虛擬專網(wǎng)（VPN）課件

虛擬專網(wǎng)（VPN）第9章虛擬專網(wǎng)（VPN）第9章本章目標(biāo)能夠配置VPN，使企業(yè)辦事處能夠通過(guò)VPN遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)中心了解VPN的基本概念熟悉VPN的工作原理了解VPN的加密算法熟悉IPsecVPN技術(shù)能夠在Cisco路由器上配置IPsecVPNChapter2/44本章目標(biāo)能夠配置VPN，使企業(yè)辦事處能夠通過(guò)VPN遠(yuǎn)程接入企隧道和加密技術(shù)本章結(jié)構(gòu)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IPsec基本概念VPN概述IPsec技術(shù)IPsec的傳送方式IPsec的密鑰交換IPsecVPN的配置VPN的結(jié)構(gòu)和分類VPN的定義VPN的工作原理IPsec的運(yùn)行Chapter3/44隧道和加密技術(shù)本章結(jié)構(gòu)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IP什么是VPNVPN（VirtualPrivateNetwork）在公用網(wǎng)絡(luò)中,按照相同的策略和安全規(guī)則,建立的私有網(wǎng)絡(luò)連接Internet北京總部廣州分公司虛擬專用網(wǎng)絡(luò)Chapter4/44什么是VPNVPN（VirtualPrivateNetwVPN的優(yōu)點(diǎn)Internet專線中心站點(diǎn)分支機(jī)構(gòu)Internet專線中心站點(diǎn)分支機(jī)構(gòu)專線方式VPN方式費(fèi)用高靈活性差廣域網(wǎng)的管理復(fù)雜的拓?fù)浣Y(jié)構(gòu)費(fèi)用低靈活性好簡(jiǎn)單的網(wǎng)絡(luò)管理隧道的拓?fù)浣Y(jié)構(gòu)Chapter5/44VPN的優(yōu)點(diǎn)Internet專線中心站點(diǎn)分支機(jī)構(gòu)InternVPN的結(jié)構(gòu)和分類總部分支機(jī)構(gòu)遠(yuǎn)程辦公室家庭辦公PSTN安裝了VPN客戶端軟件的移動(dòng)用戶Internet遠(yuǎn)程訪問(wèn)的VPN站點(diǎn)到站點(diǎn)的VPNChapter6/44VPN的結(jié)構(gòu)和分類總部分支機(jī)構(gòu)遠(yuǎn)程辦公室家庭辦公PSTN安裝遠(yuǎn)程訪問(wèn)的VPN總部家庭辦公PSTN安裝了VPN客戶端軟件的移動(dòng)用戶Internet移動(dòng)用戶或遠(yuǎn)程小辦公室通過(guò)Internet訪問(wèn)網(wǎng)絡(luò)中心連接單一的網(wǎng)絡(luò)設(shè)備客戶通常需要安裝VPN客戶端軟件Chapter7/44遠(yuǎn)程訪問(wèn)的VPN總部家庭辦公PSTN安裝了VPN客戶Inte站點(diǎn)到站點(diǎn)的VPN公司總部和其分支機(jī)構(gòu)、辦公室之間建立的VPN替代了傳統(tǒng)的專線或分組交換WAN連接它們形成了一個(gè)企業(yè)的內(nèi)部互聯(lián)網(wǎng)絡(luò)總部分支機(jī)構(gòu)遠(yuǎn)程辦公室InternetChapter8/44站點(diǎn)到站點(diǎn)的VPN公司總部和其分支機(jī)構(gòu)、辦公室之間建立的VPVPN的工作原理VPN=加密＋隧道明文明文訪問(wèn)控制報(bào)文加密報(bào)文認(rèn)證IP封裝IP解封報(bào)文認(rèn)證報(bào)文解密訪問(wèn)控制IP隧道公共IP網(wǎng)絡(luò)Chapter9/44VPN的工作原理VPN=加密＋隧道明文明文訪問(wèn)控制報(bào)文加密報(bào)VPN的關(guān)鍵技術(shù)安全隧道技術(shù)信息加密技術(shù)用戶認(rèn)證技術(shù)訪問(wèn)控制技術(shù)Chapter10/44VPN的關(guān)鍵技術(shù)安全隧道技術(shù)Chapter10/44安全隧道技術(shù)為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來(lái)的“信息封裝”（Encapsulation）方式在Internet上傳輸?shù)募用軘?shù)據(jù)包中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外面Internet安全隧道Chapter11/44安全隧道技術(shù