虛擬專網(wǎng)（VPN）課件

虛擬專網(wǎng)（VPN）第9章虛擬專網(wǎng)（VPN）第9章本章目標能夠配置VPN，使企業(yè)辦事處能夠通過VPN遠程接入企業(yè)網(wǎng)絡(luò)中心了解VPN的基本概念熟悉VPN的工作原理了解VPN的加密算法熟悉IPsecVPN技術(shù)能夠在Cisco路由器上配置IPsecVPNChapter2/44本章目標能夠配置VPN，使企業(yè)辦事處能夠通過VPN遠程接入企隧道和加密技術(shù)本章結(jié)構(gòu)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IPsec基本概念VPN概述IPsec技術(shù)IPsec的傳送方式IPsec的密鑰交換IPsecVPN的配置VPN的結(jié)構(gòu)和分類VPN的定義VPN的工作原理IPsec的運行Chapter3/44隧道和加密技術(shù)本章結(jié)構(gòu)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IP什么是VPNVPN（VirtualPrivateNetwork）在公用網(wǎng)絡(luò)中,按照相同的策略和安全規(guī)則,建立的私有網(wǎng)絡(luò)連接Internet北京總部廣州分公司虛擬專用網(wǎng)絡(luò)Chapter4/44什么是VPNVPN（VirtualPrivateNetwVPN的優(yōu)點Internet專線中心站點分支機構(gòu)Internet專線中心站點分支機構(gòu)專線方式VPN方式費用高靈活性差廣域網(wǎng)的管理復(fù)雜的拓撲結(jié)構(gòu)費用低靈活性好簡單的網(wǎng)絡(luò)管理隧道的拓撲結(jié)構(gòu)Chapter5/44VPN的優(yōu)點Internet專線中心站點分支機構(gòu)InternVPN的結(jié)構(gòu)和分類總部分支機構(gòu)遠程辦公室家庭辦公PSTN安裝了VPN客戶端軟件的移動用戶Internet遠程訪問的VPN站點到站點的VPNChapter6/44VPN的結(jié)構(gòu)和分類總部分支機構(gòu)遠程辦公室家庭辦公PSTN安裝遠程訪問的VPN總部家庭辦公PSTN安裝了VPN客戶端軟件的移動用戶Internet移動用戶或遠程小辦公室通過Internet訪問網(wǎng)絡(luò)中心連接單一的網(wǎng)絡(luò)設(shè)備客戶通常需要安裝VPN客戶端軟件Chapter7/44遠程訪問的VPN總部家庭辦公PSTN安裝了VPN客戶Inte站點到站點的VPN公司總部和其分支機構(gòu)、辦公室之間建立的VPN替代了傳統(tǒng)的專線或分組交換WAN連接它們形成了一個企業(yè)的內(nèi)部互聯(lián)網(wǎng)絡(luò)總部分支機構(gòu)遠程辦公室InternetChapter8/44站點到站點的VPN公司總部和其分支機構(gòu)、辦公室之間建立的VPVPN的工作原理VPN=加密＋隧道明文明文訪問控制報文加密報文認證IP封裝IP解封報文認證報文解密訪問控制IP隧道公共IP網(wǎng)絡(luò)Chapter9/44VPN的工作原理VPN=加密＋隧道明文明文訪問控制報文加密報VPN的關(guān)鍵技術(shù)安全隧道技術(shù)信息加密技術(shù)用戶認證技術(shù)訪問控制技術(shù)Chapter10/44VPN的關(guān)鍵技術(shù)安全隧道技術(shù)Chapter10/44安全隧道技術(shù)為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來的“信息封裝”（Encapsulation）方式在Internet上傳輸?shù)募用軘?shù)據(jù)包中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外面Internet安全隧道Chapter11/44安全隧道技術(shù)為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來的“信息封裝”隧道協(xié)議二層隧道VPNL2TP:Layer2TunnelProtocolPPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三層隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocolChapter12/44隧道協(xié)議二層隧道VPNChapter12/44第二層隧道協(xié)議建立在點對點協(xié)議PPP的基礎(chǔ)上先把各種網(wǎng)絡(luò)協(xié)議（IP、IPX等）封裝到PPP幀中，再把整個數(shù)據(jù)幀裝入隧道協(xié)議適用于通過公共電話交換網(wǎng)或者ISDN線路連接VPNInternet內(nèi)部網(wǎng)絡(luò)移動用戶訪問集中器網(wǎng)絡(luò)服務(wù)器PPP鏈接隧道Chapter13/44第二層隧道協(xié)議建立在點對點協(xié)議PPP的基礎(chǔ)上Internet第三層隧道協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議在可擴充性、安全性、可靠性方面優(yōu)于第二層隧道協(xié)議Internet隧道IP連接Chapter14/44第三層隧道協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議Internet信息加密技術(shù)機密性對用戶數(shù)據(jù)提供安全保護數(shù)據(jù)完整性確保消息在傳送過程中沒有被修改身份驗證確保宣稱已經(jīng)發(fā)送了消息的實體是真正發(fā)送消息的實體

明文加密密文解密明文Chapter15/44信息加密技術(shù)機密性明文加密密文解密明文Chapter15/4加密算法對稱加密DES算法AES算法IDEA算法、Blowfish算法、Skipjack算法非對稱加密RSA算法PGPChapter16/44加密算法對稱加密Chapter16/44對稱密鑰明文密文明文加密共享密鑰解密共享密鑰發(fā)送方接收方發(fā)送方和接收方使用同一密鑰通常加密比較快（可以達到線速）基于簡單的數(shù)學操作（可借助硬件）需要數(shù)據(jù)的保密性時，用于大批量加密密鑰的管理是最大的問題雙方使用相同的密鑰Chapter17/44對稱密鑰明文密文明文加密共享密鑰解密共享密鑰發(fā)送方接收方發(fā)送非對稱密鑰每一方有兩個密鑰公鑰，可以公開私鑰，必須安全保存已知公鑰，不可能推算出私鑰一個密鑰用于加密，一個用于解密比對稱加密算法慢很多倍Chapter18/44非對稱密鑰每一方有兩個密鑰Chapter18/44公鑰加密和私鑰簽名用于數(shù)據(jù)保密；利用公鑰加密數(shù)據(jù)，私鑰解密數(shù)據(jù)用于數(shù)字簽名；發(fā)送者使用私鑰加密數(shù)據(jù)，接收者用公鑰解密數(shù)據(jù)Chapter19/44公鑰加密和私鑰簽名用于數(shù)據(jù)保密；用于數(shù)字簽名；Chapter階段總結(jié)VPN的基本概念VPN的結(jié)構(gòu)和類型VPN的原理安全隧道技術(shù)信息加密技術(shù)Chapter20/44階段總結(jié)VPN的基本概念Chapter20/44什么是IPsecIPSec（IPSecurity）是IETF為保證在Internet上傳送數(shù)據(jù)的安全保密性，而制定的框架協(xié)議應(yīng)用在網(wǎng)絡(luò)層，保護和認證用IP數(shù)據(jù)包是開放的框架式協(xié)議，各算法之間相互獨立提供了信息的機密性、數(shù)據(jù)的完整性、用戶的驗證和防重放保護支持隧道模式和傳輸模式Chapter21/44什么是IPsecIPSec（IPSecurity）是IE隧道模式和傳輸模式隧道模式IPsec對整個IP數(shù)據(jù)包進行封裝和加密，隱蔽了源和目的IP地址從外部看不到數(shù)據(jù)包的路由過程傳輸模式IPsec只對IP有效數(shù)據(jù)載荷進行封裝和加密，IP源和目的IP地址不加密傳送安全程度相對較低Chapter22/44隧道模式和傳輸模式隧道模式Chapter22/44IPsec的組成IPSec提供兩個安全協(xié)議AH(AuthenticationHeader)認證頭協(xié)議ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議密鑰管理協(xié)議IKE（InternetKeyExchange）因特網(wǎng)密鑰交換協(xié)議IPsec不是單獨的一個協(xié)議，而是一整套體系結(jié)構(gòu)Chapter23/44IPsec的組成IPSec提供兩個安全協(xié)議IPsec不是單AH協(xié)議隧道中報文的數(shù)據(jù)源鑒別數(shù)據(jù)的完整性保護對每組IP包進行認證，防止黑客利用IP進行攻擊AH認證頭協(xié)議Chapter24/44AH協(xié)議AH認證頭協(xié)議Chapter24/44AH的隧道模式封裝AH驗證包頭新IP包頭數(shù)據(jù)IP包頭數(shù)據(jù)原IP包頭有效負載驗證使用散列算法計算驗證值，包含在AH驗證包頭中為新的IP包插入新的包頭原始IP包保持不變，為整個原始IP包提供驗證Chapter25/44AH的隧道模式封裝AH驗證包頭新IP包頭數(shù)據