虛擬專網(***)
-什麼是***:
***(Virtual Private Network):在公用網絡中,按照相同的策略和安全規則,建立的私有網絡連接。
***相對於專線方式的優點
專線方式
|
***方式
|
費用高
|
費用低
|
靈活性差
|
靈活性好
|
廣域網的管理
|
簡單的網絡管理
|
複雜的拓撲結構
|
隧道的拓撲結構
|
-***的結構和分類:
l 遠程訪問的***:移動用戶或遠程小辦公室通過Internet訪問網絡中心;連接單一的網絡設備;客戶通常需要安裝***客戶端軟件。
l 站點到站點的***:公司總部和其分支機構、辦公室之間建立的***;替代了傳統的專線或分組交換WAN連接;他們形成了一個企業的內部互聯網絡。
-***的工作原理:
***=加密+隧道
明文-訪問控制-報文加密-報文認證-IP封裝-IP隧道-公共IP網絡-公共IP隧道-IP解封-報文認證-報文解密-控制訪問-明文
-***的關鍵技術:
安全隧道技術;信息加密技術;用戶認證技術;訪問控制技術
-安全隧道技術:
爲了在公網上傳輸私有數據而發展起來的“信息封裝”(Encapsulation)方式;在Internet上傳輸的加密數據包中,只有***端口或網關的IP地址暴露在外面。
二層隧道***:建立在點對點協議PPP的基礎上;先把各種網絡協議(IP、IPX等)封裝到PPP幀中,再把整個數據幀裝入隧道協議;適用於通過公共電話交換網或者ISDN線路連接***,包括:
l L2TP:Layer 2 Tunnel Protocol
l PPTP:Point To Point Tunnel Protocol
l L2F:Layer 2 Forwarding
三層隧道***:把各種網絡協議直接裝入隧道協議;在可擴充性、安全性、可靠性方面優於第二層隧道協議,包括:
l GRE:General Routing Encapsulation
l IPSEC:IP Security Protocol
-信息的加密技術:
機密性:對用戶數據提供安全保護
數據完整性:確保消息在傳送過程中沒有被修改
身份驗證:確保宣稱已經發送了消息的實體是真正發送消息的實體
-加密算法:
對稱加密:DES算法;AES算法;IDEA算法、Blowfish算法、Skipjack算法
非對稱加密:RSA算法;PGP
-對稱密鑰:
發送方和接受方使用統一密鑰:通常加密比較快(可以達到線速);給予簡單的數學操作(可藉助硬件);需要數據的保密性時,用於大批量加密;密鑰的管理是最大的問題。
-非對稱密鑰:
每一方有兩個密鑰:公鑰,可以公開;私鑰,必選全保存;已知公鑰,不可能推算出私鑰;一個密鑰用於加密,一個用於解密;比對稱加密算法慢很多倍。
-什麼是IPSec:
l IPSec(IP Security)是IETF爲保證在Internet上傳送數據的安全保密性,而制定的框架協議。
l 應用在網絡曾,保護和認證用IP數據包:是開放的框架式協議,各算法之間相互獨立;提供了信息的機密性、數據的完整性、用戶的驗證和防重放保護。
l 支持隧道模式和傳輸模式
-隧道模式和傳輸模式:
隧道模式:IPSec對整個IP數據包進行封裝和加密,隱蔽了源和目的IP地址;從外部看不到數據包的路由過程。
傳輸模式:只對IP有效數據載荷進行封裝和加密,IP源和目的IP地址不加密傳送;安全程度相對較低。
-IPSec的組成:
IPSec提供兩個安全協議:AH(Authentication Header)認證頭協議;ESP(Encapsulation Security Payload)封裝安全載荷協議。
密鑰管理協議:IKE(Internet Key Exchange)因特網密鑰交換協議
-AH認證頭協議:
隧道中報文的數據源鑑別;數據的完整性保護;對每組IP包進行認證,防止***利用IP進行***。
-ESP封裝安全載荷協議:
保證數據的保密性;提供報文的認證性、完整性保護
-AH和ESP相比較:
l ESP基本提供所有的安全服務
l 如果僅使用ESP,消耗相對較少
l 爲什麼使用AH:AH的認證強度比ESP強;AH沒有出口限制
-安全聯盟SA:
l 使用安全聯盟(SA)是爲了解決:如何保護通信數據;保護什麼通信數據;由誰實行保護
l 建立SA是其他IPSec服務的前提
l SA定義了通信雙方保護一定數據流量的策略
-一個SA通常包含以下的安全參數:
認證/加密算法,密鑰長度及其他的參數;認證和加密鎖需要的密鑰;哪些數據要使用到SA;IPSec的封裝協議和模式
-IKE因特網密鑰交換協議:
在IPSec網絡中用於密鑰管理;爲IPSec提供了自動協商交換密鑰、建立安全聯盟的服務;通過數據交換來計算密鑰
-IPSec ***的配置:
啓動IKE:
Router(config)#crypto isakmp enable
建立IKE協商策略:
Router(config)#crypto isakmp policy priority
*priority:取值範圍1~1000,數值越小,優先級越高
配置IKE協商策略:
Router(config-isakmp)#authentication pre-share //使用預定義密鑰
Router(config-isakmp)#encryption {des | 3des} //加密算法
Router(config-isakmp)#hash {md5 | sha1} //認證算法
Router(config-isakmp)#lifetime seconds //SA活動時間
設置共享密鑰和對端地址:
Router(config)#crypto isakmp key keystring address peer-address
*keystring:密鑰;peer-address:對端IP
設置傳輸模式集:
Router(config)#crypto ipsec transform-set transform-set-name transform1 [transform 2 [transform3]]
*transform:定義了使用AH還是ESP協議,以及相應協議所用的算法
配置保護訪問控制列表:
Router(config)#access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard
*用來定義哪些報文需要經過IPSec加密後發送,哪些報文直接發送
創建端口Crypto Maps:
Router(config)#crypto map map-name seq-num ipsec-isakmp
*seq-num:Map優先級,取值範圍1~65535,值越小,優先級越高
配置Crypto Maps:
Router(config-crypto-map)#match address access-list-number
Router(config-crypto-map)#set peer ip_address //對端IP地址
Router(config-crypto-map)#set transform-set name //傳輸模式的名稱
應用Crypto Maps到端口:
Router(config-if)#crypto map map-name
-檢查IPSec配置:
查看IKE策略:
Router#show crypto isakmp policy
查看IPSec策略:
Router#show crypto ipsec transform-set
查看SA信息:
Router#show crypto ipsec sa
查看加密映射:
Router#show crypto map