config-isakmp)#hashsha512R4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#group2R4(config-isakmp)#exitR4(config)#cryptoisakmpkeyciscoaddressR4(config)#ipaccess-listextendedvpnacl1R4(config-ext-nacl)#permitgrehosthostR4(config-ext-nacl)#exitR4(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR4(cfg-crypto-trans)#exitR4(config)#cryptomapcrymap110ipsec-isakmpR4(config-crypto-map)#matchaddressvpnacl1R4(config-crypto-map)#setpeerR4(config-crypto-map)#settransform-settrans1R4(config-crypto-map)#exitR4(config)#intg0/0R4(config-if)#cryptomapcrymap1三、為私網(wǎng)配置動(dòng)態(tài)路由：R1(config)#routerospf1R1(config-router)#network55area0R1(config-router)#network55area0R2(config)#routerospf1R2(config-router)#network55area0R2(config-router)#network55area0R4(config)#routerospf1R4(config-router)#network55area0R4(config-router)#network55area0測(cè)試：VPCS2>ping，能成功ping通。謝謝欣賞第4章虛擬專用網(wǎng)技術(shù)任務(wù)4.2.2配置SVTIVPN任務(wù)4.2配置GREOverIPSec和SVTIVPN

IPSECVPN通過校驗(yàn)算法、驗(yàn)證算法和加密算法確保了數(shù)據(jù)在公網(wǎng)上傳輸時(shí)的安全性，但I(xiàn)OS12.4之前版本的IPSEC，無(wú)法使用虛擬隧道接口技術(shù)，難以很好的支持組播和路由協(xié)議等IP協(xié)議族中的協(xié)議，只適用于簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境。

GRE（GenericRoutingEncapsulation，通用路由封裝），是一種通用的封裝協(xié)議，采用的虛擬隧道接口，可以支持組播、廣播和路由等協(xié)議，實(shí)現(xiàn)任意一種網(wǎng)絡(luò)層協(xié)議在另一種網(wǎng)絡(luò)層協(xié)議上的封裝。但是GRE不能確保數(shù)據(jù)的私密性、完整性和源認(rèn)證。

將IPSEC和GRE結(jié)合起來，綜合了兩者的優(yōu)點(diǎn)，既能保證數(shù)據(jù)的安全性，又可以支持組播、廣播，可以配置動(dòng)態(tài)路由協(xié)議以及配置ACL、QoS等對(duì)數(shù)據(jù)流進(jìn)行控制。

IOS12.4之后全新的虛擬隧道接口（VirtualTunnelInterface，VTI）技術(shù)不再需要依托GRE，可直接使用IPSec建立隧道接口，并且比GREOverIPSec少了4個(gè)字節(jié)的GRE頭部。VTI技術(shù)分為SVTI(靜態(tài)VTI)和動(dòng)態(tài)VTI（DVTI），其中SVTI可用于替換傳統(tǒng)的靜態(tài)cryptomap配置，用于站點(diǎn)到站點(diǎn)的VPN。

