收藏
下载资源 加入VIP免费专享

IPSec VPN协议原理及配置.ppt

上传人:来看看 文档编号:5019437 上传时间:2020-01-29 格式:PPT 页数:50 大小:2.04MB
返回 下载 相关 举报
IPSec VPN协议原理及配置.ppt_第1页
第1页 / 共50页
IPSec VPN协议原理及配置.ppt_第2页
第2页 / 共50页
IPSec VPN协议原理及配置.ppt_第3页
第3页 / 共50页
IPSec VPN协议原理及配置.ppt_第4页
第4页 / 共50页
IPSec VPN协议原理及配置.ppt_第5页
第5页 / 共50页
点击查看更多>>
资源描述

《IPSec VPN协议原理及配置.ppt》由会员分享,可在线阅读,更多相关《IPSec VPN协议原理及配置.ppt(50页珍藏版)》请在三一文库上搜索。

1、IPSec VPN协议原理及配置,ISSUE 1.1,日期:,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,了解 VPN 的概念和分类 理解 IPSec VPN协议原理 掌握 ICG2000 IPSec VPN配置方法,课程目标,学习完本课程,您应该能够:,VPN 概述 IPSec VPN协议原理 ICG 2000 IPSec 配置与排错,目录,VPN的定义,VPN Virtual Private Network,合作伙伴,Internet,办事处,总部,分支机构,异地办事处,VPN的分类,按应用类型分类: Access VPN Intranet VPN Extranet VPN

2、 按实现的层次分类: 二层隧道 VPN 三层隧道 VPN,VPDN,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,适用范围: 出差员工 异地小型办公机构,Intranet VPN,Internet/ ISP IP ATM/FR,总部,研究所,办事处,分支机构,Extranet VPN,Internet/ ISP IP ATM/FR,总部,合作伙伴,异地办事处,分支机构,按实现的层次分类,二层隧道VPN L2TP: Layer 2 Tunnel Protocol (RFC 2661) PPTP: Point To Point Tunnel Protocol L2F: La

3、yer 2 Forwarding 三层隧道VPN GRE : Generic Routing Encapsulation IPSEC : IP Security Protocol,VPN设计原则,安全性 隧道与加密 数据验证 用户验证 防火墙与攻击检测 可靠性 经济性 扩展性,VPN 概述 IPSec VPN协议原理 ICG 2000 IPSec 配置与排错,目录,IPSec,IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH(协议号51) 和封装安全载荷协议ESP(协议号50)两个协议 IPSec有

4、隧道(tunnel)和传输(transport)两种工作方式,IPSec 的组成,IPSec 提供两个安全协议 AH (Authentication Header) 报文验证头协议 MD5 (Message Digest 5) SHA1 (Secure Hash Algorithm) ESP (Encapsulation Security Payload) 封装安全载荷协议 DES (Data Encryption Standard) 3DES (Triple DES) AES (Advanced Encryption Standard),IPSec 的安全特点,数据机密性(Confident

5、iality) 数据完整性(Data Integrity) 数据来源认证(Data Origin Authentication) 反重放(Anti-Replay),IPSec 基本概念,数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全提议 (Security Proposal) 安全策略 (Security Policy),AH协议,数据,IP 包头,数据,IP 包头,AH,AH,新IP 包头,传输模式,隧道模式,AH头结构,0,8,16,3

6、1,ESP 协议,数据,IP 包头,加密后的数据,IP 包头,ESP头部,ESP头,新IP 包头,传输模式,隧道模式,ESP尾部,ESP验证,ESP尾部,ESP验证,ESP协议包结构,IKE,IKE(Internet Key Exchange,因特网密钥交换协议) 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥,IKE的安全机制,完善的前向安全性 数据验证 身份验证 身份保护 DH交换和密钥分发,IKE的交换过程,SA交换,密钥交换,ID交换及验证,发送本地 IKE策略,身份验证和 交换过程验证,密钥生成,密钥生成,接受对端 确认的策略,查找匹配 的策略,身份验

7、证和 交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,DH交换及密钥产生,a,c=gamodp,damodp,peer2,peer1,b,d=gbmodp,cbmodp,damodp= cbmodp=gabmodp,(g ,p),IKE在IPSec中的作用,降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证,IPSec 与IKE的关系,IKE,IPSec,IKE,IPSec,加密的IP

8、报文,IP,IKE的SA协商,SA,SA,VPN 概述 IPSec VPN协议原理 ICG 2000 IPSec 配置与排错 Web 方式配置 IPsec 排错,目录,IPSec配置前的准备,确定需要保护的数据 确定使用安全保护的路径 确定使用哪种安全保护 确定安全保护的强度,总部网关NavigatorA 配置,配置上网参数,NavigatorA 创建NAT ACL,ACL 3100,禁止总部子网192.168.1.0/24访问分支机构子网192.168.0.0/24时进行NAT转换,允许该子网访问公网时进行NAT在转换,NavigatorA 创建NAT ACL 续,NavigatorA 创建

