局域網(wǎng)接入安全策略

《局域網(wǎng)接入安全策略》由會(huì)員分享，可在線閱讀，更多相關(guān)《局域網(wǎng)接入安全策略（45頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、26 局域網(wǎng)接入安全策略,模塊1 構(gòu)建VPN隧道,1.1 問題提出 VPN能夠利用Internet網(wǎng)絡(luò)，實(shí)現(xiàn)安全、可靠的網(wǎng)上商務(wù)活動(dòng)。它可以使公司獲得使用公共通信基礎(chǔ)結(jié)構(gòu)所帶來的便利和經(jīng)濟(jì)效益，同時(shí)獲得使用專用的點(diǎn)到點(diǎn)連接所帶來的安全。 VPN可以提供設(shè)備認(rèn)證、數(shù)據(jù)包完整性檢查、加密等功能，可以避免竊聽、偽裝、中間人等網(wǎng)絡(luò)攻擊。,模塊1 構(gòu)建VPN隧道,1.2 相關(guān)知識(shí),1VPN概述 虛擬專用網(wǎng)（Virtual Private Network，VPN）的簡(jiǎn)稱。利用公用的Internet網(wǎng)絡(luò)，為本單位建立具有專用網(wǎng)特性的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)本單位分布在地理位置不同的各個(gè)部門間利用Inernet傳遞需要

2、保密的商務(wù)信息。,模塊1構(gòu)建VPN隧道,VPN網(wǎng)絡(luò)基礎(chǔ),模塊1構(gòu)建VPN隧道,2VPN類型 （1）Access VPN,模塊1 構(gòu)建VPN隧道,（2）Intranet VPN,模塊1 構(gòu)建VPN隧道,（3）Extranet VPN,模塊1 構(gòu)建VPN隧道,3隧道協(xié)議 （1）二層隧道協(xié)議用于傳輸二層網(wǎng)絡(luò)協(xié)議，用于構(gòu)建Access VPN及Extranet VPN。 二層隧道協(xié)議主要有：PPTP（Point to Point Tunneling Protocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Proto

3、col，二層隧道協(xié)議）。,模塊1 構(gòu)建VPN隧道,（2）三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議，用于構(gòu)建Intranet VPN和Extranet VPN。三層隧道協(xié)議主要有GRE（Genneric Rounting Encapsulation，通用路由封裝）和IPSec等。,模塊1 構(gòu)建VPN隧道,4VPN設(shè)備配置 （1）項(xiàng)目描述 假設(shè)北京的某公司在上海設(shè)立了新的分公司，分公司要遠(yuǎn)程訪問總公司的各種網(wǎng)絡(luò)資源，如信息管理系統(tǒng)、FTP服務(wù)器等。在Internet上傳輸數(shù)據(jù)本身存在安全隱患，該公司希望采用VPN技術(shù)實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。,模塊1 構(gòu)建VPN隧道,模塊2 構(gòu)建GRE隧道,2.1 問題提出 通

4、過公共網(wǎng)絡(luò)將總公司與分公司連接起來要實(shí)現(xiàn)全網(wǎng)絡(luò)路由互通，可以通過建立GRE隧道實(shí)現(xiàn)網(wǎng)絡(luò)路由信息交換。,模塊2 構(gòu)建GRE隧道,2.2 相關(guān)知識(shí),1GRE工作原理 通用路由協(xié)議封裝（Generic Routing Encapsulation，GRE）是由Cisco和Net-smiths等公司于1994年提交給IETF（互聯(lián)網(wǎng)的工程任務(wù)組）的，標(biāo)號(hào)為RFC1701和RFC1702，用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議。,模塊2 構(gòu)建GRE隧道,路由器收到一個(gè)需要封裝和路由的原始數(shù)據(jù)報(bào)文（Payload），這個(gè)報(bào)文首先被GRE封裝成GRE報(bào)文，然后又被封裝在IP協(xié)議中，由IP層負(fù)責(zé)此報(bào)文轉(zhuǎn)發(fā)。 原始報(bào)文的