本節(jié)將分別介紹GREOverIPSec和SVTIVPN的配置。

VTI技術(shù)分為靜態(tài)VTI(SVTI)和動(dòng)態(tài)VTI（DVTI），其中SVTI可用于替換傳統(tǒng)的靜態(tài)cryptomap配置，用于站點(diǎn)到站點(diǎn)的VPN。但SVTI技術(shù)需要IOS12.4之后的版本才能支持，一些老于12.4版本的設(shè)備只能采用GREOverIPSEC技術(shù)。一、基礎(chǔ)配置VPCS1>ip54R1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshuR1(config-if)#intg0/0R1(config-if)#ipaddR1(config-if)#noshu任務(wù)4.2.2配置SVTIVPNR2(config)#intg0/0R2(config-if)#ipaddR2(config-if)#noshuR2(config-if)#intg0/1R2(config-if)#ipaddR2(config-if)#noshuR3(config)#intg0/1R3(config-if)#ipaddR3(config-if)#noshuR3(config-if)#intg0/0R3(config-if)#ipaddR3(config-if)#noshuR4(config)#intg0/0R4(config-if)#ipaddR4(config-if)#noshuR4(config-if)#intg0/1R4(config-if)#ipadd54R4(config-if)#noshuVPCS2>ip54配置Internet路由：R2(config)#iprouteR4(config)#iproute二、配置SVTIVPN在R2上配置SVTIVPN：R2(config)#cryptoisakmppolicy10R2(config-isakmp)#encryptionaesR2(config-isakmp)#hashsha512R2(config-isakmp)#authenticationpre-shareR2(config-isakmp)#group2R2(config-isakmp)#exitR2(config)#cryptoisakmpkeyciscoaddress（下面請(qǐng)空一行）R2(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR2(cfg-crypto-trans)#exitR2(config)#cryptoipsecprofilepro1R2(ipsec-profile)#settransform-settrans1R2(ipsec-profile)#exitR2(config)#inttunnel0R2(config-if)#ipaddR2(config-if)#tunnelsourceR2(config-if)#tunneldestinationR2(config-if)#tunnelmodeipsecipv4R2(config-if)#tunnelprotectionipsecprofilepro1R2(config-if)#end三、R4上SVTI的配置R4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryptionaesR4(config-isakmp)#hashsha512R4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#group2R4(config-isakmp)#exitR4(config)#cryptoisakmpkeyciscoaddressR4(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR4(cfg-crypto-trans)#exitR4(config)#cryptoipsecprofileprofile1R4(ipsec-profile)#settransform-settrans1R4(ipsec-profile)#exitR4(config)#inttunnel0R4(config-if)#ipaddR4(config-if)#tunnelsourceR4(config-if)#tunneldestinationR4(config-if)#tunnelmodeipsecipv4R4(config-if)#tunnelprotectionipsecprofileprofile1R4(config-if)#end三、為私網(wǎng)配置動(dòng)態(tài)路由：配置如下：R1(config)#routerospf1R1(config-router)#network55area0R1(config-router)#network55area0R2(config)#routerospf1R2(config-router)#network55area0R2(config-router)#network55area0R4(config)#routerospf1R4(config-router)#network55area0R4(config-router)#network55area0測(cè)試：VPCS2>ping，能成功ping通。謝謝欣賞第4章虛擬專用網(wǎng)技術(shù)任務(wù)4.3.1配置無(wú)客戶端SSLVPN

SSL（SecureSocketsLayer，安全套接層）是一個(gè)工作在TCP與應(yīng)用層之間的安全協(xié)議。它綜合運(yùn)用了各種加密技術(shù)，實(shí)現(xiàn)了私密性、信息完整性和身份認(rèn)證等特性，可用于加密HTTP、郵件、VPN等。

第3章中介紹了SSL在加密HTTP方面的應(yīng)用，下面，分別對(duì)無(wú)客戶端SSLVPN，瘦客戶端SSLVPN，厚客戶端SSLVPN進(jìn)行講解。4.3SSLVPN

如圖4-3-1所示，打開EVE-NG，搭建實(shí)驗(yàn)拓?fù)?。任?wù)4.3.1配置無(wú)客戶端SSLVPN圖4-3-1SSLVPN實(shí)驗(yàn)拓?fù)鋱D