(jù)IP包頭數(shù)據(jù)ESP封裝安全載荷協(xié)議保證數(shù)據(jù)的保密性提供報文的認證性、完整性保護Chapter26/44ESP封裝安全載荷協(xié)議保證數(shù)據(jù)的保密性Chapter26/4ESP的隧道模式封裝ESP頭部新IP包頭ESP尾部ESP驗證數(shù)據(jù)原IP包頭數(shù)據(jù)原IP包頭驗證有效負載比AH增加加密功能，如果啟用，則對原始IP包進行加密后再傳輸Chapter27/44ESP的隧道模式封裝ESP頭部新IP包頭ESP尾部ESP驗AH和ESP相比較ESP基本提供所有的安全服務(wù)如果僅使用ESP，消耗相對較少為什么使用AHAH的認證強度比ESP強AH沒有出口限制Chapter28/44AH和ESP相比較ESP基本提供所有的安全服務(wù)Chapter安全聯(lián)盟SA使用安全聯(lián)盟（SA）是為了解決以下問題如何保護通信數(shù)據(jù)保護什么通信數(shù)據(jù)由誰實行保護建立SA是其他IPsec服務(wù)的前提SA定義了通信雙方保護一定數(shù)據(jù)流量的策略Chapter29/44安全聯(lián)盟SA使用安全聯(lián)盟（SA）是為了解決以下問題ChaptSA的內(nèi)容一個SA通常包含以下的安全參數(shù)認證/加密算法，密鑰長度及其他的參數(shù)認證和加密所需要的密鑰哪些數(shù)據(jù)要使用到該SAIPsec的封裝協(xié)議和模式

如何保護保護什么由誰實行Chapter30/44SA的內(nèi)容一個SA通常包含以下的安全參數(shù)如何保護保護什么由IKE因特網(wǎng)密鑰交換協(xié)議在IPsec網(wǎng)絡(luò)中用于密鑰管理為IPSec提供了自動協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)通過數(shù)據(jù)交換來計算密鑰Chapter31/44IKE因特網(wǎng)密鑰交換協(xié)議在IPsec網(wǎng)絡(luò)中用于密鑰管理ChaIPsecVPN的配置步驟1—配置IKE的協(xié)商步驟2—配置IPSEC的協(xié)商步驟3—配置端口的應(yīng)用步驟4—調(diào)試并排錯Chapter32/44IPsecVPN的配置步驟1—配置IKE的協(xié)商Chapt配置IKE協(xié)商3-1啟動IKERouter(config)#cryptoisakmpenable建立IKE協(xié)商策略Router(config)#cryptoisakmppolicypriority取值范圍1~10000數(shù)值越小，優(yōu)先級越高Chapter33/44配置IKE協(xié)商3-1啟動IKE取值范圍1~10000Chap配置IKE協(xié)商3-2配置IKE協(xié)商策略Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#encryption｛des|3des｝Router(config-isakmp)#hash｛md5|sha1｝Router(config-isakmp)#lifetimeseconds使用預(yù)定義密鑰加密算法SA的活動時間認證算法Chapter34/44配置IKE協(xié)商3-2配置IKE協(xié)商策略使用預(yù)定義密鑰加密算法配置IKE協(xié)商3-3設(shè)置共享密鑰和對端地址Router(config)#cryptoisakmpkeykeystring

addresspeer-address密鑰對端IPChapter35/44配置IKE協(xié)商3-3設(shè)置共享密鑰和對端地址密鑰對端IPCha配置IPsec協(xié)商2-1設(shè)置傳輸模式集Router(config)#cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]定義了使用AH還是ESP協(xié)議，以及相應(yīng)協(xié)議所用的算法Chapter36/44配置IPsec協(xié)商2-1設(shè)置傳輸模式集定義了使用AH還是ES配置IPsec協(xié)商2-2配置保護訪問控制列表Router(config)#access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard用來定義哪些報文需要經(jīng)過IPSec加密后發(fā)送，哪些報文直接發(fā)送Chapter37/44配置IPsec協(xié)商2-2配置保護訪問控制列表用來定義哪些報文配置端口的應(yīng)用2-1創(chuàng)建CryptoMapsRouter(config)#cryptomapmap-nameseq-numipsec-isakmp配置CryptoMapsRouter(config-crypto-map)#matchaddressaccess-list-number