)為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來(lái)的“信息封裝”隧道協(xié)議二層隧道VPNL2TP:Layer2TunnelProtocolPPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三層隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocolChapter12/44隧道協(xié)議二層隧道VPNChapter12/44第二層隧道協(xié)議建立在點(diǎn)對(duì)點(diǎn)協(xié)議PPP的基礎(chǔ)上先把各種網(wǎng)絡(luò)協(xié)議（IP、IPX等）封裝到PPP幀中，再把整個(gè)數(shù)據(jù)幀裝入隧道協(xié)議適用于通過(guò)公共電話交換網(wǎng)或者ISDN線路連接VPNInternet內(nèi)部網(wǎng)絡(luò)移動(dòng)用戶訪問(wèn)集中器網(wǎng)絡(luò)服務(wù)器PPP鏈接隧道Chapter13/44第二層隧道協(xié)議建立在點(diǎn)對(duì)點(diǎn)協(xié)議PPP的基礎(chǔ)上Internet第三層隧道協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議在可擴(kuò)充性、安全性、可靠性方面優(yōu)于第二層隧道協(xié)議Internet隧道IP連接Chapter14/44第三層隧道協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議Internet信息加密技術(shù)機(jī)密性對(duì)用戶數(shù)據(jù)提供安全保護(hù)數(shù)據(jù)完整性確保消息在傳送過(guò)程中沒有被修改身份驗(yàn)證確保宣稱已經(jīng)發(fā)送了消息的實(shí)體是真正發(fā)送消息的實(shí)體

明文加密密文解密明文Chapter15/44信息加密技術(shù)機(jī)密性明文加密密文解密明文Chapter15/4加密算法對(duì)稱加密DES算法AES算法IDEA算法、Blowfish算法、Skipjack算法非對(duì)稱加密RSA算法PGPChapter16/44加密算法對(duì)稱加密Chapter16/44對(duì)稱密鑰明文密文明文加密共享密鑰解密共享密鑰發(fā)送方接收方發(fā)送方和接收方使用同一密鑰通常加密比較快（可以達(dá)到線速）基于簡(jiǎn)單的數(shù)學(xué)操作（可借助硬件）需要數(shù)據(jù)的保密性時(shí)，用于大批量加密密鑰的管理是最大的問(wèn)題雙方使用相同的密鑰Chapter17/44對(duì)稱密鑰明文密文明文加密共享密鑰解密共享密鑰發(fā)送方接收方發(fā)送非對(duì)稱密鑰每一方有兩個(gè)密鑰公鑰，可以公開私鑰，必須安全保存已知公鑰，不可能推算出私鑰一個(gè)密鑰用于加密，一個(gè)用于解密比對(duì)稱加密算法慢很多倍Chapter18/44非對(duì)稱密鑰每一方有兩個(gè)密鑰Chapter18/44公鑰加密和私鑰簽名用于數(shù)據(jù)保密；利用公鑰加密數(shù)據(jù)，私鑰解密數(shù)據(jù)用于數(shù)字簽名；發(fā)送者使用私鑰加密數(shù)據(jù)，接收者用公鑰解密數(shù)據(jù)Chapter19/44公鑰加密和私鑰簽名用于數(shù)據(jù)保密；用于數(shù)字簽名；Chapter階段總結(jié)VPN的基本概念VPN的結(jié)構(gòu)和類型VPN的原理安全隧道技術(shù)信息加密技術(shù)Chapter20/44階段總結(jié)VPN的基本概念Chapter20/44什么是IPsecIPSec（IPSecurity）是IETF為保證在Internet上傳送數(shù)據(jù)的安全保密性，而制定的框架協(xié)議應(yīng)用在網(wǎng)絡(luò)層，保護(hù)和認(rèn)證用IP數(shù)據(jù)包是開放的框架式協(xié)議，各算法之間相互獨(dú)立提供了信息的機(jī)密性、數(shù)據(jù)的完整性、用戶的驗(yàn)證和防重放保護(hù)支持隧道模式和傳輸模式Chapter21/44什么是IPsecIPSec（IPSecurity）是IE隧道模式和傳輸模式隧道模式IPsec對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行封裝和加密，隱蔽了源和目的IP地址從外部看不到數(shù)據(jù)包的路由過(guò)程傳輸模式IPsec只對(duì)IP有效數(shù)據(jù)載荷進(jìn)行封裝和加密，IP源和目的IP地址不加密傳送安全程度相對(duì)較低Chapter22/44隧道模式和傳輸模式隧道模式Chapter22/44IPsec的組成IPSec提供兩個(gè)安全協(xié)議AH(AuthenticationHeader)認(rèn)證頭協(xié)議ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議密鑰管理協(xié)議IKE（InternetKeyExchange）因特網(wǎng)密鑰交換協(xié)議IPsec不是單獨(dú)的一個(gè)協(xié)議，而是一整套體系結(jié)構(gòu)Chapter23/44IPsec的組成IPSec提供兩個(gè)安全協(xié)議IPsec不是單AH協(xié)議隧道中報(bào)文的數(shù)據(jù)源鑒別數(shù)據(jù)的完整性保護(hù)對(duì)每組IP包進(jìn)行認(rèn)證，防止黑客利用IP進(jìn)行攻擊AH認(rèn)證頭協(xié)議Chapter24/44AH協(xié)議AH認(rèn)證頭協(xié)議Chapter24/44AH的隧道模式封裝AH驗(yàn)證包頭新IP包頭數(shù)據(jù)IP包頭數(shù)據(jù)原IP包頭有效負(fù)載驗(yàn)證使用散列算法計(jì)算驗(yàn)證值，包含在AH驗(yàn)證包頭中為新的IP包插入新的包頭原始IP包保持不變，為整個(gè)原始IP包提供驗(yàn)證Chapter25/44AH的隧道模式封裝AH驗(yàn)證包頭新IP包頭數(shù)據(jù)IP包頭數(shù)據(jù)ESP封裝安全載荷協(xié)議保證數(shù)據(jù)的保密性提供報(bào)文的認(rèn)證性、完整性保護(hù)Chapter26/44ESP封裝安全載荷協(xié)議保證數(shù)據(jù)的保密性Chapter26/4ESP的隧道模式封裝ESP頭部新IP包頭ESP尾部ESP驗(yàn)證數(shù)據(jù)原IP包頭數(shù)據(jù)原IP包頭驗(yàn)證有效負(fù)載比AH增加加密功能，如果啟用，則對(duì)原始IP包進(jìn)行加密后再傳輸Chapter27/44ESP的隧道模式封裝ESP頭部新IP包頭ESP尾部ESP驗(yàn)AH和ESP相比較ESP基本提供所有的安全服務(wù)如果僅使用ESP，消耗相對(duì)較少為什么使用AHAH的認(rèn)證強(qiáng)度比ESP強(qiáng)AH沒有出口限制Chapter28/44AH和ESP相比較ESP基本提供所有的安全服務(wù)Chapter安全聯(lián)盟SA使用安全聯(lián)盟（SA）是為了解決以下問(wèn)題如何保護(hù)通信數(shù)據(jù)保護(hù)什么通信數(shù)據(jù)由誰(shuí)實(shí)行保護(hù)建立SA是其他IPsec服務(wù)的前提SA定義了通信雙方保護(hù)一定數(shù)據(jù)流量的策略Chapter29/44安全聯(lián)盟SA使用安全聯(lián)盟（SA）是為了解決以下問(wèn)題ChaptSA的內(nèi)容一個(gè)SA通常包含以下的安全參數(shù)認(rèn)證/加密算法，密鑰長(zhǎng)度及其他的參數(shù)認(rèn)證和加密所需要的密鑰哪些數(shù)據(jù)要使用到該SAIPsec的封裝協(xié)議和模式

如何保護(hù)保護(hù)什么由誰(shuí)實(shí)行Chapter30/44SA的內(nèi)容一個(gè)SA通常包含以下的安全參數(shù)如何保護(hù)保護(hù)什么由IKE因特網(wǎng)密鑰交換協(xié)議在IPsec網(wǎng)絡(luò)中用于密鑰管理為IPSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)通過(guò)數(shù)據(jù)交換來(lái)計(jì)算密鑰Chapter31/44IKE因特網(wǎng)密鑰交換協(xié)議在IPsec網(wǎng)絡(luò)中用于密鑰管理ChaIPsecVPN的配置步驟1—配置IKE的協(xié)商步驟2—配置IPSEC的協(xié)商步驟3—配置端口的應(yīng)用步驟4—調(diào)試并排錯(cuò)Chapter32/44IPsecVPN的配置步驟1—配置IKE的協(xié)商Chapt配置IKE協(xié)商3-1啟動(dòng)IKERouter(config)#cryptoisakmpenable建立IKE協(xié)商策略Router(config)#cryptoisakmppolicypriority取值范圍1~10000數(shù)值越小，優(yōu)先級(jí)越高Chapter33/44配置IKE協(xié)商3-1啟動(dòng)IKE取值范圍1~10000Chap配置IKE協(xié)商3-2配置IKE協(xié)商策略Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#encryption｛des|3des｝Router(config-isakmp)#hash｛md5|sha1｝Router(config-isakmp)#lifetimeseconds使用預(yù)定義密鑰加密算法SA的活動(dòng)時(shí)間認(rèn)證算法Chapter34/44配置IKE協(xié)商3-2配置IKE協(xié)商策略使用預(yù)定義密鑰加密算法配置IKE協(xié)商3-3設(shè)置共享密鑰和對(duì)端地址Router(config)#cryptoisakmpkeykeystring

addresspeer-address密鑰對(duì)端IPChapter35/44配置IKE協(xié)商3-3設(shè)置共享密鑰和對(duì)端地址密鑰對(duì)端IPCha配置IPsec協(xié)商2-1設(shè)置傳輸模式集Router(config)#cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]定義了使用AH還是ESP協(xié)議，以及相應(yīng)協(xié)議所用的算法Chapter36/44配置IPsec協(xié)商2-1設(shè)置傳輸模式集定義了使用AH還是ES配置IPsec協(xié)商2-2配置保護(hù)訪問(wèn)控制列表Router(config)#access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard用來(lái)定義哪些報(bào)文需要經(jīng)過(guò)IPSec加密后發(fā)送，哪些報(bào)文直接發(fā)送Chapter37/44配置IPsec協(xié)商2-2配置保護(hù)訪問(wèn)控制列表用來(lái)定義哪些報(bào)文配置端口的應(yīng)用2-1創(chuàng)建CryptoMapsRouter(config)#cryptomapmap-nameseq-numipsec-isakmp配置CryptoMapsRouter(config-crypto-map)#matchaddressaccess-list-number

Router(config-crypto-map)#setpeerip_addressRouter(config-crypto-map)#settransform-setnameACL編號(hào)對(duì)端IP地址傳輸模式的名稱Map優(yōu)先級(jí)，取值范圍1~65535，值越小，優(yōu)先級(jí)越高Chapter38/44配置端口的應(yīng)用2-1創(chuàng)建CryptoMapsACL編號(hào)對(duì)端配置端口的應(yīng)用2-2應(yīng)用CryptoMaps到端口Router(config)#interfaceinterface_nameinterface_numRouter(config-if)#cryptomapmap-nameChapter39/44配置端口的應(yīng)用2-2應(yīng)用CryptoMaps到端口Chap檢查IPsec配置查看IKE策略Router#showcryptoisakmppolicy查看IPsce策略Router#showcryptoipsectransform-set查看SA信息Router#showcryptoipsecsa查看加密映射Router#showcryptomapChapter40/44檢查IPsec配置查看IKE策略Chapter40/44RouterA(config)#iproute0.0.0.00.0.0.020.20.20.20RouterA(config)#cryptoisakmppolicy1RouterA(config-isakmap)#hashmd5RouterA(config-isakmap)#authenticationpre?shareRouterA(config)#cryptoisakmpkeybenet-passwordaddress20.20.20.20RouterA(config)#cryptoipsectransform?setbenetsetah?md5?hmacesp?desRouterA(config)#access?list101permitip50.50.50.00.0.0.25560.60.60.00.0.0.255RouterA(config)#cryptomapbenetmap1ipsec?isakmpRouterA(config-crypto-map)#setpeer20.20.20.20RouterA(config-crypto-map)#settransform?setbenetsetRouterA(config-crypto-map)#matchaddress101RouterA(config)#interfaceserial0/0RouterA(config-if)#cryptomapbenetmapVPN配置實(shí)例Chapter41/44RouterA(config)#iproute0.0.