無(wú)客戶端的Web接入是SSLVPN最常見的接入方式，采用Web反向代理技術(shù)。具體配置如下：

一、外網(wǎng)Win7主機(jī)的配置外網(wǎng)Win7主機(jī)用于模擬在外出差員工電腦，同時(shí)用作圖形界面網(wǎng)管防火墻的電腦。方法是通過VMware打開第二章防火墻實(shí)驗(yàn)中的Win7網(wǎng)管電腦，將其恢復(fù)到第二章實(shí)驗(yàn)時(shí)保存的快照，即恢復(fù)到已經(jīng)安裝好“JRE和ASDM”狀態(tài)的快照，并將IP地址等基本配置按新實(shí)驗(yàn)更改如下：IP地址：子網(wǎng)掩碼:缺省網(wǎng)關(guān):不要配置網(wǎng)絡(luò)連接到：VMnet1二、內(nèi)網(wǎng)服務(wù)器及外網(wǎng)電腦的配置通過VMware打開第二章防火墻實(shí)驗(yàn)中的DMZ服務(wù)器Win2003，將其恢復(fù)到第二章實(shí)驗(yàn)時(shí)保存的快照，即已經(jīng)安裝好“IIS”狀態(tài)的快照，并將IP地址等基本配置更改如下：IP地址：子網(wǎng)掩碼：缺省網(wǎng)關(guān):54網(wǎng)絡(luò)連接到：VMnet2在IIS中，停用之前的網(wǎng)站，并新建一個(gè)網(wǎng)站，本機(jī)上測(cè)試能正常訪問。三、路由器和防火墻的基本配置1.路由器R1的基本配置，命令如下：R1(config)#intg0/0R1(config-if)#ipaddR1(config-if)#noshuR1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshu2.防火墻的IP地址、接口命名、接口安全級(jí)別等配置，命令如下：ciscoasa(config)#intg0/1ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshuciscoasa(config-if)#nameifOutsideINFO:Securitylevelfor"Outside"setto0bydefault.ciscoasa(config-if)#intg0/0ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshuciscoasa(config-if)#nameifInsideINFO:Securitylevelfor"Inside"setto100bydefault.3.啟用對(duì)ASAv防火墻的圖形界面管理，命令如下：ciscoasa(config)#httpserverenableciscoasa(config)#http00Outside四、內(nèi)網(wǎng)路由表的配置內(nèi)網(wǎng)有兩個(gè)網(wǎng)段。內(nèi)網(wǎng)路由器與兩個(gè)網(wǎng)段都直連，無(wú)需配置路由表；防火墻只直連了內(nèi)網(wǎng)的一個(gè)網(wǎng)段，需要為另一個(gè)網(wǎng)段配置靜態(tài)路由，配置命令如下：ciscoasa(config)#routeinside五、檢測(cè)防火墻的當(dāng)前日期和時(shí)間，將其設(shè)置成與Win7電腦的日期和時(shí)間同步ciscoasa(config)#showclock//查看當(dāng)前日期和時(shí)間ciscoasa(config)#clockset18:32:0030Dec2023//設(shè)置日期和時(shí)間六、SSLVPN無(wú)客戶端方式的配置（一）圖形界面的配置1.在外網(wǎng)的Win7上，運(yùn)行ASDM，輸入防火墻外網(wǎng)接口地址54，用戶名和密碼留空，點(diǎn)擊“OK”按鈕，進(jìn)入防火墻的圖形管理界面。2.如圖4-3-2所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>ConnectionProfiles>在“EnableinterfacesforclientlessSSLVPNaccess”中勾選Outside接口>點(diǎn)擊“Apply”按鈕。允許無(wú)客戶端SSLVPN從防火墻外網(wǎng)接口連接。圖4-3-2SSLVPN無(wú)客戶端方式的配置13.如圖4-3-3所示，找到Configuation>RemmoteAccessVPN>AAA/LocalUsers>LocalUsers>點(diǎn)擊“Add”按鈕>創(chuàng)建新用戶“user1”，密碼設(shè)為“cisco@1234”>點(diǎn)擊“OK”按鈕>點(diǎn)擊“Apply”按鈕。圖4-3-3SSLVPN無(wú)客戶端方式的配置2（二）字符界面的配置與圖形界面類似，可用字符界面實(shí)現(xiàn)同樣的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config-webvpn)#enableOutsideINFO:WebVPNandDTLSareenabledon'Outside'.ciscoasa(config-webvpn)#exitciscoasa(config)#usernameuser1passwordcisco@1234六、測(cè)試1.在外網(wǎng)的Win7電腦上，打開瀏覽器，輸入54，訪問防火墻的SSLVPN服務(wù)。2.出現(xiàn)“此網(wǎng)站的安全證書有問題”的提示時(shí)，點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站（不推薦）”繼續(xù)。3.輸入用戶名user1及密碼cisco@1234，點(diǎn)擊“Login”按鈕。用win7訪問https是正常的，但若采用Win2003訪問https會(huì)失敗。這是因?yàn)閣in2003及其早期版本不支持SHA2，導(dǎo)致HTTPS交互失敗。若要使用Win2003訪問，解決的方法一是給win2003打上968730的補(bǔ)丁，重啟win2003服務(wù)器；二是為win2003安裝支持SHA2的瀏覽器，如：百度瀏覽器、oprea瀏覽器等。4.如圖4-3-4所示，在SSLVPNService的Home選項(xiàng)，“http://”地址欄中輸入要訪問的內(nèi)網(wǎng)地址“”，點(diǎn)擊“Browse”按鈕。5.此時(shí)，外網(wǎng)的Win7客戶端可成功訪問內(nèi)網(wǎng)的網(wǎng)站。圖4-3-4