5、協(xié)議被稱為乘客協(xié)議，GRE被稱為封裝協(xié)議，而負(fù)責(zé)轉(zhuǎn)發(fā)的IP協(xié)議被稱為傳輸協(xié)議。,模塊2 構(gòu)建GRE隧道,GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、OSPF等）。,模塊2 構(gòu)建GRE隧道,GRE優(yōu)點(diǎn)如下： （1）多協(xié)議的本地網(wǎng)絡(luò)可以通過單一協(xié)議的骨干網(wǎng)實(shí)現(xiàn)傳輸； （2）將一些不能連續(xù)的子網(wǎng)連接起來，用于組建VPN； （3）擴(kuò)大網(wǎng)絡(luò)的工作范圍，例如，RIP最多16跳，GRE連接隧道計(jì)1跳。,模塊2 構(gòu)建GRE隧道,2GRE配置命令 （1）進(jìn)入Tunnel端口配置模式。 Route(config)#

6、interface tunnel tunnel-number 其中： tunnel-number為Tunnel端口標(biāo)號(hào)。,模塊2 構(gòu)建GRE隧道,（2）設(shè)置Tunnel端口源地址。 Route(config-if)#tunnel source ip-address | interface-name interface-number 一個(gè)Tunnel端口需要明確配置隧道的源地址和目的地址，為了保證隧道端口的穩(wěn)定性，一般將Loopback地址作為隧道的源地址和目的地址。,模塊2 構(gòu)建GRE隧道,（3）設(shè)置Tunnel端口目的地址。 Route(config-if)#tunnel destinati

7、on ip-address 此處設(shè)置的Tunnel端口目的地址是Tunnel端口用來進(jìn)行實(shí)際通信的目的地址，也是Tunnel 位于遠(yuǎn)程對(duì)端的端點(diǎn)。,模塊2 構(gòu)建GRE隧道,（4）查看Tunnel端口配置情況。 Route#show interfaces tunnel tunnel-number,模塊2 構(gòu)建GRE隧道,3GRE配置實(shí)例 如下圖所示網(wǎng)絡(luò)中，路由器R1與R2之間建立Tunnel，路由器R1背后的子網(wǎng)202.126.101.0/24與路由器R2背后的子網(wǎng)67.151.69.0/24通過R1與R2之間的Tunnel進(jìn)行通信。這種通信通過Tunnel進(jìn)行，對(duì)于R1與R2之間的外部網(wǎng)絡(luò)是透

8、明的和不可見的，即是一種虛擬專用網(wǎng)（VPN）的實(shí)現(xiàn)。下面將給出路由器R1與R2的有關(guān)Tunnel的相關(guān)配置。,模塊2 構(gòu)建GRE隧道,模塊2 構(gòu)建GRE隧道,（1）路由器R1的相關(guān)配置。 R1(config)#interface Tunnel0 R1(config-if)# ip address 21.21.21.3 255.255.255.0 R1(config-if)#tunnel source 179.208.12.221 R1(config-if)#tunnel destination 179.208.12.55 R1(config)#interface FastEthernet0/0

9、 R1(config-if)#ip address 179.208.12.221 255.255.255.0 R1(config-if)#exit R1(config)#interface FastEthernet0/1 R1(config-if)#ip address 202.106.101.2 255.255.255.0,,模塊2 構(gòu)建GRE隧道,,（2）路由器 R2 的相關(guān)配置。 R2(config)#interface Tunnel0 R2(config-if)# ip address 21.21.21.5 255.255.255.0 R2(config-if)#tunnel sour

10、ce 179.208.12.55 R2(config-if)#tunnel destination 179.208.12.221 R2(config)#interface FastEthernet0/0 R2(config-if)#ip address 179.208.12.55 255.255.255.0 R2(config)#interface FastEthernet0/1 R2(config-if)#ip address 67.151.69.202 255.255.25.0,模塊3 構(gòu)建IPSec隧道,知識(shí)目標(biāo)、技能點(diǎn),,,了解IPSec隧道協(xié)議意義,1,,,2,掌握IPSec隧道協(xié)議

