H3CVPN基本知识及配置.ppt-淘文阁

资源描述

《H3CVPN基本知识及配置.ppt》由会员分享，可在线阅读，更多相关《H3CVPN基本知识及配置.ppt（193页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第1章 VPN原理和配置,ISSUE 1.1,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,随着网络应用的发展，组织需要将Intranet、Extranet和Internet接入融合起来组织越来越需要降低昂贵的专线网络布署、使用和维护费用，缩减布署周期，提高灵活性,引入,理解VPN的体系结构掌握GRE VPN的工作原理和配置掌握L2TP VPN的工作原理和配置掌握IPSec VPN的工作原理和配置能够执行基本的VPN设计,课程目标,学习完本课程，您应该能够：,VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划,目录,VPN概述,VPN概念

2、VPN的分类主要VPN技术,VPN（Virtual Private Network）,合作伙伴,隧道,办事处,总部,分支机构,异地办事处,Internet,什么是VPN,VPN（Virtual Private Network，虚拟私有网）以共享的公共网络为基础，构建私有的专用网络以虚拟的连接，而非以物理连接贯通网络处于私有的管理策略之下，具有独立的地址和路由规划 RFC 2764描述了基于IP的VPN体系结构,VPN的优势,可以快速构建网络，减小布署周期与私有网络一样提供安全性，可靠性和可管理性可利用Internet，无处不连通，处处可接入简化用户侧的配置和维护工作提高基础资源

3、利用率于客户可节约使用开销于运营商可以有效利用基础设施，提供大量、多种业务,VPN的关键概念术语,隧道（Tunnel）封装（Encapsulation）验证（Authentication）授权（Authorization）加密（Encryption）解密（Decryption）,VPN的分类方法,按照业务用途分类：Access VPN，Intranet VPN，Extranet VPN 按照运营模式：CPE-Based VPN，Network-Based VPN 按照组网模型：VPDN，VPRN，VLL，VPLS 按照网络层次：Layer 1 VPN， Layer 2 VPN，

4、Layer 3 VPN，传输层VPN，应用层VPN,Access VPN,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,Intranet VPN,Extranet VPN,CPE-Based VPN,Network-Based VPN,隧道,总部,VLL，虚拟专线,VPRN,VPDN，虚拟私有拨号网络,适用范围：出差员工异地小型办公机构,POP,POP,用户直接发起连接,POP,ISP发起连接,总部,隧道,VPLS，虚拟私有LAN服务,不同网络层次的VPN,一层 VPN 二层 VPN 三层 VPN 传输层VPN 应用层VPN,主要VPN技术,主要的二层VPN技术 L

5、2TP：二层隧道协议 PPTP：点到点隧道协议 MPLS L2 VPN 主要的三层VPN技术 GRE IPSec VPN BGP/MPLS VPN,其它VPN技术,老式VPN技术包括ATM，Frame Relay，X.25等分组交换技术 SSL（Secure Sockets Layer） L2F（Layer 2 Forwarding） DVPN（Dynamic Virtual Private Network，动态VPN）基于VLAN的VPN 802.1QinQ XOT（X.25 over TCP Protocol）,VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划,

6、目录,GRE VPN,概述 GRE封装 GRE VPN工作原理 GRE VPN配置 GRE VPN典型应用小结,GRE VPN,GRE (Generic Routing Encapsulation) 在任意一种网络协议上传送任意一种其它网络协议的封装方法 RFC 2784 可以用于任意的VPN实现 GRE VPN 直接使用GRE封装，在一种网络上传送其它协议虚拟的隧道（Tunnel）接口,GRE协议栈,协议B,GRE,协议A,链路层协议,载荷协议,封装协议,承载协议,协议B载荷,GRE封装包格式,链路层,GRE,协议B,协议A,载荷,RFC 1701 GRE头格式,RFC 1701 SRE

7、格式,常见GRE载荷协议号,RFC 2784 GRE标准头格式,GRE扩展头格式,载荷协议包,以IP作为承载协议的GRE封装,GRE被当作一种IP协议对待 IP用协议号47标识GRE,链路层,GRE,IP,IP协议号47,以IP作为载荷协议的GRE封装,GRE使用以太类型标识载荷协议载荷协议类型值0 x0800说明载荷协议为IP,IP over IP的GRE封装,GRE隧道,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IPX数据流,IPX包,IPX包,GRE封装包,IP over IP G