本章總結(jié)隧道和加密技術(shù)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IPsec基本概念VPN概述IPsec技術(shù)IPsec的安全聯(lián)盟IPsec的密鑰交換IPsecVPN的配置VPN的結(jié)構(gòu)和分類VPN的定義VPN的工作原理遠(yuǎn)程接入VPN站點(diǎn)到站點(diǎn)VPN安全隧道技術(shù)信息加密技術(shù)用戶認(rèn)證技術(shù)訪問(wèn)控制技術(shù)二層隧道VPN和三層隧道VPN對(duì)稱加密和非對(duì)稱加密AHESPIKEChapter42/44本章總結(jié)隧道和加密技術(shù)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IP實(shí)驗(yàn)任務(wù)配置IPSecVPN協(xié)議，連接BENET廣州辦事處和公司總部需求使用IPSecVPN協(xié)議使用AH認(rèn)證方式連接完成標(biāo)準(zhǔn)VPN連接能夠正常建立辦事處PC和總部PC間可以相互ping通網(wǎng)絡(luò)拓樸Chapter43/44實(shí)驗(yàn)任務(wù)網(wǎng)絡(luò)拓樸Chapter43/44虛擬專網(wǎng)（VPN）第9章虛擬專網(wǎng)（VPN）第9章本章目標(biāo)能夠配置VPN，使企業(yè)辦事處能夠通過(guò)VPN遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)中心了解VPN的基本概念熟悉VPN的工作原理了解VPN的加密算法熟悉IPsecVPN技術(shù)能夠在Cisco路由器上配置IPsecVPNChapter45/44本章目標(biāo)能夠配置VPN，使企業(yè)辦事處能夠通過(guò)VPN遠(yuǎn)程接入企隧道和加密技術(shù)本章結(jié)構(gòu)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IPsec基本概念VPN概述IPsec技術(shù)IPsec的傳送方式IPsec的密鑰交換IPsecVPN的配置VPN的結(jié)構(gòu)和分類VPN的定義VPN的工作原理IPsec的運(yùn)行Chapter46/44隧道和加密技術(shù)本章結(jié)構(gòu)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IP什么是VPNVPN（VirtualPrivateNetwork）在公用網(wǎng)絡(luò)中,按照相同的策略和安全規(guī)則,建立的私有網(wǎng)絡(luò)連接Internet北京總部廣州分公司虛擬專用網(wǎng)絡(luò)Chapter47/44什么是VPNVPN（VirtualPrivateNetwVPN的優(yōu)點(diǎn)Internet專線中心站點(diǎn)分支機(jī)構(gòu)Internet專線中心站點(diǎn)分支機(jī)構(gòu)專線方式VPN方式費(fèi)用高靈活性差廣域網(wǎng)的管理復(fù)雜的拓?fù)浣Y(jié)構(gòu)費(fèi)用低靈活性好簡(jiǎn)單的網(wǎng)絡(luò)管理隧道的拓?fù)浣Y(jié)構(gòu)Chapter48/44VPN的優(yōu)點(diǎn)Internet專線中心站點(diǎn)分支機(jī)構(gòu)InternVPN的結(jié)構(gòu)和分類總部分支機(jī)構(gòu)遠(yuǎn)程辦公室家庭辦公PSTN安裝了VPN客戶端軟件的移動(dòng)用戶Internet遠(yuǎn)程訪問(wèn)的VPN站點(diǎn)到站點(diǎn)的VPNChapter49/44VPN的結(jié)構(gòu)和分類總部分支機(jī)構(gòu)遠(yuǎn)程辦公室家庭辦公PSTN安裝遠(yuǎn)程訪問(wèn)的VPN總部家庭辦公PSTN安裝了VPN客戶端軟件的移動(dòng)用戶Internet移動(dòng)用戶或遠(yuǎn)程小辦公室通過(guò)Internet訪問(wèn)網(wǎng)絡(luò)中心連接單一的網(wǎng)絡(luò)設(shè)備客戶通常需要安裝VPN客戶端軟件Chapter50/44遠