Router(config-crypto-map)#setpeerip_addressRouter(config-crypto-map)#settransform-setnameACL編號對端IP地址傳輸模式的名稱Map優(yōu)先級，取值范圍1~65535，值越小，優(yōu)先級越高Chapter38/44配置端口的應(yīng)用2-1創(chuàng)建CryptoMapsACL編號對端配置端口的應(yīng)用2-2應(yīng)用CryptoMaps到端口Router(config)#interfaceinterface_nameinterface_numRouter(config-if)#cryptomapmap-nameChapter39/44配置端口的應(yīng)用2-2應(yīng)用CryptoMaps到端口Chap檢查IPsec配置查看IKE策略Router#showcryptoisakmppolicy查看IPsce策略Router#showcryptoipsectransform-set查看SA信息Router#showcryptoipsecsa查看加密映射Router#showcryptomapChapter40/44檢查IPsec配置查看IKE策略Chapter40/44RouterA(config)#iproute0.0.0.00.0.0.020.20.20.20RouterA(config)#cryptoisakmppolicy1RouterA(config-isakmap)#hashmd5RouterA(config-isakmap)#authenticationpre?shareRouterA(config)#cryptoisakmpkeybenet-passwordaddress20.20.20.20RouterA(config)#cryptoipsectransform?setbenetsetah?md5?hmacesp?desRouterA(config)#access?list101permitip50.50.50.00.0.0.25560.60.60.00.0.0.255RouterA(config)#cryptomapbenetmap1ipsec?isakmpRouterA(config-crypto-map)#setpeer20.20.20.20RouterA(config-crypto-map)#settransform?setbenetsetRouterA(config-crypto-map)#matchaddress101RouterA(config)#interfaceserial0/0RouterA(config-if)#cryptomapbenetmapVPN配置實例Chapter41/44RouterA(config)#iproute0.0.本章總結(jié)隧道和加密技術(shù)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IPsec基本概念VPN概述IPsec技術(shù)IPsec的安全聯(lián)盟IPsec的密鑰交換IPsecVPN的配置VPN的結(jié)構(gòu)和分類VPN的定義VPN的工作原理遠程接入VPN站點到站點VPN安全隧道技術(shù)信息加密技術(shù)用戶認證技術(shù)訪問控制技術(shù)二層隧道VPN和三層隧道VPN對稱加密和非對稱加密AHESPIKEChapter42/44本章總結(jié)隧道和加密技術(shù)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IP實驗任務(wù)配置IPSecVPN協(xié)議，連接BENET廣州辦事處和公司總部需求使用IPSecVPN協(xié)議使用AH認證方式連接完成標準VPN連接能夠正常建立辦事處PC和總部PC間可以相互ping通網(wǎng)絡(luò)拓樸Chapter43/44實驗任務(wù)網(wǎng)絡(luò)拓樸Chapter43/44虛擬專網(wǎng)（VPN）第9章虛擬專網(wǎng)（VPN）第9章本章目標能夠配置VPN，使企業(yè)辦事處能夠通過VPN遠程接入企業(yè)網(wǎng)絡(luò)中心了解VPN的基本概念熟悉VPN的工作原理了解VPN的加密算法熟悉IPsecVPN技術(shù)能夠在Cisco路由器上配置IPsecVPNChapter45/44本章目標能夠配置VPN，使企業(yè)辦事處能夠通過VPN遠程接入企隧道和加密技術(shù)本章結(jié)構(gòu)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IPsec基本概念VPN