VPN(VirtualPrivateNetwork)虚拟专用网VPN的概念 虚拟专用网(VirtualPrivateNetwork)指的是依靠Internet服务提供商,在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。 IETF草案理解基于IP的VPN为:使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。VPN的优势降低成本VPN是利用了现有Internet或其他公共网络的基础设施为用户创建安全隧道,不需要使用专门的线路,如DDN和帧中继,只需要接入当地的ISP就可以安全地接入内部网络,这样就节省了线路费用。易于扩展如果采用专线连接,,在分部增多、内部网络节点越来越多时,网络结构趋于复杂,费用昂贵。如果采用VPN,只是在节点处架设VPN设备,就可以利用Internet建立安全连接。保证安全 VPN技术利用可靠的加密认证技术,在内部网络之间建立隧道,能够保证通信数据的机密性和完整性,保证信息不被泄漏或暴露给未授权的实体,保证信息不被未授权的的实体改变、删除或替代。现有的VPN解决方案 基于网络第二层的VPN解决方案 L2TP:Lay2TunnelingProtocol
ppt
关于艾滋病ppt课件精益管理ppt下载地图下载ppt可编辑假如ppt教学课件下载triz基础知识ppt
P:Point-to-PointTunnelingProtocol L2F:Lay2Forwarding 基于MPLS的VPN解决方案 基于IPSec的VPN解决方案 基于SSL的应用层VPN解决方案比较 由于第二层VPN技术在认证、数据完整性以及密钥管理等方面的不足,现在已经很少应用。 MPLSVPN由运营商提供,适合分支机构位于较大城市的企业集团采用 IPSecVPN由于其较高的安全性、可实施性,得到了广泛的应用。 SSLVPN的优势在于其零客户端的特点,SSLVPN可以适用于任何基于B/S的应用。 在实际应用中,SSLVPN和IPSecVPN两种方案往往结合实行,SSLVPN网关和IPSec网关有时也被集成到一个设备内。VPN功能 机密性 对用户数据提供安全保护 数据完整性 确保消息在传送过程中没有被修改 身份验证 确保宣称已经发送了消息的实体是真正发送消息的实体明文加密密文解密明文���������*密码学基础----加密算法分类 对称加密(加密和解密使用同一密钥) DES算法 AES算法 IDEA算法、Blowfish算法、Skipjack算法 非对称加密(加密和解密不是同一密钥) RSA算法*密码学基础----对称加密明文密文明文 发送方和接收方使用同一密钥 通常加密比较快(可以达到线速) 基于简单的数学操作(可借助硬件) 需要数据的保密性时,用于大批量加密 密钥的管理是最大的问题双方使用相同的密钥���������密码学基础----非对称加密 每一方有两个密钥 公钥,可以公开 私钥,必须安全保存 已知公钥,不可能推算出私钥 一个密钥用于加密,一个用于解密 比对称加密算法慢很多倍密码学基础----公钥加密和私钥签名用于数据保密;利用公钥加密数据,私钥解密数据用于数字签名;发送者使用私钥加密数据,接收者用公钥解密数据内部工作子网密文传输明文传输密文传输VPN功能1----数据机密性保护内部工作子网原始数据包对原始数据包进行HashHash摘要对原始数据包进行加密加密后的数据包加密加密后的数据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较,验证数据的完整性VPN功能2----数据完整性保护内部工作子网原始数据包对原始数据包进行HashHash摘要加密摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较DSS将数字签名附在原始包后面供对方验证签名得到数字签名DSS解密相等吗?验证通过VPN功能3----数据源身份认证AH
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
头ESP协议头SA建立之初,序列号初始化为0,使用该SA传递的第一个数据包序列号为1,序列号不允许重复,当序列号达到最大时,就需要建立一个新的SA,使用新的密钥。VPN功能4----重放攻击保护IPSec框架的组成 身份认证报头——AH协议提供数据源身份认证、数据完整性保护、重放攻击保护功能 负载安全封装——ESP协议提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能 因特网安全关联和密钥管理协议——IKE提供自动建立安全关联和管理密钥的功能隧道模式和传输模式 隧道模式 IPsec对整个IP数据包进行封装和加密,隐蔽了源和目的IP地址 从外部看不到数据包的路由过程 传输模式 IPsec只对IP有效数据载荷进行封装和加密,IP源和目的IP地址不加密传送 安全程度相对较低传输模式下的AH认证工作原理HostAHostBVPN网关VPN网关经过IPSec核心处理以后经过IPSec核心处理以后����隧道模式下的AH认证工作原理HostAHostBVPN网关1VPN网关2经过IPSec核心处理以后经过IPSec核心处理以后����传输模式下的ESP工作原理HostAHostBVPN网关VPN网关经过IPSec核心处理以后经过IPSec核心处理以后����隧道模式下的ESP工作原理HostAHostBVPN网关1VPN网关2经过IPSec核心处理以后经过IPSec核心处理以后����组合IPSec协议HostAHostBVPN网关1VPN网关2经过IPSec核心处理以后经过IPSec核心处理以后����ESP认证ESP尾负载ESP头IP头为什么还要AH协议负载IP头部认证数据AH头部认证数据AH协议ESP协议 身份认证 数据加密 数据完整性校验 重放攻击保护 身份认证 数据完整性校验 重放攻击保护ESP可以取代AH吗?ESP并不检查整个IP包的完整性,它所保护的内容不包括IP包头。