(yuǎn)程訪問(wèn)的VPN總部家庭辦公PSTN安裝了VPN客戶Inte站點(diǎn)到站點(diǎn)的VPN公司總部和其分支機(jī)構(gòu)、辦公室之間建立的VPN替代了傳統(tǒng)的專線或分組交換WAN連接它們形成了一個(gè)企業(yè)的內(nèi)部互聯(lián)網(wǎng)絡(luò)總部分支機(jī)構(gòu)遠(yuǎn)程辦公室InternetChapter51/44站點(diǎn)到站點(diǎn)的VPN公司總部和其分支機(jī)構(gòu)、辦公室之間建立的VPVPN的工作原理VPN=加密＋隧道明文明文訪問(wèn)控制報(bào)文加密報(bào)文認(rèn)證IP封裝IP解封報(bào)文認(rèn)證報(bào)文解密訪問(wèn)控制IP隧道公共IP網(wǎng)絡(luò)Chapter52/44VPN的工作原理VPN=加密＋隧道明文明文訪問(wèn)控制報(bào)文加密報(bào)VPN的關(guān)鍵技術(shù)安全隧道技術(shù)信息加密技術(shù)用戶認(rèn)證技術(shù)訪問(wèn)控制技術(shù)Chapter53/44VPN的關(guān)鍵技術(shù)安全隧道技術(shù)Chapter10/44安全隧道技術(shù)為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來(lái)的“信息封裝”（Encapsulation）方式在Internet上傳輸?shù)募用軘?shù)據(jù)包中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外面Internet安全隧道Chapter54/44安全隧道技術(shù)為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來(lái)的“信息封裝”隧道協(xié)議二層隧道VPNL2TP:Layer2TunnelProtocolPPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三層隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocolChapter55/44隧道協(xié)議二層隧道VPNChapter12/44第二層隧道協(xié)議建立在點(diǎn)對(duì)點(diǎn)協(xié)議PPP的基礎(chǔ)上先把各種網(wǎng)絡(luò)協(xié)議（IP、IPX等）封裝到PPP幀中，再把整個(gè)數(shù)據(jù)幀裝入隧道協(xié)議適用于通過(guò)公共電話交換網(wǎng)或者ISDN線路連接VPNInternet內(nèi)部網(wǎng)絡(luò)移動(dòng)用戶訪問(wèn)集中器網(wǎng)絡(luò)服務(wù)器PPP鏈接隧道Chapter56/44第二層隧道協(xié)議建立在點(diǎn)對(duì)點(diǎn)協(xié)議PPP的基礎(chǔ)上Internet第三層隧道協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議在可擴(kuò)充性、安全性、可靠性方面優(yōu)于第二層隧道協(xié)議Internet隧道IP連接Chapter57/44第三層隧道協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議Internet信息加密技術(shù)機(jī)密性對(duì)用戶數(shù)據(jù)提供安全保護(hù)數(shù)據(jù)完整性確保消息在傳送過(guò)程中沒有被修改身份驗(yàn)證確保宣稱已經(jīng)發(fā)送了消息的實(shí)體是真正發(fā)送消息的實(shí)體

明文加密密文解密明文Chapter58/44信息加密技術(shù)機(jī)密性明文加密密文解密明文Chapter15/4加密算法對(duì)稱加密DES算法AES算法IDEA算法、Blowfish算法、Skipjack算法非對(duì)稱加密RSA算法PGPChapter59/44加密算法對(duì)稱加密Chapter16/44對(duì)稱密鑰明文密文明文加密共享密鑰解密共享密鑰發(fā)送方接收方發(fā)送方和接收方使用同一密鑰通常加密比較快（可以達(dá)到線速）基于簡(jiǎn)單的數(shù)學(xué)操作（可借助硬件）需要數(shù)據(jù)的保密性時(shí)，用于大批量加密密鑰的管理是最大的問(wèn)題雙方使用相同的密鑰Chapter60/44對(duì)稱密鑰明文密文明文加密共享密鑰解密共享密鑰發(fā)送方接收方發(fā)送非對(duì)稱密鑰每一方有兩個(gè)密鑰公鑰，可以公開私鑰，必須安全保存已知公鑰，不可能推算出私