局域網(wǎng)接入安全策略

《局域網(wǎng)接入安全策略》由會員分享，可在線閱讀，更多相關(guān)《局域網(wǎng)接入安全策略（45頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、26 局域網(wǎng)接入安全策略,模塊1 構(gòu)建VPN隧道,1.1 問題提出 VPN能夠利用Internet網(wǎng)絡(luò)，實現(xiàn)安全、可靠的網(wǎng)上商務(wù)活動。它可以使公司獲得使用公共通信基礎(chǔ)結(jié)構(gòu)所帶來的便利和經(jīng)濟效益，同時獲得使用專用的點到點連接所帶來的安全。 VPN可以提供設(shè)備認證、數(shù)據(jù)包完整性檢查、加密等功能，可以避免竊聽、偽裝、中間人等網(wǎng)絡(luò)攻擊。,模塊1 構(gòu)建VPN隧道,1.2 相關(guān)知識,1VPN概述 虛擬專用網(wǎng)（Virtual Private Network，VPN）的簡稱。利用公用的Internet網(wǎng)絡(luò)，為本單位建立具有專用網(wǎng)特性的虛擬網(wǎng)絡(luò)，實現(xiàn)本單位分布在地理位置不同的各個部門間利用Inernet傳遞需要

2、保密的商務(wù)信息。,模塊1構(gòu)建VPN隧道,VPN網(wǎng)絡(luò)基礎(chǔ),模塊1構(gòu)建VPN隧道,2VPN類型 （1）Access VPN,模塊1 構(gòu)建VPN隧道,（2）Intranet VPN,模塊1 構(gòu)建VPN隧道,（3）Extranet VPN,模塊1 構(gòu)建VPN隧道,3隧道協(xié)議 （1）二層隧道協(xié)議用于傳輸二層網(wǎng)絡(luò)協(xié)議，用于構(gòu)建Access VPN及Extranet VPN。 二層隧道協(xié)議主要有：PPTP（Point to Point Tunneling Protocol，點對點隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Proto

3、col，二層隧道協(xié)議）。,模塊1 構(gòu)建VPN隧道,（2）三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議，用于構(gòu)建Intranet VPN和Extranet VPN。三層隧道協(xié)議主要有GRE（Genneric Rounting Encapsulation，通用路由封裝）和IPSec等。,模塊1 構(gòu)建VPN隧道,4VPN設(shè)備配置 （1）項目描述 假設(shè)北京的某公司在上海設(shè)立了新的分公司，分公司要遠程訪問總公司的各種網(wǎng)絡(luò)資源，如信息管理系統(tǒng)、FTP服務(wù)器等。在Internet上傳輸數(shù)據(jù)本身存在安全隱患，該公司希望采用VPN技術(shù)實現(xiàn)數(shù)據(jù)的安全傳輸。,模塊1 構(gòu)建VPN隧道,模塊2 構(gòu)建GRE隧道,2.1 問題提出 通

4、過公共網(wǎng)絡(luò)將總公司與分公司連接起來要實現(xiàn)全網(wǎng)絡(luò)路由互通，可以通過建立GRE隧道實現(xiàn)網(wǎng)絡(luò)路由信息交換。,模塊2 構(gòu)建GRE隧道,2.2 相關(guān)知識,1GRE工作原理 通用路由協(xié)議封裝（Generic Routing Encapsulation，GRE）是由Cisco和Net-smiths等公司于1994年提交給IETF（互聯(lián)網(wǎng)的工程任務(wù)組）的，標號為RFC1701和RFC1702，用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議。,模塊2 構(gòu)建GRE隧道,路由器收到一個需要封裝和路由的原始數(shù)據(jù)報文（Payload），這個報文首先被GRE封裝成GRE報文，然后又被封裝在IP協(xié)議中，由IP層負責此報文轉(zhuǎn)發(fā)。 原始報文的