而AH与之相反,它检查整个IPSec包的完整性,其中也包括IP包头。安全联盟SA 使用安全联盟(SA)是为了解决以下问题 如何保护通信数据 保护什么通信数据 由谁实行保护 建立SA是其他IPsec服务的前提 SA定义了通信双方保护一定数据流量的策略SA的内容 一个SA通常包含以下的安全参数 认证/加密算法,密钥长度及其他的参数 认证和加密所需要的密钥 哪些数据要使用到该SA IPsec的封装协议和模式如何保护保护什么由谁实行IKE因特网密钥交换协议 在IPsec网络中用于密钥管理 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥VPN通道的建立方式 Host对Host VPN网关对VPN网关 RemoteUser对VPN网关VPN网关AVPN网关BHosttoHost模式: 该模式要求两边主机都支持IPSec VPN网关可支持也可不支持IPSec安全通道安全通道安全通道主机必须支持IPSec主机必须支持IPSecGateway可支持也可不支持IPSecGateway可支持也可不支持IPSecHosttoHost����VPN网关AVPN网关BVPNtoVPN模式: 该模式不要求主机支持IPSec 两边的VPN网关必须都支持IPSec非安全通道安全通道主机可以不支持IPSec主机可以不支持IPSecGateway必须支持IPSecGateway必须支持IPSec非安全通道VPNGatewaytoVPNGateway����ISP接入服务器VPN网关B安全通道安全通道主机必须支持IPSecGateway必须支持IPSec非安全通道RemoteUsertoVPNGateway��VPN的具体应用 用VPN连接分支机构 用VPN连接业务伙伴 用VPN连接远程用户InternetVPN是企业网在因特网上的延伸VPN的具体应用IntranetVPNExtranetVPNAccessVPN用VPN连接分支机构VPN网关AVPN网关B通道只需定义在两边的网关上Gateway必须支持IPSecGateway必须支持IPSec数据在这一段是认证的数据在这一段是加密的ISPISP����用VPN连接合作伙伴VPN网关AVPN网关B主机必须支持IPSec主机必须支持IPSec通道建立在两边的主机之间,因为业务伙伴内的主机不是都可以信任的数据在这一段是加密的数据在这一段是认证的数据在这一段是认证的数据在这一段是加密的数据在这一段是认证的数据在这一段是加密的ISPISP����用VPN连接远程用户ISP接入服务器VPN网关B主机必须支持IPSecGateway必须支持IPSec数据在这一段是加密的数据在这一段是认证的数据在这一段是加密的数据在这一段是认证的通道建立在移动用户与公司内部网的网关处��IPsecVPN的配置 步骤1—配置IKE的协商 步骤2—配置IPSec的协商 步骤3—配置端口的应用 步骤4—调试并排错*配置IKE协商1-1 启动IKERouter(config)#cryptoisakmpenable 建立IKE协商策略Router(config)#cryptoisakmppolicypriority取值范围1~10000数值越小,优先级越高*配置IKE协商1-2 配置IKE协商策略Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#encryption{des|3des}Router(config-isakmp)#hash{md5|sha1}Router(config-isakmp)#lifetimeseconds使用预定义密钥加密算法SA的活动时间认证算法*配置IKE协商1-3 设置共享密钥和对端地址Router(config)#cryptoisakmpkeykeystringaddresspeer-address密钥对端IP*配置IPsec协商2-1 设置传输模式集Router(config)#cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]定义了使用AH还是ESP协议,以及相应协议所用的算法*配置IPsec协商2-2 配置保护访问控制列
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
