<4D F736F F F696E74202D20C8F1BDDDB0B2C8ABD7A8CFEEC8CFD6A4BFCEB3CCCEE5A3A856504EBCBCCAF5A3A92E BBCE6C8DDC4A3CABD5D>

Size: px

Start display at page:

Download "<4D F736F F F696E74202D20C8F1BDDDB0B2C8ABD7A8CFEEC8CFD6A4BFCEB3CCCEE5A3A856504EBCBCCAF5A3A92E BBCE6C8DDC4A3CABD5D>"

锤伍雷
4 years ago
Views:

1 VPN 技术

2 学习目标通过本章的学习, 希望您能够 : 了解什么是 VPN 技术了解 GRE 了解 PPTP/L2TP 了解密码学了解 PKI 架构了解 IPsec 技术配置 RG-WALL VPN 网关

3 本章内容 VPN 技术概述 GRE PPTP/L2TP 密码学 PKI 架构 IPsec 配置 RG-WALL VPN 网关

4 课程议题 VPN 技术概述

5 什么是 VPN 虚拟专用网络在公共网络的基础上构建的一个专用网络使各个专用网络看似无缝相连是一种在公共网络上提供安全可靠连接的一种服务隧道技术

6 Why VPN? 部署 VPN 的动机提供不同地域间站点的无缝互联减少费用节约成本可伸缩性

7 VPN 拓扑结构星型拓扑部分互联拓扑全互联拓扑

8 VPN 的类型根据层次划分二层 VPN 传统的 FR ATM PPTP L2F/L2TPv2/L2TPv3 MPLS L2 VPN 三层 VPN IPsec GRE MPLS L3 VPN (BGP/MPLS VPN) 七层 VPN SSL VPN

9 VPN 的类型 ( 续 ) 根据接入方式划分站点到站点 (Site-to-Site) 替代了租用线连接多个 LAN 分支机构之间的连接 GRE IPsec MPLS L2/L3 VPN L2TPv3

10 VPN 的类型 ( 续 ) 远程访问 (Remote Access) 节省了远程用户的长途通信费用使远程办公用户接入到企业网 PPTP L2TPv2 IPsec SSL VPN 远程用户初始隧道 IPsec PPTP L2TP 数据始终收到保护客户端软件需求 NAS 初始隧道 L2F L2TP 无需客户端软件远程用户到 NAS 的数据未收到保护需要 ISP 的介入

11 VPN 的安全隧道技术数据加密数据验证身份验证具有安全机制的隧道 IPsec PPTP SSL 不具有安全机制的隧道 L2F L2TP GRE MPLS L2/L3 VPN

12 课程议题 GRE

13 GRE 介绍 GRE (Generic Routing Encapsulation) 介绍三层隧道协议,IP 协议号 47 虚拟的点对点隧道支持多种协议的封装支持对广播和组播报文的封装 Site-to-Site VPN 无加密及验证机制

14 GRE 封装 GRE 封装 1. 原始报文到达本地网关 ( 隧道本端 ) 2. 查找路由表 3. 若出接口为 GRE 隧道接口, 则进行 GRE 封装 4. 分装后后的报文通过 New IP Header 被路由到远端网关 ( 隧道对端 ) 5. 远端接收到报文后验证其合法性 6. 远端进行解封装, 将原始报文发送到目的地

15 在 Router 上实现 GRE Router(config)# interface tunnel tunnel-id 创建 GRE 隧道接口, 并进入接口视图 Router(config-if)# tunnel source { interface ip-address } 配置隧道封装的源地址 tunnel destination ip-address 配置隧道封装的目的地址

16 在 Router 上实现 GRE( ( 续 ) Router(config-if)# if)# ip address ip-address 配置隧道接口的地址 tunnel key value 配置隧道验证密钥 tunnel checksum 配置隧道启用校验和

17 GRE 配置实例

18 验证 GRE 配置 RouterA# show interface tunnel 1 Tunnel 1 is UP, line protocol is UP Hardware is Tunnel Interface address is: /24 MTU 1472 bytes, BW 9 Kbit Encapsulation protocol is Tunnel, loopback not set Keepalive interval is 0 sec, no set Carrier delay is 0 sec RXload is 1,Txload is 1 Tunnel source (FastEthernet 1/0), destination Tunnel protocol/transport GRE/IP, key 0x12d687, sequencing disabled Checksumming of packets disabled Queueing eing strategy: WFQ 5 minutes input rate 0 bits/sec, 0 packets/sec 5 minutes output rate 12 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 19 packets output, 988 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets

19 课程议题 PPTP/L2TP

20 PPTP 介绍 PPTP 介绍由 Microsoft 发起, 得到其他厂商的改进和支持,RFC 2637 大多数实现由远程用户初始隧道由 Windows 服务器和少数厂商支持远程接入 VPN

21 PPTP 技术概述 PPTP 技术概述二层隧道协议, 支持对 PPP 帧的封装继承了 PPP 的安全机制,PAP/CHAP PAP/CHAP,, 压缩用户数据使用 MPPE,RC4 算法, 支持 40 位和 128 位动态协议 : 控制连接和数据隧道控制连接 : 隧道的建立维护拆除, 使用 TCP 1723 数据隧道 : 用户数据的传输, 使用增强的 GRE,, 封装 PPP 帧

22 PPTP 技术概述 ( 续 )

23 L2TP 介绍 L2TP 介绍前身为 L2F IETF 开发的标准协议 RFC 2661,, 多数厂商支持 LAC 和 LNS 客户端初始隧道 ( 自发隧道 ) NAS 初始隧道 ( 强制隧道 ) 远程接入 VPN

24 L2TP 介绍 ( 续 )

25 L2TP 技术概述 L2TP 技术概述二层隧道协议, 支持对 PPP 帧的封装继承了 PPP 的安全机制,PAP/CHAP,, 压缩用户数据作为明文传送, 无加密机制控制连接 : 隧道的建立维护拆除, 使用 UDP 1701 数据隧道 : 用户数据的传输, 使用 UDP 1701,, 封装 PPP 帧

26 L2TP 技术概述 ( 续 )

27 课程议题密码学

28 密码学我们需要哪些安全机制? 认证完整性机密性密码学是安全通信的基础对称加密非对称加密哈希函数 (Hash)

29 加密加密机制如何工作算法 ( 数学函数 ) 和密钥 ( 秘密值 ) 加密机制的健壮性算法是公开的, 密钥是保密的密钥长度与性能

30 对称加密对称加密加密与解密使用相同的密钥多用于加密数据信息加密算法 : DES 3DES AES RC4

31 对称加密 ( 续 ) 加密算法 DES(Data Data Encryption Standard) 使用 56bit 的密钥对 64bit 的报文块进行加密 3DES (Triple Data Encryption Standard) 使用三个不同的 56bit(168bit) 密钥对一个 64bit 的报文块加密三次安全性高 AES(Advanced Advanced Encryption Standard) Rijndael 对 128bit 的报文块进行加密支持 128bit 192bit 256bit 加密性能高, 内存需求小

32 非对称加密非对称加密加密与解密使用不同的密钥 ( 公钥与私钥 ) 公钥与私钥相互不可导出公钥为公开的, 私钥的机密性必须得到保证加解密效率低加密算法用途 RSA DSS 数据完整性数据机密性发送方认证发送方不可抵赖性

33 非对称加密 ( 续 ) 数据机密性发送方认证

34 哈希函数 (Hash) Hash 相同的输入产生相同的输出 ( 散列值 / 指纹 ) 单向, 不可逆变长的输入, 定长的输出加解密效率低散列算法用途 MD5 (128bit) SHA-1 (160bit) 数据完整性发送方认证

35 哈希函数 (Hash)( 续 )

36 数字签名数字签名公钥加密与散列算法的结合加密的散列值用途数据完整性发送方认证发送方不可抵赖性

37 数字签名 ( 续 )

38 课程议题 PKI

39 什么是 PKI? Public Key Infrastructure( ( 公钥基础设施 ) PKI 是一套体系结构密钥的创建和分发证书请求证书生成证书分发证书验证证书吊销

40 什么是数字证书? 数字证书数字签名的报文以数字方式认证实体的方式证明实体公钥的有效性证书内容实体的公钥实体的名称颁发机构的名称颁发机构的数字签名 X.509 标准

41 什么是 CA? Certificate Authority( ( 证书授权中心 ) 负责处理证书请求颁发证书吊销证书等工作可信任的第三方机构知名 CA Entrust VeriSign Microsoft Windows X.509 标准

42 CA 结构

43 证书申请过程

44 证书验证证书是否由可信任的 CA 签名? 证书是否过期? CRL (Certificate Revocation List)

45 课程议题 IPsec VPN

46 IPsec 介绍 IP security (IPsec) 一个体系结构 (RFC 2401~2409) 为 IP 数据流提供安全服务可用于构建安全的 VPN 数据完整性数据机密性数据源认证反重放站点到站点 VPN 远程访问 VPN

47 IPsec 介绍 ( 续 ) Site-to-Site Remote Access

48 IPsec 协议 AH(Authentication Authentication Header) 提供数据的完整性验证 ESP(Encapsulating Encapsulating Security Payload) 提供数据的机密性保护与完整性验证 IKE(Internet Internet Key Exchange) 协商 IPsec 所需要的安全参数动态的密钥交换

49 IPsec 工作模式隧道模式 (Tunnel) 用于网关到网关间的安全连接数据在传输的过程中被网关封装与解封装封装额外的 IP 头, 用于构建 VPN 对整个原始报文进行保护传输模式 (Transport) 用于主机到主机间的安全连接保护数据源与目的间的信息安全性不封装额外的 IP 头对报文的高层信息进行保护

