《网络安全技术配置与应用》课件网络安全项目二任务六 Access IpsecVlan配置

项目二任务六：RemoteAccessIPSecVPN一、任务介绍二、RemoteAccessIPSecVPN基础三、EzVPN配置四、任务配置一、任务介绍

根据任务网络拓扑及企业网络需求，应用IPSecVPN实现任务要求，理解RemoteAccessIPSecVPN特点、结构，理解AAA、x-auth扩展认证、动态映射、反向路由在IPSec中的作用，掌握RemoteAccessIPSecVPN的配置过程，学会应用RemoteAccessIPSecVPN为企业构建远程传输网络。

二、RemoteAccessIPSecVPN基础AccessVPN：又称为拨号VPN（即VPDN），是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。二、RemoteAccessIPSecVPN基础IPSec如何实现AccessVPN？？建立隧道接入用户身份认证数据分流：VPN与非VPN数据Gre:静态路由Site-SiteIPSec:ACLRemoteIPSec:静态路由（为什么，RRI）二、RemoteAccessIPSecVPN基础隧道建立Site-to-siteIpsecVPNIKESA第一阶段（ISAKMPSA），建立隧道：验证方式、加密算法、验证算法、协商模式R1(config)#cryptoisakmpkeycisco1122addressIKESA第二阶段（IPsecSA），数据传输：封装方式、加密算法、传输方式二、RemoteAccessIPSecVPN基础隧道建立RemoteAccessIPSecVPN出现问题：密钥无法传输：接入用户无固定IP地址，VPN网关端无法指定对端IP地址，无法如site-to-stie方式建立隧道隧道无法建立：tunnel虚拟链路,两端地址一端随机回程路由无法预设：若能建立隧道，VPN网关如何路由信息给VPN接入用户?.?.?.?TCPDATAx.x.x.xAH/ESP二、RemoteAccessIPSecVPN基础隧道建立RemoteAccessIPSecVPN分析问题：R1(config)#cryptoisakmpkeycisco1122address因VPN网关无法预知VPN接入用户IP地址，无法传输欲共享密钥所以无法建立隧道隧道为虚拟链路，需指定两端IP地址，因VPN网关无法预知VPN接入用户IP地址（虚拟链路）VPN网关无法预知VPN接入用户IP地址（虚拟链路）,无法预先建立好回城路由总结：VPN网关了解密钥、虚拟链路IP地址二、RemoteAccessIPSecVPN基础隧道建立RemoteAccessIPSecVPN解决问题（隧道建立）：一次验证

二次验证第一次验证：VPN网关设置一公共密钥，VPN接入用户使用该公共密钥发起VPN请求第二次验证：VPN接入用户提供用户名、密码，VPN网关比对成功，建立隧道建立隧道tunnel，隧道tunnel地址分配二、RemoteAccessIPSecVPN基础Site-to-siteAccess二、RemoteAccessIPSecVPN基础隧道建立RemoteAccessIPSecVPNx-auth：扩展认证不安全：同一预共享密钥多阶段认证：二次身份验证：结合AAA二、RemoteAccessIPSecVPN基础隧道建立RemoteAccessIPSecVPNAAAAAA系统是认证(Authentication)、授权(Authorization)、计帐(Accounting)的简称，它是Cisco开发的一个提供网络安全的系统。常用的AAA协议是Radius，参见RFC2865，RFC2866。另外还有HWTACACS协议（HuaweiTerminalAccessControllerAccessControlSystem）协议。RADIUS基于UDP协议，而HWTACACS基于TCP协议。RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。二、RemoteAccessIPSecVPN基础隧道建立RemoteAccessIPSecVPN解决问题（回城路由）：预先建立

动态建立VPN接入用户连上VPN网关后，VPN网关可获知接入用户公网IP地址（假如为私有IP？？）VPN网关动态建立一条到达此目的IP的路由反向路由RRI（

ReverseRouteInjection）远程用户成功接入到VPN服务器后，动态建立一条到达远程用户虚拟接口的IP网络的静态路由，其下一跳为远程用户的虚拟接口IP网络。