鑰一個(gè)密鑰用于加密，一個(gè)用于解密比對(duì)稱加密算法慢很多倍Chapter61/44非對(duì)稱密鑰每一方有兩個(gè)密鑰Chapter18/44公鑰加密和私鑰簽名用于數(shù)據(jù)保密；利用公鑰加密數(shù)據(jù)，私鑰解密數(shù)據(jù)用于數(shù)字簽名；發(fā)送者使用私鑰加密數(shù)據(jù)，接收者用公鑰解密數(shù)據(jù)Chapter62/44公鑰加密和私鑰簽名用于數(shù)據(jù)保密；用于數(shù)字簽名；Chapter階段總結(jié)VPN的基本概念VPN的結(jié)構(gòu)和類型VPN的原理安全隧道技術(shù)信息加密技術(shù)Chapter63/44階段總結(jié)VPN的基本概念Chapter20/44什么是IPsecIPSec（IPSecurity）是IETF為保證在Internet上傳送數(shù)據(jù)的安全保密性，而制定的框架協(xié)議應(yīng)用在網(wǎng)絡(luò)層，保護(hù)和認(rèn)證用IP數(shù)據(jù)包是開放的框架式協(xié)議，各算法之間相互獨(dú)立提供了信息的機(jī)密性、數(shù)據(jù)的完整性、用戶的驗(yàn)證和防重放保護(hù)支持隧道模式和傳輸模式Chapter64/44什么是IPsecIPSec（IPSecurity）是IE隧道模式和傳輸模式隧道模式IPsec對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行封裝和加密，隱蔽了源和目的IP地址從外部看不到數(shù)據(jù)包的路由過(guò)程傳輸模式IPsec只對(duì)IP有效數(shù)據(jù)載荷進(jìn)行封裝和加密，IP源和目的IP地址不加密傳送安全程度相對(duì)較低Chapter65/44隧道模式和傳輸模式隧道模式Chapter22/44IPsec的組成IPSec提供兩個(gè)安全協(xié)議AH(AuthenticationHeader)認(rèn)證頭協(xié)議ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議密鑰管理協(xié)議IKE（InternetKeyExchange）因特網(wǎng)密鑰交換協(xié)議IPsec不是單獨(dú)的一個(gè)協(xié)議，而是一整套體系結(jié)構(gòu)Chapter66/44IPsec的組成IPSec提供兩個(gè)安全協(xié)議IPsec不是單AH協(xié)議隧道中報(bào)文的數(shù)據(jù)源鑒別數(shù)據(jù)的完整性保護(hù)對(duì)每組IP包進(jìn)行認(rèn)證，防止黑客利用IP進(jìn)行攻擊AH認(rèn)證頭協(xié)議Chapter67/44AH協(xié)議AH認(rèn)證頭協(xié)議Chapter24/44AH的隧道模式封裝AH驗(yàn)證包頭新IP包頭數(shù)據(jù)IP包頭數(shù)據(jù)原IP包頭有效負(fù)載驗(yàn)證使用散列算法計(jì)算驗(yàn)證值，包含在AH驗(yàn)證包頭中為新的IP包插入新的包頭原始IP包保持不變，為整個(gè)原始IP包提供驗(yàn)證Chapter68/44AH的隧道模式封裝AH驗(yàn)證包頭新IP包頭數(shù)據(jù)IP包頭數(shù)據(jù)ESP封裝安全載荷協(xié)議保證數(shù)據(jù)的保密性提供報(bào)文的認(rèn)證性、完整性保護(hù)Chapter69/44ESP封裝安全載荷協(xié)議保證數(shù)據(jù)的保密性Chapter26/4ESP的隧道模式封裝ESP頭部新IP包頭ESP尾部ESP驗(yàn)證數(shù)據(jù)原IP包頭數(shù)據(jù)原IP包頭驗(yàn)證有效負(fù)載比AH增加加密功能，如果啟用，則對(duì)原始IP包進(jìn)行加密后再傳輸Chapter70/44ESP的隧道模式封裝ESP頭部新IP包頭ESP尾部ESP驗(yàn)AH和ESP相比較ESP基本提供所有的安全服務(wù)如果僅使用ESP，消耗相對(duì)較少為什么使用AHAH的認(rèn)證強(qiáng)度比ESP強(qiáng)AH沒有出口限制Chapter71/44AH和ESP相比較ESP基本提供所有的安全服務(wù)Chapter安全聯(lián)盟SA使用安全聯(lián)盟（SA）是為了解決以下問(wèn)題如何保護(hù)通信數(shù)據(jù)保護(hù)什么通信數(shù)據(jù)由誰(shuí)實(shí)行保護(hù)建立SA是其他IPsec服務(wù)的前提SA定義了通信雙方保護(hù)一定數(shù)據(jù)流量的策略Chapter72/44安全聯(lián)盟SA使用安全聯(lián)盟（SA）是為了解決以下問(wèn)題ChaptSA的內(nèi)容一個(gè)SA通常包含以下的安全參數(shù)認(rèn)證/加密算法，密鑰長(zhǎng)度及其他的參數(shù)認(rèn)證和加密所需要的密鑰哪些數(shù)據(jù)要使用到該SAIPsec的封裝協(xié)議和模式