50 AH AH 保证数据的完整性, 使用散列算法, 验证整个报文不提供数据的机密性, 不加密提供反重放保护使用 IP 协议号 51

51 ESP ESP 保证数据的完整性, 使用散列算法, 验证不包括 IP 头保证数据的机密性, 加密提供反重放保护使用 IP 协议号 50

52 加密和验证算法 ESP AH DES 3DES AES MD5 SHA-1 MD5 SHA-1

53 IKE IKE 一个体系结构, 由 ISAKMP SKEME Oakley ISAKMP: 定义了信息交互的体系结构, 包括报文格式及状态转换 SKEME: 定义了公钥加密认证机制 Oakley: 定义了在 IPsec 对等体间使用相同密钥的基于模式的机制安全联盟的自动协商动态的密钥交换过程自动的密钥管理机制避免大量的手工配置工作基于 UDP 的协议, 端口号 500

54 IPsec SA IPsec Security Associations( ( 安全联盟 ) 单向 SADB 源地址目的地址协议 (AH 或 ESP) SPI SPD 加密算法验证算法模式共享密钥 SA 生存期 ( 时间 / 流量 )

55 IKE 协商 -Phase 1 IKE Phase 1 目标协商 IKE SA IKE SA 协商 IKE 安全策略密钥交换对等体验证 (pre-shared-key,rsa-sig) 主模式和积极模式

56 IKE 安全策略协商

57 DH 密钥交换 Diffie-Hellman

58 对等体验证 Pre-Shared-Key

59 对等体验证 ( 续 ) RSA 数字签名

60 IKE Phase1 积极模式 IKE Phase 1 积极模式仅交换 3 条信息速度快安全性低

61 IKE 协商 -Phase 2 IKE Phase 2 目标协商 IPsec SA 受 IKE SA 保护 IPsec SA 协商 IPsec 转换集可选的密钥交换协商保护的子网快速模式

62 IPsec 转换集协商

63 加密访问列表加密访问列表用于 IPsec 的扩展访问列表定义需要保护的流量对等体两端的访问列表应互为镜像

64 使用 Router 实现 IPsec Site-to-Site VPN 配置 IKE Phase1

65 使用 Router 实现 IPsec Site-to-Site VPN( ( 续 ) 配置 IKE Phase2

66 使用 Router 实现 IPsec Site-to-Site VPN( ( 续 ) 应用 IPsec 配置

67 验证 IPsec

68 验证 IPsec( ( 续 ) 手工清除 SA clear crypto sa 清除 IPsec SA clear crypto isakmp 清除 IKE SA

69 GRE over IPsec VPN IPsec 的问题 IPsec 仅支持对 IP 报文的封装 IPsec 仅支持对单播报文的封装解决方案使用 GRE+IPsec

70 GRE over IPsec 封装 GRE over IPsec 传输模式 GRE over IPsec 隧道模式

71 GRE over IPsec 配置要点

72 课程议题配置 RG-WALL VPN 网关

73 RG-WALL VPN 网关介绍锐捷 RG-WALL VPN 网关 IPsec/IKE DES 3DES AES MD5 SHA PKI/CA/X.509 防火墙入侵检测

74 RG-WALL VPN 网关基本配置

75 使用锐捷网关管理中心

76 使用锐捷网关管理中心 ( 续 ) adm

77 RG-WALL VPN 管理界面

78 配置接口

79 配置 Site-to-Site IPsec VPN

80 配置 Site-to-Site IPsec VPN( ( 续 )

81 配置 Site-to-Site IPsec VPN( ( 续 )

82 配置远程访问 IPsec VPN

83 配置远程访问 IPsec VPN( ( 续 )

84 配置远程访问 IPsec VPN( ( 续 )

85 配置远程访问 IPsec VPN( ( 续 )

86 配置访问规则

87 使用锐捷安全远程接入系统使用安全远程接入系统实现远程访问 IPsec VPN

88 使用锐捷安全远程接入系统 ( 续 )

89 使用锐捷安全远程接入系统 ( 续 )

90 验证客户端路由表

91 验证 VPN 网关配置及状态

92 课程回顾 VPN 技术概述 GRE PPTP/L2TP 密码学 PKI 架构 IPsec 配置 RG-WALL VPN 网关

一．NETGEAR VPN防火墙产品介绍

一．NETGEAR VPN防火墙产品介绍 NETGEAR VPN NETGEAR 6 http://www.netgear.com.cn - 1 - NETGEAR VPN... 4 1.1 VPN...4 1.2 Dynamic Domain Name Service...4 1.3 Netgear VPN...4 Netgear VPN... 6 2.1 FVS318 to FVS318 IKE Main...7 2.1.1 A VPN