8、RE隧道,RTA,RTB,IP公网,IP私网,IP私网,GRE Tunnel,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,IP私网之间的数据流,私网IP包,GRE封装包,私网IP包,GRE隧道处理流程,隧道起点路由查找加封装承载协议路由转发中途转发解封装隧道终点载荷协议路由查找,GRE隧道处理隧道起点路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0

9、/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,GRE隧道处理加封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTA Tunnel0接口参数： GRE封装源接口S0/0，地址202.1.1.1 目标地址203.1.1.2,D,S,私网IP包,GRE

10、头,公网IP头,目的地址： 203.1.1.2,源地址： 202.1.1.1,S0/0,S0/0,E0/0,E0/0,GRE隧道处理承载协议路由转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,S0/0,S0/0,E0/0,E0/0,GRE隧道处理中途转发,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.

11、1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,GRE隧道处理解封装,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,RTB Tunnel0接口参数： GRE封装源接口S0/0，地址202.1.1.1 目标地址203.1.1.2,D,S,私网IP包,GRE头,公网IP头,私网IP包,S0/0,S0/0,E0/0,

12、E0/0,GRE隧道处理隧道终点载荷协议路由查找,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,203.1.1.2/24,202.1.1.1/24,S0/0,S0/0,E0/0,E0/0,GRE穿越NAT,RTA,RTB,IP公网,IP私网,IP私网,E1/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,IP_addr_B,IP_addr_A,NAT网关,S0/0,IP_addr_R,RTA配置：隧道源IP_addr_A 隧道目的I

13、P_addr_B,RTB配置：隧道源IP_addr_B 隧道目的IP_addr_R,NAT配置：地址映射： IP_addr_A IP_addr_R,GRE VPN基本配置,创建虚拟Tunnel接口 H3C interface tunnel number 指定Tunnel的源端 H3C-Tunnel0 source ip-addr | interface-type interface-num 指定Tunnel的目的端 H3C-Tunnel0 destination ip-address 设置Tunnel接口的网络地址 H3C -Tunnel0 ip address ip-address ma

14、sk 配置通过Tunnel的路由,GRE VPN路由配置,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,载荷网路由AS,承载网路由AS,虚假的Tunnel接口状态,RTA,RTB,站点A,站点B,E1/0,E1/0,E0/0,E0/0,Tunnel0,Tunnel0,备份隧道空闲！,服务器,服务器,RTC,E1/0,E0/0,Tunnel0,Tunnel1,UP,UP,UP,UP,GRE VPN高级配置,设置Tunnel接口报文的封装模式 H3C-Tunnel0 tunnel-protocol gre 设置

15、Tunnel两端进行端到端校验 H3C-Tunnel0 gre checksum 设置Tunnel接口的识别关键字 H3C-Tunnel0 gre key key-number 配置Tunnel的keepalive功能 H3C-Tunnel0 keepalive interval times,GRE VPN配置实例（待续）,RTA,RTB,IP公网,IP私网,IP私网,站点A,站点B,S1/0,S1/0,E0/0,E0/0,Tunnel0,Tunnel0,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,132.108.5.2/24,192.13.

16、2.1/24,GRE VPN配置实例,RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0 RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0 RTB interface tunnel 0 RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0 RTB-Tunnel0 source 132.108.5.2 RTB-Tunnel0 destination 192.13.2.1 RTB ip route-static 10.1.1.0 255.255.255.0 tu

17、nnel0,RTA-Serial1/0 ip address 192.13.2.1 255.255.255.0 RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 RTA interface tunnel 0 RTA-Tunnel0 ip address 10.1.2.1 255.255.255.0 RTA-Tunnel0 source 192.13.2.1 RTA-Tunnel0 destination 132.108.5.2 RTA ip route-static 10.1.3.0 255.255.255.0 tunnel0,GRE VPN的

18、显示和调试,显示Tunnel接口的工作状态 display interface tunnel number 例如：H3C display interfaces tunnel 1 Tunnel1 is up, line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input, 640 bytes 0 input errors, 0 broadcast, 0 drops 10 packets output, 640 bytes 0 outpu

