收藏
下载资源 加入VIP免费专享

局域网接入安全策略.ppt

上传人:牧羊曲112 文档编号:5970200 上传时间:2023-09-09 格式:PPT 页数:45 大小:1.45MB
返回 下载 相关 举报
局域网接入安全策略.ppt_第1页
第1页 / 共45页
局域网接入安全策略.ppt_第2页
第2页 / 共45页
局域网接入安全策略.ppt_第3页
第3页 / 共45页
局域网接入安全策略.ppt_第4页
第4页 / 共45页
局域网接入安全策略.ppt_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《局域网接入安全策略.ppt》由会员分享,可在线阅读,更多相关《局域网接入安全策略.ppt(45页珍藏版)》请在三一办公上搜索。

1、26 局域网接入安全策略,模块1 构建VPN隧道,1.1 问题提出VPN能够利用Internet网络,实现安全、可靠的网上商务活动。它可以使公司获得使用公共通信基础结构所带来的便利和经济效益,同时获得使用专用的点到点连接所带来的安全。VPN可以提供设备认证、数据包完整性检查、加密等功能,可以避免窃听、伪装、中间人等网络攻击。,模块1 构建VPN隧道,1.2 相关知识,1VPN概述虚拟专用网(Virtual Private Network,VPN)的简称。利用公用的Internet网络,为本单位建立具有专用网特性的虚拟网络,实现本单位分布在地理位置不同的各个部门间利用Inernet传递需要保密的

2、商务信息。,模块1构建VPN隧道,VPN网络基础,模块1构建VPN隧道,2VPN类型(1)Access VPN,模块1 构建VPN隧道,(2)Intranet VPN,模块1 构建VPN隧道,(3)Extranet VPN,模块1 构建VPN隧道,3隧道协议(1)二层隧道协议用于传输二层网络协议,用于构建Access VPN及Extranet VPN。二层隧道协议主要有:PPTP(Point to Point Tunneling Protocol,点对点隧道协议)、L2F(Layer 2 Forwarding,二层转发协议)和L2TP(Layer 2 Tunneling Protocol,二层

3、隧道协议)。,模块1 构建VPN隧道,(2)三层隧道协议用于传输三层网络协议,用于构建Intranet VPN和Extranet VPN。三层隧道协议主要有GRE(Genneric Rounting Encapsulation,通用路由封装)和IPSec等。,模块1 构建VPN隧道,4VPN设备配置(1)项目描述假设北京的某公司在上海设立了新的分公司,分公司要远程访问总公司的各种网络资源,如信息管理系统、FTP服务器等。在Internet上传输数据本身存在安全隐患,该公司希望采用VPN技术实现数据的安全传输。,模块1 构建VPN隧道,模块2 构建GRE隧道,2.1 问题提出通过公共网络将总公司

4、与分公司连接起来要实现全网络路由互通,可以通过建立GRE隧道实现网络路由信息交换。,模块2 构建GRE隧道,2.2 相关知识,1GRE工作原理通用路由协议封装(Generic Routing Encapsulation,GRE)是由Cisco和Net-smiths等公司于1994年提交给IETF(互联网的工程任务组)的,标号为RFC1701和RFC1702,用于传输三层网络协议的隧道协议。,模块2 构建GRE隧道,路由器收到一个需要封装和路由的原始数据报文(Payload),这个报文首先被GRE封装成GRE报文,然后又被封装在IP协议中,由IP层负责此报文转发。原始报文的协议被称为乘客协议,G

5、RE被称为封装协议,而负责转发的IP协议被称为传输协议。,模块2 构建GRE隧道,GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。,模块2 构建GRE隧道,GRE优点如下:(1)多协议的本地网络可以通过单一协议的骨干网实现传输;(2)将一些不能连续的子网连接起来,用于组建VPN;(3)扩大网络的工作范围,例如,RIP最多16跳,GRE连接隧道计1跳。,模块2 构建GRE隧道,2GRE配置命令(1)进入Tunnel端口配置模式。Route(config)#interface tunnel

