网络安全项目二任务五AccessIpsecVlan配置讲解.ppt

四、任务配置 下载任务素材 谢谢！ 连接内部网络的接口收到IP数据报后首先交由IP协议作路由处理，IP协议检查IP报头中的目的地址域来确定如何路由此报文。若报文的目的地址被发现要从路由器的隧道端口Tunnel X路由出去时，则启用GRE封装，根据端口Tunnel X定义的源目的地址，将这个原始的数据报文进行封装，完称GRE封装后的IP数据报文（协议类型为47）的目的地址是Tunnel X所定义的目的地址（通常是远端路由器的某个端口地址），源地址是Tunnel X所定义的源地址（通常是本地路由器上的某个端口地址），封装后的IP数据报文再交给IP模块处理，根据相应的目的地址及路由表项决定从哪一个端口发送出去，交给相应的网络接口处理。 VPN数据如何确保通过TUNNEL0转发：通过配置路由来触发逻辑接口 数据的真实传输是通过物理接口实现， 路由?逻辑接口（封装新IP、GRE头）?物理接口转发（默认路由） * 解封装的过程和加封装的过程恰恰相反。当路由器的某个接口接收到一个目的地址为本路由器的一个接口而且协议类型为47的IP数据报文时，将检查本地是否有Tunnel端口的源IP就是IP报文的目的地址的匹配项，如果有，则交给GRE模块处理，GRE模块在校验密钥，检查校验或报文的序列号等操作之后，剥掉GRE报头，得到原始的IP数据报文。再交给路由器的IP模块处理，根据它的目的地址交给相应的网络接口处理。 * 拨入以后会获得一个server分配的地址，如果没做split tunnel，那么client端会将所有数据都发给server，建议server做split tunnel crypto isakmp client configuration group EZVPN 在Server端要这样配置Split Tunnel acl 101 access-list 101 permit ip 55 55 这里也可以改成any * 网络安全技术 吴伟 项目二任务五：Remote Access IPSec VPN 一、任务介绍 二、 Remote Access IPSec VPN基础 三、 EzVPN配置 四、 任务配置 一、任务介绍 根据任务网络拓扑及企业网络需求，应用IPSec VPN实现任务要求，理解Remote Access IPSec VPN特点、结构，理解AAA、x-auth扩展认证、动态映射、反向路由在IPSec 中的作用，掌握Remote Access IPSec VPN的配置过程，学会应用Remote Access IPSec VPN为企业构建远程传输网络。 二、 Remote Access IPSec VPN 基础 Access VPN：又称为拨号VPN（即VPDN），是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。 二、 Remote Access IPSec VPN 基础 IPSec 如何实现Access VPN？？ 建立隧道 接入用户身份认证 数据分流：VPN与非VPN数据 二、 Remote Access IPSec VPN 基础 隧道建立 Site-to-site Ipsec VPN IKE SA第一阶段（ISAKMP SA），建立隧道：验证方式、加密算法、验证算法、协商模式 R1(config)# crypto isakmp key cisco1122 address IKE SA第二阶段（IPsec SA） ，数据传输：封装方式、加密算法、传输方式 二、 Remote Access IPSec VPN 基础 隧道建立 Remote Access IPSec VPN 出现问题： 密钥无法传输：接入用户无固定IP地址，VPN网关端无法指定对端IP地址，无法如site-to-stie方式建立隧道 隧道无法建立：tunnel虚拟链路,两端地址一端随机 回程路由无法预设：若能建立隧道，VPN网关如何路由信息给VPN接入用户 ?.?.?.? TCP DATA x.x.x.x AH/ESP 二、 Remote Access IPSec VPN 基础 隧道建立 Remote Access IPSec VPN 分析问题： R1(config)# crypto isakmp key cisco1122 address 因VPN网关无法预知VPN接入用户IP地址，无法传输欲共享密钥所以无法建立隧道 隧道为虚拟链路，需指定两端IP地址，因VPN网关无法预知VPN接入用户IP地址（虚拟链路） VPN网关无法预知VPN接入用户IP地址（虚拟链路）,无法预先建立好回城路由 总结：VPN网关了解密钥、虚拟链路IP地址 二、 Remo