网络安全高级应用第三章ISecvn2.pptVIP

* 教师总结本章内容，也可以提问以下问题进行总结： 1、为什么ESP可以与NAT一同工作，但不能与PAT一同工作？ 2、要使ESP与PAT一同工作，有什么解决方案？ * * 教师介绍案例需求。这个实验目的就是让学员实际操作实现NAT-T的配置，与理论课部分演示案例很类似，这里不再赘述。 实验环境依然通过一台路由器模拟Internet的ISP，另外一台路由器用于配置NAT。 介绍实验环境的搭建，使用Dynamips和ASA模拟器。 * * 指导子阶段： 1、教师讲解实现思路。 练习子阶段： 1、在实验过程中，教师应及时帮助学员解决实验中遇到的问题。 2、对于常见的、典型的问题，教师应该向所有学员强调，并说明如何避免、如何解决，及时总结学员遇到的问题。 3、为提高实验效率，教师可以让先作完的学员辅导没有完成的学员。教师也可以重点辅导基础差的学员。 4、在实验完成后，教师必须对实验中出现的共性问题进行总结，提示学员注意。 * * 教师介绍案例需求。这里的环境是对于上一个实验的延续，这样可以节省时间，不用再配置故障之前再配置一遍VPN。 实验环境采用实验案例1中的环境。 * * 指导子阶段： 1、教师讲解实现思路。 练习子阶段： 1、在实验过程中，教师应及时帮助学员解决实验中遇到的问题。 2、对于常见的、典型的问题，教师应该向所有学员强调，并说明如何避免、如何解决，及时总结学员遇到的问题。 3、为提高实验效率，教师可以让先作完的学员辅导没有完成的学员。教师也可以重点辅导基础差的学员。 4、在实验完成后，教师必须对实验中出现的共性问题进行总结，提示学员注意。 * 如果时间有富余，可以让学员之间互相设置故障，互相排查故障作为补充练习；如果学员掌握较好，也可直接进入互相排查故障阶段。 路由器的故障诊断与排查 debug crypto ipsec 协商阶段2的传输集 匹配crypto ACL SA建立 协商完成 教员演示操作过程 * 路由器的故障诊断与排查 故障实例四 对等体间的传输集不匹配 故障实例五 配置的crypto ACL错误 故障实例六 crypto map中的peer地址配置错误 教员演示操作过程 * ASA的故障诊断与排查 show crypto isakmp sa debug crypto isakmp 阶段1策略协商 密钥产生 验证过程 阶段1连接建立 查找匹配的Crypto Map 查找匹配的传输集 检测Crypto ACL 分配SPI debug crypto ipsec 教员演示操作过程 * 本章总结 在ASA上配置实现IPSec VPN IPSec和地址转换 防火墙和路由器的区别 地址转换存在的问题及解决方案 路由器实现NAT-T 路由器的故障诊断与排查 应用案例 IPSec VPN故障排查 IPSec VPN（二） 防火墙的故障诊断与排查 * 第四章 IPSec VPN（二） —— 上机部分 BENET3.0第二学期课程 实验案例1：配置实现IPSec VPN的NAT-T 需求描述 R2路由器模拟ISP服务提供商，R1上配置PAT实现内网对Internet的访问 两台防火墙之间建立IPSec VPN，连接穿过NAT设备，配置实现两端对等体成功建立IPSec连接 * ASA1 ASA2 ISP NAT-T R1 R2 实验案例1：配置实现IPSec VPN的NAT-T 实现思路 在ASA上配置IPSec VPN 配置实现NAT穿越 学员练习 * 40分钟完成 实验案例2：IPSec VPN常见故障排查 需求描述 观察IPSec VPN的几个常见故障现象及输出结果 * ASA1 ASA2 ISP NAT-T R1 R2 设置故障，查看debug信息 实验案例2： IPSec VPN常见故障排查 实现思路 分别模拟以下故障，观察show、debug命令输出 故障一：忘记启用ISAKMP协议 故障二：阶段1传输集不匹配 故障三：预共享密钥配置错误 故障四：镜像Crypto ACL配置错误 故障五：阶段2传输集不匹配 故障六：Crypto Map不匹配 故障七：Crypto Map应用到错误的接口 * 实验案例2： IPSec VPN常见故障排查 学员练习 配置故障 通过show、debug命令演示故障 常见的show、debug命令 * 40分钟完成 * * VPN技术有两种基本的连接模式：隧道模式和传输模式 。隧道模式会添加新的IP包头。 常见的对称加密算法有：DES、3DES、AES 。其中AES最安全。 常用的Hash算法有2种：MD5和SHA。 ESP与AH的区别：1）ESP对用户数据实现加密功能，而AH不提供加密