9、安全 ACL,ACL 3200 ,允许分支机构子网192.168.1.0/24通过IPSec VPN访问目的总部机构192.168.0.0/24的子网,NavigatorA 重新绑定NAT,命令行配置界面,首先取消系统缺省NAT地址转换设置,然后对NAT地址转换绑定ACL 3100 system-view System View: return to User View with Ctrl+Z. NavigatorA interface Ethernet 0/0 NavigatorA-Ethernet0/0 display this interface Ethernet0/0 port lin

10、k-mode route nat outbound ip address 202.1.1.10 255.255.255.0 ipsec policy navigator NavigatorA-Ethernet0/0undo nat outbound NavigatorA-Ethernet0/0nat outbound 3100,NavigatorA 创建IKE,创建IKE navigator-a,NavigatorA 创建IKE对等体,创建IKE 对等体 e2e,NavigatorA 创建IKE对等体 续,查看IKE 对等体,NavigatorA 配置IPSec 策略,创建IPSec策略,Na

11、vigatorA 配置IPSec 策略 续,配置IPSec策略,NavigatorA 删除缺省IPSec策略,删除系统缺省的IPSec策略,NavigatorA 重新绑定IPSec策略,为E0/0重新绑定IPSec策略,NavigatorA 接口绑定IPSec策略,绑定成功,Navigator配置完成,分支网关 Navigator B 配置,分支网关配置与总部网关配置基本相似 配置上网参数 配置NAT ACL 配置安全ACL 配置IKE 设置IKE对等体 创建IPSec策略 重新绑定IPSec策略 后续列出与总部网关有区别的配置步骤,Navigator B 配置,配置上网参数,拨号方式,Nav

12、igatorB 重新绑定NAT,命令行配置界面,进入PPPoE拨号接口视图Dialer10,首先取消系统缺省NAT地址转换设置,然后对NAT地址转换绑定ACL 3100 system-view System View: return to User View with Ctrl+Z. NavigatorB interface dialer 10 NavigatorB-Dialer10 display this # interface Dialer10 nat outbound link-protocol ppp ppp chap user 10000088888 ppp chap passwo

13、rd cipher V9ZK.:B:WKQ=QMAF41! ppp pap local-user 10000088888 password cipher V9ZK.:B:WKQ=QMAF41! NavigatorB-Dialer10 undo nat outbound NavigatorB-Dialer10 nat outbound 3100,NavigatorB 创建IKE对等体,创建IKE对等体,注意需配置总部网关IP地址,NavigatorB 接口绑定IPSec策略,在拨号口绑定新创建的IPSec策略,配置完成,IPSec 功能验证,由分支触发IPSec,实现总部与分支内网的安全互访,V

14、PN 概述 IPSec VPN协议原理 ICG 2000 IPSec 配置与排错 Web 方式配置 IPsec 排错,目录,IPSec 的显示与调试,IPSec显示与调试 显示安全联盟的相关信息 display ipsec sa brief | remote ip-address | policy policy-name seq-number | duration 显示IPSec处理报文的统计信息 display ipsec statistics 显示安全提议的信息 display ipsec proposal proposal-name 显示安全策略的信息 display ipsec pol

15、icy brief | name policy-name seq-number 打开IPSec的调试功能 debugging ipsec sa | packet policy policy-name seq-number | parameters ip-address protocol spi-number | misc ,IKE 的显示与调试,显示当前已建立的安全通道 display ike sa 显示每个IKE提议配置的参数 display ike proposal 删除安全隧道 reset ike sa connection-id 打开IKE的调试信息 debugging ike err

16、or | exchange | message | misc| transport ,IPSec故障诊断与排错,非法用户身份信息 检查协商两端接口上配置的安全策略中的ACL内容是否相容。 建议用户将两端的ACL配置成互为镜像的。 提议不匹配 对于阶段1,检查IKE proposal是否有与对方匹配的。 对于阶段2协商,检查双方接口上应用的IPsec安全策略的参数是否匹配,引用的IPsec安全提议的协议、加密算法和验证算法是否有匹配的。 无法建立安全通道 使用reset ike sa命令清除错误存在的SA,重新发起协商。,VPN概述 IPsec 协议原理 ICG2000 Web方式配置IPSec,本章总结,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 研究报告 > 商业贸易


经营许可证编号:宁ICP备18001539号-1