26-27 局域网接入安全策略讲解.ppt

模块2 构建GRE隧道 模块2 构建GRE隧道 （1）路由器R1的相关配置。 ?R1(config)#interface Tunnel0 R1(config-if)# ip address R1(config-if)#tunnel source 21 R1(config-if)#tunnel destination 5 R1(config)#interface FastEthernet0/0 R1(config-if)#ip address 21 R1(config-if)#exit R1(config)#interface FastEthernet0/1 R1(config-if)#ip address 模块2 构建GRE隧道 （2）路由器 R2 的相关配置。 ?R2(config)#interface Tunnel0 R2(config-if)# ip address R2(config-if)#tunnel source 5 R2(config-if)#tunnel destination 21 R2(config)#interface FastEthernet0/0 R2(config-if)#ip address 5 R2(config)#interface FastEthernet0/1 R2(config-if)#ip address 02 模块3 构建IPSec隧道 知识目标、技能点 了解IPSec隧道协议意义 1 2 掌握IPSec隧道协议工作原理 3 掌握IPSec隧道协议配置技能 模块3 构建IPSec隧道 3.1 问题提出（教师讲述） 某公司网络由北京总公司及上海分公司构成。根据公司业务需要，总公司与分公司间建立VPN网络传输公司专用数据，VPN网络采用IPSec技术实现。 模块3 构建IPSec隧道 3.2 相关知识（教师讲述与交流） 1．IPSec概述 IPSec是一套安全体系架构，在IPSec实体之间提供数据保密性、完整性和数据验证服务，为主机之间、子网之间、安全网关之间的一条和多条数据流提供保护。 （1）ISAKMP/IKE：这些标准用于建立一个安全的管理连接，提供加密的密钥及验证信息； （2）AH及ESP：这些标准用于建立一个安全的数据连接，提供数据加密性、完整性及验证性服务。 模块3 构建IPSec隧道 2．IPSec连接过程 IPSec连接建立过程如下： （1）IPSec的启动 当一个对等体向另一个对等体发送需要保护的数据流量时，则IPSec建立过程自动启动，也可以通过手动启动。 （2）建立管理连接（ISAKMP/IKE阶段1） 这个阶段主要完成如下任务：对等体之间协商采用哪些安全策略建立一个安全的管理连接，对等体使用DH交换技术产生一个共享密钥信息，对等体间进行设备验证。 模块3 构建IPSec隧道 （3）建立数据连接（ISAKMP/IKE阶段2） 这个阶段在管理连接保护下主要完成如下任务：对等体之间协商采用哪些安全策略建立一个安全的数据连接，周期性地对数据连接更新密钥信息。 （4）传输数据 当数据连接建立后，对等体间就可以通过这条数据连接通道安全地传输用户数据了。 模块3 构建IPSec隧道 3．IPSec配置 IPSec 安全联盟即可以由手工方式建立也可以由 IKE 协商自动方式建立。这里介绍自动方式。 （1）创建加密访问列表 加密访问列表用于定义哪些数据流要被加密保护，哪些不需要被加密保护。 route(config)# access-list access-list-number {deny | permit}protocol source source-wildcard destination destination-wildcard? 模块3 构建IPSec隧道 其中： access-list-number为访问列表号； Protocol为协议； source为源地址； source-wildcard为源地址通配符； destination为目的地址； destination-wildcard为目的地址通配符。 模块3 构建IPSec隧道 （2）定义变换集合 变换集合是特定安全协议和算法的组合。在 IPSec 安全联盟协商期间，对等体一致使用一个特定的变换集合来保护特定的数据流。 route(config)# crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] ?其中： transform-set-name为变换集名称； transform为系统所支持的算法，算法可以进行一定规则的组合。