迈普IPsec VPN技术培训.pptVIP

DDN专线解决方案 Saving（经济性）－减少线路投资（国内情况） 看一看宽带接入情况 xDSL费用：初装费用+包年费用=？ 带宽： 我公司VPN光环 IPSEC穿越NAT行业标准制定者 IPSEC测试规范制定者 对私有网络中的设备进行管理的方法（专利） 首家安全路由器认证厂商（两大院士沈昌祥，蔡吉仁把关） 中国第一家可运营VPN网络系统供应商 国家商密产品定点生产和许可销售单位 863安全路由器项目承担单位 国家信息安全产业化基地（西部） 4.5 几个与IPSec相关的show命令： show crypto isakmp policy： 查看已经配置了那些policy； show crypto isakmp connection Number： 查看已经存在的isakmp 连接数； show crypto isakmp identity： 查看身份标识方式； show crypto ipsec sa： 查看已经存在的IPSec SA；该命令比较重要，有时候通过该命令来判断IPSec SA是否已经建立成功； Show crypto ipsec transform-set： 查看已经配置的变换集合。 要网络，就要安全 要安全，就要迈普 安全的网络，无限的业务 －－－－迈普安全产品培训 迈普讲师：鲁宏杰 迈普网络安全产品培训 一、概述 二、IPsecVPN原理简介 三、VPN配置案例介绍 四、调试技巧 VPN是什么？能够实现什么功能？ VPN是虚拟私网（Virtual Prviate Network）的简称。她结合了专线技术的专有优势和Internet的经济性的优势，在Internet上提供了专用网络的各种功能。 假如有两个分支机构需要互联，我们看看传统的解决方案： 传统的解决方案是租用通信的DDN或者FR线路。优点是显而易见的，可靠、安全。缺点也是显而易见的，成本太高。 项 目 计费单位 资费(元) 本地 国内 营业区内 营业区间 月 租 费 64Kbps 每条 1,500 2,000 3,500 256Kbps 每条 2,500 3,200 5,500 1Mbps 每条 5,000 7,500 9,000 2Mbps 每条 6,000 8,000 12,000 ①、上海电信DDN租赁费用，价格昂贵；②、信息不加密，不满足强安全需求； 我们再看看VPN的解决方案： 大家可以看到，网络图都基本相似，只是接入的地方换成了VPN设备，中间不再是通信的DDN或者FR网络，而是廉价的Internet。也就是说，采用VPN后，你只要向通信申请Internet接入即可轻松实现互联，同时可以实现相当专线的安全。 ￥400 512K~1M 迈普网络安全产品培训 一、概述 二、IPsecVPN原理简介 三、VPN配置案例介绍 四、调试技巧 2.1 VPN是如何实现类似于专线的功能的？ VPN是采用了IPSec协议在封装报文，将封装后的加密报文通过Internet进行传输，基于密码学的数学技术能够保证该加密报文不能够轻易解密和篡改。 IPSec是一组协议族，IPSec，顾名思义，是IP层的安全（Security）。它是工作在IP层，对IP层的数据进行加密一般有两种协议ESP（Encapsulation Security Payload，封装安全载荷）和AH（Authentication Head，认证头）。前者能够加密和验证，后者仅仅提供验证。两者都支持验证，其区别是后者验证的范围更广。在目前的实际使用中，一般仅仅使用ESP。 IPSec协议有两种模式——传送模式和通道模式（tunnel），传送模式在这里不作阐述，对于VPN网关来说，只有通道模式才有意义。 2.2 IPSec报文处理过程 下面我们从一个实例来说明IPSec VPN网络建立后是如何对报文 进行封装和处理的。 PC（A）： PC（B）： 3020(A)： 3020(B)： PC（A） 3020(A) Internet 3020(B) PC（B） 1.当PC（A）访问PC（B）的时候，例如一个TCP的报文。报文如图： IP报文 (源：） (目的：) TCP 2.当报文到达3020的时候，IPSec VPN的处理方式是给该报文新封装了一层IP报 头，新IP报头的源IP地址是3020（A）的出口地址（），目的地址是3020（B）的出口地址（），因此，经过3020处理后的报文如图： IP报文 (源：) (目的：) ESP报头 ESP载荷 （旧IP报文被加密的报文） ESP 尾部 ESP认证 旧IP报文加密后的报文作为ESP的一个载荷 认证的后的数据置于ESP认证载