如何保護(hù)保護(hù)什么由誰(shuí)實(shí)行Chapter73/44SA的內(nèi)容一個(gè)SA通常包含以下的安全參數(shù)如何保護(hù)保護(hù)什么由IKE因特網(wǎng)密鑰交換協(xié)議在IPsec網(wǎng)絡(luò)中用于密鑰管理為IPSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)通過(guò)數(shù)據(jù)交換來(lái)計(jì)算密鑰Chapter74/44IKE因特網(wǎng)密鑰交換協(xié)議在IPsec網(wǎng)絡(luò)中用于密鑰管理ChaIPsecVPN的配置步驟1—配置IKE的協(xié)商步驟2—配置IPSEC的協(xié)商步驟3—配置端口的應(yīng)用步驟4—調(diào)試并排錯(cuò)Chapter75/44IPsecVPN的配置步驟1—配置IKE的協(xié)商Chapt配置IKE協(xié)商3-1啟動(dòng)IKERouter(config)#cryptoisakmpenable建立IKE協(xié)商策略Router(config)#cryptoisakmppolicypriority取值范圍1~10000數(shù)值越小，優(yōu)先級(jí)越高Chapter76/44配置IKE協(xié)商3-1啟動(dòng)IKE取值范圍1~10000Chap配置IKE協(xié)商3-2配置IKE協(xié)商策略Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#encryption｛des|3des｝Router(config-isakmp)#hash｛md5|sha1｝Router(config-isakmp)#lifetimeseconds使用預(yù)定義密鑰加密算法SA的活動(dòng)時(shí)間認(rèn)證算法Chapter77/44配置IKE協(xié)商3-2配置IKE協(xié)商策略使用預(yù)定義密鑰加密算法配置IKE協(xié)商3-3設(shè)置共享密鑰和對(duì)端地址Router(config)#cryptoisakmpkeykeystring

addresspeer-address密鑰對(duì)端IPChapter78/44配置IKE協(xié)商3-3設(shè)置共享密鑰和對(duì)端地址密鑰對(duì)端IPCha配置IPsec協(xié)商2-1設(shè)置傳輸模式集Router(config)#cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]定義了使用AH還是ESP協(xié)議，以及相應(yīng)協(xié)議所用的算法Chapter79/44配置IPsec協(xié)商2-1設(shè)置傳輸模式集定義了使用AH還是ES配置IPsec協(xié)商2-2配置保護(hù)訪問(wèn)控制列表Router(config)#access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard用來(lái)定義哪些報(bào)文需要經(jīng)過(guò)IPSec加密后發(fā)送，哪些報(bào)文直接發(fā)送Chapter80/44配置IPsec協(xié)商2-2配置保護(hù)訪問(wèn)控制列表用來(lái)定義哪些報(bào)文配置端口的應(yīng)用2-1創(chuàng)建CryptoMapsRouter(config)#cryptomapmap-nameseq-numipsec-isakmp配置CryptoMapsRouter(config-crypto-map)#matchaddressaccess-list-number

Router(config-crypto-map)#setpeerip_addressRouter(config-crypto-map)#settransform-setnameACL編號(hào)對(duì)端IP地址傳輸模式的名稱Map優(yōu)先級(jí)，取值范圍1~65535，值越小，優(yōu)先級(jí)越高Chapter81/44配置端口的應(yīng)用2-1創(chuàng)建CryptoMapsACL編號(hào)對(duì)端配置端口的應(yīng)用2-2應(yīng)用CryptoMaps到端口Router(config)#interfaceinterfa