局域网接入安全策略

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,网络硬件设备的配置与管理,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,26,局域网接入安全策略,模块,1,构建,VPN,隧道,1.1,问题提出,VPN能够利用Internet网络，实现安全、可靠的网上商务活动。它可以使公司获得使用公共通信基础结构所带来的便利和经济效益，同时获得使用专用的点到点连接所带来的安全。,VPN可以提供设备认证、数据包完整性检查、加密等功能，可以避免窃听、伪装、中间人等网络攻击。,模块,1,构建,VPN,隧道,1.2,相关知识,1,VPN,概述,虚拟专用网（,Virtual Private Network,，,VPN,）的简称。利用公用的,Internet,网络，为本单位建立具有专用网特性的虚拟网络，实现本单位分布在地理位置不同的各个部门间利用,Inernet,传递需要保密的商务信息。,模块,1,构建,VPN,隧道,VPN,网络基础,模块,1,构建,VPN,隧道,2,VPN,类型,（,1,）,Access VPN,模块,1,构建,VPN,隧道,（,2,）,Intranet VPN,模块,1,构建,VPN,隧道,（,3,）,Extranet VPN,模块,1,构建,VPN,隧道,3,隧道协议,（,1,）二层隧道协议用于传输二层网络协议，用于构建,Access VPN,及,Extranet VPN,。,二层隧道协议主要有：,PPTP,（,Point to Point Tunneling Protocol,，点对点隧道协议）、,L2F,（,Layer 2 Forwarding,，二层转发协议）和,L2TP,（,Layer 2 Tunneling Protocol,，二层隧道协议）。,模块,1,构建,VPN,隧道,（,2,）三层隧道协议用于传输三层网络协议，用于构建,Intranet VPN,和,Extranet VPN,。三层隧道协议主要有,GRE,（,Genneric Rounting Encapsulation,，通用路由封装）和,IPSec,等。,模块,1,构建,VPN,隧道,4,VPN,设备配置,（,1,）项目描述,假设北京的某公司在上海设立了新的分公司，分公司要远程访问总公司的各种网络资源，如信息管理系统、,FTP,服务器等。在,Internet,上传输数据本身存在安全隐患，该公司希望采用,VPN,技术实现数据的安全传输。,模块,1,构建,VPN,隧道,模块,2,构建,GRE,隧道,2.1,问题提出,通过公共网络将总公司与分公司连接起来要实现全网络路由互通，可以通过建立,GRE隧道实现网络路由信息交换。,模块,2,构建,GRE,隧道,2.2,相关知识,1,GRE,工作原理,通用路由协议封装（,Generic Routing Encapsulation,，,GRE,）是由,Cisco,和,Net-smiths,等公司于,1994,年提交给,IETF,（互联网的工程任务组）的，标号为,RFC1701,和,RFC1702,，用于传输三层网络协议的隧道协议。,模块,2,构建,GRE,隧道,路由器收到一个需要封装和路由的原始数据报文（,Payload,），这个报文首先被,GRE,封装成,GRE,报文，然后又被封装在,IP,协议中，由,IP,层负责此报文转发。,原始报文的协议被称为乘客协议，,GRE,被称为封装协议，而负责转发的,IP,协议被称为传输协议。,模块,2,构建,GRE,隧道,GRE,的隧道由两端的源,IP,地址和目的,IP,地址来定义，允许用户使用,IP,包封装,IP,、,IPX,、,AppleTalk,包，并支持全部的路由协议（如,RIP2,、,OSPF,等）。,模块,2,构建,GRE,隧道,GRE优点如下：,（,1）多协议的本地网络可以通过单一协议的骨干网实现传输；,（2）将一些不能连续的子网连接起来，用于组建VPN；,（3）扩大网络的工作范围，例如，RIP最多16跳，GRE连接隧道计1跳。,模块,2,构建,GRE,隧道,2,GRE,配置命令,（,1,）进入,Tunnel,端口配置模式。,Route(config)#interface tunnel,tunnel-number,其中：,t,unnel-number,为,Tunnel,端口标号。,模块,2,构建,GRE,隧道,（,2,）设置,Tunnel,端口源地址。,Route(config-if)#tunnel source,ip-address|interface-name interface-number,一个,Tunnel,端口需要明确配置隧道的源地址和目的地址，为了保证隧道端口的稳定性，一般将,Loopback,地址作为隧道的源地址和目的地址。,模块,2,构建,GRE,隧道,（,3）设置Tunnel端口目的地址。,Route(config-if)#tunnel destination,ip-address,此处设置的Tunnel端口目的地址是Tunnel端口用来进行实际通信的目的地址，也是Tunnel 位于远程对端的端点。,模块,2,构建,GRE,隧道,（,4,）查看,Tunnel,端口配置情况。,Route#show interfaces tunnel,tunnel-number,模块,2,构建,GRE,隧道,3,GRE,配置实例,如下图所示网络中，路由器,R1,与,R2,之间建立,Tunnel,，路由器,R1,背后的子网与路由器,R2,背后的子网通过,R1,与,R2,之间的,Tunnel,进行通信。