VPN技术培训(复杂版)

VPN技术内容介绍1.VPN基本概念2.二层隧道协议L2TP3.三层隧道协议IPSEC4.L2TP+IPSEC5.VPN应用实例VPN概念VPN=VirtualPrivateNetwork虚拟专网普通专网通过租用运营商的商业线路，构建“私有”的专用网络ATM、帧中继（FrameRelay）、SDH等等一个普通专网的例子VPN基本概念什么是VPNVPN（VirtualPrivateNetwork）—虚拟专用网络在Internet上临时建立的安全虚拟专用网络VPN的优点节约成本增强的安全性容易扩展安全的IP地址VPN基本概念VPN分类􀂙基于加密和不加密的VPN分类1.加密VPN2.非加密VPN基于OSI模型分层的VPN分类1.数据链路层VPN2.网络层VPN3.应用层VPN基于服务类型的VPN分类1.远程接入VPN（AccessVPN）2.企业内联网VPN（IntranetVPN）3.企业外联网VPN（ExtranetVPN）VPN基本概念AccessVPN流动员工、远程办公人员使用AccessVPN通过公用网络与企业的内部网络建立专用的网络连接IntranetVPN通过公用网络、使用专用连接把企业总部和各远程分部（或分支）连接到内部网络注意：它只允许企业内部员工访问ExtranetVPN通过公用网络、使用专用连接把外部客户、合作伙伴等连接到企业的内部网络注意：它允许企业之外的用户访问内容介绍1.VPN基本概念2.二层隧道协议L2TP3.三层隧道协议IPSEC4.L2TP+IPSEC5.VPN应用实例二层隧道协议L2TPL2TP（Layer2TunnelingProtocol，二层隧道协议）是为在用户和企业的服务器之间透明传输PPP报文设置的隧道协议。特点：适用于点到网的协议支持私有地址分配与PPP配合支持AAA功能与IPSEC结合，支持对报文的加密二层隧道协议L2TPPCPSTN/ISDN远地分支机构接入服务器远端用户内部服务器Internet骨干网L2TP通道LACLNSLAC表示L2TP访问集中器（L2TPAccessConcentrator），是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备LNS表示L2TP网络服务器（L2TPNetworkServer），能进行L2TP封装或解封，并能进行PPP处理。二层隧道协议L2TPL2TP连接的维护以及PPP数据的传送都是通过L2TP报文的交换来完成的，这些报文再通过UDP的1701端口承载于TCP/IP之上。L2TP报文可以分为两种类型控制报文：用于隧道连接和会话连接的建立与维护数据报文：用于承载用户的PPP会话数据包隧道建立步骤1.客户端发起到LNS的L2TP隧道连接请求2.LNS对客户端进行认证3.认证通过后，客户端与LNS之间建立L2TP隧道连接4.客户端再次发起到LNS的PPP连接请求5.LNS利用PPP认证来确认用户，然后分配私网IP地址6.LNS与客户端之间的PPP会话建立L2TP数据包封装过程内容介绍1.VPN基本概念2.二层隧道协议L2TP3.三层隧道协议IPSEC4.L2TP+IPSEC5.VPN应用实例三层隧道协议IPSEC什么是IPSECIPSEC（IPSecurity）是一种由IETF设计的端到端的,确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。IPSEC的特点私有性—Confidentiality对传送的用户敏感数据进行加密保护，防止未授权的访问完整性—Integrity能够鉴别发送端发送的报文是否在传输的过程中被篡改真实性—Authentication（数据来源鉴别）对数据源身份进行验证，保证数据发自合法的发送者。这个功能是依靠数据完整性验证来实现的防重放—Anti-replay接收端能检测并拒绝被恶意重放的数据包，防止重放攻击IPSEC的组成IPSEC协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括以下主要协议：AH（AuthenticationHeader）：认证头标---为IP通信提供数据源认证、数据完整性和防重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。ESP（EncapsulatingSecurityPayload）：封装安全净载---ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级AH”，因为它提供机密性并可防止篡改。IKE（InternetKeyExchange）：Internet密钥交换协议---负责协商安全关联(SA)和建立隧道IPSEC的两种工作模式隧道模式（Tunnel）可以对IP头和IP数据进行加密认证，即协议使IP包通过隧道传输。传输模式（Transport）可以对IP数据进行加密认证，即协议为高层数据提供基本的保护。提示:传输模式应用于两个末端工作站之间或末端工作站与网关之间。隧道模式被应用于任何其他情况下AH（认证头标）AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列（可以将其当作数字签名），此hash散列在整个数据包中计算，因此对数据的任何更改将致使散列无效，这样就提供了完整性保护。