19、t errors, 0 broadcast, 0 no protocol 打开Tunnel调试信息 debugging tunnel,连接不连续的网络,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,Tunnel0,Tunnel0,S0/0,S0/0,E0/0,E0/0,单一骨干承载多个上层协议,RTA,RTB,IP,IPX,IPX,GRE Tunnel,站点A,站点B,Tunnel0,Tunnel0,IP,IP,Team1,Team2,Group1,Group2,S0/0,S0/0,E0/0,E0/0,扩大载荷协议的工作范围,RTA,RTB,IP公网,载荷协议,载

20、荷协议,站点A,站点B,S0/0,S0/0,E0/0,E0/0,Tunnel0,Tunnel0,GRE VPN的优点,可以当前最为普遍的IP网络作为承载网络支持多种协议支持IP组播简单明了、容易布署,GRE VPN的缺点,点对点隧道静态配置隧道参数布署复杂连接关系时代价巨大缺乏安全性不能分隔地址空间,VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划,目录,L2TP,概述概念术语协议封装协议操作 L2TP多实例配置和故障排除小结,L2TP,Layer Two Tunnel Protocol RFC 2661 隧道传送PPP 验证和动态地址分配无加

21、密措施点对网络特性,传统拨号接入,PSTN/ISDN,LAN,总部,NAS,出差员工,RADIUS,使用L2TP构建VPDN,L2TP功能组件,远程系统（Remote System） LAC（L2TP Access Concentrator） LNS（L2TP Network Server） NAS（Network Access Server）,L2TP功能组件,L2TP术语,呼叫（Call）隧道（Tunnel）控制连接（Control Connection）会话（Session） AVP（Attribute Value Pair）,呼叫,隧道和控制连接,会话,L2TP拓扑结构（1）独

22、立LAC方式,L2TP拓扑结构（2）客户LAC方式,L2TP头格式,L2TP协议栈和封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,L2TP协议操作,建立控制连接建立会话转发PPP帧 Keepalive 关闭会话关闭控制连接,建立控制连接,LAC,LNS,SCCR

23、Q SCCRP SCCCN ZLB,控制连接的建立由PPP触发任意源端口1701 重定位为任意源端口任意目标端口,建立会话,LAC,LNS,ICRQ ICRP ICCN ZLB,会话的建立以控制连接的建立为前提会话与呼叫有一一对应关系同一个隧道中可以建立多个会话,转发PPP帧,会话建立后，即可转发PPP帧 Tunnel ID和Session ID用于区分不同隧道和不同会话的数据,Keepalive,LAC,LNS,Hello Hello,L2TP用Hello控制消息维护隧道的状态,关闭会话,关闭控制连接,L2TP的验证过程,L2TP多实例,L2TP协议上加入多实例技术，让L2TP支持在一

24、台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。,VPN 1 总部,Client,LNS,HOST,Internet,L2TP TUNNEL,Client,VPN 2总部,VPN 1,HOST,VPN 2,10.1.1.*,10.1.1.*,10.1.2.*,10.1.2.*,L2TP基本配置任务,LAC侧设置用户名、密码及配置用户验证启用L2TP 创建L2TP组设置发起L2TP连接请求及LNS地址 LNS侧设置用户名、密码及配置用户验证启用L2TP 创建L2TP组创建虚接口模板设置

25、本端地址及分配的地址池设置接收呼叫的虚接口模板、通道对端名称和域名,L2TP基本配置命令（未完）,LAC 侧的配置设置用户名、密码及配置用户验证启用L2TP H3C l2tp enable 创建L2TP组 H3C l2tp-group group-number 设置发起L2TP连接请求及LNS地址 H3C-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | fullusername user-name ,L2TP 的基本配置命令（未完）,LNS 侧的配置设置用户名、密码及配置用户验证启用L2TP H3C l

26、2tp enable 创建L2TP组 H3C l2tp-group group-number 创建虚接口模板 H3C interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池 H3C-Virtual-Template1 ip address X.X.X.X netmask H3C-Virtual-Template1 remote address pool pool-number ,L2TP 的基本配置命令,LNS 侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为1： H3C-l2tp1 all

