虛擬專網（***）

 

虛擬專網（***）

 

-什麼是***：

       ***（Virtual Private Network）：在公用網絡中，按照相同的策略和安全規則，建立的私有網絡連接。

       ***相對於專線方式的優點

專線方式	***方式
費用高	費用低
靈活性差	靈活性好
廣域網的管理	簡單的網絡管理
複雜的拓撲結構	隧道的拓撲結構

 

-***的結構和分類：

l         遠程訪問的***：移動用戶或遠程小辦公室通過Internet訪問網絡中心；連接單一的網絡設備；客戶通常需要安裝***客戶端軟件。

l         站點到站點的***：公司總部和其分支機構、辦公室之間建立的***；替代了傳統的專線或分組交換WAN連接；他們形成了一個企業的內部互聯網絡。

 

-***的工作原理：

       ***=加密+隧道

       明文-訪問控制-報文加密-報文認證-IP封裝-IP隧道-公共IP網絡-公共IP隧道-IP解封-報文認證-報文解密-控制訪問-明文

 

-***的關鍵技術：

       安全隧道技術；信息加密技術；用戶認證技術；訪問控制技術

 

-安全隧道技術：

爲了在公網上傳輸私有數據而發展起來的“信息封裝”（Encapsulation）方式；在Internet上傳輸的加密數據包中，只有***端口或網關的IP地址暴露在外面。

       二層隧道***：建立在點對點協議PPP的基礎上；先把各種網絡協議（IP、IPX等）封裝到PPP幀中，再把整個數據幀裝入隧道協議；適用於通過公共電話交換網或者ISDN線路連接***，包括：

l         L2TP：Layer 2 Tunnel Protocol

l         PPTP：Point To Point Tunnel Protocol

l         L2F：Layer 2 Forwarding

 

       三層隧道***：把各種網絡協議直接裝入隧道協議；在可擴充性、安全性、可靠性方面優於第二層隧道協議，包括：

l         GRE：General Routing Encapsulation

l         IPSEC：IP Security Protocol

 

-信息的加密技術：

       機密性：對用戶數據提供安全保護

       數據完整性：確保消息在傳送過程中沒有被修改

       身份驗證：確保宣稱已經發送了消息的實體是真正發送消息的實體

 

-加密算法：

       對稱加密：DES算法；AES算法；IDEA算法、Blowfish算法、Skipjack算法

       非對稱加密：RSA算法；PGP

 

-對稱密鑰：

       發送方和接受方使用統一密鑰：通常加密比較快（可以達到線速）；給予簡單的數學操作（可藉助硬件）；需要數據的保密性時，用於大批量加密；密鑰的管理是最大的問題。

 

-非對稱密鑰：

       每一方有兩個密鑰：公鑰，可以公開；私鑰，必選全保存；已知公鑰，不可能推算出私鑰；一個密鑰用於加密，一個用於解密；比對稱加密算法慢很多倍。

 

-什麼是IPSec：

l         IPSec（IP Security）是IETF爲保證在Internet上傳送數據的安全保密性，而制定的框架協議。

l         應用在網絡曾，保護和認證用IP數據包：是開放的框架式協議，各算法之間相互獨立；提供了信息的機密性、數據的完整性、用戶的驗證和防重放保護。

l         支持隧道模式和傳輸模式

 

-隧道模式和傳輸模式：

       隧道模式：IPSec對整個IP數據包進行封裝和加密，隱蔽了源和目的IP地址；從外部看不到數據包的路由過程。

       傳輸模式：只對IP有效數據載荷進行封裝和加密，IP源和目的IP地址不加密傳送；安全程度相對較低。

 

-IPSec的組成：

       IPSec提供兩個安全協議：AH（Authentication Header）認證頭協議；ESP（Encapsulation Security Payload）封裝安全載荷協議。

       密鑰管理協議：IKE（Internet Key Exchange）因特網密鑰交換協議

 

-AH認證頭協議：

       隧道中報文的數據源鑑別；數據的完整性保護；對每組IP包進行認證，防止***利用IP進行***。

 

-ESP封裝安全載荷協議：

       保證數據的保密性；提供報文的認證性、完整性保護

 

-AH和ESP相比較：

l         ESP基本提供所有的安全服務

l         如果僅使用ESP，消耗相對較少

l         爲什麼使用AH：AH的認證強度比ESP強；AH沒有出口限制

 

-安全聯盟SA：

l         使用安全聯盟（SA）是爲了解決：如何保護通信數據；保護什麼通信數據；由誰實行保護

l         建立SA是其他IPSec服務的前提

l         SA定義了通信雙方保護一定數據流量的策略

 

-一個SA通常包含以下的安全參數：

       認證/加密算法，密鑰長度及其他的參數；認證和加密鎖需要的密鑰；哪些數據要使用到SA；IPSec的封裝協議和模式

 

-IKE因特網密鑰交換協議：

       在IPSec網絡中用於密鑰管理；爲IPSec提供了自動協商交換密鑰、建立安全聯盟的服務；通過數據交換來計算密鑰

 

-IPSec ***的配置：

       啓動IKE：

Router(config)#crypto isakmp enable

       建立IKE協商策略：

Router(config)#crypto isakmp policy priority

       *priority：取值範圍1~1000，數值越小，優先級越高

       配置IKE協商策略：

Router(config-isakmp)#authentication pre-share                //使用預定義密鑰

Router(config-isakmp)#encryption {des | 3des}                 //加密算法

Router(config-isakmp)#hash {md5 | sha1}                        //認證算法

Router(config-isakmp)#lifetime seconds                           //SA活動時間

       設置共享密鑰和對端地址：

Router(config)#crypto isakmp key keystring address peer-address

       *keystring：密鑰；peer-address：對端IP

       設置傳輸模式集：

Router(config)#crypto ipsec transform-set transform-set-name transform1 [transform 2 [transform3]]

       *transform：定義了使用AH還是ESP協議，以及相應協議所用的算法

       配置保護訪問控制列表：

Router(config)#access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard

       *用來定義哪些報文需要經過IPSec加密後發送，哪些報文直接發送

       創建端口Crypto Maps：

Router(config)#crypto map map-name seq-num ipsec-isakmp

       *seq-num：Map優先級，取值範圍1~65535，值越小，優先級越高

       配置Crypto Maps：

Router(config-crypto-map)#match address access-list-number

Router(config-crypto-map)#set peer ip_address                 //對端IP地址

Router(config-crypto-map)#set transform-set name           //傳輸模式的名稱

       應用Crypto Maps到端口：

Router(config-if)#crypto map map-name

 

-檢查IPSec配置：

       查看IKE策略：

Router#show crypto isakmp policy

       查看IPSec策略：

Router#show crypto ipsec transform-set

       查看SA信息：

Router#show crypto ipsec sa

       查看加密映射：

Router#show crypto map