收藏
下载资源 加入VIP免费专享

VPN配置培训课程.ppt

上传人:仙人指路1688 文档编号:2721291 上传时间:2023-02-23 格式:PPT 页数:42 大小:1.22MB
返回 下载 相关 举报
VPN配置培训课程.ppt_第1页
第1页 / 共42页
VPN配置培训课程.ppt_第2页
第2页 / 共42页
VPN配置培训课程.ppt_第3页
第3页 / 共42页
VPN配置培训课程.ppt_第4页
第4页 / 共42页
VPN配置培训课程.ppt_第5页
第5页 / 共42页
点击查看更多>>
资源描述

《VPN配置培训课程.ppt》由会员分享,可在线阅读,更多相关《VPN配置培训课程.ppt(42页珍藏版)》请在三一办公上搜索。

1、VPN培训课程,主讲人:安徽新华电脑学院,本章目标,能够配置VPN,使企业办事处能够通过VPN远程接入企业网络中心了解VPN的基本概念熟悉VPN的工作原理了解VPN的加密算法熟悉GRE VPN技术熟悉IPsec VPN技术能够在Cisco路由器上配置GRE、IPsec VPN,Internet,VPN的定义,VPN Virtual Private Network,VPN的优点,Internet,专线,中心站点,分支机构,专线方式,VPN方式,费用高灵活性差广域网的管理复杂的拓扑结构,费用低灵活性好简单的网络管理隧道的拓扑结构,按实现的层次分类,二层隧道VPNL2TP:Layer 2 Tunne

2、l Protocol(RFC 2661)PPTP:Point To Point Tunnel ProtocolL2F:Layer 2 Forwarding三层隧道VPN GRE:General Routing Encapsulation IPSEC:IP Security Protocol,VPN的工作原理,VPN=加密隧道,明文,明文,访问控制,报文加密,报文认证,IP封装,IP解封,报文认证,报文解密,访问控制,公共IP网络,VPN设计原则,安全性隧道与加密数据验证用户验证防火墙与攻击检测可靠性经济性扩展性,VPN的关键技术,安全隧道技术信息加密技术用户认证技术访问控制技术,安全隧道技术,

3、为了在公网上传输私有数据而发展出来的“信息封装”(Encapsulation)方式在Internet上传输的加密数据包中,只有VPN端口或网关的IP地址暴露在外面,Internet,安全隧道,隧道协议,二层隧道VPNL2TP:Layer 2 Tunnel Protocol PPTP:Point To Point Tunnel ProtocolL2F:Layer 2 Forwarding三层隧道VPNGRE:General Routing Encapsulation IPSEC:IP Security Protocol,第二层隧道协议,建立在点对点协议PPP的基础上先把各种网络协议(IP、IPX

4、等)封装到PPP帧中,再把整个数据帧装入隧道协议适用于通过公共电话交换网或者ISDN线路连接VPN,Internet,内部网络,移动用户,访问集中器,网络服务器,PPP链接,第三层隧道协议,把各种网络协议直接装入隧道协议在可扩充性、安全性、可靠性方面优于第二层隧道协议,Internet,IP连接,信息加密技术,机密性对用户数据提供安全保护数据完整性 确保消息在传送过程中没有被修改身份验证确保宣称已经发送了消息的实体是真正发送消息的实体,明文,加密,密文,解密,明文,加密算法,对称加密DES算法AES算法IDEA算法、Blowfish算法、Skipjack算法非对称加密RSA算法PGP,对称密钥

5、,明文,密文,明文,发送方和接收方使用同一密钥通常加密比较快(可以达到线速)基于简单的数学操作(可借助硬件)需要数据的保密性时,用于大批量加密密钥的管理是最大的问题,双方使用相同的密钥,非对称密钥,每一方有两个密钥公钥,可以公开私钥,必须安全保存已知公钥,不可能推算出私钥一个密钥用于加密,一个用于解密比对称加密算法慢很多倍,公钥加密和私钥签名,用于数据保密;利用公钥加密数据,私钥解密数据,用于数字签名;发送者使用私钥加密数据,接收者用公钥解密数据,GRE,GRE(Generic Routing Encapsulation):是对某些网络层协议(如:IP,IPX,AppleTalk等)的数据报进

6、行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输GRE 提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为tunnel,GRE 协议栈,乘客协议,封装协议,运输协议,GRE协议栈,隧道接口的报文格式,链路层,GRE,IP/IPX,IP,Payload,使用GRE构建VPN,Original Data Packet,Transfer Protocol Header,GRE Header,Internet,Tunnel,企业总部,分支机构,GRE的配置任务及命令,创建虚拟Tunnel接口 Router(config)#inter

7、face tunnel tunnel-number 配置Tunnel接口的源端地址 Router(config-if)#source ip-address 配置Tunnel接口的目的地址 Router(config-if)#destination ip-address 配置Tunnel接口的网络地址 Router(config-if)#ip address ip-address mask|unnumbered interface-type interface-number,什么是IPsec,IPSec(IP Security)是 IETF为保证在Internet上传送数据的安全保密性,而制定的