5、協(xié)議被稱為乘客協(xié)議，GRE被稱為封裝協(xié)議，而負責轉(zhuǎn)發(fā)的IP協(xié)議被稱為傳輸協(xié)議。,模塊2 構(gòu)建GRE隧道,GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、OSPF等）。,模塊2 構(gòu)建GRE隧道,GRE優(yōu)點如下： （1）多協(xié)議的本地網(wǎng)絡(luò)可以通過單一協(xié)議的骨干網(wǎng)實現(xiàn)傳輸； （2）將一些不能連續(xù)的子網(wǎng)連接起來，用于組建VPN； （3）擴大網(wǎng)絡(luò)的工作范圍，例如，RIP最多16跳，GRE連接隧道計1跳。,模塊2 構(gòu)建GRE隧道,2GRE配置命令 （1）進入Tunnel端口配置模式。 Route(config)#

6、interface tunnel tunnel-number 其中： tunnel-number為Tunnel端口標號。,模塊2 構(gòu)建GRE隧道,（2）設(shè)置Tunnel端口源地址。 Route(config-if)#tunnel source ip-address | interface-name interface-number 一個Tunnel端口需要明確配置隧道的源地址和目的地址，為了保證隧道端口的穩(wěn)定性，一般將Loopback地址作為隧道的源地址和目的地址。,模塊2 構(gòu)建GRE隧道,（3）設(shè)置Tunnel端口目的地址。 Route(config-if)#tunnel destinati

7、on ip-address 此處設(shè)置的Tunnel端口目的地址是Tunnel端口用來進行實際通信的目的地址，也是Tunnel 位于遠程對端的端點。,模塊2 構(gòu)建GRE隧道,（4）查看Tunnel端口配置情況。 Route#show interfaces tunnel tunnel-number,模塊2 構(gòu)建GRE隧道,3GRE配置實例 如下圖所示網(wǎng)絡(luò)中，路由器R1與R2之間建立Tunnel，路由器R1背后的子網(wǎng)202.126.101.0/24與路由器R2背后的子網(wǎng)67.151.69.0/24通過R1與R2之間的Tunnel進行通信。這種通信通過Tunnel進行，對于R1與R2之間的外部網(wǎng)絡(luò)是透

8、明的和不可見的，即是一種虛擬專用網(wǎng)（VPN）的實現(xiàn)。下面將給出路由器R1與R2的有關(guān)Tunnel的相關(guān)配置。,模塊2 構(gòu)建GRE隧道,模塊2 構(gòu)建GRE隧道,（1）路由器R1的相關(guān)配置。 R1(config)#interface Tunnel0 R1(config-if)# ip address 21.21.21.3 255.255.255.0 R1(config-if)#tunnel source 179.208.12.221 R1(config-if)#tunnel destination 179.208.12.55 R1(config)#interface FastEthernet0/0

9、 R1(config-if)#ip address 179.208.12.221 255.255.255.0 R1(config-if)#exit R1(config)#interface FastEthernet0/1 R1(config-if)#ip address 202.106.101.2 255.255.255.0,,模塊2 構(gòu)建GRE隧道,,（2）路由器 R2 的相關(guān)配置。 R2(config)#interface Tunnel0 R2(config-if)# ip address 21.21.21.5 255.255.255.0 R2(config-if)#tunnel sour

10、ce 179.208.12.55 R2(config-if)#tunnel destination 179.208.12.221 R2(config)#interface FastEthernet0/0 R2(config-if)#ip address 179.208.12.55 255.255.255.0 R2(config)#interface FastEthernet0/1 R2(config-if)#ip address 67.151.69.202 255.255.25.0,模塊3 構(gòu)建IPSec隧道,知識目標、技能點,,,了解IPSec隧道協(xié)議意義,1,,,2,掌握IPSec隧道協(xié)議