27、ow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP组为1： H3C-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name ,L2TP可选配置任务,LAC和LNS侧可选配的参数设置本端名称启用隧道验证及设置密码设置通道Hello报文发送时间间隔设置域名分隔符及查找顺序强制挂断通道 LNS侧可选配的参数强制本端CHAP认

28、证强制LCP重新协商,L2TP的可选配置命令（未完）,LAC侧和LNS侧可选配的参数设置本端名称 H3C-l2tp1 tunnel name name 启用隧道验证及设置密码 H3C-l2tp1 tunnel authentication H3C-l2tp1 tunnel password simple | cipher password 设置通道Hello报文发送时间间隔 H3C-l2tp1 tunnel timer hello hello-interval,L2TP的可选配置命令（未完）,LAC侧和LNS侧可选配的参数配置域名分隔符及查找顺序设置前缀分隔符 H3C-l2tp1 l2

29、tp domain prefix-separator separator 设置后缀分隔符 H3C-l2tp1 l2tp domain suffix-separator separator 设置查找规则 H3C-l2tp1 l2tp match-order dnis-domain | dnis | domain-dnis | domain 强制挂断通道 reset l2tp tunnel remote-name | tunnel-id ,L2TP的可选配置命令,LNS侧可选配的参数强制本端CHAP验证 H3C-l2tp1 mandatory-chap 强制LCP重新协商 H3C-l2tp1 m

30、andatory-lcp,L2TP配置例子（未完）,LAC,LNS,LAC local-user vpdnuserH3C.com LAC-luser-vpdnuserH3C.com password simple Hello LAC domain H3C.com LAC-isp-H3C.com scheme local LAC l2tp enable LAC l2tp-group 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip 202.38.160.2 domain H3C.com LAC-l2tp1 tunnel authenticat

31、ion LAC-l2tp1 tunnel password simple H3C,PSTN/ISDN,L2TP配置例子,LNS local-user vpdnuserH3C.com LNS-luser-vpdnuserH3C.com password simple Hello LNS interface virtual-template 1 LNS-virtual-template1 ip address 192.168.0.1 255.255.255.0 LNS-virtual-template1 ppp authentication-mode chap domain H3C.com LNS

32、 domain H3C.com LNS-isp-H3C.com scheme local LNS-isp-H3C.com ip pool 1 192.168.0.2 192.168.0.100 LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authentication LNS-l2tp1 tunnel password simple H3C,LAC,LNS,PSTN/ISDN,L2TP信息

33、显示和调试,显示当前的L2TP通道的信息,H3C display l2tp tunnel LocalIDRemoteID RemName RemAddress Sessions Port 1 8 AS8010 172.168.10.2 1 1701 Total tunnels = 1,显示当前的L2TP会话的信息,H3C display l2tp session LocalIDRemoteIDTunnelID 112 Total session = 1,打开L2TP调试信息开关 debugging l2tp all | control | dump | error | event | hidd

34、en | payload | time-stamp ,L2TP 故障排除,用户登录失败 Tunnel建立失败在LAC端，LNS的地址设置不正确 LNS（通常为路由器）端没有设置可以接收该隧道对端的L2TP组 Tunnel验证不通过，如果配置了验证，应该保证双方的隧道密码一致 PPP协商不通过 LAC端设置的用户名与密码有误，或者是LNS端没有设置相应的用户 LNS端不能分配地址，比如地址池设置的较小，或没有进行设置密码验证类型不一致数据传输失败，在建立连接后数据不能传输，如Ping不通对端用户设置的地址有误网络拥挤,L2TP特点,方面远程漫游用户接入节约费用可以由ISP或组织自身

35、提供接入和验证 L2TP不提供对数据本身的安全性保证,VPN概述 GRE VPN L2TP IPSec VPN VPN设计规划,目录,IPSec VPN,概述概念和术语 IPSec IKE 配置IPSec VPN IPSec VPN典型应用小结,IPSec VPN,IP无安全保障 RFC 2401IPSec体系安全协议AH和ESP 隧道模式（Tunnel Mode）和传输模式（Transport Mode）隧道模式适宜于建立安全VPN隧道传输模式适用于两台主机之间的数据保护动态密钥交换IKE,基本概念和术语（待续）,机密性完整性身份验证对称和非对称加密算法密钥和密钥交换单