SSLVPNService謝謝欣賞第4章虛擬專用網(wǎng)技術(shù)任務(wù)4.3.2配置瘦客戶端SSLVPN

無(wú)客戶端的Web接入方式不需要客戶端，適用于訪問Web類資源。目前很多網(wǎng)絡(luò)應(yīng)用有各自的應(yīng)用層協(xié)議和不同的Web瀏覽器客戶端，需要使用瘦客戶端的TCP接入方式。瘦客戶端方式也稱為端口轉(zhuǎn)發(fā)方式。以遠(yuǎn)程桌面遠(yuǎn)程控制內(nèi)網(wǎng)服務(wù)器為例，具體配置方法如下：一、內(nèi)網(wǎng)Win2003服務(wù)器的配置1.為內(nèi)網(wǎng)Win2003服務(wù)器的administrator帳戶設(shè)置密碼。2.為內(nèi)網(wǎng)Win2003服務(wù)器開啟3389遠(yuǎn)程桌面。方法是：右擊“我的電腦”，選“屬性”，再選擇“遠(yuǎn)程”選項(xiàng)夾，勾選“遠(yuǎn)程桌面”框中的“啟用這臺(tái)計(jì)算機(jī)上的遠(yuǎn)程桌面”選項(xiàng)，點(diǎn)擊“確定”按鈕。任務(wù)4.3.2配置瘦客戶端SSLVPN二、在ASAv防火墻上定義webvpn的端口轉(zhuǎn)發(fā)策略并在組策略中應(yīng)用（一）圖形界面的配置

1.在外網(wǎng)的Win7上運(yùn)行ASDM，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>ConnectionProfiles>在“EnableinterfacesforclientlessSSLVPNaccess”中勾選Outside接口>點(diǎn)擊“Apply”按鈕。允許無(wú)客戶端SSLVPN從防火墻外網(wǎng)接口連接。

2.如圖4-3-5所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>Portal>PortForwarding>點(diǎn)擊“Add”按鈕>在“AddPortForwardingEntry”對(duì)話框的“ListName”中輸入自定義名稱“pforward1”>點(diǎn)擊“Add”按鈕>在“AddPortForwardingEntry”對(duì)話框中>為“LocalTCPPort”欄輸入“54321”>為“RemoteServer”欄輸入“”>為“RemoteTCPPort”欄輸入“3389”>點(diǎn)擊“OK”按鈕>點(diǎn)擊“OK”按鈕>點(diǎn)擊“Apply”按鈕。

