14、虚拟专网(VPN)

虚拟专网（VPN）第9章Page2/44本章目标能够配置VPN，使企业办事处能够通过VPN远程接入企业网络中心了解VPN的基本概念熟悉VPN的工作原理了解VPN的加密算法熟悉IPsecVPN技术能够在Cisco路由器上配置IPsecVPNPage3/44隧道和加密技术本章结构虚拟专网VPNIPsec的安全协议IPsec基本概念VPN概述IPsec技术IPsec的传送方式IPsec的密钥交换IPsecVPN的配置VPN的结构和分类VPN的定义VPN的工作原理IPsec的运行Page4/44什么是VPNVPN（VirtualPrivateNetwork）在公用网络中,按照相同的策略和安全规则,建立的私有网络连接Internet北京总部广州分公司虚拟专用网络Page5/44VPN的优点Internet专线中心站点分支机构Internet专线中心站点分支机构专线方式VPN方式费用高灵活性差广域网的管理复杂的拓扑结构费用低灵活性好简单的网络管理隧道的拓扑结构Page6/44VPN的结构和分类总部分支机构远程办公室家庭办公PSTN安装了VPN客户端软件的移动用户Internet远程访问的VPN站点到站点的VPNPage7/44远程访问的VPN总部家庭办公PSTN安装了VPN客户端软件的移动用户Internet移动用户或远程小办公室通过Internet访问网络中心连接单一的网络设备客户通常需要安装VPN客户端软件Page8/44站点到站点的VPN公司总部和其分支机构、办公室之间建立的VPN替代了传统的专线或分组交换WAN连接它们形成了一个企业的内部互联网络总部分支机构远程办公室InternetPage9/44VPN的工作原理VPN=加密＋隧道明文明文访问控制报文加密报文认证IP封装IP解封报文认证报文解密访问控制IP隧道公共IP网络Page10/44VPN的关键技术安全隧道技术信息加密技术用户认证技术访问控制技术Page11/44安全隧道技术为了在公网上传输私有数据而发展出来的“信息封装”（Encapsulation）方式在Internet上传输的加密数据包中，只有VPN端口或网关的IP地址暴露在外面Internet安全隧道Page12/44隧道协议二层隧道VPNL2TP:Layer2TunnelProtocolPPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocolPage13/44第二层隧道协议建立在点对点协议PPP的基础上先把各种网络协议（IP、IPX等）封装到PPP帧中，再把整个数据帧装入隧道协议适用于通过公共电话交换网或者ISDN线路连接VPNInternet内部网络移动用户访问集中器网络服务器PPP链接隧道Page14/44第三层隧道协议把各种网络协议直接装入隧道协议在可扩充性、安全性、可靠性方面优于第二层隧道协议Internet隧道IP连接Page15/44信息加密技术机密性对用户数据提供安全保护数据完整性确保消息在传送过程中没有被修改身份验证确保宣称已经发送了消息的实体是真正发送消息的实体明文加密密文解密明文Page16/44加密算法对称加密DES算法AES算法IDEA算法、Blowfish算法、Skipjack算法非对称加密RSA算法PGPPage17/44对称密钥明文密文明文加密共享密钥解密共享密钥发送方接收方发送方和接收方使用同一密钥通常加密比较快（可以达到线速）基于简单的数学操作（可借助硬件）需要数据的保密性时，用于大批量加密密钥的管理是最大的问题双方使用相同的密钥Page18/44非对称密钥每一方有两个密钥公钥，可以公开私钥，必须安全保存已知公钥，不可能推算出私钥一个密钥用于加密，一个用于解密比对称加密算法慢很多倍Page19/44公钥加密和私钥签名明文加密密文解密明文公钥私钥发送方接收方明文加密密文解密明文私钥公钥公钥加密私钥签名用于数据保密；利用公钥加密数据，私钥解密数据用于数字签名；发送者使用私钥加密数据，接收者用公钥解密数据Page20/44阶段总结VPN的基本概念VPN的结构和类型VPN的原理安全隧道技术信息加密技术Page21/44什么是IPsecIPSec（IPSecurity）是IETF为保证在Internet上传送数据的安全保密性，而制定的框架协议应用在网络层，保护和认证用IP数据包是开放的框架式协议，各算法之间相互独立提供了信息的机密性、数据的完整性、用户的验证和防重放保护支持隧道模式和传输模式Page22/44隧道模式和传输模式隧道模式IPsec对整个IP数据包进行封装和加密，隐蔽了源和目的IP地址从外部看不到数据包的路由过程传输模式IPsec只对IP有效数据载荷进行封装和加密，IP源和目的IP地址不加密传送安全程度相对较低Page23/44IPsec的组成IPSec提供两个安全协议AH(AuthenticationHeader)认证头协议ESP(EncapsulationSecurityPayload)封装安全载荷协议密钥管理协议IKE（InternetKeyExchange）因特网密钥交换协议IPsec不是单独的一个协议，而是一整套体系结构Page24/44AH协议隧道中报文的数据源鉴别数据的完整性保护对每组IP包进行认证，防止黑客利用IP进行攻击AH认证头协议Page25/44AH的隧道模式封装AH验证包头新IP包头数据IP包头数据原IP包头有效负载验证使用散列算法计算验证值，包含在AH验证包头中为新的IP包插入新的包头原始IP包保持不变，为整个原始IP包提供验证Page26/44ESP封装安全载荷协议保证数据的保密性提供报文的认证性、完整性保护Page27