Cisco CCIE R-S V5.0 课程：第四学期-连接网络-第7章 保护站点到站点连接

第七章：保护站点到站点连接

SecuringSite-to-SiteConnectivity第四学期：连接网络ConnectingNetworks学习目标描述VPN技术的优点。描述站点到站点和远程访问VPN。描述GRE隧道的用途和优点。配置站点到站点GRE隧道。描述IPsec的特点。阐述如何使用IPsec协议框架部署IPsec。阐述AnyConnect客户端和无客户端SSL这两种远程访问VPN技术如何部署，以满足企业的需求。比较IPsec和SSL远程访问VPN。第七章：保护站点到站点连接

7.1VPN7.2站点到站点GRE隧道7.3介绍IPsec7.4远程访问7.5总结7.1虚拟专用网络

Virtual

Private

NetworkVPN基础

介绍VPNVPN是用来建立端到端的专有网络，中间要跨越第三方网络，比如Internet或其它外网(extranets)。要部署VPN，VPN网关是必须的设备，它可以是路由器、防火墙或者CiscoASA。VPN基础

VPN的优点节省投资

可扩展性

企业可以使用互联网架构下的ISP和设备服务，很容易的添加新的用户。兼容宽带技术

允许移动工作者或者远程办公者利用高速的宽带连接的优势，比如DSL和有线电视（Cable）。安全

VPN类型

站点到站点VPN（Site-to-Site）VPN网络有两种类型:站点到站点（Site-to-site）远程访问（Remoteaccess）站点到站点：终端主机通过VPN网关发送和接收正常的TCP/IP数据流。VPN网关负责对指定站点的所有外出流量进行封装和加密。随后VPN网关通过跨越Internet的VPN隧道把数据发送到目标站点的对等VPN网关。VPN类型

远程访问VPN用来连接必须访问公司网络的单独主机，保证安全的跨越Internet。移动终端设备上需要安装一个VPN客户端软件，比如思科AnyConnect安全移动客户端(CiscoAnyConnectSecureMobilityClient)。当主机尝试发送任何数据时，VPN客户端软件负责封装和加密数据流。7.2站点到站点GRE隧道

Site-to-SiteGRETunnels通用路由封装基础(GenericRoutingEncapsulation)

介绍GRE思科开发的基础的、无安全机制的站点到站点VPN隧道协议。可以封装种类繁多协议的数据包进入到IP隧道内。建立到远程节点路由的虚拟点到点链路，中间跨越IP互联网络。通用路由封装基础

介绍GRE隧道接口支持以下协议的头：被封装的协议(或者叫乘客协议),比如IPv4、IPv6、AppleTalk、DECnet或

IPX封装协议(或叫运载),比如GRE、IPsec传输交付协议,常见如IP协议通用路由封装基础

GRE特性GRE具有如下特性：GRE被定义为IETF标准。IP用协议号47来标识GRE数据包。GRE支持任何OSI第3层协议的封装。GRE协议本身是无状态的，它默认情况下不包括任何流量控制机制。GRE没有任何有力的安全机制来保护其有效载荷GRE报头和隧道IP报头一起，为隧道数据包添加了至少24个字节的额外开销。配置GRE隧道

GRE隧道配置209.165.201.1198.133.219.87192.168.2.1192.168.2.2配置GRE隧道

GRE隧道检验7.3介绍IPsec

IntroducingIPsec互联网协议安全

IPsecVPNIPsec特性:IPsec是一个算法独立的开放标准框架。IPsec提供了数据的机密性、完整性以及源点的验证。IPsec作用在网络层，保护和验证IP数据包。互联网协议安全

IPsec安全服务CIA:

机密性-Confidentiality

(加密)

数据完整性-DataIntegrity

–检验在传输中数据是不是被改变，如果检测到篡改，则数据包被丢弃。验证-Authentication

–检验发送数据源的身份，确保连接是由希望的通信伙伴发起的。

抗重放保护–检测和拒绝重放的数据包，并有助于防止欺骗（跟踪数据包序列号）。IPsec

框架

加密实现机密性IPsec框架

加密算法对称加密非对称加密IPsec框架

对称加密加密和解密使用相同的秘钥。两个网络设备都要知道秘钥来解码信息。每个设备在通过网络向其它设备发送前要加密信息。通常用于对消息的内容进行加密。（很少使用非对称加密来加密用户信息）代表算法：

DES(不再被认为是安全的)3DES(不再被认为是安全的)AES(IPsec加密时推荐使用256比特）IPsec框架

非对称加密加密和解密使用不同的秘钥。知道一个秘钥不能破解第二个秘钥也不能解码信息。一个秘钥加密的信息，只有第二个秘钥可以解密。公开秘钥加密是非对称加密的一种变体，它使用私有秘钥(privatekey)和公开秘钥(publickey)的一对组合。典型的应用是数字签名和秘钥管理。代表算法：