圖4-3-5SSLVPN瘦客戶端方式的配置13.如圖4-3-6所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>點(diǎn)擊“Add”按鈕>在“AddInternalGroupPolicy”對(duì)話框中，保留該新建的組策略的默認(rèn)名稱“GroupPolicy1”>點(diǎn)擊左側(cè)的“Portal”分支>在右側(cè)的“PortForwardingControl”欄中，去掉“Inherit”選項(xiàng)前的復(fù)選框，保留出現(xiàn)的“pforward1”值>點(diǎn)擊“OK”按鈕>點(diǎn)擊“Apply”按鈕。圖4-3-6SSLVPN瘦客戶端方式的配置24.如圖4-3-7所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>選中“GroupPolicy1”>點(diǎn)擊“Assign”按鈕>勾選“user1”>點(diǎn)擊“OK”按鈕>點(diǎn)擊“Apply”按鈕。圖4-3-7SSLVPN瘦客戶端方式的配置3（二）字符界面的配置與圖形界面類似，可用字符界面實(shí)現(xiàn)同樣的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config)#enableOutsideciscoasa(config-webvpn)#port-forwardpforward1543213389//其中，54321是防火墻上的端口號(hào)，3389是內(nèi)網(wǎng)Web服務(wù)器的端口號(hào)。端口轉(zhuǎn)發(fā)策略將在后面定義的組策略中應(yīng)用。ciscoasa(config-webvpn)#exitciscoasa(config)#group-policyGroupPolicy1internal//因?yàn)榻M策略配置在ASA本地，所以組策略的類型選擇Internal。ciscoasa(config)#group-policyGroupPolicy1attributes//定義組策略屬性，放入VPN策略；隨后再把組策略關(guān)聯(lián)給用戶。ciscoasa(config-group-policy)#webvpnciscoasa(config-group-webvpn)#port-forwardenablepforward1ciscoasa(config-group-webvpn)#exitciscoasa(config-group-policy)#exitciscoasa(config)#usernameuser1passwordcisco@1234ciscoasa(config)#usernameuser1attributesciscoasa(config-username)#vpn-group-policyGroupPolicy1三、外網(wǎng)計(jì)算機(jī)win7的配置1.確認(rèn)外網(wǎng)計(jì)算機(jī)win7上已經(jīng)安裝java運(yùn)行環(huán)境。因?yàn)橥饩W(wǎng)計(jì)算機(jī)Win7已經(jīng)恢復(fù)到了第二章實(shí)驗(yàn)時(shí)保存的快照（“J2RE和ASDM”已經(jīng)安裝的狀態(tài)），所以不需要重新安裝J2RE。若外網(wǎng)計(jì)算機(jī)win7還沒安裝32位的Java運(yùn)行環(huán)境，需要雙擊jre-8u101-windows-i586安裝包進(jìn)行安裝。注意，win2003不支持此版本的J2RE，所以外部計(jì)算機(jī)不要采用win2003操作系統(tǒng)。安裝完成后，在Win7的控制面板>程序中，可以看到“Java（32位）”程序。2.在外網(wǎng)計(jì)算機(jī)win7上為“Java（32位）”程序增加信任列表。方法是在外網(wǎng)計(jì)算機(jī)win7上依次找到：開始菜單>控制面板>程序>Java（32位）>“安全”選項(xiàng)夾>在“例外站點(diǎn)”列表欄中點(diǎn)擊“編輯站點(diǎn)列表”按鈕>在“例外站點(diǎn)”列表對(duì)話框中點(diǎn)擊“添加”按鈕>輸入“54”>點(diǎn)擊“確定”按鈕>在“Java控制面板”中點(diǎn)擊“確定”按鈕。3.在外網(wǎng)計(jì)算機(jī)win7上為瀏覽器添加可信站點(diǎn)。方法是在外網(wǎng)計(jì)算機(jī)win7上打開32位的IE瀏覽器，點(diǎn)擊“工具”菜單>“Internet選項(xiàng)”>“安全”選項(xiàng)卡>選擇“可信站點(diǎn)”>點(diǎn)擊“站點(diǎn)”按鈕>在“將該網(wǎng)站添加到區(qū)域”欄中輸入“54”>點(diǎn)擊“添加”按鈕>點(diǎn)擊“關(guān)閉”按鈕>點(diǎn)擊“確定”按鈕。四、在外網(wǎng)計(jì)算機(jī)win7上通過SSLVPN控制內(nèi)網(wǎng)服務(wù)器1.在外部計(jì)算機(jī)上，打開32位的IE瀏覽器，輸入54，使用用戶名user1和密碼cisco@1234進(jìn)行登錄。2.如圖4-3-8所示，選擇“ApplicationAccess”，再選擇“StartApplications”。圖4-3-8SSLVPN的瘦客戶端方式訪問界面3.出現(xiàn)如圖4-3-9所示的成功連接提示。此時(shí)，若外網(wǎng)計(jì)算機(jī)Win7通過遠(yuǎn)程桌面連接:54321時(shí)，將重定向到內(nèi)網(wǎng)服務(wù)器的:3389。圖4-3-9SSLVPN的瘦客戶端方式成功界面4.在外部計(jì)算機(jī)Win7上，打開開始菜單>所有程序>遠(yuǎn)程桌面連接，在“連接到計(jì)算機(jī)”欄中輸入“:54321”，然后點(diǎn)擊“連接”按鈕。在彈出的“無(wú)法驗(yàn)證此遠(yuǎn)程計(jì)算機(jī)的身份。是否仍要連接？”對(duì)話框中，點(diǎn)擊“是“按鈕。系統(tǒng)重定位到了:3389。出現(xiàn)Windows登錄界面，輸入內(nèi)網(wǎng)Win2003服務(wù)器的用戶名administrator及其密碼，點(diǎn)擊“確定”按鈕，可以成功登錄到內(nèi)網(wǎng)的Win2003服務(wù)器。謝謝欣賞第4章虛擬專用網(wǎng)技術(shù)任務(wù)4.3.3配置厚客戶端SSLVPN