11、工作原理,,,3,掌握IPSec隧道協(xié)議配置技能,模塊3 構(gòu)建IPSec隧道,3.1 問題提出（教師講述） 某公司網(wǎng)絡(luò)由北京總公司及上海分公司構(gòu)成。根據(jù)公司業(yè)務(wù)需要，總公司與分公司間建立VPN網(wǎng)絡(luò)傳輸公司專用數(shù)據(jù)，VPN網(wǎng)絡(luò)采用IPSec技術(shù)實現(xiàn)。,模塊3 構(gòu)建IPSec隧道,3.2 相關(guān)知識（教師講述與交流）,1IPSec概述 IPSec是一套安全體系架構(gòu)，在IPSec實體之間提供數(shù)據(jù)保密性、完整性和數(shù)據(jù)驗證服務(wù)，為主機之間、子網(wǎng)之間、安全網(wǎng)關(guān)之間的一條和多條數(shù)據(jù)流提供保護。 （1）ISAKMP/IKE：這些標準用于建立一個安全的管理連接，提供加密的密鑰及驗證信息； （2）AH及ESP：這些

12、標準用于建立一個安全的數(shù)據(jù)連接，提供數(shù)據(jù)加密性、完整性及驗證性服務(wù)。,模塊3 構(gòu)建IPSec隧道,2IPSec連接過程 IPSec連接建立過程如下： （1）IPSec的啟動 當一個對等體向另一個對等體發(fā)送需要保護的數(shù)據(jù)流量時，則IPSec建立過程自動啟動，也可以通過手動啟動。 （2）建立管理連接（ISAKMP/IKE階段1） 這個階段主要完成如下任務(wù)：對等體之間協(xié)商采用哪些安全策略建立一個安全的管理連接，對等體使用DH交換技術(shù)產(chǎn)生一個共享密鑰信息，對等體間進行設(shè)備驗證。,模塊3 構(gòu)建IPSec隧道,（3）建立數(shù)據(jù)連接（ISAKMP/IKE階段2） 這個階段在管理連接保護下主要完成如下任務(wù)：對等

13、體之間協(xié)商采用哪些安全策略建立一個安全的數(shù)據(jù)連接，周期性地對數(shù)據(jù)連接更新密鑰信息。 （4）傳輸數(shù)據(jù) 當數(shù)據(jù)連接建立后，對等體間就可以通過這條數(shù)據(jù)連接通道安全地傳輸用戶數(shù)據(jù)了。,模塊3 構(gòu)建IPSec隧道,3IPSec配置 IPSec 安全聯(lián)盟即可以由手工方式建立也可以由 IKE 協(xié)商自動方式建立。這里介紹自動方式。 （1）創(chuàng)建加密訪問列表 加密訪問列表用于定義哪些數(shù)據(jù)流要被加密保護，哪些不需要被加密保護。 route(config)# access-list access-list-number deny | permitprotocol source source-wildcard dest

14、ination destination-wildcard,模塊3 構(gòu)建IPSec隧道,其中： access-list-number為訪問列表號； Protocol為協(xié)議； source為源地址； source-wildcard為源地址通配符； destination為目的地址； destination-wildcard為目的地址通配符。,模塊3 構(gòu)建IPSec隧道,（2）定義變換集合 變換集合是特定安全協(xié)議和算法的組合。在 IPSec 安全聯(lián)盟協(xié)商期間，對等體一致使用一個特定的變換集合來保護特定的數(shù)據(jù)流。 route(config)# crypto ipsec transform-set tr

15、ansform-set-name transform1 transform2 transform3 其中： transform-set-name為變換集名稱； transform為系統(tǒng)所支持的算法，算法可以進行一定規(guī)則的組合。,模塊3 構(gòu)建IPSec隧道,（3）創(chuàng)建加密映射條目 使用IKE來建立安全聯(lián)盟的加密映射條目的命令如下： 進入加密映射配置模式： route(config)# crypto map map-name seq-num ipsec-isakmp 其中： map-name為加密映射條目名稱； seq-num為加密映射條目序號。,模塊3 構(gòu)建IPSec隧道,為加密映射列表指定一個