概述IPsec技術(shù)IPsec的傳送方式IPsec的密鑰交換IPsecVPN的配置VPN的結(jié)構(gòu)和分類VPN的定義VPN的工作原理IPsec的運行Chapter46/44隧道和加密技術(shù)本章結(jié)構(gòu)虛擬專網(wǎng)VPNIPsec的安全協(xié)議IP什么是VPNVPN（VirtualPrivateNetwork）在公用網(wǎng)絡(luò)中,按照相同的策略和安全規(guī)則,建立的私有網(wǎng)絡(luò)連接Internet北京總部廣州分公司虛擬專用網(wǎng)絡(luò)Chapter47/44什么是VPNVPN（VirtualPrivateNetwVPN的優(yōu)點Internet專線中心站點分支機構(gòu)Internet專線中心站點分支機構(gòu)專線方式VPN方式費用高靈活性差廣域網(wǎng)的管理復(fù)雜的拓撲結(jié)構(gòu)費用低靈活性好簡單的網(wǎng)絡(luò)管理隧道的拓撲結(jié)構(gòu)Chapter48/44VPN的優(yōu)點Internet專線中心站點分支機構(gòu)InternVPN的結(jié)構(gòu)和分類總部分支機構(gòu)遠程辦公室家庭辦公PSTN安裝了VPN客戶端軟件的移動用戶Internet遠程訪問的VPN站點到站點的VPNChapter49/44VPN的結(jié)構(gòu)和分類總部分支機構(gòu)遠程辦公室家庭辦公PSTN安裝遠程訪問的VPN總部家庭辦公PSTN安裝了VPN客戶端軟件的移動用戶Internet移動用戶或遠程小辦公室通過Internet訪問網(wǎng)絡(luò)中心連接單一的網(wǎng)絡(luò)設(shè)備客戶通常需要安裝VPN客戶端軟件Chapter50/44遠程訪問的VPN總部家庭辦公PSTN安裝了VPN客戶Inte站點到站點的VPN公司總部和其分支機構(gòu)、辦公室之間建立的VPN替代了傳統(tǒng)的專線或分組交換WAN連接它們形成了一個企業(yè)的內(nèi)部互聯(lián)網(wǎng)絡(luò)總部分支機構(gòu)遠程辦公室InternetChapter51/44站點到站點的VPN公司總部和其分支機構(gòu)、辦公室之間建立的VPVPN的工作原理VPN=加密＋隧道明文明文訪問控制報文加密報文認證IP封裝IP解封報文認證報文解密訪問控制IP隧道公共IP網(wǎng)絡(luò)Chapter52/44VPN的工作原理VPN=加密＋隧道明文明文訪問控制報文加密報VPN的關(guān)鍵技術(shù)安全隧道技術(shù)信息加密技術(shù)用戶認證技術(shù)訪問控制技術(shù)Chapter53/44VPN的關(guān)鍵技術(shù)安全隧道技術(shù)Chapter10/44安全隧道技術(shù)為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來的“信息封裝”（Encapsulation）方式在Internet上傳輸?shù)募用軘?shù)據(jù)包中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外面Internet安全隧道Chapter54/44安全隧道技術(shù)為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來的“信息封裝”隧道協(xié)議二層隧道VPNL2TP:Layer2TunnelProtocolPPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三層隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocolChapter55/44隧道協(xié)議二層隧道VPNChapter12/44第二層隧道協(xié)議建立在點對點協(xié)議PPP的基礎(chǔ)上先把各種網(wǎng)絡(luò)協(xié)議（IP、IPX等）封裝到PPP幀中，再把整個數(shù)據(jù)幀裝入隧道協(xié)議適用于通過公共電話交換網(wǎng)或者ISDN線路連接VPNInternet內(nèi)部網(wǎng)絡(luò)移動用戶訪問集中器網(wǎng)絡(luò)服務(wù)器PPP鏈接隧道Chapter56/44第二層隧道協(xié)議建立在點對點協(xié)議PPP的基礎(chǔ)上Internet第三層隧道協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議在可擴充性、安全性、可靠性方面優(yōu)于第二層隧道協(xié)議Internet隧道IP連接Chapter57/44第三層隧道協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議Internet信息加密技術(shù)機密性對用戶數(shù)據(jù)提供安全保護數(shù)據(jù)完整性確保消息在傳送過程中沒有被修改身份驗證確保宣稱已經(jīng)發(fā)送了消息的實體是真正發(fā)送消息的實體

