IPSEC VPN原理及配置——蘑菇课堂.pptVIP

保密图(crypto map) IP地址规划 在进行VPN网络IP地址设计规划时建议尽量为各分支站点分配连续的IP地址段，同时总部的IP地址尽量分配为同远程站点同一主网的不同子网或不同主网但可汇总的不同子网。 Site1 Site2 Site n 10.1.2.0/24 10.2.3.0/24 10.1.0.0/24 …… 第九十四页，编辑于星期一：十九点 十分。 移动用户的IPSec VPN接入 IPSEC TUNNEL 移动办公用户接入IPSEC VPN的考虑 笔记本电脑软件防火墙，防病毒软件的安装 硬件防火墙同VPN网关相互配合 使用防火墙和VPN网关功能相互融合的设备 第九十五页，编辑于星期一：十九点 十分。 IPSec和Internet接入 远程VPN站点可以通过两种方式访问INTERNET 集中式：访问INTERNET的流量统一由总部的VPN节点进行转发 分布式：访问INTERNET的流量由本地的VPN节点进行转发 VPN流量和上网流量都需要由总部统一进行转发 集中式 分布式 只有VPN流量由总部进行转发 第九十六页，编辑于星期一：十九点 十分。 用IPSec保护组播 IPSec本身不支持组播 可以使用GRE Tunnel over IPSec 首先配置GRE Tunnel 启动Tunnel接口的组播路由 配置IPSec，对Tunnel接口的通信加以保护 第九十七页，编辑于星期一：十九点 十分。 NAT穿越 由于NAT自身设计的原因，同IPSEC协议无法很好的兼容，因此普通的IPSEC是无法穿越NAT的，通过对IPSEC和IKE协议的改进，可以使用IPSEC NAT穿越功能完美的解决这个问题。 NAT 第九十八页，编辑于星期一：十九点 十分。 路径MTU考虑 当VPN数据通过的网络路径中具有不同的路径MTU要求时，我们需要将设备的MTU设置为所有经过的路径MTU中较小的那个值，避免某些情况下数据分片造成的不良影响。 PMTU 1500 PMTU 1400 第九十九页，编辑于星期一：十九点 十分。 * 这里是第二部分的框架结构，简单介绍即可 举例讲解什么是加密算法，通过下面的小例子可以从感性上了解何谓加密算法： 加密就是一种将数据转换成另外一种形式的过程，如果不了解用于加密的算法，解密几乎是不可能的。举例而言，A给B发信息内容为“I love you”，由于担心C从中间截获，于是，A与B协商了一种简单的加密方法：把所有的字母按照26个字母的顺序“+3”。“I love you”就变成了“L oryh brx”，即使C截获了数据也无法得知信息的真正含义。这里，“+3”就可以理解为一种简单的加密算法。 实际VPN设备所使用的算法是相当复杂的，一般会涉及到一些较为复杂的数学算法，利用这些算法可以实现数据加密、数据完整性验证、身份验证等VPN的基本功能。 * 根据图示讲解数据加密的过程： 发送方和接收方共享密钥“k”。 发送方的VPN网关通过加密函数E将明文数据“m”加密成为密文数据“c”。 接收方的VPN网关通过解密函数D将数据还原为明文数据“m”。 生活化类比事例： 假设A和B需要传输机密文件，A购买了一把锁和两把钥匙，首先A将钥匙共享给B一把，然后将需要传送的机密文件用那把锁锁在铁盒子里。因为这把锁只有A和B有钥匙，因此只有他们两个人可以拿到机密文件。 这种方法操作起来很简单（优点），但安全性相对差一点（缺点），因为当A把钥匙共享给B的时候，很容易被人截获后，偷偷自己先配一把，当A给B传文件的是否再偷取文件。 简单介绍目前常见的加密算法：DES、3DES、AES 。 安全性：DES3DESAES 耗费设备的资源：DES3DESAES 目前不建议使用DES，一台性能很好的计算机可在1个小时内破解 3DES目前还是较为安全的，但部分厂商没有使用第3个密钥，这对于实现不同厂商之间的通信可能出现问题。 * 根据图示讲解数据加密的过程： 通信双方交换公钥。 发送方的VPN网关通过公钥将明文数据“m”加密成为密文数据“c”。 接收方VPN网关通过自己的私钥解密数据，整个过程私钥始终没有在网络中传输。 生活化类比事例： 假设A和B发现前一种方法传输文件不安全，于是A和B采用新的方法：首先A和B都购买了一把锁和一把钥匙，这里强调一下，各自的锁都唯一只有一把钥匙。如果A要给B发送机密文件，B首先将锁发送给A，A再将机密文件放入B的锁锁好的盒子里发送给B，这时只有B能够开启这把锁，即使数据被截获，其他人也无法得到机密文件。B给A发送数据原理是一样的。 这样做的好处自然是安全的很多，但是操作过程也复杂了很多。 Cisco的路由器支持3个组：1、2、5，数字越大，密钥越安全。 防火墙支持组7 * 实际过程要远比上述过程复杂的多，可以说