网络设备安装和 与调试-任务3 安装和 与配置VPN.pptVIP

任务3 安装与配置VPN 【任务描述】 某技工学校有广州校本部和珠海校区，学校领导要求为了提升学校信息办公，珠海校区要远程访问广州校本部的各种服务器资源，如OA系统、FTP系统等，由于Internet上的网络传输本身存在安全隐患，要求通过采用IPSec VPN技术实现数据的安全传输。小东是学校网络中心的网络管理员，应如何配置来实现这一目标呢？ 本任务的目标是通过对VPN的配置，掌握VPN的概念及实现方式，实现安全访问学校内部。 【预备知识】 虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN的核心就是利用公共网络建立虚拟私有网。 VPN可以通过特殊的加密的通信协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。 1．VPN术语 ① 隧道：网络中虚拟的点对点连接，用来传输以一种协议封装的（如IP分组）另一种协议的数据流（如加密后的密文）。 ② 加密：将明文转换成密文，使未经授权的用户不可以使用的过程。 ③ 解密：将密文转换成明文，使授权用户可以使用的过程。 ④ 散列算法：一种单向函数和数据完整性技术，使用一种算法将变长的消息和共享密钥转换成固定长度的比特串。 1．VPN术语 ⑤ 身份验证：确定用户和进程的身份。 ⑥ 加密系统：执行加/解密、用户身份验证、散列算法和密钥交换的系统。 ⑦ 认证服务（CA）：受信任的第三服务，通过创建和授予用于加密的数字证书，确保网络用户之间的通信安全。 2．OSI各层的加密技术 OSI各层都有相应的加密技术可供选择，如图5-8所示。 图5-8 OSI各层的加密技术 3．IPSec IPSec配置步骤主要包括以下几个。 ① 确定加密策略、确定要保护的主机和网络、确定IPSec对等体、确保现有的ACL与IPSec兼容； ② 启动IKE，并指定IKE策略和验证配置。 ③ 配置IPSec，定义变换集，创建加密ACL，创建映射，将加密映射应用到接口。 ④ 测试和验证IPSec。 4．加密/解密技术 加密技术包括对称加密和非对称加密。 （1）对称加密 对称密钥加密，密钥既用于加密，也用于解密，发送方和接收方共同拥有单个密钥，典型的对称加密流程如图5-9所示。 4．加密/解密技术 对称加密用于对大量数据进行加密，在数据交换过程中可以多次修改密钥。 ① DES：使用最广泛的对称加密技术。DES使用一种加密算法将明文转换成密文，远端使用解密算法将密文恢复为明文，加/解密都必须使用64位的密钥（其中56位随机选择，8位是奇偶检验位）。 ② 3DES：采用112位的密钥进行加密，并执行3次DES操作，对64bit数据块依次进行加密、解密和加密操作，强度是DES的256倍，破解更加困难。 4．加密/解密技术 （2）非对称加密 非对称加密法又称公钥加密。非对称加密需要公开密钥和私有密钥两个不同却相关的密钥，其中公开密钥是公开的，任何人都可以拿到，而私有密钥只有自己才有。非对称加密流程如图5-10所示。 4．加密/解密技术 发送方使用接受方的公开密钥进行加密，接受方用自己的私有密钥解密。非对称加密算法通常用于数字签名和进行密钥管理，常用的非对等加密算法有RSA。 5．散列算法 散列算法确保消息的完整性，以确认消息没有被修改过。 发送方使用散列函数对消息和公共密钥进行处理，得到一个散列值（将变长的消息转换为定长的比特串，是单向的算法，即通过散列值无法得到原来的消息）；接收方将收到的消息和共用密钥进行散列算法，得到一个值，再与随同消息一起传送过来的散列值作比对，若相同，则表示消息是完整的，没有被修改过的。 散列算法有2种。 ① HMAC-MD5：使用128位共用密钥，将计算出来的散列值附加在消息后一同发送给对方。 ② HMAC-SHA-1：使用160位共用密钥，将计算出来的散列值附加在消息后一同发送给对方，加密比MD5强。 6．IPSec的配置 表5-7 Ipsec的配置 命令格式 解释 配置模式 ip access-list standard |extended access-list number   全局配置模式 crypto dynamic-map WORD 1-65535 创建动态加密映射条目并进行加密映射配置模式 crypto ipsec transform-set WORD 配置变换集 crypto isakmp policy 1-10000 定义IKE优先级的策略 crypto key generate | zeroize rsa   crypto map WOR