项目六-虚拟专业网络（VPN）

项目六虚拟专业网络（VPN）一、VPN概述VPN的优势：节省成本安全可扩展性兼容性VPN简介第3层IPsecVPNSSLVPNSSLVPN,指的是使用者利用浏览器内建的SecureSocketLayer封包处理功能,用浏览器通过SSLVPN网关连接到公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层SSL对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSLVPN解决方案可保证企业进行安全的全局访问。GREVPNGREVPN（GenericRoutingEncapsulation）即通用路由封装协议，是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。MPLSVPNMPLS-VPN是指采用MPLS技术在运营商宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起，为用户提供高质量的服务。远程访问VPN站点间VPN两种VPN类型远程访问VPN的组件站点间VPN的组件二、IPsec简介IPsec实施示例IPsec框架IPsec技术。利用加密实现保密性：保密性加密算法：保密性（续）散列算法散列算法的安全性完整性对等体认证方法PSK认证RSA认证（续）Diffie-Hellman密钥交换安全的密钥交换三、IPsec协议IPsec协议概述AH协议认证报头路由器创建散列并传输至对等体对等体路由器比较重新计算的散列与收到的散列认证报头（续）ESPESP加密和认证在两种模式下应用ESP和AH传输和隧道模式ESP隧道模式传输和隧道模式（续）三、互联网密钥交换IKE协议第1阶段和第2阶段密钥协商第2阶段：协商SA四、利用CLI实施站点间IPsecVPNIPsecVPN协商：步骤2-R1和R2协商IKE第1阶段会话。IPsecVPN协商：步骤1-主机A将需要关注的流量发送到主机B。IPsecVPN协商：步骤3-R1和R2协商IKE第2阶段会话。IPsec协商IPsecVPN协商：步骤4-通过IPsec隧道交换信息。IPsecVPN协商：步骤5-IPsec隧道终止。IPsec协商（续）站点间VPN拓扑示例XYZCORP

安全策略配置任务使用AES256和SHA加密流量1.为IKE第1阶段配置ISAKMP策略使用PSK进行认证2.为IKE第2阶段配置IPsec策略与组24交换密钥3.配置IPsec策略的加密映射ISAKMP隧道生命周期为1小时4.应用IPsec策略IPsec隧道使用ESP，其生命周期为15分钟5.验证IPsec隧道是否正常运行IPsecVPN配置任务IPsec流量的ACL语法现有ACL配置允许IPsec协商的流量现有ACL配置（续）默认ISAKMP策略配置新ISAKMP策略的语法XYZCORPISAKMP策略配置cryptoisakmpkey命令配置预共享秘钥预共享密钥配置配置预共享密钥（续）IKE第1阶段隧道尚不存在定义需要关注的流量配置ACL以定义需要关注的流量定义需要关注的流量（续）cryptoipsectransform-set命令配置IPsec转换集cryptoipsectransform-set命令配置IPsec转换集（续）配置加密映射的语法加密映射配置命令配置加密映射的语法（续）加密映射配置：XYZCORP加密映射配置加密映射配置：XYZCORP加密映射配置（续）应用加密映射使用扩展Ping发送需要关注的流量发送需