明文加密密文解密明文Chapter58/44信息加密技術(shù)機密性明文加密密文解密明文Chapter15/4加密算法對稱加密DES算法AES算法IDEA算法、Blowfish算法、Skipjack算法非對稱加密RSA算法PGPChapter59/44加密算法對稱加密Chapter16/44對稱密鑰明文密文明文加密共享密鑰解密共享密鑰發(fā)送方接收方發(fā)送方和接收方使用同一密鑰通常加密比較快（可以達到線速）基于簡單的數(shù)學操作（可借助硬件）需要數(shù)據(jù)的保密性時，用于大批量加密密鑰的管理是最大的問題雙方使用相同的密鑰Chapter60/44對稱密鑰明文密文明文加密共享密鑰解密共享密鑰發(fā)送方接收方發(fā)送非對稱密鑰每一方有兩個密鑰公鑰，可以公開私鑰，必須安全保存已知公鑰，不可能推算出私鑰一個密鑰用于加密，一個用于解密比對稱加密算法慢很多倍Chapter61/44非對稱密鑰每一方有兩個密鑰Chapter18/44公鑰加密和私鑰簽名用于數(shù)據(jù)保密；利用公鑰加密數(shù)據(jù)，私鑰解密數(shù)據(jù)用于數(shù)字簽名；發(fā)送者使用私鑰加密數(shù)據(jù)，接收者用公鑰解密數(shù)據(jù)Chapter62/44公鑰加密和私鑰簽名用于數(shù)據(jù)保密；用于數(shù)字簽名；Chapter階段總結(jié)VPN的基本概念VPN的結(jié)構(gòu)和類型VPN的原理安全隧道技術(shù)信息加密技術(shù)Chapter63/44階段總結(jié)VPN的基本概念Chapter20/44什么是IPsecIPSec（IPSecurity）是IETF為保證在Internet上傳送數(shù)據(jù)的安全保密性，而制定的框架協(xié)議應(yīng)用在網(wǎng)絡(luò)層，保護和認證用IP數(shù)據(jù)包是開放的框架式協(xié)議，各算法之間相互獨立提供了信息的機密性、數(shù)據(jù)的完整性、用戶的驗證和防重放保護支持隧道模式和傳輸模式Chapter64/44什么是IPsecIPSec（IPSecurity）是IE隧道模式和傳輸模式隧道模式IPsec對整個IP數(shù)據(jù)包進行封裝和加密，隱蔽了源和目的IP地址從外部看不到數(shù)據(jù)包的路由過程傳輸模式IPsec只對IP有效數(shù)據(jù)載荷進行封裝和加密，IP源和目的IP地址不加密傳送安全程度相對較低Chapter65/44隧道模式和傳輸模式隧道模式Chapter22/44IPsec的組成IPSec提供兩個安全協(xié)議AH(AuthenticationHeader)認證頭協(xié)議ESP(EncapsulationSecurityPayload)封裝安全載荷協(xié)議密鑰管理協(xié)議IKE（InternetKeyExchange）因特網(wǎng)密鑰交換協(xié)議IPsec不是單獨的一個協(xié)議，而是一整套體系結(jié)構(gòu)Chapter66/44IPsec的組成IPSec提供兩個安全協(xié)議IPsec不是單AH協(xié)議隧道中報文的數(shù)據(jù)源鑒別數(shù)據(jù)的完整性保護對每組IP包進行認證，防止黑客利用IP進行攻擊AH認證頭協(xié)議Chapter67/44AH協(xié)議AH認證頭協(xié)議Chapter24/44AH的隧道模式封裝AH驗證包頭新IP包頭數(shù)據(jù)IP包頭數(shù)據(jù)原IP包頭有效負載驗證使用散列算法計算驗證值，包含在AH驗證包頭中為新的IP包插入新的包頭原始IP包保持不變，為整個原始IP包提供驗證Chapter68/44AH的隧道模式封裝AH驗證包頭新IP包頭數(shù)據(jù)IP包頭數(shù)據(jù)ESP封裝安全載荷協(xié)議保證數(shù)據(jù)的保密性提供報文的認證性、完整性保護Chapter69/44ESP封裝安全載荷協(xié)議保證數(shù)據(jù)的保密性Chapter26/4ESP的隧道模式封裝ESP頭部新IP包頭ESP尾部ESP驗證數(shù)據(jù)原IP包頭數(shù)據(jù)原IP包頭驗證有效負載比AH增加加密功能，如果啟用，則對原始IP包進行加密后再傳輸Chapter70/44ESP的隧道模式封裝ESP頭部新IP包頭ESP尾部ESP驗AH和ESP相比較ESP基本提供所有的安全服務(wù)如果僅使用ESP，消耗相對較少為什么使用AHAH的認證強度比ESP強AH沒有出口限制Chapter71/