/44ESP的隧道模式封装ESP头部新IP包头ESP尾部ESP验证数据原IP包头数据原IP包头验证有效负载比AH增加加密功能，如果启用，则对原始IP包进行加密后再传输Page28/44AH和ESP相比较ESP基本提供所有的安全服务如果仅使用ESP，消耗相对较少为什么使用AHAH的认证强度比ESP强AH没有出口限制Page29/44安全联盟SA使用安全联盟（SA）是为了解决以下问题如何保护通信数据保护什么通信数据由谁实行保护建立SA是其他IPsec服务的前提SA定义了通信双方保护一定数据流量的策略Page30/44SA的内容一个SA通常包含以下的安全参数认证/加密算法，密钥长度及其他的参数认证和加密所需要的密钥哪些数据要使用到该SAIPsec的封装协议和模式如何保护保护什么由谁实行Page31/44IKE因特网密钥交换协议在IPsec网络中用于密钥管理为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥Page32/44IPsecVPN的配置步骤1—配置IKE的协商步骤2—配置IPSEC的协商步骤3—配置端口的应用步骤4—调试并排错Page33/44配置IKE协商3-1启动IKERouter(config)#cryptoisakmpenable建立IKE协商策略Router(config)#cryptoisakmppolicypriority取值范围1~10000数值越小，优先级越高Page34/44配置IKE协商3-2配置IKE协商策略Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#encryption｛des|3des｝Router(config-isakmp)#hash｛md5|sha1｝Router(config-isakmp)#lifetimeseconds使用预定义密钥加密算法SA的活动时间认证算法Page35/44配置IKE协商3-3设置共享密钥和对端地址Router(config)#cryptoisakmpkeykeystringaddresspeer-address密钥对端IPPage36/44配置IPsec协商2-1设置传输模式集Router(config)#cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]定义了使用AH还是ESP协议，以及相应协议所用的算法Page37/44配置IPsec协商2-2配置保护访问控制列表Router(config)#access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard用来定义哪些报文需要经过IPSec加密后发送，哪些报文直接发送Page38/44配置端口的应用2-1创建CryptoMapsRouter(config)#cryptomapmap-nameseq-numipsec-isakmp配置CryptoMapsRouter(config-crypto-map)#matchaddressaccess-list-numberRouter(config-crypto-map)#setpeerip_addressRouter(config-crypto-map)#settransform-setnameACL编号对端IP地址传输模式的名称Map优先级，取值范围1~65535，值越小，优先级越高Page39/44配置端口的应用2-2应用CryptoMaps到端口Router(config)#interfaceinterface_nameinterface_numRouter(config-if)#cryptomapmap-namePage40/44检查IPsec配置查看IKE策略Router#showcryptoisakmppolicy查看IPsce策略Router#showcryptoipsectransform-set查看SA信息Router#showcryptoipsecsa查看加密映射Router#showcryptomapPage41/44RouterA(config)#iproute0.0.0.00.0.0.020.20.20.20RouterA(config)#cryptoisakmppolicy1RouterA(config-isakmap)#hashmd5RouterA(config-isakmap)#authenticationpre−shareRouterA(config)#cryptoisakmpkeybenet-passwordaddress20.20.20.20RouterA(config)#cryptoipsectransform−setbenetsetah−md5−hmacesp−desRouterA(config)#access−list101permitip50.50.50.00.0.0.25560.60.60.00.0.0.255RouterA(config)#cryptomapbenetmap1ipsec−isakmpRouterA(config-crypto-map)#setpeer20.20.20.20RouterA(config-crypto-map)#settransform−setbenetsetRouterA(config-crypto-map)#matchaddress101RouterA(config)#interfaceserial0/0RouterA(config-if)#cryptomapbenetmap20.20.20.2150.5