高职大赛培训11-VPN技术PPT资料.ppt
《高职大赛培训11-VPN技术PPT资料.ppt》由会员分享,可在线阅读,更多相关《高职大赛培训11-VPN技术PPT资料.ppt(50页珍藏版)》请在冰点文库上搜索。
(TACACS,TerminalAccessControllerAccessControlSystem),远程用户拨入认证系统:
RADIUS,RemoteAuthenticationDialInUserService),VPN类型,VPN分为三种类型:
远程访问虚拟网(AccessVPN)企业内部虚拟网(IntranetVPN)企业扩展虚拟网(ExtranetVPN),AccessVPN,AccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。
AccessVPN的结构有两种类型用户发起(Client-initiated)的VPN连接,接入服务器发起(NAS-initiated)的VPN连接。
AccessVPN,AccessVPN的优点减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。
实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用。
极大的可扩展性,简便地对加入网络的新用户进行调度。
远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务。
IntranetVPN,IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
IntranetVPN,IntranetVPN的优点减少WAN带宽的费用。
能使用灵活的拓扑结构,包括全网孔连接。
新的站点能更快、更容易地被连接。
通过设备供应商WAN的连接冗余,可以延长网络的可用时间。
ExtranetVPN,ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。
ExtranetVPN,ExtranetVPN优点:
能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。
主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络。
VPN技术,VPN主要采用四项技术隧道技术(Tunneling);
加解密技术(Encryption&
Decryption);
密钥管理技术(KeyManagement);
使用者与设备身份认证技术(Authentication)。
隧道技术,网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。
网络隧道技术涉及了三种网络协议网络隧道协议支撑隧道协议的承载协议隧道协议所承载的被承载协议,隧道协议,两种类型的隧道协议:
二层隧道协议,用于传输二层网络协议,它主要应用于构建AccessVPN和ExtranetVPN;
三层隧道协议,用于传输三层网络协议,它主要应用于构建IntranetVPN和ExtranetVPN。
二层隧道协议主要有三种:
PPTP(PointtoPointTunnelingProtocol,点对点隧道协议)L2F(Layer2Forwarding,二层转发协议)L2TP(Layer2TunnelingProtocol,二层隧道协议)。
二层隧道协议主要有三种GenericRoutingEncapsulation(GRE)协议IPSec协议,L2TP网络协议,L2TP特性安全的身份验证机制内部地址分配支持网络计费的灵活性可靠性统一的网络管理,GRE协议,GRE与IPinIP、IPXoverIP等封装形式很相似,但比他们更通用。
是一种最基本的封装形式GRE是不提供加密功能优点多协议的本地网可以通过单一协议的骨干网实现传输;
将一些不能连续的子网连接起来,用于组建VPN;
扩大了网络的工作范围,包括那些路由网关有限的协议。
如IPX包最多可以转发16次(即经过16个路由器),而在一个Tunnel连接中看上去只经过一个路由器,IP安全协议,IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。
IPSec提供以下几种网络安全服务私有性IPSec在传输数据包之前将其加密.以保证数据的私有性;
完整性IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;
真实性IPSec端要验证所有受IPSec保护的数据包;
防重放IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
选择3层VPN隧道技术,IPSec只支持IP单播数据流L2TP和GRE都不支持数据加密和分组完整性结合使用IPSec和L2TP/GRE时,可提供IPSec的加密功能,加解密技术,为确保私有资料在传输过程中不被其他人浏览、窃取或篡改安全外壳(SSH)S/MIME(安全/多用途internet邮件扩展),密钥管理技术,密钥管理(KeyManagement)的主要任务就是来保证在开放网络环境中安全地传输密钥而不被黑客窃取Internet密钥交换协议(IKE)用于通信双方协商和建立安全联盟,交换密钥。
核心技术就是DH(DiffieHellman)交换技术阶段1建立ISAKMPSA,有主模式(MainMode)和激进模式(AggressiveMode)两种阶段2在阶段1ISAKMPSA的保护下建立IPSecSA,称之为快速模式(QuickMode)。
IPSecSA用于最终的IP数据安全传送。
IKE还包含有传送信息的信息交换(InformationalExchange)和建立新DH组的组交换(DHGroupExchange),身份认证技术,网络上的用户与设备都需要确定性的身份认证用户名密码方式(PAP)数字证书签发中心(CertificateAuthority)所发出的符合X.509规范的标准数字证书(Certificate)KE提供了共享验证字(Pre-sharedKey)、公钥加密验证、数字签名验证等验证方法。