RSAIPsec框架

DH(Diffie-Hellman)秘钥交换Diffie-Hellman(DH)不是一个加密机制，一般不用来加密数据。DH主要是用来安全的交换加密数据的秘钥。DH算法允许双方创建用于加密和散列算法的共享密钥。DH是IPsec标准的一部分。

加密算法，如DES、3DES、AES等，以及MD5和SHA-1散列算法，需要一个对称的、共享的私有密钥来执行加密和解密。IPsec框架

DH秘钥交换DH演示AliceBobCalcCalc1556mod23

=8MeanwhileBobchoosesasecretintegerb=15.515mod

23=19BobsendsAlice(gamodp)or515mod23=19.Alicecomputes(xamodp)or196mod23=2.196mod

23

=2815mod

23

=2Bobcomputes(xamodp)or815

mod23=2.5,

235,

23SecretSecretSharedShared6IPsec框架

使用哈希（HASH）算法保证完整性基于散列的消息认证码（HMAC）MD5

-使用128比特共享私有秘钥。SHA

-SHA-1使用160比特共享私有秘钥。注意:CiscoIOS同时也支持,256比特、384比特和512比特SHA部署。IPsec框架

使用哈希（HASH）算法保证完整性（继续）IPsec框架

IPsec验证有两个对等身份验证的方法：PSK

-在使用安全通道前，双方需要共享一个私有秘钥。

RSAsignatures

-交换数字证书来验证对方。IPsec框架

IPsec协议框架认证头(AH)

-AuthenticationHeader在不需要或不允许加密的情况下可以适合的协议。提供两个系统间的IP数据包头的验证和完整性。不提供数据包的数据机密性（加密）。封装安全载荷(ESP)

-EncapsulatingSecurityPayload通过加密IP数据包提供机密性和验证的安全协议。验证内部IP数据包和ESP头。在ESP中加密和验证都是可选的，但是最少要选一个。IPsec框架

IPsec协议框架（继续）IPsec框架

IPsec协议框架（继续）7.4远程访问

RemoteAccess远程访问VPN解决方案

远程访问VPN类型部署远程访问VPN有两种主要的方法：安全套接层(SSL)-SecureSocketsLayerIP安全性

(IPsec)二者都能提供对于任何网络应用和资源的访问。远程访问VPN解决方案

CiscoSSLVPN两种主要的部署模式:思科安全移动无客户端SSLVPN(CiscoSecureMobilityClientlessSSLVPN)-需要互联网浏览器思科AnyConnect安全移动SSL客户端(CiscoAnyConnectSecureMobilityClientwithSSL)

-需要思科AnyConnect客户端远程访问VPN解决方案

CiscoSSLVPN解决方案思科AnyConnect安全移动SSL客户端基于客户端的SSLVPN提供像局域网用户一样的验证，具有对于企业资源的完整访问。远程设备需要安装客户端应用，比如CiscoVPN客户端

或者较新的AnyConnect

客户端。思科安全移动无客户端SSLVPN能提供对于企业资源的访问，甚至包括不是企业管理的远程设备。CiscoASA用来作为到网络资源的代理设备。为远程设备提供了Web门户界面，使用端口转发功能浏览网络。远程访问VPN解决方案

CiscoSSLVPN解决方案思科AnyConnect安全移动SSL客户端思科安全移动无客户端SSLVPNIPsec远程访问VPN

IPsec远程访问CiscoEasyVPN解决方案由三部分组成:CiscoEasyVPN服务器

-CiscoIOS路由器

或

CiscoASA防火墙作为站点到站点或远程访问VPN中的头端设备（总部）。CiscoEasyVPN远端

-CiscoIOS路由器

或CiscoASA防火墙作为远程VPN客户（分支）。CiscoVPN客户端–在PC上安装的一个应用，用来访问CiscoVPN服务器。对于站点到站点和远程访问IPsecVPN来说，CiscoEasyVPN解决方案向二者都提供了使用的灵活性、可扩展性以及简易性。IPsec远程访问VPN

IPsec远程访问（继续）CiscoEasyVPN协商隧道参数通过设置的参数建立隧道通过用户名、组名和密码验证用户管理加密和解密的安全秘钥通过隧道验证、加密和机密数据IPsec远程访问VPN

CiscoEasyVPN服务器和远端CiscoEasyVPN远端CiscoEasyVPN服务器IPsec远程访问VPN

CiscoEasyVPN客户端IPsec远程访问VPN

比较IPsec和SSLSSLIPsec应用Web能够实现的应用、文件共享、电子邮件所有基于IP的应用加密级别中等到强壮秘钥长度从40位到256位强壮秘钥长度从56位到256位验证级别中等单向或双向验证强壮使用共享秘钥或数字证书的双向验证连接复杂度低只需要一个Web浏览器中等对于不懂技术的用户有难度连接选项任何设备都可以连接只有指定设备并且有相关配置才能连接总结VPN用来建立安全的端到端私有网络，透过像Internet的第三方网络。