44AH和ESP相比較ESP基本提供所有的安全服務(wù)Chapter安全聯(lián)盟SA使用安全聯(lián)盟（SA）是為了解決以下問題如何保護通信數(shù)據(jù)保護什么通信數(shù)據(jù)由誰實行保護建立SA是其他IPsec服務(wù)的前提SA定義了通信雙方保護一定數(shù)據(jù)流量的策略Chapter72/44安全聯(lián)盟SA使用安全聯(lián)盟（SA）是為了解決以下問題ChaptSA的內(nèi)容一個SA通常包含以下的安全參數(shù)認證/加密算法，密鑰長度及其他的參數(shù)認證和加密所需要的密鑰哪些數(shù)據(jù)要使用到該SAIPsec的封裝協(xié)議和模式

如何保護保護什么由誰實行Chapter73/44SA的內(nèi)容一個SA通常包含以下的安全參數(shù)如何保護保護什么由IKE因特網(wǎng)密鑰交換協(xié)議在IPsec網(wǎng)絡(luò)中用于密鑰管理為IPSec提供了自動協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)通過數(shù)據(jù)交換來計算密鑰Chapter74/44IKE因特網(wǎng)密鑰交換協(xié)議在IPsec網(wǎng)絡(luò)中用于密鑰管理ChaIPsecVPN的配置步驟1—配置IKE的協(xié)商步驟2—配置IPSEC的協(xié)商步驟3—配置端口的應(yīng)用步驟4—調(diào)試并排錯Chapter75/44IPsecVPN的配置步驟1—配置IKE的協(xié)商Chapt配置IKE協(xié)商3-1啟動IKERouter(config)#cryptoisakmpenable建立IKE協(xié)商策略Router(config)#cryptoisakmppolicypriority取值范圍1~10000數(shù)值越小，優(yōu)先級越高Chapter76/44配置IKE協(xié)商3-1啟動IKE取值范圍1~10000Chap配置IKE協(xié)商3-2配置IKE協(xié)商策略Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#encryption｛des|3des｝Router(config-isakmp)#hash｛md5|sha1｝Router(config-isakmp)#lifetimeseconds使用預(yù)定義密鑰加密算法SA的活動時間認證算法Chapter77/44配置IKE協(xié)商3-2配置IKE協(xié)商策略使用預(yù)定義密鑰加密算法配置IKE協(xié)商3-3設(shè)置共享密鑰和對端地址Router(config)#cryptoisakmpkeykeystring

addresspeer-address密鑰對端IPChapter78/44配置IKE協(xié)商3-3設(shè)置共享密鑰和對端地址密鑰對端IPCha配置IPsec協(xié)商2-1設(shè)置傳輸模式集Router(config)#cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]定義了使用AH還是ESP協(xié)議，以及相應(yīng)協(xié)議所用的算法Chapter79/44配置IPsec協(xié)商2-1設(shè)置傳輸模式集定義了使用AH還是ES配置IPsec協(xié)商2-2配置保護訪問控制列表Router(config)#access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard用來定義哪些報文需要經(jīng)過IPSec加密后發(fā)送，哪些報文直接發(fā)送Chapter80/44配置IPsec協(xié)商2-2配置保護訪問控制列表用來定義哪些報文配置端口的應(yīng)用2-1創(chuàng)建CryptoMapsRouter(config)#cryptomapmap-nameseq-numipsec-isakmp配置CryptoMapsRouter(config-crypto-map)#matchaddressaccess-list-number

Router(config-crypto-map)#setpeerip_addressRouter(config-crypto-map)#settransform-setnameACL編號對端IP地址傳輸模式的名稱Map優(yōu)先級，取值范圍1~65535，值越小，優(yōu)先級越高Chapter81/44配置端口的應(yīng)用2-1創(chuàng)建CryptoMapsACL編號對端配置端口的應(yīng)用2-2應(yīng)用CryptoMaps到端口Router(config)#interfaceinterfa