IPSec配置-教学课件.docxVIP

目录5 ?IPSec配置5.1 ?IPSec简介5.2 ?原理描述5.2.1 ?IPSec基本概念5.2.2 ?IKE协议5.2.3 ?保护数据流的定义方式5.3 ?应用场景5.3.1 ?IPSec VPN基本组网应用5.4 ?配置任务概览5.5 ?缺省配置5.6 ?配置IPSec5.6.1 ?配置建立IPSec隧道5.6.1.1 ?定义需要保护的数据流5.6.1.2 ?配置IPSec安全提议5.6.1.3 ?配置安全策略5.6.1.4 ?（可选）配置IPSec隧道绑定VPN实例5.6.1.5 ?（可选）配置安全联盟生存周期5.6.1.6 ?（可选）配置抗重放功能5.6.1.7 ?接口上应用安全策略组5.6.1.8 ?检查配置结果5.6.2 ?配置IKE5.6.2.1 ?（可选）配置IKE安全提议5.6.2.2 ?配置IKE对等体5.6.2.3 ?（可选）配置NAT穿越功能5.6.2.4 ?（可选）配置NAT Keepalive定时器5.6.2.5 ?（可选）配置IPSec隧道绑定VPN实例5.6.2.6 ?（可选）配置heartbeat定时器5.6.2.7 ?（可选）配置对等体存活检测5.6.2.8 ?检查配置结果5.7 ?维护IPSec5.7.1 ?监控IPSec运行状况5.7.2 ?清除IPSec信息5.8 ?配置举例5.8.1 ?配置采用手工方式建立IPSec隧道示例5.8.2 ?配置采用IKE协商方式建立IPSec隧道示例5.9 ?参考信息5 ?IPSec配置IPSec在IP层通过加密与数据来源认证等方式，来保证数据包在网络上传输时的私有性、真实性、数据完整性和抗重放。5.1 IPSec简介介绍IPSec的定义、由来和作用。 5.2 原理描述介绍IPSec的实现原理。 5.3 应用场景介绍IPSec的应用场景。 5.4 配置任务概览IPSec通过在IPSec对等体间建立双向安全联盟，形成一个安全互通的IPSec隧道，来实现Internet上数据的安全传输。 5.5 缺省配置介绍缺省情况下，IPSec的相关配置信息。 5.6 配置IPSec介绍IPSec的配置过程。 5.7 维护IPSec显示IPSec的配置信息，清除IPSec的统计信息。 5.8 配置举例介绍使用IPSec提高数据传输安全性的各种示例。 5.9 参考信息介绍IPSec的参考标准和协议。 5.1 ?IPSec简介介绍IPSec的定义、由来和作用。定义IPSec（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议，在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。数据来源认证：接收方认证发送方身份是否合法。 数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。 数据完整性：接收方对接收的数据进行认证，以判定报文是否被篡改。 抗重放：接收方会拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。 目的在Internet的传输中，绝大部分数据的内容都是明文传输的，这样就会存在很多潜在的危险，比如：密码、银行帐户的信息被窃取、篡改，用户的身份被冒充，遭受网络恶意攻击等。网络中部署IPSec后，可对传输的数据进行保护处理，降低信息泄漏的风险。受益用户业务数据在Internet中传输时，减少了泄漏和被窃听的风险，保证数据的完整性和机密性，保障了用户业务传输的安全。5.2 ?原理描述介绍IPSec的实现原理。5.2.1 ?IPSec基本概念IPSec包括认证头协议AH（Authentication Header）、封装安全载荷协议ESP（Encapsulating Security Payload）、因特网密钥交换协议IKE（Internet Key Exchange），用于保护主机与主机之间、主机与设备之间、设备与设备之间的一个或多个数据流。其中，AH和ESP这两个安全协议用于提供安全服务，IKE协议用于密钥交换。IPSec通过在IPSec对等体间建立双向安全联盟，形成一个安全互通的IPSec隧道，来实现Internet上数据的安全传输。IPSec对等体IPSec用于在协商发起方和响应方这两个端点之间提供安全的IP通信，通信的两个端点被称为IPSec对等体。其中，端点可以是设备，也可以是主机。IPSec隧道IPSec为对等体间建立IPSec隧道来提供对数据流的安全保护。一对IPSec对等体间可以存在多条IPSec隧道，针对不同的数据流各选择一条隧道对其进行保护，例如有的数据流只需要认证、有的需要认证和加密。IPSe