后两种方法通过对CA(CertificateAuthority)中心的支持来实现,课程议题,加密系统,加密系统概述,数据加密标准(DES)使用56位的密钥对分组数据进行加密3DES3DES是DES加密算法的一种模式,使用112位密钥高级加密标准(AES)采用对称分组密码体制,密钥长度的最少支持为128、192、256,RSA是一种公开密钥加密系统,对称加密算法,称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。
密钥管理困难广泛使用的对称加密算法有DES、IDEA和AES,使用成本较高,非对称加密算法,加密和解密花费时间长、速度慢,广泛应用的非对称加密算法有RSA算法和美国国家标准局提出的DSA,密钥交换,A和B先说好一个大素数p和它的原始根a;
A随机产生一个数x,计算X=axmodp,然后把X发给B;
B秘密产生一个随机数y,计算Y=aymodp,然后把Y发给A;
A计算k=Yxmodp;
B计算k*=Xymodp;
散列算法,Hash一般翻译做“散列”,也有直接音译为哈希的,就是把任意长度的输入(又叫做预映射,pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。
散列算法确保消息的完整性常用的散列算法有两种:
HMAC-MD5、HMAC-SHA-1,课程议题,IPSec技术,IPSec概述,IPSec(ipsecurity)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。
IPSec通过AH(authenticationheader,认证头)和ESP(encapsulatingsecuritypayload,封装安全载荷)两个安全协议实现了上述目标,验证报头,IPSec认证包头(AH)是一个用于提供IP数据包完整性和认证的机制。
其完整性是保证数据报不被无意的或恶意的方式改变AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。
IPSec加密,ESP封包安全协议包头提供IP数据报的完整性和可信性服务,ESP是在RFC2406中定义的。
ESP协议是设计以两种模式工作的:
隧道(Tunneling)模式和传输(Transport)模式,IPSec加密,安全协议数据封装格式从安全性来讲,隧道模式优于传输模式从性能来讲,隧道模式比传输模式占用更多带宽,安全关联,安全关联(SA)是最基本的IPSec概念之一,这是对等体或主机之间的策略约定IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。
安全联盟是IPSec的基础,也是IPSec的本质安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。
安全联盟由一个三元组来唯一标识SPI(securityparameterindex,安全参数索引)目的IP地址安全协议号(AH或ESP)安全联盟具有生存周期。
生存周期的计算包括两种方式以时间为限制以流量为限制,安全关联,安全联盟的协商方式一种是手工方式(manual)一种是IKE自动协商(ISAKMP)方式,IPSec的运行,第一步,启动IPSec过程第二步,IKE阶段1第三步,IKE阶段2第四步,传输数据第五步,拆除IPSec隧道,使用IKE,IKEIKE协议是建立在由Internet安全联盟和密钥管理协议ISAKMP(internetsecurityassociationandkeymanagementprotocol)定义的框架上。
它能够为IPSec提供了自动协商交换密钥、建立安全联盟的服务,以简化IPSec的使用和管理。
IKE具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟。
DF(diffie-hellman)交换及密钥分发完善的前向安全性(perfectforwardsecrecy,PFS)。
PFS是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。
PFS是由DH算法保障的。
使用IKE,第一阶段:
ISAKMPSA通信各方彼此间建立了一个已通过身份验证和安全保护的通道第二阶段:
IPSecSA用在第一阶段建立的安全通道为IPSec协商安全服务,使用IKE,在RFC2409(theinternetkeyexchange)中规定,IKE第一阶段的协商可以采用两种模式:
主模式(mainmode)被设计成将密钥交换信息与身份、认证信息相分离这种分离保护了身份信息增加了3条消息的开销野蛮模式(aggressivemode)允许同时传送与SA、密钥交换和认证相关的载荷减少了消息的往返次数无法提供身份保护可以满足某些特定的网络环境需求,使用IKE,IKE具有以下优点使得无需在加密映射中手工指定IPSec安全参数能够指定IPSecSA的寿命能够在IPSec会话期间修改加密密钥能够提供防重发服务支持CA,实现易于管理、可扩展能够动态地验证对等体的身份IKE可以使用的技术包括MD5SHA-1DES3DES,IKE与IPSec流程图,课程议题,IPSecVPN配置案例,配置步骤,配置步骤第一步:
定义被保护的数据流第二步:
定义安全提议第三步:
定义安全策略或安全策略组第四步:
接口实施安全策略,配置示例,上图所示为一个企业与其分公司建立一个基于站点到站点的VPN,北京总部与上海分公司建立IPSecVPN,因为总公司中10.1.2.0/24和分公司的10.1.1.0/24两个网段上传输是公司的财务系统,所以需要两端的10.1.1.0/24的子网与10.1.2.0/24子网建立VPN访问,配置示例,配置示例,配置示例,配置完成后,可以使用ping来测试,并使用下列命令来查看状态showcryptoisakmpsashowcryptoipsecsashowcryptoisakmppolicyshowcryptoipsectransform-set,Q&
A,
升级会员 