36、向散列函数,基本概念和术语,完美前向保密加密的代价和DoS攻击重播式攻击加密的实现层次,安全性基本要求,机密性防止数据被未获得授权的查看者理解通过加密算法实现完整性防止数据在存储和传输的过程中受到非法的篡改使用单向散列函数身份验证判断一份数据是否源于正确的创建者单向散列函数、数字签名和公开密钥加密,加密算法,对称加密算法块加密算法流加密算法非对称加密算法如RSA算法,对称加密算法,双方共享一个密钥,加密方,解密方,奉天承运皇帝诏曰 ,共享密钥,yHidYTV dkd;AOt ,yHidYTV dkd;AOt ,奉天承运皇帝诏曰 ,加密,解密,共享密钥,非对称加

37、密算法,加密方,解密方,奉天承运皇帝诏曰 ,解密方的公开密钥,yHidYTV dkd;AOt ,yHidYTV dkd;AOt ,奉天承运皇帝诏曰 ,加密,解密,解密方的私有密钥,加密和解密的密钥不同,单向散列函数,发送方,接收方,奉天承运皇帝诏曰 ,共享密钥,yYaIPyq ZoyWIt,yYaIPyq ZoyWIt,单向散列函数,共享密钥,单向散列函数,yYaIPyq ZoyWIt,奉天承运皇帝诏曰 ,奉天承运皇帝诏曰 ,yYaIPyq ZoyWIt,？,Diffie-Hellman交换,a,c=gamod(p),peer2,peer1,b,d=gbmod(p),(g ,p),d

38、amod(p),cbmod(p),damod(p)= cbmodp=gabmodp,加密的实现层次,应用层,传输层,网络层,链路层,应用层,传输层,网络层,链路层,网络层,链路层,网络层,链路层,传输层,加密盒,加密盒,安全网关,安全网关,SSH、S/MIME,SSL,IPSec,IPSec VPN的体系结构,安全协议负责保护数据 AH/ESP 工作模式传输模式：实现端到端保护隧道模式：实现站点到站点保护密钥交换 IKE：为安全协议执行协商,IPSec传输模式,RTA,RTB,IP,IPX,IPX,站点A,站点B,IPSec隧道模式,RTA,RTB,IP,IPX,IPX,IPSec T

39、unnel,站点A,站点B,IPSec SA,SA（Security Association，安全联盟）由一个（SPI，IP目的地址，安全协议标识符）三元组唯一标识决定了对报文进行何种处理协议、算法、密钥每个IPSec SA都是单向的手工建立或 IKE协商生成 IPSec对数据流提供的安全服务通过SA来实现,IPSec处理流程,AH,AH（Authentication Header） RFC 2402 数据的完整性校验和源验证有限的抗重播能力不能提供数据加密功能,AH头格式,0,8,16,31,AH用IP协议号51标识,传输模式AH封装,载荷数据,TCP,原始IP头,载荷数据,

40、原始IP头,TCP,AH头,验证计算前，所有可变字段预先置0,Authentication Data,密钥,AH头,单向散列函数,载荷数据,TCP,原始IP头,原始IP包,AH处理后的包,隧道模式AH封装,载荷数据,TCP,原始IP头,Authentication Data,密钥,AH头,单向散列函数,新IP头,载荷数据,TCP,原始IP头,AH头,新IP头,验证计算前，所有可变字段预先置0,载荷数据,TCP,原始IP头,原始IP包,AH处理后的包,ESP,ESP（Encapsulating Security Payload） RFC 2406 保证数据的机密性数据的完整性校验和源验证一定

41、的抗重播能力,ESP头格式,ESP用IP协议号50标识,Padding(0-255 bytes）,Sequence Number,Security Parameters Index (SPI),Authentication Data,Next Header,Pad length,Payload Data (variable),24,16,8,0,31,传输模式ESP封装,Authentication Data,加密密钥,加密算法,载荷数据,TCP,原始IP头,ESP尾,ESP Auth,密文,ESP尾,ESP头,密文,验证密钥,ESP头,密文,载荷数据,TCP,原始IP头,原始IP包,验证算法

