IPSEC_VPN培训.ppt

IPSEC VPN培训文档 内容简介 什么是VPN? VPN作用是什么？ IPSEC VPN的技术原理 TopVPN的配置及应用 第一部分 什么是 VPN？ VPN — Virtual Private Network(虚拟专用网) 是一种以公用网络，尤其是Internet为基础通道，综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术，实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的方法。 IPSec（IP Security)是一系列基于IP网络的由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。 IPSec可以对所有IP级的通信进行加密和认证：使用IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输、Web浏览、ERP、视频会议、IP电话等在内的各种应用程序的安全。 隧道技术 认证技术 加解密技术 密钥管理技术 隧道技术（Tunneling）：隧道技术是一种通过使用互联网基础设施，在网络之间传递数据的方式。 隧道协议将其他协议的数据包重新封装在新的包头中发送，新的包头提供了路由信息，从而使封装的负载数据能够通过互联网传递。 在internet上建立隧道可以在不同的协议层实现，例如数据链路层，网络层或传输层，像ipsec技术就是在原有的数据报文中，使用AH或ESP协议对ip报文进行封装并添加新的包头，使其在网络中传输。 认证技术（Authentication）：加入VPN的用户都要通过身份认证，通常使用用户和密码，数字证书，或智能卡来实现用户的身份认证。 Ipsec支持的认证算法有： HMAC-SHA1 HMAC-MD5 加解密技术（Encryption Eecryption）：VPN可以利用已有的加解密技术实现保密通信，保证公司业务和个人通信的安全。 ipsec 支持的加密算法有： DES 3DES AES等。 密钥管理技术（Key Management）：建立隧道和保密通信都需要密钥管理技术的支撑，密钥管理负责密钥的生成、分发、控制和跟踪，以及验证密钥的真实性等。 ipsec vpn主要用到的密钥管理技术为internet密钥交换协议（IKE）技术。 internet密钥交换协议（Internet Key Exchange）：缩写为IKE，它主要用于生成和分发在ESP和AH中使用的密钥，IKE也对远程系统进行初始认证。 传统的企业组网方式 租用电信专线构建专用网络（如：租用电信的DDN、PSTN、FR、X.25等） 优点： 独占IP地址空间，没有IP地址冲突问题； 专线接入，带宽稳定； 能够做到专网专用，网络安全性较高； 缺点： 部署、维护成本很高； 主干网技术落后，带宽资源有限； 对于偏远地区接入困难，组网灵活性差； 网络通信速率低； 移动办公人员接入需要支付长途电话费，运营成本高； IPSEC的组网方式分为： 网关-网关模式 移动客户-网关模式 Ipsec vpn特点： 部署、维护成本低； 不再需要使用专线接入，降低了部署成本 对于偏远地区接入，组网灵活性高 ； 由于是建立在公网的基础上，所有有公网的地方都能够接入 节约公网ip地址资源 只需要在vpn网关上使用公网ip，内部保护子网使用私有ip地址即可 移动办公人员接入运营成本低； 免去了移动办公人员的长途拨号费用，大大的节省了移动办公人员的成本 能够在公网的基础上提供安全通信 在用户的通信过程中采用了认证与加密的方式，所以在公网的基础上进安全通讯 IPSec三个主要安全协议： 认证头（AH, RFC2402）：用于数据完整性和数据源认证。 封装安全载荷（ESP , RFC2406）：提供数据保密性和数据完整性认证，ESP也包括了防止重放攻击的顺序号。 internet密钥交换协议（IKE , RFC2409）：用于生成和分发在ESP和AH中使用的密钥，IKE也对远程系统进行初始认证。 AH和ESP可以通过单独或组合使用来达到所希望的保护等级 安全关联（Security Association，简写为SA）：这是这组协议中最重要的一个概念，是RFC文档中要求所有实现中必须包含的一个概念。它为当前IP报文的鉴别、加密处理提供必要的算法标识和算法相关的参数。安全关联是由当前IP报文的目的地址和SPI值及协议唯一确定的，并且是单向的，即如果两台主机要进行双向的安全数据传送，就需要有两个SA。 安全关联数据库（Securi