16、訪問列表： route(config-crypto-map)# match address access-list-id 其中： access-list-id為指定的訪問列表名稱。 指定遠端 IPSec 對等體： Route(config-crypto-map)# set peer hostname | ip-address 其中： hostname為指定遠方對等體主機名稱； ip-address為指定遠方對等體主機IP地址。,模塊3 構(gòu)建IPSec隧道,指定使用哪個變換集合： route(config-crypto-map)# set transform-set transform-set-

17、name1 transform-set-name2transform-set-name6 其中： transform-set-name為轉(zhuǎn)換集名稱。,模塊3 構(gòu)建IPSec隧道,（4）應(yīng)用加密映射條目 Route(config-if)# crypto map map-name 其中： map-name為加密映射條目名稱 對于 IPSec 通信將要途經(jīng)的每個端口，都需要為它配置一個加密映射集合。 （6）監(jiān)視和維護 IPSec 查看變換集合配置 Route# show crypto ipsec transform-set,模塊3 構(gòu)建IPSec隧道,查看全部或指定的加密映射配置 Route# sh

18、ow crypto map map-name 查看 IPSec安全聯(lián)盟信息 Route# show crypto ipsec sa,,模塊3 構(gòu)建IPSec隧道,5配置實例 某公司由總公司與分公司構(gòu)成，總公司網(wǎng)絡(luò)地址為202.126.101.0/24，分公司網(wǎng)絡(luò)地址為67.151.69.0/24?？偣九c分公司通過Internet建立IPSec連接，保護兩個子網(wǎng)之間的 IP 數(shù)據(jù)通信，R1路由器作為子網(wǎng)202.126.101.0的網(wǎng)關(guān)，R2路由器作為子網(wǎng)67.151.69.0的網(wǎng)關(guān)，網(wǎng)絡(luò)拓撲如下圖所示,模塊3 構(gòu)建IPSec隧道,要求實現(xiàn)以下要求： （1）階段1協(xié)商采用 3des 算法加密；

19、（2）采用通道模式； （3）保護方式為 ESP-DES-MD5（提供加密和驗證服務(wù)）。,模塊3 構(gòu)建IPSec隧道,模塊3 構(gòu)建IPSec隧道,配置路由器R1。 （1）配置 IKE 安全聯(lián)盟 第1步：開放 IKE R1(config)#crypto isakmp enable 第2步：配置IKE策略 R1(config)#crypto isakmp policy 1 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encrytiong 3des R1(config-isakmp)#exit,模塊3 構(gòu)建IPSec隧道,第

20、3步：配置IKE預(yù)共享密鑰 R1(config)#crypto isakmp key preword address 12.12.12.2 （2）配置IPSec安全聯(lián)盟 第1步：配置變換集合 R1(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac,模塊3 構(gòu)建IPSec隧道,第2步：定義一個加密映射集合。 R1(config)#crypto map mymap 5 ipsec-isakmp R1(config-crypto-map)# set peer 12.12.12.2 R1(config-crypto-map)#s

21、et transform-set myset R1(config-crypto-map)#match address 101 R1(config-crypto-map)#exit,模塊3 構(gòu)建IPSec隧道,（3）配置端口IP及應(yīng)用映射條目。 R1(config)#interface FastEthernet 0/0 R1(config-if)#ip address 12.12.12.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#crypto map mymap R1(config-if)#exit R1(config)#int

22、erface FastEthernet 0/1 R1(config-if)#ip address 202.126.101.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit,模塊3 構(gòu)建IPSec隧道,（4）定義加密訪問列表。 R1(config)#access-list 101 permit ip 202.126.101.0 0.0.0.255 67.151.69.0 0.0.0.255 （5）設(shè)置默認路由。 R1(config)#ip route 0.0.0.0 0.0.0.0 Fa 0/0 R1(config)#end 路由器R2的配置相似，在此略。,