42、,隧道模式ESP封装,Authentication Data,加密密钥,加密算法,载荷数据,TCP,原始IP头,新IP头,ESP尾,ESP Auth,密文,ESP尾,ESP头,密文,验证密钥,ESP头,密文,载荷数据,TCP,原始IP头,原始IP包,验证算法,IKE,IKE（Internet Key Exchange） RFC 2409 使用Diffie-Hellman交换完善的前向安全性 UDP端口500,IKE的作用,在不安全的网络上安全地分发密钥，验证身份为IPSec提供了自动协商交换密钥、建立SA的服务定时更新SA 定时更新密钥允许IPSec提供反重播服务,IKE与IPSec的

43、关系,IKE,IPSec,IKE,IPSec,IKE的SA协商,SA,SA,IKE协商的两个阶段,阶段一在网络上建立一个IKE SA，为阶段二协商提供保护主模式（Main Mode）和野蛮模式（Aggressive Mode）阶段二在阶段一建立的IKE SA的保护下完成IPSec SA的协商快速模式（Quick Mode）,Cookie,IKE交换开始时，双方的初始消息都包含一个Cookie 响应方收到包含这个Cookie的下一条消息时，才开始真正的DH交换过程一定程度上阻止DoS攻击野蛮模式无法抵抗DoS,IKE主模式,策略协商,DH交换,ID交换及验证,发送本地 IKE策略,

44、身份验证和交换过程验证,密钥生成,密钥生成,接受对端确认的策略,查找匹配的策略,身份验证和交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,策略协商的内容,加密算法 DES/3DES/AES 散列算法 MD5/SHA 验证方法预共享密钥/RSA/DSA,DH交换组 1MODP 768位 2MODP 1024位 3EC2N 155字节 4EC2N 185字节 5MODP 1680位 IKE SA生存时间（Life Time）,IKE野蛮

45、模式,发送本地IKE策略开始DH交换,验证,接受对端确认的策略密钥生成验证,查找匹配的策略继续DH交换验证,发起方策略 DH公共值,接收方确认的策略、 DH公共值、验证载荷,验证载荷,Peer1,Peer2,IKE的优点,允许端到端动态验证降低手工布署的复杂度定时更新SA 定时更新密钥允许IPSec提供抗重播服务,NAT与IPSec/IKE的不兼容性,NAT网关修改IPSec报文的IP地址 IPSec完整性检查失败 NAT网关修改IKE的UDP端口号500 IKE协商验证失败其它问题,使用NAT穿越,RTB,IPX,IPX,IPSec Tunnel,RTA,NAT网关,IP,

46、UDP,IPSec报文,IPSec配置前准备,确定需要保护的数据确定使用安全保护的路径确定使用哪种安全保护确定安全保护的强度,IPSec的配置任务,配置访问控制列表定义安全提议创建安全提议选择安全协议选择安全算法选择报文封装形式创建安全策略手工创建安全策略用IKE创建安全策略在接口上应用安全策略,配置访问控制列表,双方列表对称,本端： acl number 3101 rule 1 permit ip source 173.1.1.1 0.0.0.0 destination 173.2.2.2 0.0.0.0,对端： acl number 3101 rule 1 perm

47、it ip source 173.2.2.2 0.0.0.0 destination 173.1.1.1 0.0.0.0,定义安全提议,创建安全提议 H3C ipsec proposal proposal-name 选择报文封装形式 H3C-ipsec-proposal-tran1 encapsulation-mode transport | tunnel 选择安全协议 H3C-ipsec-proposal-tran1 transform ah | ah-esp | esp 选择安全算法 H3C-ipsec-proposal-tran1 esp encryption-algorithm 3de

48、s | des | aes H3C-ipsec-proposal-tran1 esp authentication-algorithm md5 | sha1 H3C-ipsec-proposal-tran1 ah authentication-algorithm md5 | sha1 ,创建安全策略手工创建（未完）,手工创建安全策略 H3C ipsec policy policy-name seq-number manual 在安全策略中引用安全提议 H3C-ipsec-policy-manual-map1-10 proposal proposal-name1 proposal-name2. proposal-name6 在安全策略中引用访问控制列表 H3C-ipsec-policy-manual-map1-10 securi

展开阅读全文