网络安全项目二任务四SiteIpsecVlan配置.

网络安全技术吴伟项目二任务四：IPSecVPN•一、任务介绍•二、IPSecVPN基础•三、IPSecVPN应用•四、site-to-siteIPSecVPN配置•五、任务配置一、任务介绍•根据任务网络拓扑及企业网络需求，应用IPSecVPN实现任务要求，理解IPSecVPN特点、结构，理解IKE、SA、AH、ESP在IPSec中的作用，掌握IPSecVPN两种模式的配置过程，学会应用IPSecVPN为企业构建远程传输网络。二、IPSecVPN基础GREVPN缺陷：隧道密钥验证，数据明文只能实现site-to-siteVPNGREVPN实现:PCtunnel:source:12.1.1.1(动态)destination:210.28.144.1Routertunnel:source:210.28.144.1destination:12.1.1.1(动态)二、IPSecVPN基础•IPsecVPN是网络层的VPN技术是随着IPv6的制定而产生的，鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增加了对IPv4的支持，它独立于应用程序；通过使用现代密码学方法支持保密和认证服务，使用户能有选择地使用，以AH或ESP协议封装原始IP信息，实现数据加密、带验证机制，安全性较高。•支持VPN类型–site-to-siteVPN–RemoteAccessVPN•连接类型–PC-PC–PC-VPN网关–VPN网关-VPN网关二、IPSecVPN基础•VPN核心：–两层封装：隧道–数据分流:VPN与非VPN–IPSEC：数据加密、数据验证二、IPSecVPN基础•主要协议集：–安全协议•认证报文头（AuthenticationHeader,AH)•封装安全载荷（EncapsulatingSecurityPayload,ESP）–Internet密钥交换（InternetKeyExchange,IKE）•主要概念：–安全关联（SecurityAssociation，SA）–传输方式：传输模式和隧道模式二、IPSecVPN基础•隧道模式–隧道模式下数据包最终目的地不是安全终点。通常情况下，只要IPSec双方有一方是安全网关或路由器，就必须使用隧道模式。加密整个IP数据包括头部•传输模式–传输模式下，IPSec主要对上层协议即IP包的载荷进行封装保护，通常情况下，传输模式只用于两台主机之间的安全通信。只加密整个IP数据负载部分二、IPSecVPN基础•AH–为IP包提供数据完整性校验和身份认证–具备可选择的重放攻击保护–保护上层协议（传输模式）或完整的IP数据包（隧道模式）下一头部保留字段载荷长度安全参数索引（SPI）序列号验证数据二、IPSecVPN基础•ESP–为IP报文提供数据完整性校验、身份认证、数据加密以及重放攻击保护等。安全参数索引（SPI）有效载荷数据填充项验证数据(ICV)初始化向量（IV）序列号下一头部填充项长度07152331ESP头部ESP尾部ESP验证数据加密范围验证范围二、IPSecVPN基础•传输模式二、IPSecVPN基础•隧道模式二、IPSecVPN基础•SA安全关联（SecurityAssociation）–SA是构成IPSec的基础，是两个通信实体经协商建立起来的一种协定，它们决定了用来保护数据包安全的安全协议（AH协议或者ESP协议）、转码方式、密钥及密钥的有效存在时间等。–单向逻辑连接–SPI、目的IP地址、安全协议二、IPSecVPN基础•Internet密钥交换协议（IKE）–IKE是IPSec默认的安全密钥协商方法–密钥交换协议，AH和ESP协议提供密钥交换管理–SA管理二、IPSecVPN基础安全体系结构加密算法认证头协议（AH）封装安全载荷(ESP)策略密钥管理（IKE）解释域（DOI）验证算法二、IPSecVPN基础三、IPSec应用•Site-to-SiteVPN–隧道模式•RemoteAccessVPN–隧道模式（End-Site）–传输模式（End-End）三、IPSecVPN应用•Site-to-SiteIPSecVPN–参与设备：两端VPN网关–隧道建立:sa第一阶段–区分VPN数据与非VPN：传输VPN数据，sa第二阶段–数据加密、数据验证三、IPSecVPN应用——IPSECVPN封装•IPSec封装•192.168.1.1-10.35.1.1–PC1:IP原始数据包，–R1Fa0/0:路由处理，内网IP无路由（ISP屏蔽），根据ACL识别VPN数据（感兴趣流）并交给IPSEC驱动程序进行封装,建立VPN隧道，sa第一阶段；隧道建立好后，利用隧道进行VPN数据传输，sa第二阶段–R1IPSEC驱动程序:根据sa中定义安全协议、加密算法、验证算法对数据进行封装–R1S0/0/0:根据新IP包目的地址进行路由转发192.168.1.1TCPDATA10.35.1.1192.168.1.1TCPDATA10.35.1.158.1.1.1210.28.144.1AH/ESP路由VPN封装二、虚拟专用网(VPN)基础——IPSecVPN解封装•IPSec解封装•192.168.1.1-10.35.1.1–R2S0/0/0:若sa协商成功，成功建立通道IP包与接口地址相同，接收去除IP头，根据IP包头信息交与相应IPSEC驱动程序处理–R2IPSEC驱动程序:根据sa中定义参数对数据包进行解密、验证–R2Fa0/0:如有路由则进行二层通信进行ARP192.168.1.1TCPDATA10.35.1.1192.168.1.1TCPDATA10.35.1.158.1.1.1210.28.144.1AH/ESP路由VPN封装4、site-to-siteIPSecVPN配置•1：配置IKER1(config)#cryptoisakmpenable–//启用IKE(默认是启动的)•R1(config)#cryptoisakmppolicy100–//建立IKE策略,优先级为100•R1(config-isakmp)#authenticationpre-share–//使用预共享的密码进行身份验证•R1(config-isakmp)#encryptiondes–//使用des加密方式•R1(config-isakmp)#group1(可选)–//指定密钥位数，group2安全性更高，但更耗cpu•R1(config-isakmp)#hashmd5–//指定hash算法为MD5(其他方式：sha，rsa)•R1(config-isakmp)#lifetime86400(可选)–//指定SA有效期时间。默认86400秒，两端要一致以上配置可通过showcryptoisakmppolicy显示。VPN两端路由器的上述配置要完全一样。4、site-to-siteIPSecVPN配置•2：配置KeysR1(config)#cryptoisakmpkeycisco1122address210.28.144.1//(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址)3：配置IPSECR1(config)#cryptoipsectransform-setabcesp-desesp-md5-hmac//配置IPSec交换集abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。R1(config)#cryptoipsecsecurity-associationlifetime86400(可选)//ipsec安全关联存活期，也可不配置，在下面的map里指定即可R1(config)#access-list110permitip192.168.1.00.0.0.25510.35.1.00.0.0.255//定义感兴趣数据，IPSECVPN地址为双方内网IP地址4、site-to-siteIPSecVPN配置•4.配置IPSEC加密映射R1(config)#cryptomapmymap100ipsec-isakmp–//创建加密图•R1(config-crypto-map)#matchaddress110–//用ACL来定义加密的通信R1(config-crypto-map)#setpeer210.28.144.1//标识对方路由器IP地址R1(config-crypto-map)#settransform-setabc//指定加密图使用的IPSEC交换集R1(config-crypto-map)#setsecurity-associationlifetime86400(可选)R1(config-crypto-map)#setpfsgroup1(可选)5.应用加密图到接口R1(config)#interfaceSerial0/0/0//应用到外网接口R1(config-if)#cryptomapmymap五、任务配置•下载任务素材谢谢！