11、工作原理,,,3,掌握IPSec隧道協(xié)議配置技能,模塊3 構(gòu)建IPSec隧道,3.1 問題提出（教師講述） 某公司網(wǎng)絡(luò)由北京總公司及上海分公司構(gòu)成。根據(jù)公司業(yè)務(wù)需要，總公司與分公司間建立VPN網(wǎng)絡(luò)傳輸公司專用數(shù)據(jù)，VPN網(wǎng)絡(luò)采用IPSec技術(shù)實(shí)現(xiàn)。,模塊3 構(gòu)建IPSec隧道,3.2 相關(guān)知識(shí)（教師講述與交流）,1IPSec概述 IPSec是一套安全體系架構(gòu)，在IPSec實(shí)體之間提供數(shù)據(jù)保密性、完整性和數(shù)據(jù)驗(yàn)證服務(wù)，為主機(jī)之間、子網(wǎng)之間、安全網(wǎng)關(guān)之間的一條和多條數(shù)據(jù)流提供保護(hù)。 （1）ISAKMP/IKE：這些標(biāo)準(zhǔn)用于建立一個(gè)安全的管理連接，提供加密的密鑰及驗(yàn)證信息； （2）AH及ESP：這些

12、標(biāo)準(zhǔn)用于建立一個(gè)安全的數(shù)據(jù)連接，提供數(shù)據(jù)加密性、完整性及驗(yàn)證性服務(wù)。,模塊3 構(gòu)建IPSec隧道,2IPSec連接過程 IPSec連接建立過程如下： （1）IPSec的啟動(dòng) 當(dāng)一個(gè)對(duì)等體向另一個(gè)對(duì)等體發(fā)送需要保護(hù)的數(shù)據(jù)流量時(shí)，則IPSec建立過程自動(dòng)啟動(dòng)，也可以通過手動(dòng)啟動(dòng)。 （2）建立管理連接（ISAKMP/IKE階段1） 這個(gè)階段主要完成如下任務(wù)：對(duì)等體之間協(xié)商采用哪些安全策略建立一個(gè)安全的管理連接，對(duì)等體使用DH交換技術(shù)產(chǎn)生一個(gè)共享密鑰信息，對(duì)等體間進(jìn)行設(shè)備驗(yàn)證。,模塊3 構(gòu)建IPSec隧道,（3）建立數(shù)據(jù)連接（ISAKMP/IKE階段2） 這個(gè)階段在管理連接保護(hù)下主要完成如下任務(wù)：對(duì)等

13、體之間協(xié)商采用哪些安全策略建立一個(gè)安全的數(shù)據(jù)連接，周期性地對(duì)數(shù)據(jù)連接更新密鑰信息。 （4）傳輸數(shù)據(jù) 當(dāng)數(shù)據(jù)連接建立后，對(duì)等體間就可以通過這條數(shù)據(jù)連接通道安全地傳輸用戶數(shù)據(jù)了。,模塊3 構(gòu)建IPSec隧道,3IPSec配置 IPSec 安全聯(lián)盟即可以由手工方式建立也可以由 IKE 協(xié)商自動(dòng)方式建立。這里介紹自動(dòng)方式。 （1）創(chuàng)建加密訪問列表 加密訪問列表用于定義哪些數(shù)據(jù)流要被加密保護(hù)，哪些不需要被加密保護(hù)。 route(config)# access-list access-list-number deny | permitprotocol source source-wildcard dest

14、ination destination-wildcard,模塊3 構(gòu)建IPSec隧道,其中： access-list-number為訪問列表號(hào)； Protocol為協(xié)議； source為源地址； source-wildcard為源地址通配符； destination為目的地址； destination-wildcard為目的地址通配符。,模塊3 構(gòu)建IPSec隧道,（2）定義變換集合 變換集合是特定安全協(xié)議和算法的組合。在 IPSec 安全聯(lián)盟協(xié)商期間，對(duì)等體一致使用一個(gè)特定的變換集合來保護(hù)特定的數(shù)據(jù)流。 route(config)# crypto ipsec transform-set tr

15、ansform-set-name transform1 transform2 transform3 其中： transform-set-name為變換集名稱； transform為系統(tǒng)所支持的算法，算法可以進(jìn)行一定規(guī)則的組合。,模塊3 構(gòu)建IPSec隧道,（3）創(chuàng)建加密映射條目 使用IKE來建立安全聯(lián)盟的加密映射條目的命令如下： 進(jìn)入加密映射配置模式： route(config)# crypto map map-name seq-num ipsec-isakmp 其中： map-name為加密映射條目名稱； seq-num為加密映射條目序號(hào)。,模塊3 構(gòu)建IPSec隧道,為加密映射列表指定一個(gè)