有些網(wǎng)絡(luò)應(yīng)用的通訊機(jī)制比較復(fù)雜，尤其是一些采用動(dòng)態(tài)端口建立連接的通訊方式，往往需要SSLVPN解析應(yīng)用層的協(xié)議報(bào)文才能確定通訊雙方所要采用的端口，上述兩種接入方式就沒辦法做到這點(diǎn)了，對(duì)于這些通訊機(jī)制比較復(fù)雜的網(wǎng)絡(luò)應(yīng)用，可采用厚客戶端的IP接入方式，也稱為網(wǎng)絡(luò)擴(kuò)展方式。厚客戶端方式處于三層工作模型。下面以anyconnect客戶端為例，具體配置方法如下：

一、內(nèi)網(wǎng)Win2003服務(wù)器的配置與廋客戶端方式SSLVPN實(shí)驗(yàn)的配置相同。

二、外網(wǎng)計(jì)算機(jī)win7的配置與廋客戶端方式SSLVPN實(shí)驗(yàn)的配置相同。任務(wù)4.3.3配置厚客戶端SSLVPN三、上傳客戶端到防火墻上傳anyconnect客戶端anyconnect-win-4.4.00243-webdeploy-k9.pkg到ASA防火墻，供客戶第一次連接時(shí)自動(dòng)下載安裝。1.將anyconnect-win-4.4.00243-webdeploy-k9.pkg復(fù)制到外網(wǎng)Win7電腦的C:盤上。2.在ASDM圖形管理界面，選擇“Tools”菜單，然后選擇“FileManagment...”。3.如圖4-3-10所示，在彈出的“FileManagement”對(duì)話框中，選擇“FileTransfer”，然后選擇”BetweenLocalPCandFlash...“。圖4-3-10

文件管理-文件傳輸14.如圖4-3-11所示，在左側(cè)的“LocalComputer”中選擇C:盤中的“anyconnect-win-4.4.00243-webdeploy-k9.pkg”文件，然后點(diǎn)擊“-->”按鈕，將anyconnect客戶端軟件上傳到ASA防火墻的disk0:中。5.在ASAv防火墻上，使用命令showflash:查看，可以看到anyconnect-win-4.4.00243-webdeploy-k9.pkg已經(jīng)上傳成功。命令如下：ciscoasa(config)#showflash:#length----date/time----path8430095556Dec11201803:55:22anyconnect-win-4.4.00243-webdeploy-k9.pkg圖4-3-11

文件管理-文件傳輸2四、防火墻上的厚客戶端方式SSLVPN配置（一）圖形界面的配置1.如圖4-3-12所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AnyConnectClientSoftware>點(diǎn)擊“Add”按鈕>點(diǎn)擊“BrowseFlash...”按鈕>選中“anyconnect-win-4.4.00243-webdeploy-k9.pkg”文件>點(diǎn)擊“OK”按鈕>點(diǎn)擊“OK”按鈕>點(diǎn)擊“Apply”按鈕。圖4-3-12

厚客戶端方式SSLVPN配置12.如圖4-3-13所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AnyConnectConnectionProfiles>勾選“EnableCiscoAnyConnectVPNClientaccessontheinterfacesselectedinthetablebelow”>勾選“Outside”的AllowAccess和EnableDTLS選項(xiàng)>點(diǎn)擊“Apply”按鈕。圖4-3-13

厚客戶端方式SSLVPN配置23.如圖4-3-14所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AddressPools>點(diǎn)擊“Add”按鈕>Name填寫“pool1”>startingIPAddress填寫“00”