VPN培训资料(防火墙).pptxVIP

; SmartHammer 系列防火墙技术资料 ---VPN 部分 2022年11月 ;内容介绍;VPN 概述;VPN 类型; 远程接入VPN （Access VPN）;Intranet VPN （内联网）;Extranet VPN （外联网）;VPN 应用范围;VPN的优势;单个用户接入(直接拨入方式对比 VPN 方式);节省资金 (降低 30-70% 的网络费用) 免去长途费用 降低建立私有专网的费用 用户不必设立自己的 Modem Pool Internet 对于用户来说，可以以任何技术任何地点访问 Internet 的容量完全可以随着需求的增加而增长 提供安全性 强大的用户认证机制 数据的私有性以及完整性得以保障 不必改变现有的应用程序、网络架构以及用户计算环境 网络现有的 Routers 不用作任何修改 现有的网络应用完全可以正常运行 对于最终用户来说完全感觉不到任何变化; VPN的基本概念：隧道，加密以及认证;SmartHammer 的完整VPN解决方案特性 ;第二层隧道协议 L2TP ;约定术语解释： LAC:L2TP访问集中器，进行PPP处理以及L2TP处理，它将已成帧的PPP分组进行适当的处理并封装入L2TP之中，发送给LNS。它是入站呼叫的发起者、出站呼叫的接收者，是L2TP协议的客户/服务器模式的客户端 LNS:L2TP的服务器端，在LNS处，能进行L2TP封装或解封，并能进行PPP处理。又称L2TP网络服务器 CHAP:挑战握手鉴别协议，是一种通过PPP协议交换鉴别信息的鉴别协议。该鉴别协议密钥不被明文传输 PAP:口令鉴别协议。通过传输明文的用户名和口令达到证明身份的目的。 会话：当远程拨号用户和LNS之间发起一次端到端的连接时，就形成了一条会话。 隧道：一对LAC和LNS定义了一条或多条隧道。;L2TP隧道类型;L2TP强制隧道模式;L2TP自愿隧道模式;L2TP的功能细节; 建立控制连接;建立会话;L2TP配置实例研究;自愿隧道建立步骤;自愿隧道研究实例;自愿隧道的配置;LNS的相关调试命令;L2TP报文封装格式;;;L2TP强制隧道模式流程;三层隧道协议 IPSec;对称密码算法的特点 1：同一个密钥既用来加密也用于解密 2：对称加密速度快 3：对称加密得到的密文是紧凑的 4：因为接受者需要对称密钥，所以对称加密容易受到中途拦截 窃听的攻击 典型的对称密码算法 1：DES 2：3DES ;非对称密??算法 用作加密的密钥不同于作解密的密钥，而且解密的密钥不能根据加密的密钥计算出来 ;非对称密码算法的特点 1：使用非对称密码技术时，用一个密钥(公钥或私钥)加密的数据 只能用另一个密钥(私钥或公钥)来解密 2: 不必发送密钥给接收者，所以非对称加密不必担心密钥被中途 拦截的问题 3: 非对称加密速度较慢 4: 非对称加密会导致得到的密文变长 典型的非对称密码算法 RSA ;散列函数：接受一大块的数据并将其压缩成最初数据的一个摘要(digest) 散列函数用于认证 典型的散列函数 1：MD5 2：SHA-1 ; IPSec概述;IPSec VPN的类型;IPSec的组成;IPSec的两种工作模式; 流量10.6.1.2/32??10.8.1.2/32使用两个路由器之间的隧道模式 流量10.1.1.1/32??10.1.2.1/32使用两个路由器之间的传输模式;AH 和 ESP 简介;;;IPSec报文格式;;;IPSec SA简介;安全联盟(SA)的参数;SA参数示例;IKE概述;SA的建立;IKE策略参数;IKE协商过程;L2TP和IPSec的结合应用;在自愿隧道模式中使用IPsec保护L2TP通信;在强制隧道模式中使用IPsec保护L2TP通信;高可用性IPSec-Over-GRE配置;; crypto isakmp key harbour address 172.18.45.1 crypto isakmp key harbour address 172.18.45.2 crypto ipsec transform-set one esp-des esp-md5-hmac mode transport cryptp map gre 10 ipsec-isakmp // Crypto map for router 2 match address 101 set peer 172.18.