Router(config)#access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard用来定义哪些报文需要经过IPSec加密后发送,哪些报文直接发送*配置端口的应用3-1 创建CryptoMapsRouter(config)#cryptomapmap-nameseq-numipsec-isakmp 配置CryptoMapsRouter(config-crypto-map)#matchaddressaccess-list-numberRouter(config-crypto-map)#setpeerip_addressRouter(config-crypto-map)#settransform-setnameACL编号对端IP地址传输模式的名称Map优先级,取值范围1~65535,值越小,优先级越高*配置端口的应用3-2 应用CryptoMaps到端口Router(config)#interfaceinterface_nameinterface_numRouter(config-if)#cryptomapmap-name*检查IPsec配置 查看IKE策略Router#showcryptoisakmppolicy 查看IPsec策略Router#showcryptoipsectransform-set 查看SA信息Router#showcryptoipsecsa 查看加密图Router#showcryptomap*实验目的了解VPN的作用及基本概念了解VPN的工作模式掌握VPN配置实验拓扑图实验步骤连接实验拓扑图,注意R2与R3需使用cisco2811系列路由器(2900系列路由器不支持IPSec)配置各主机IP地址与默认网关(注意不同网段主机IP)启用路由器各接口并配置局域网接口与广域网接口地址(注意区分DTE与DCE)配置默认路由与静态路由Router2(config)#iproute0.0.0.00.0.0.0100.1.1.1Router3(config)#iproute0.0.0.00.0.0.0200.1.1.1Router1(config)#iproute192.168.1.0255.255.255.0100.1.1.2Router1(config)#iproute192.168.2.0255.255.255.0200.1.1.2检查192.168.1.2是否ping通192.168.2.2?(截图)配置Router2与Router3之间的VPN(见后两页) * Router2配置Router(config)#cryptoisakmppolicy1//配置IKE策略,1是策略号,可自定义Router(config-isakmp)#encryption3des//加密使用3DES算法Router(config-isakmp)#hashmd5//验证密钥使用MD5算法Router(config-isakmp)#authenticationpre-share//配置IKE的验证方法,在此为pre-share,即预共享密钥认证方法Router(config-isakmp)#cryptoisakmpkeyexampleaddress200.1.1.2//设置远端对等体的共享密钥为exampleRouter(config)#cryptoipsectransform-settesttagah-md5-hmacesp-3des//设置名为“testtag”的交换集指定AH散列算法为md5,ESP加密算法为3DESRouter(config)#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255Router(config)#cryptomaptest10ipsec-isakmp//设置加密图,加密图名称为“test”,序号为10Router(config-crypto-map)#setpeer200.1.1.2//设置对端IP地址Router(config-crypto-map)#settransform-settesttag//设置隧道的AH及ESP,即将加密图用于交换集Router(config-crypto-map)#matchaddress101//设置匹配101号访问列表Router(config)#ints0/0/0Router(config-if)#cryptomaptest//将加密图test应用于此端口,即用其加密 Router3配置(与Router2类似,注意IP地址)Router(config)#cryptoisakmppolicy1Router(config-isakmp)#encryption3desRouter(config-isakmp)#hashmd5Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)#cryptoisakmpkeyexampleaddress100.1.1.2Router(config)#cryptoipsectransform-settesttagah-md5-hmacesp-3desRouter(config)#access-list101permitip192.168.2.00.0.0.255192.168.1.00.0.0.255Router(config)#cryptomaptest10ipsec-isakmpRouter(config-crypto-map)#setpeer100.1.1.2Router(config-crypto-map)#settransform-settesttagRouter(config-crypto-map)#matchaddress101Router(config-crypto-map)#ints0/0/0Router(config-if)#cryptomaptest查看 首先检查公司总部和公司分部的机子是否能ping通(截图) 检查IPSec配置 Router#shcryptoisakmpsa Router#showcryptoipsecsa Router#shcryptoipsectransform-set(截图) Router#shcryptoisakmppolicy(截图) Router#shcryptomap(截图)************
浙公网安备 33021202002483