16、訪問列表： route(config-crypto-map)# match address access-list-id 其中： access-list-id為指定的訪問列表名稱。 指定遠(yuǎn)端 IPSec 對(duì)等體： Route(config-crypto-map)# set peer hostname | ip-address 其中： hostname為指定遠(yuǎn)方對(duì)等體主機(jī)名稱； ip-address為指定遠(yuǎn)方對(duì)等體主機(jī)IP地址。,模塊3 構(gòu)建IPSec隧道,指定使用哪個(gè)變換集合： route(config-crypto-map)# set transform-set transform-set-

17、name1 transform-set-name2transform-set-name6 其中： transform-set-name為轉(zhuǎn)換集名稱。,模塊3 構(gòu)建IPSec隧道,（4）應(yīng)用加密映射條目 Route(config-if)# crypto map map-name 其中： map-name為加密映射條目名稱 對(duì)于 IPSec 通信將要途經(jīng)的每個(gè)端口，都需要為它配置一個(gè)加密映射集合。 （6）監(jiān)視和維護(hù) IPSec 查看變換集合配置 Route# show crypto ipsec transform-set,模塊3 構(gòu)建IPSec隧道,查看全部或指定的加密映射配置 Route# sh

18、ow crypto map map-name 查看 IPSec安全聯(lián)盟信息 Route# show crypto ipsec sa,,模塊3 構(gòu)建IPSec隧道,5配置實(shí)例 某公司由總公司與分公司構(gòu)成，總公司網(wǎng)絡(luò)地址為202.126.101.0/24，分公司網(wǎng)絡(luò)地址為67.151.69.0/24?？偣九c分公司通過Internet建立IPSec連接，保護(hù)兩個(gè)子網(wǎng)之間的 IP 數(shù)據(jù)通信，R1路由器作為子網(wǎng)202.126.101.0的網(wǎng)關(guān)，R2路由器作為子網(wǎng)67.151.69.0的網(wǎng)關(guān)，網(wǎng)絡(luò)拓?fù)淙缦聢D所示,模塊3 構(gòu)建IPSec隧道,要求實(shí)現(xiàn)以下要求： （1）階段1協(xié)商采用 3des 算法加密；

19、（2）采用通道模式； （3）保護(hù)方式為 ESP-DES-MD5（提供加密和驗(yàn)證服務(wù)）。,模塊3 構(gòu)建IPSec隧道,模塊3 構(gòu)建IPSec隧道,配置路由器R1。 （1）配置 IKE 安全聯(lián)盟 第1步：開放 IKE R1(config)#crypto isakmp enable 第2步：配置IKE策略 R1(config)#crypto isakmp policy 1 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encrytiong 3des R1(config-isakmp)#exit,模塊3 構(gòu)建IPSec隧道,第

20、3步：配置IKE預(yù)共享密鑰 R1(config)#crypto isakmp key preword address 12.12.12.2 （2）配置IPSec安全聯(lián)盟 第1步：配置變換集合 R1(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac,模塊3 構(gòu)建IPSec隧道,第2步：定義一個(gè)加密映射集合。 R1(config)#crypto map mymap 5 ipsec-isakmp R1(config-crypto-map)# set peer 12.12.12.2 R1(config-crypto-map)#s

21、et transform-set myset R1(config-crypto-map)#match address 101 R1(config-crypto-map)#exit,模塊3 構(gòu)建IPSec隧道,（3）配置端口IP及應(yīng)用映射條目。 R1(config)#interface FastEthernet 0/0 R1(config-if)#ip address 12.12.12.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#crypto map mymap R1(config-if)#exit R1(config)#int

22、erface FastEthernet 0/1 R1(config-if)#ip address 202.126.101.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit,模塊3 構(gòu)建IPSec隧道,（4）定義加密訪問列表。 R1(config)#access-list 101 permit ip 202.126.101.0 0.0.0.255 67.151.69.0 0.0.0.255 （5）設(shè)置默認(rèn)路由。 R1(config)#ip route 0.0.0.0 0.0.0.0 Fa 0/0 R1(config)#end 路由器R2的配置相似，在此略。,