二、RemoteAccessIPSecVPN基础数据分流RemoteAccessIPSecVPN:VPN接入用户和VPN网关VPN接入用户（IPSec客户端）：建立隧道后，都以VPN数据格式发送VPN网关（IPSec服务端）:区分数据，根据用户数据选择是否走VPN隧道通过分别测试接入用户与VPN网络，接入用户与非VPN通信来进行对比二、RemoteAccessIPSecVPN基础

——IPSECVPN封装IPSec封装-建立隧道VPN网关为用户隧道分配地址：tunnel用户发送数据，PC1以VPN形式封装数据并发送R1IPSEC驱动程序:根据sa中定义安全协议、加密算法、验证算法对数据进行封装R1:地址转换，根据外层封装进行路由（忽略）TCPDATATCPDATAAH/ESP路由VPN封装回程路由二、RemoteAccessIPSecVPN基础

——IPSecVPN解封装IPSec解封装-R2S0/0/0:IP包与接口地址相同，接收去除IP头，根据IP包头信息交与相应IPSEC驱动程序处理

R2IPSEC驱动程序:根据sa中定义参数对数据包进行解密、验证R2Fa0/0:如有路由则进行二层通信进行ARPTCPDATATCPDATAAH/ESP二、RemoteAccessIPSecVPN基础

——VPN内网主机响应PC2受到数据PC2响应R2处理：目的是返回给请求用户，走VPN隧道(目的IP触发)需要进行两层封装，通过RRI实现，

(真实情况是PAT地址)TCPDATATCPDATATCPDATAAH/ESP二、RemoteAccessIPSecVPN基础思科AccessVPN实现EzVPNCisco专用VPN技术简化VPN客户端配置二、RemoteAccessIPSecVPN基础AAA命令Authentication:用于验证用户的访问Authorization:在Autentication成功验证后，Authorization用于授权用户可以执行什么操作，访问什么服务Accouting:记录Authentication及Authorization的行为二、RemoteAccessIPSecVPN基础动态映射Dynamic-MAPVPN网关不知道对端(peer)IP地址，不能主动发起连接，用户接入后动态建立隧道及方向路由接口下只能使用静态映射map，静态映射map在与动态映射Dynamic-MAP建立联系三、EzVPN配置示例1、AAA配置R1(config)#aaanew-model //启动AAA认证R1(config)#aaaauthenticationloginvpn-alocal//验证R1(config)#aaaauthorizationnetworkvpn-olocal//授权R1(config)#usernamevpnpassword0vpn //建立本地用户名密码三、EzVPN配置示例2、IKE配置（isakmpsa，sa第一阶段）R1(config)#cryptoisakmppolicy10 //建立ipsec安全参数配置R1(config)#hashmd5R1(config)#encryptiondesR1(config)#authenticationpre-share三、EzVPN配置示例3、SA1.5阶段相关信息R1(config)#iplocalpoolVPN-POOL54//建立分配给VPN用户的地址池R1(config)#cryptoisakmpclientconfigurationgroupvpngroup//不同组名是为内部不同的部门分配不同的IPR1(config)#keyvpn//easyvpn的组密码，用户端须提供相同配置R1(config)#poolVPN-POOL三、EzVPN配置示例4、IPSecSA配置（sa第二阶段）R1(config)#cryptoipsectransform-setschool-setesp-3desesp-md5-hmac//Ipsec阶段2配置R1(config)#cryptodynamic-mapd-map10//动态加密图R1(config)#settransform-setschool-setR1(config)#reverse-route//反向路由注入三、EzVPN配置示例5、Ezyvpn用户的认证授权配置：R1(config)#cryptomapschool-mapclientauthenticationlistvpn-a//启用XAUTHR1(config)#cryptomapschool-mapclientconfigurationaddressrespond

//地址推送方式(分强制推送和请求推送)