CN_instructorPPT_Chapter7_final【荐】.ppt

Connecting Networks 远程访问VPN解决方案Cisco SSL VPN解决方案 Cisco AnyConnect安全移动客户端（SSL） 基于客户端的 SSL VPN 为通过身份验证的用户提供与 LAN 类似的对企业资源的完全网络访问 远程设备需要在最终用户设备上安装客户端应用程序，例如 Cisco VPN 客户端或较新的 AnyConnect 客户端 Cisco安全移动无线客户端SSL VPN 即使远程设备不受企业管理，企业仍然可以提供对企业资源的访问 Cisco ASA 用作网络资源的代理设备 使用端口转发功能为远程设备提供浏览网络的网络门户接口 具体请参看电子教材7.4.1.3 通用路由封装的基本原理GRE简介（Generic Routing Encapsulation） 思科开发的基本的、不安全的站点到站点VPN隧道协议 可在IP隧道内封装各种协议数据包类型 在IP网际网络中创建一条通往远程站点的路由器的虚拟点对点链路 具体请参看电子教材7.2.1.1 通用路由封装的基本原理GRE的特征 通用路由封装的基本原理GRE的特征 GRE具有如下特性： GRE被定义为IETF标准 IP用协议号47来标识GRE数据包 GRE支持任何OSI第3层协议的封装 GRE协议本身是无状态的，它默认情况下不包括任何流量控制机制 GRE没有任何有力的安全机制来保护其有效载荷 GRE报头和隧道IP报头一起，为隧道数据包添加了至少24个字节的额外开销 配置GRE隧道GRE隧道配置 具体请参看电子教材7.2.2.1 配置GRE隧道GRE隧道配置 GRE 隧道的配置任务： 1、使用 interface tunnel number 命令创建隧道接口 2、指定隧道源 IP 地址 3、指定隧道目的 IP 地址 4、配置隧道接口的 IP 地址 5、（可选）将 GRE 隧道模式指定为隧道接口模式（Cisco设备默认是GRE 隧道模式） 配置GRE隧道GRE隧道验证 具体请参看电子教材7.2.2.2 ? 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID * 7.3 IPsec简介 Internet协议安全性IPsec VPN 来自专用网络的信息可在公共网络上安全地传输 形成虚拟网络，而非使用专用的第 2 层连接 为了保持隐私性，需要对流量进行加密以保持数据的机密性 Internet协议安全性IPsec（续） IPsec定义如何使用 Internet 协议安全地配置VPN IPsec是清楚说明安全通信规则的开放标准框架 IPsec 不限于任何特定的加密、验证、安全算法或密钥技术 IPsec 依靠现有算法来实施安全的通信 IPsec 在网络层起作用，在参与 IPsec 的设备（也称为对等设备）之间保护和验证IP 数据包 IPsec 可以保护网关与网关之间、主机与主机之间或网关与主机之间的路径 IPsec 的所有实施均具有明文第 3 层报头，因此路由不会出现问题 IPsec 可在所有的第 2 层协议中运行，例如以太网、ATM 或帧中继 Internet协议安全性IPsec（续） IPsec特征： IPsec 是一种与算法无关的开放式标准框架 IPsec 提供数据机密性、数据完整性和来源验证 IPsec 在网络层起作用，保护和验证 IP 数据包 Internet协议安全IPsec安全服务 IPsec的功能 机密性 (加密)?– 通过网络传输数据之前对数据进行加密 数据完整性?– 检验在传输中数据是否被改变，如果检测到篡改，则数据包被丢弃 身份验证?– 检验发送数据源的身份，确保连接是由希望的通信伙伴发起的，IPSec使用Internet密钥交换(IKE)对可独立传输通信的用户和设备进行身份验证 反重播保护 – 检测并拒绝重播的数据包以防止被欺骗 CIA: 机密性confidentiality、完整性integrity和身份验证authentication IPsec框架使用加密的机密性 要使加密的通信起作用，发送方和接收方都必须知道将原始消息转换成编码形式时所使用的规则 规则基于算法和相关密钥 没有正确的密钥，解密将极其困难或根本无法进行 IPsec框架加密算法 当密钥长度增加时，破解加密就变得更加困难。 但是，在加密和解密数据时，密钥越长，需要的处理器资源越多 加密算法的两种主要类型： 对称加密 非对称加密 IPsec框架加密算法 对称加密： 加密和解密使用相同的密钥 两台网络设备都必须知道密钥才能解密信息 每台设备先加密信息，然后再将信息通过网络发送到另一台设备 通常用于加密消息的内容（很