CCNA-VPN

客户先赢、共创价值VPN（虚拟专用网）本次内容VPN的作用VPN分类VPN工作原理IPSecVPN什么是VPNVPN（VirtualPrivateNetwork）在公用网络中,按照相同的策略和安全规则,建立的私有网络连接Internet北京总部广州分公司虚拟专用网络VPN的优点Internet专线中心站点分支机构Internet专线中心站点分支机构专线方式VPN方式费用高灵活性差广域网的管理复杂的拓扑结构费用低灵活性好简单的网络管理隧道的拓扑结构4VPN的结构和分类总部分支机构远程办公室家庭办公PSTN安装了VPN客户端软件的移动用户Internet远程访问的VPN站点到站点的VPN5远程访问的VPN总部家庭办公PSTN安装了VPN客户端软件的移动用户Internet移动用户或远程小办公室通过Internet访问网络中心连接单一的网络设备客户通常需要安装VPN客户端软件6站点到站点的VPN公司总部和其分支机构、办公室之间建立的VPN替代了传统的专线或分组交换WAN连接它们形成了一个企业的内部互联网络总部分支机构远程办公室Internet7VPN的工作原理VPN=加密＋隧道明文明文访问控制报文加密报文认证IP封装IP解封报文认证报文解密访问控制IP隧道公共IP网络8VPN的关键技术安全隧道技术信息加密技术用户认证技术访问控制技术9安全隧道技术为了在公网上传输私有数据而发展出来的“信息封装”（Encapsulation）方式在Internet上传输的加密数据包中，只有VPN端口或网关的IP地址暴露在外面Internet安全隧道10隧道协议二层隧道VPNL2TP:Layer2TunnelProtocolPPTP:PointToPointTunnelProtocolL2F:Layer2Forwarding三层隧道VPNGRE:GeneralRoutingEncapsulationIPSEC:IPSecurityProtocol11第二层隧道协议建立在点对点协议PPP的基础上先把各种网络协议（IP、IPX等）封装到PPP帧中，再把整个数据帧装入隧道协议适用于通过公共电话交换网或者ISDN线路连接VPNInternet内部网络移动用户访问集中器网络服务器PPP链接隧道12第三层隧道协议把各种网络协议直接装入隧道协议在可扩充性、安全性、可靠性方面优于第二层隧道协议Internet隧道IP连接13信息加密技术机密性对用户数据提供安全保护数据完整性确保消息在传送过程中没有被修改身份验证确保宣称已经发送了消息的实体是真正发送消息的实体明文加密密文解密明文14加密算法对称加密DES算法AES算法IDEA算法、Blowfish算法、Skipjack算法非对称加密RSA算法PGP15对称密钥明文密文明文加密共享密钥解密共享密钥发送方接收方发送方和接收方使用同一密钥通常加密比较快（可以达到线速）基于简单的数学操作（可借助硬件）需要数据的保密性时，用于大批量加密密钥的管理是最大的问题双方使用相同的密钥16非对称密钥每一方有两个密钥公钥，可以公开私钥，必须安全保存已知公钥，不可能推算出私钥一个密钥用于加密，一个用于解密比对称加密算法慢很多倍17公钥加密和私钥签名明文加密密文解密明文公钥私钥发送方接收方明文加密密文解密明文私钥公钥公钥加密私钥签名用于数据保密；利用公钥加密数据，私钥解密数据用于数字签名；发送者使用私钥加密数据，接收者用公钥解密数据18什么是IPsecIPSec（IPSecurity）是IETF为保证在Internet上传送数据的安全保密性，而制定的框架协议应用在网络层，保护和认证用IP数据包是开放的框架式协议，各算法之间相互独立提供了信息的机密性、数据的完整性、用户的验证和防重放保护支持隧道模式和传输模式19隧道模式和传输模式隧道模式IPsec对整个IP数据包进行封装和加密，隐蔽了源和目的IP地址从外部看不到数据包的路由过程传输模式IPsec只对IP有效数据载荷进行封装和加密，IP源和目的IP地址不加密传送安全程度相对较低20IPsec的组成IPSec提供两个安全协议AH(AuthenticationHeader)认证头协议ESP(EncapsulationSecurityPayload)封装安全载荷协议密钥管理协议IKE（InternetKeyExchange）因特网密钥交换协议IPsec不是单独的一个协议，而是一整套体系结构21AH协议隧道中报文的数据源鉴别数据的完整性保护对每组IP包进行认证，防止黑客利用IP进行攻击AH认证头协议22AH的隧道模式封装AH验证包头新IP包头数据IP包头数据原IP包头有效负载验证使用散列算法计算验证值，包含在AH验证包头中为新的IP包插入新的包头原始IP包保持不变，为整个原始IP包提供验证23ESP封装安全载荷协议保证数据的保密性提供报文的认证性、完整性保护24ESP的隧道模式封装ESP头部新IP包头ESP尾部ESP验证数据原IP包头数据原IP包头验证有效负载比AH增加加密功能，如果启用，则对原始IP包进行加密后再传输25AH和ESP相比较ESP基本提供所有的安全服务如果仅使用ESP，消耗相对较少为什么使用AHAH的认证强度比ESP强AH没有出口限制26安全联盟SA使用安全联盟（SA）是为了解决以下问题如何保护通信数据保护什么通信数据由谁实行保护建立SA是其他IPsec服务的前提SA定义了通信双方保护一定数据流量的策略27SA的内容一个SA通常包含以下的安全参数认证/加密算法，密钥长度及其他的参数认证和加密所需要的密钥哪些数据要使用到该SAIPsec的封装协议和模式如何保护保护什么由谁实行28IKE因特网密钥交换协议在IPsec网络中用于密钥管理为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥29IPsecVPN的配置步骤1—配置IKE的协商步骤2—配置IPSEC的协商步骤3—配置端口的应用步骤4—调试并排错30配置IKE协商3-1启动IKERouter(config)#cryptoisakmpenable建立IKE协商策略Router(config)#cryptoisakmppolicypriority取值范围1~10000数值越小，优先级越高31配置IKE协商3-2配置IKE协商策略Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#encryption｛des|3des｝Router(config-isakmp)#hash｛md5|sha1｝Router(config-isakmp)#lifetimeseconds使用预定义密钥加密算法SA的活动时间认证算法32配置IKE协商3-3设置共享密钥和对端地址Router(config)#cryptoisakmpkeykeystringaddresspeer-address密钥对端IP33配置IPsec协商2-1设置传输模式集Router(config)#cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]定义了使用AH还是ESP协议，以及相应协议所用的算法34配置IPsec协商2-2配置保护访问控制列表Router(config)#access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard用来定义哪些报文需要经过IPSec加密后发送，哪些报文直接发送35配置端口的应用2-1创建CryptoMapsRouter(config)#cryptomapmap-nameseq-numipsec-isakmp配置CryptoMapsRouter(config-crypto-map)#matchaddressaccess-list-numberRouter(config-crypto-map)#setpeerip_addressRouter(config-crypto-map)#settransform-setnameACL编号对端IP地址传输模式的名称Map优先级，取值范围1~65535，值越小，优先级越高36配置端口的应用2-2应用CryptoMaps到端口Router(config)#interfaceinterface_nameinterface_numRouter(config-if)#cryptomapmap-name37客户先赢、共创价值伴我成长