rccp_虚拟专用网(vpn).ppt

* 课程议题 IPSec技术 IPSec概述 IPSec（ip security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。 IPSec通过AH（authentication header，认证头）和ESP（encapsulating security payload，封装安全载荷）两个安全协议实现了上述目标 验证报头 IPSec认证包头（AH）是一个用于提供IP数据包完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变 AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务 消息文摘算法的输出结果放到AH包头的认证数据（Authentication_Data）区。 IPSec加密 ESP 封包安全协议包头提供IP数据报的完整性和可信性服务，ESP是在RFC2406中定义的。 ESP协议是设计以两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式 IPSec加密 安全协议数据封装格式 从安全性来讲，隧道模式优于传输模式 从性能来讲，隧道模式比传输模式占用更多带宽 安全关联 安全关联（SA）是最基本的IPSec概念之一，这是对等体或主机之间的策略约定 IPSec在两个端点之间提供安全通信，端点被称为IPSec对等体。 安全联盟是IPSec的基础，也是IPSec的本质 安全联盟是单向的，在两个对等体之间的双向通信，最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。 安全联盟由一个三元组来唯一标识 SPI（security parameter index，安全参数索引） 目的IP地址 安全协议号（AH或ESP） 安全联盟具有生存周期。生存周期的计算包括两种方式 以时间为限制 以流量为限制 安全关联 安全联盟的协商方式 一种是手工方式（manual） 一种是IKE自动协商（ISAKMP）方式 IPSec的运行 第一步，启动IPSec过程 第二步，IKE阶段1 第三步，IKE阶段2 第四步，传输数据 第五步，拆除IPSec隧道 使用IKE IKE IKE协议是建立在由Internet安全联盟和密钥管理协议ISAKMP（internet security association and key management protocol）定义的框架上。它能够为IPSec提供了自动协商交换密钥、建立安全联盟的服务，以简化IPSec的使用和管理。 IKE具有一套自保护机制，可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟。 DF（diffie-hellman）交换及密钥分发 完善的前向安全性（perfect forward secrecy，PFS）。PFS是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。PFS是由DH算法保障的。 使用IKE 第一阶段: ISAKMP SA 通信各方彼此间建立了一个已通过身份验证和安全保护的通道 第二阶段: IPSec SA 用在第一阶段建立的安全通道为IPSec协商安全服务 使用IKE 在RFC2409（the internet key exchange）中规定，IKE第一阶段的协商可以采用两种模式： 主模式（main mode） 被设计成将密钥交换信息与身份、认证信息相分离 这种分离保护了身份信息 增加了3条消息的开销 野蛮模式（aggressive mode） 允许同时传送与SA、密钥交换和认证相关的载荷 减少了消息的往返次数 无法提供身份保护 可以满足某些特定的网络环境需求 使用IKE IKE具有以下优点 使得无需在加密映射中手工指定IPSec安全参数 能够指定IPSec SA的寿命 能够在IPSec会话期间修改加密密钥 能够提供防重发服务 支持CA，实现易于管理、可扩展 能够动态地验证对等体的身份 IKE可以使用的技术包括 MD5 SHA-1 DES 3DES IKE与IPSec流程图 课程议题 IPSec VPN配置案例 配置步骤 配置步骤 第一步：定义被保护的数据流 第二步：定义安全提议 第三步：定义安全策略或安全策略组 第四步：接口实施安全策略 配置示例 上图所示为一个企业与其分公司建立一个基于站点到站点的VPN，北京总部与上海分公司建立IPSec VPN，因为总公司中10.1.2.0/24和分公司的10.1.1.0/24两个网段上传输是公司的财务系统，所以需要两端的10.1.1.0/24的子网与10.1.2.0/24子网建立VPN访问 配置示例 配置示例 配置示例 配置完成后，可以使用ping来测试，并使用下列命令来查看状态 show crypto isakmp sa show crypt