6、 tunnel-number其中:tunnel-number为Tunnel端口标号。,模块2 构建GRE隧道,(2)设置Tunnel端口源地址。Route(config-if)#tunnel source ip-address|interface-name interface-number一个Tunnel端口需要明确配置隧道的源地址和目的地址,为了保证隧道端口的稳定性,一般将Loopback地址作为隧道的源地址和目的地址。,模块2 构建GRE隧道,(3)设置Tunnel端口目的地址。Route(config-if)#tunnel destination ip-address 此处设置的Tunn

7、el端口目的地址是Tunnel端口用来进行实际通信的目的地址,也是Tunnel 位于远程对端的端点。,模块2 构建GRE隧道,(4)查看Tunnel端口配置情况。Route#show interfaces tunnel tunnel-number,模块2 构建GRE隧道,3GRE配置实例如下图所示网络中,路由器R1与R2之间建立Tunnel,路由器R1背后的子网与路由器R2背后的子网通过R1与R2之间的Tunnel进行通信。这种通信通过Tunnel进行,对于R1与R2之间的外部网络是透明的和不可见的,即是一种虚拟专用网(VPN)的实现。下面将给出路由器R1与R2的有关Tunnel的相关配置。,

8、模块2 构建GRE隧道,模块2 构建GRE隧道,(1)路由器R1的相关配置。R1(config)#interface Tunnel0 R1(config-if)#ip address 21.21.21.3 255.255.255.0 R1(config-if)#tunnel source R1(config-if)#tunnel destination R1(config)#interface FastEthernet0/0 R1(config-if)#exitR1(config)#interface FastEthernet0/1 R1(config-if)#ip address 202.1

9、06.101.2 255.255.255.0,模块2 构建GRE隧道,(2)路由器 R2 的相关配置。R2(config)#interface Tunnel0 R2(config-if)#ip address 21.21.21.5 255.255.255.0 R2(config-if)#tunnel source R2(config-if)#tunnel destination R2(config)#interface FastEthernet0/0 R2(config-if)#ip address 179.208.12.55 255.255.255.0 R2(config)#interfac

10、e FastEthernet0/1 R2(config-if)#ip address 67.151.69.202 255.255.25.0,模块3 构建IPSec隧道,知识目标、技能点,了解IPSec隧道协议意义,1,2,掌握IPSec隧道协议工作原理,3,掌握IPSec隧道协议配置技能,模块3 构建IPSec隧道,3.1 问题提出(教师讲述)某公司网络由北京总公司及上海分公司构成。根据公司业务需要,总公司与分公司间建立VPN网络传输公司专用数据,VPN网络采用IPSec技术实现。,模块3 构建IPSec隧道,3.2 相关知识(教师讲述与交流),1IPSec概述IPSec是一套安全体系架构,在

11、IPSec实体之间提供数据保密性、完整性和数据验证服务,为主机之间、子网之间、安全网关之间的一条和多条数据流提供保护。(1)ISAKMP/IKE:这些标准用于建立一个安全的管理连接,提供加密的密钥及验证信息;(2)AH及ESP:这些标准用于建立一个安全的数据连接,提供数据加密性、完整性及验证性服务。,模块3 构建IPSec隧道,2IPSec连接过程IPSec连接建立过程如下:(1)IPSec的启动当一个对等体向另一个对等体发送需要保护的数据流量时,则IPSec建立过程自动启动,也可以通过手动启动。(2)建立管理连接(ISAKMP/IKE阶段1)这个阶段主要完成如下任务:对等体之间协商采用哪些安

12、全策略建立一个安全的管理连接,对等体使用DH交换技术产生一个共享密钥信息,对等体间进行设备验证。,模块3 构建IPSec隧道,(3)建立数据连接(ISAKMP/IKE阶段2)这个阶段在管理连接保护下主要完成如下任务:对等体之间协商采用哪些安全策略建立一个安全的数据连接,周期性地对数据连接更新密钥信息。(4)传输数据当数据连接建立后,对等体间就可以通过这条数据连接通道安全地传输用户数据了。,模块3 构建IPSec隧道,3IPSec配置IPSec 安全联盟即可以由手工方式建立也可以由 IKE 协商自动方式建立。这里介绍自动方式。(1)创建加密访问列表加密访问列表用于定义哪些数据流要被加密保护,哪些