AH由IP协议号51标识，该值包含在AH报头之前的协议报头中，如IP报头。AH报文格式ESP（封装安全净载）ESP为IP数据包提供完整性检查、认证和加密，它提供机密性并可防止篡改。ESP由IP协议号50标识。ESP报文格式IKE简介IKE—InternetKeyExchange因特网密钥交换协议，为IPSEC提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPSEC的使用和管理。IKE的特点就是永远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换（DH交换）最终计算出双方共享的密钥，并且即使第三者如黑客截获了双方用于计算密钥的所有交换数据也不足以计算出真正的密钥。注：DH（Diffie-Hellman）—公共密钥密码协议。它允许IPSEC对等体在一条不可靠的通道上建立一个被加密算法使用的共享的加密密钥。DHgroup1为768位DHgroup2为1024位IPSEC如何工作？1、感兴趣流触发IPSEC过程--导致开始IKE处理的数据流是感兴趣流2、IKE阶段--鉴别IPSEC对等体、协商IKE安全关联（SA）--在对等体间建立安全通道3、IPSEC阶段--协商IPSECSA并建立IPSEC通道4、数据传输--指定的数据包被IPSECSA中指定的加密算法和密钥来加密和解密5、IPSEC隧道终止--IPSECSA因被删除或超时而终止SA简介SA—安全关联（或叫安全联盟）是两个IPSEC通信实体经协商建立起来的一种约定，它决定了用来保护数据包安全的IPSEC协议（AH或ESP）、算法、密钥以及密钥的有效存在时间等SA是单方向的在对等体A、B之间有两条SA，一条A→B，另一条B→AIPSEC通过SPI、工作方式、安全协议、IP目的地址唯一标示一条SA安全联盟(SA)的参数IKE阶段协商协议参数鉴别IPSEC对等体对密钥进行管理IKE协商过程第一步、协商IKE策略（协商四个参数）1．加密算法：选择DES或3DES2．hash算法：选择MD5或SHA3．认证方法：选择证书认证、预共享密钥认证4．Diffie-Hellman组的选择第二步、密钥交换双方经过运算得到共有的一个DH公有值，此公有值在IKE协商中就称为加密材料第三步、身份验证和交换过程验证发起方将本端的预共享密钥，随机数等作为参数参与此阶段验证。加密算法对加密材料运算，从而取得需要的共享密钥IKE协商过程IKE配置cryptoisakmpenable//IPSEC配置之前应该先启用IKE，也就是isakmpcryptoisakmpkeyharbouraddress12.1.1.2//配置预共享密钥和对等体地址cryptoisakmppolicy1//建立IKE策略encryption3des//加密算法对加密材料运算从而取得需要的共享密钥hashmd5//与key一起用于认证、鉴别对等体group2//DH算法用组2，DH是用于产生共享密钥的。而该密钥最终可能会用于被保护数据的加密：如果在IPSECSA阶段没有指定PFS，则该密钥会用于被保护数据的加密，否则，就会由新的DH产生新的共享密钥用于最终的数据加密。lifetime3600//加密材料的生存期IPSEC阶段协商IPSECSA参数（已受IKESA保护）建立IPSECSA周期性地重新协商IPSECSA以确保安全性该阶段只有一种模式即快速模式。（QuickMode）IPSEC协商发起方将本端的IPSEC策略连同本端的用户身份信息，密钥生成信息（一般是用户主机的IP地址）用第一阶段密钥加密传送给接收方。接收方收到验证、解密以后将其与本身的IPSEC策略密钥生成信息进行匹配，然后将匹配后的结果连同密钥生成信息、身分信息加密传给发起方。IPSEC配置cryptoipsectransform-setTRAN01esp-3desesp-md5-hmac//建立名为TRAN01的转换集cryptomapMAP011isakmp//建立名为MAP01的加密图的第1个条目，一个加密图可有多个条目，比如：cryptomapMAP013isakmp就建立了加密图MAP01的另一个条目，该条目优先级是3。matchaddressVPN//匹配名为VPN的访问列表setpeer12.1.1.2setpfsgroup2//共享密钥在没有指定PFS时是由IKE1阶段的DH产生，否则由新的DH产生//共享密钥、esp-3des、esp-md5-hmac均用于被保护数据的加密。setsecurity-associationlifetimeseconds2800settransform-setTRAN01内容介绍1.VPN基本概念2.二层隧道协议L2TP3.三层隧道协议IPSEC4.L2TP+IPSEC5.VPN应用实例使用IPSEC保护L2TP通信内容介绍1.VPN基本概念2.二层隧道协议L2TP3.三层隧道协议IPSEC4.L2TP+IPSEC5.VPN应用实例场点到场点VPNVPN应用实例1L2TP+IPSECVPNVPN应用实例2内容回顾1.VPN基本概念2.二层隧道协议L2TP3.三层隧道协议IPSEC4.L2TP+IPSEC5.VPN应用实例谢谢大家！