8、框架协议应用在网络层,保护和认证用IP数据包 是开放的框架式协议,各算法之间相互独立提供了信息的机密性、数据的完整性、用户的验证和防重放保护支持隧道模式和传输模式,隧道模式和传输模式,隧道模式IPsec对整个IP数据包进行封装和加密,隐蔽了源和目的IP地址从外部看不到数据包的路由过程传输模式IPsec只对IP有效数据载荷进行封装和加密,IP源和目的IP地址不加密传送安全程度相对较低,IPsec的组成,IPSec 提供两个安全协议AH(Authentication Header)认证头协议ESP(Encapsulation Security Payload)封装安全载荷协议 密钥管理协议IKE(

9、Internet Key Exchange)因特网密钥交换协议,IPsec不是单独的一个协议,而是一整套体系结构,AH协议隧道中报文的数据源鉴别数据的完整性保护对每组IP包进行认证,防止黑客利用IP进行攻击,AH认证头协议,AH的隧道模式封装,AH验证包头,新IP 包头,数据,IP 包头,有效负载,使用散列算法计算验证值,包含在AH验证包头中,为新的IP包插入新的包头,原始IP包保持不变,为整个原始IP包提供验证,ESP封装安全载荷协议,保证数据的保密性提供报文的认证性、完整性保护,ESP的隧道模式封装,ESP头部,新IP 包头,ESP尾部,ESP验证,数据,原IP 包头,数据,原IP 包头,

10、验证,有效负载,比AH增加加密功能,如果启用,则对原始IP包进行加密后再传输,AH和ESP相比较,ESP基本提供所有的安全服务如果仅使用ESP,消耗相对较少为什么使用AHAH的认证强度比ESP强AH没有出口限制,安全联盟SA,使用安全联盟(SA)是为了解决以下问题如何保护通信数据保护什么通信数据由谁实行保护建立SA是其他IPsec服务的前提SA定义了通信双方保护一定数据流量的策略,SA的内容,一个SA通常包含以下的安全参数 认证/加密算法,密钥长度及其他的参数 认证和加密所需要的密钥 哪些数据要使用到该SA IPsec的封装协议和模式,如何保护,保护什么,由谁实行,IKE因特网密钥交换协议,在

11、IPsec网络中用于密钥管理为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥,IPsec VPN的配置,步骤1 配置IKE的协商步骤2 配置IPSEC的协商步骤3 配置端口的应用步骤4 调试并排错,配置IKE协商3-1,启动IKERouter(config)#crypto isakmp enable建立IKE协商策略Router(config)#crypto isakmp policy priority,取值范围110000数值越小,优先级越高,配置IKE协商3-2,配置IKE协商策略Router(config-isakmp)#authentication pre-

12、shareRouter(config-isakmp)#encryption des|3des Router(config-isakmp)#hash md5|sha1 Router(config-isakmp)#lifetime seconds,使用预定义密钥,加密算法,SA的活动时间,认证算法,配置IKE协商3-3,设置共享密钥和对端地址Router(config)#crypto isakmp key keystring address peer-address,密钥,对端IP,配置IPsec协商2-1,设置传输模式集Router(config)#crypto ipsec transform-

13、set transform-set-name transform1 transform2 transform3,定义了使用AH还是ESP协议,以及相应协议所用的算法,配置IPsec协商2-2,配置保护访问控制列表Router(config)#access-list access-list-number deny|permit protocol source source-wildcard destination destination-wildcard,用来定义哪些报文需要经过IPSec加密后发送,哪些报文直接发送,配置端口的应用2-1,创建Crypto MapsRouter(config)#

14、crypto map map-name seq-num ipsec-isakmp 配置Crypto MapsRouter(config-crypto-map)#match address access-list-number Router(config-crypto-map)#set peer ip_addressRouter(config-crypto-map)#set transform-set name,ACL编号,对端IP地址,传输模式的名称,Map优先级,取值范围165535,值越小,优先级越高,配置端口的应用2-2,应用Crypto Maps到端口Router(config)#in

15、terface interface_name interface_numRouter(config-if)#crypto map map-name,检查IPsec配置,查看IKE策略Router#show crypto isakmp policy查看IPsce策略Router#show crypto ipsec transform-set查看SA信息Router#show crypto ipsec sa查看加密映射Router#show crypto map,RouterA(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.20RouterA(config)#

16、crypto isakmp policy 1RouterA(config-isakmap)#hash md5RouterA(config-isakmap)#authentication preshareRouterA(config)#crypto isakmp key abc address 20.20.20.20RouterA(config)#crypto ipsec transformset xyz ahmd5hmac espdesRouterA(config)#accesslist 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255RouterA(config)#crypto map xyz-map 1 ipsecisakmpRouterA(config-crypto-map)#set peer 20.20.20.20RouterA(config-crypto-map)#set transformset xyzRouterA(config-crypto-map)#match address 101RouterA(config)#interface serial 0/0RouterA(config-if)#crypto map xyz-map,VPN配置实例,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号