13、不需要被加密保护。route(config)#access-list access-list-number deny|permitprotocol source source-wildcard destination destination-wildcard,模块3 构建IPSec隧道,其中:access-list-number为访问列表号;Protocol为协议;source为源地址;source-wildcard为源地址通配符;destination为目的地址;destination-wildcard为目的地址通配符。,模块3 构建IPSec隧道,(2)定义变换集合变换集合是特定安全协议和

14、算法的组合。在 IPSec 安全联盟协商期间,对等体一致使用一个特定的变换集合来保护特定的数据流。route(config)#crypto ipsec transform-set transform-set-name transform1 transform2 transform3其中:transform-set-name为变换集名称;transform为系统所支持的算法,算法可以进行一定规则的组合。,模块3 构建IPSec隧道,(3)创建加密映射条目使用IKE来建立安全联盟的加密映射条目的命令如下:进入加密映射配置模式:route(config)#crypto map map-name se

15、q-num ipsec-isakmp其中:map-name为加密映射条目名称;seq-num为加密映射条目序号。,模块3 构建IPSec隧道,为加密映射列表指定一个访问列表:route(config-crypto-map)#match address access-list-id其中:access-list-id为指定的访问列表名称。指定远端 IPSec 对等体:Route(config-crypto-map)#set peer hostname|ip-address其中:hostname为指定远方对等体主机名称;ip-address为指定远方对等体主机IP地址。,模块3 构建IPSec隧道,

16、指定使用哪个变换集合:route(config-crypto-map)#set transform-set transform-set-name1 transform-set-name2transform-set-name6其中:transform-set-name为转换集名称。,模块3 构建IPSec隧道,(4)应用加密映射条目Route(config-if)#crypto map map-name其中:map-name为加密映射条目名称对于 IPSec 通信将要途经的每个端口,都需要为它配置一个加密映射集合。(6)监视和维护 IPSec查看变换集合配置Route#show crypto i

17、psec transform-set,模块3 构建IPSec隧道,查看全部或指定的加密映射配置Route#show crypto map map-name查看 IPSec安全联盟信息Route#show crypto ipsec sa,模块3 构建IPSec隧道,5配置实例某公司由总公司与分公司构成,总公司网络地址为,分公司网络地址为。总公司与分公司通过Internet建立IPSec连接,保护两个子网之间的 IP 数据通信,R1路由器作为子网的网关,R2路由器作为子网的网关,网络拓扑如下图所示,模块3 构建IPSec隧道,要求实现以下要求:(1)阶段1协商采用 3des 算法加密;(2)采用通

18、道模式;(3)保护方式为 ESP-DES-MD5(提供加密和验证服务)。,模块3 构建IPSec隧道,模块3 构建IPSec隧道,配置路由器R1。(1)配置 IKE 安全联盟第1步:开放 IKER1(config)#crypto isakmp enable 第2步:配置IKE策略R1(config)#crypto isakmp policy 1 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encrytiong 3des R1(config-isakmp)#exit,模块3 构建IPSec隧道,第3步:配置IKE预共享

19、密钥R1(config)#crypto isakmp key preword address 12.12.12.2(2)配置IPSec安全联盟第1步:配置变换集合R1(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac,模块3 构建IPSec隧道,第2步:定义一个加密映射集合。R1(config)#crypto map mymap 5 ipsec-isakmp R1(config-crypto-map)#set peer 12.12.12.2 R1(config-crypto-map)#set transform-set

20、myset R1(config-crypto-map)#match address 101 R1(config-crypto-map)#exit,模块3 构建IPSec隧道,(3)配置端口IP及应用映射条目。R1(config)#interface FastEthernet 0/0 R1(config-if)#no shutdownR1(config-if)#crypto map mymapR1(config-if)#exitR1(config)#interface FastEthernet 0/1 R1(config-if)#no shutdownR1(config-if)#exit,模块3 构建IPSec隧道,(4)定义加密访问列表。R1(config)#access-list 101 permit ip 202.126.101.0 0.0.0.255 67.151.69.0 0.0.0.255(5)设置默认路由。R1(config)#ip route 0.0.0.0 0.0.0.0 Fa 0/0 R1(config)#end路由器R2的配置相似,在此略。,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号