这种通信通过,Tunnel,进行，对于,R1,与,R2,之间的外部网络是透明的和不可见的，即是一种虚拟专用网（,VPN,）的实现。下面将给出路由器,R1,与,R2,的有关,Tunnel,的相关配置。,模块,2,构建,GRE,隧道,模块,2,构建,GRE,隧道,（,1）路由器R1的相关配置。,R1(config)#interface,Tunnel0,R1(config-if)#ip address 21.21.21.3 255.255.255.0,R1(config-if)#tunnel source,R1(config-if)#tunnel destination,R1(config)#interface FastEthernet0/0,R1(config-if)#exit,R1(config)#interface FastEthernet0/1,R1(config-if)#ip address 202.106.101.2 255.255.255.0,模块,2,构建,GRE,隧道,（,2）路由器,R2 的相关配置。,R2(config)#interface,Tunnel0,R2(config-if)#ip address 21.21.21.5 255.255.255.0,R2(config-if)#tunnel source,R2(config-if)#tunnel destination,R2(config)#interface FastEthernet0/0,R2(config-if)#ip address 179.208.12.55 255.255.255.0,R2(config)#interface FastEthernet0/1,R2(config-if)#ip address 67.151.69.202 255.255.25.0,模块,3,构建,IPSec,隧道,知识目标、技能点,了解,IPSec,隧道协议意义,1,2,掌握,IPSec,隧道协议工作原理,3,掌握,IPSec,隧道协议配置技能,模块,3,构建,IPSec,隧道,3.1,问题提出（教师讲述）,某公司网络由北京总公司及上海分公司构成。根据公司业务需要，总公司与分公司间建立,VPN网络传输公司专用数据，VPN网络采用IPSec技术实现。,模块,3,构建,IPSec,隧道,3.2,相关知识（教师讲述与交流）,1,IPSec,概述,IPSec,是一套安全体系架构，在,IPSec,实体之间提供数据保密性、完整性和数据验证服务，为主机之间、子网之间、安全网关之间的一条和多条数据流提供保护。,（,1,）,ISAKMP/IKE,：,这些标准用于建立一个安全的管理连接，提供加密的密钥及验证信息；,（,2,）,AH,及,ESP,：,这些标准用于建立一个安全的数据连接，提供数据加密性、完整性及验证性服务。,模块,3,构建,IPSec,隧道,2,IPSec,连接过程,IPSec,连接建立过程如下：,（,1,）,IPSec,的启动,当一个对等体向另一个对等体发送需要保护的数据流量时，则,IPSec,建立过程自动启动，也可以通过手动启动。,（,2,）建立管理连接（,ISAKMP/IKE,阶段,1,）,这个阶段主要完成如下任务：对等体之间协商采用哪些安全策略建立一个安全的管理连接，对等体使用,DH,交换技术产生一个共享密钥信息，对等体间进行设备验证。,模块,3,构建,IPSec,隧道,（,3,）建立数据连接（,ISAKMP/IKE,阶段,2,）,这个阶段在管理连接保护下主要完成如下任务：对等体之间协商采用哪些安全策略建立一个安全的数据连接，周期性地对数据连接更新密钥信息。,（,4,）传输数据,当数据连接建立后，对等体间就可以通过这条数据连接通道安全地传输用户数据了。,模块,3,构建,IPSec,隧道,3,IPSec,配置,IPSec,安全联盟即可以由手工方式建立也可以由,IKE,协商自动方式建立。这里介绍自动方式。,（,1,）创建加密访问列表,加密访问列表用于定义哪些数据流要被加密保护，哪些不需要被加密保护。,route(config)#access-list,access-list-number,deny|permit,protocol,source source-wildcard destination destination-wildcard,模块,3,构建,IPSec,隧道,其中：,access-list-number,为访问列表号；,Protocol,为协议；,source,为源地址,；,source-wildcard,为源地址通配符,；,destination,为目的地址,；,destination-wildcard,为目的地址通配符,。,模块,3,构建,IPSec,隧道,（,2,）定义变换集合,变换集合是特定安全协议和算法的组合。在,IPSec,安全联盟协商期间，对等体一致使用一个特定的变换集合来保护特定的数据流。,route(config)#crypto ipsec transform-set,transform-set-name,transform1 transform2 transform3,其中：,transform-set-name,为变换集名称；,transform,为系统所支持的算法，算法可以进行一定规则的组合。,模块,3,构建,IPSec,隧道,（,3,）创建加密映射条目,使用,IKE,来建立安全联盟的加密映射条目的命令如下：,进入加密映射配置模式：,route(config)#crypto map,map-name,seq-num,ipsec-isakmp,其中：,map-name,为加密映射条目名称