[计算机硬件及网络]网络安全技术-15-VPNIPSec.pptVIP

网络安全技术 网络安全技术 信息技术系 鲍洪生 学习单元二主题学习单元六 任务 利用加密技术防止网络上的嗅探欺骗等行为 VPN VPN (Virtual Private Network) 是通过 internet 公共网络在局域网络之间或单点之间安全地传递数据的技术 实现VPN主要技术 在链路层 L2TP、PPTP等 在网络层 IPsec（IP security)等 在传输层 SSL、TLS、SOCKS等 第二层隧道协议 第三层隧道协议 隧道模式和传输模式 AH协议 ESP 协议 IKE IKE（Internet Key Exchange，因特网密钥交换协议） 为IPSec提供了自动协商交换密钥、建立安全联盟SA（Security Association）的服务 通过数据交换来计算密钥 IKE的交换过程 IPSec 与IKE的关系 IPsec VPN的配置 配置IKE协商-1 配置IKE协商-2 配置IKE协商-3 配置IPsec协商-1 算法参数 配置IPsec协商-2 配置端口的应用-1 配置端口的应用-2 检查IPsec配置 VPN配置实例 查看IKE策略 Router# show crypto isakmp policy 查看IPsce策略 Router# show crypto ipsec transform-set 查看SA信息 Router# show crypto ipsec sa 查看加密映射 Router# show crypto map RouterA(config)# ip route 0.0.0.0 0.0.0.0 20.20.20.20 RouterA(config)#crypto isakmp policy 1 RouterA(config-isakmap)#hash md5 RouterA(config-isakmap)#authentication pre?share RouterA(config)#crypto isakmp key benet-password address 20.20.20.20 RouterA(config)#crypto ipsec transform?set benetset ah?md5?hmac esp?des RouterA(config)#access?list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 RouterA(config)#crypto map benetmap 1 ipsec?isakmp RouterA(config-crypto-map)#set peer 20.20.20.20 RouterA(config-crypto-map)#set transform?set benetset RouterA(config-crypto-map)#match address 101 RouterA(config)#interface serial 0/0 RouterA(config-if)# crypto map benetmap * 江苏经贸 Internet 攻击者 ？？？ 线路 数据 加密 ！￥#@ VPN 可以省去专线租用费用，大大降低成本 VPN 可以充分利用 internet 公网资源，快速地建立起安全的广域连接 ISP Modems VPN Gateway VPN Gateway 总部 网络 远程局域 网络 总部 分支机构 单个 用户 Internet 建立在点对点协议PPP的基础上 先把各种网络协议（IP、IPX等）封装到PPP帧中，再把整个数据帧装入隧道协议 Internet 内部网络 移动用户 访问集中器 网络服务器 PPP链接 隧道 把各种网络协议直接装入隧道协议 在可扩充性、安全性、可靠性方面优于第二层隧道协议 Internet 隧道 IP连接 今天任务：创建IPSec VPN 加 密 Trailer Auth 新IP头 ESP IP 头 Data IP网络 VPN网关 VPN网关 总部 VPN网关 IPSec隧道 IPSec隧道 分支机构 分支机构 IPSec概述 主要协议集： 认证报文头（Authentication Header, AH） 封装安全载荷（Encapsulating Security Payload, ESP） Internet密钥交换（Internet Key Exchange, IKE） 定义： 用来实现比较全面的网络层安全，包括网络之间的 相互认证、加密链路的建立和保密通信的协议族; IPSec的安全体系结构 IPSec封装模式 IPSec支持两种封装模式：传输模式和隧道模式 传输模式 隧道模式