收藏
下载资源

CISCO路由器VPN_讲解PPT教学课件

上传人:日度 文档编号:133593197 上传时间:2020-05-28 格式:PPT 页数:171 大小:3.79MB
返回 下载 相关 举报
CISCO路由器VPN_讲解PPT教学课件_第1页
第1页 / 共171页
CISCO路由器VPN_讲解PPT教学课件_第2页
第2页 / 共171页
CISCO路由器VPN_讲解PPT教学课件_第3页
第3页 / 共171页
CISCO路由器VPN_讲解PPT教学课件_第4页
第4页 / 共171页
CISCO路由器VPN_讲解PPT教学课件_第5页
第5页 / 共171页
点击查看更多>>
资源描述

《CISCO路由器VPN_讲解PPT教学课件》由会员分享,可在线阅读,更多相关《CISCO路由器VPN_讲解PPT教学课件(171页珍藏版)》请在金锄头文库上搜索。

1、基于CISCO路由器的IPSECVPN和BGP MPLSVPN 1 目录 VPN简介IPSecVPN BGP MPLSVPN IPSec基础端到端IPSecVPN的工作原理及配置EasyVPN 远程接入VPN 的工作原理及配置 BGP MPLSVPN的工作原理BGP MPLSVPN的配置示例 2 VPN背景 总公司 租用专线 我们有很多分公司 如果用租用专线的方式把他们和总公司连起来 需要花很多钱 想节约成本的话 可以用VPN来连接 分公司 分公司 分公司 3 VPN简介 IPVPN VirtualPrivateNetwork 虚拟专用网 就是利用开放的公众IP MPLS网络建立专用数据传输通

2、道 将远程的分支机构 移动办公人员等连接起来 IP MPLS网 中心站点 分支机构 移动办公人员 4 隧道机制 IPVPN可以理解为 通过隧道技术在公众IP MPLS网络上仿真一条点到点的专线 隧道是利用一种协议来传输另外一种协议的技术 共涉及三种协议 包括 乘客协议 隧道协议和承载协议 被封装的原始IP包 新增加的IP头 IPSec头 乘客协议 隧道协议 承载协议 原始IP包 经过IPSec封装后 5 隧道带来的好处 隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用地址无关 Internet 被封装的原始IP包 新增加的IP头 IPSec头 私网地址 公网地址 中心站点

3、 分支机构 Internet根据这个地址路由 可以使用私网地址 感觉双方是用专用通道连接起来的 而不是Internet 隧道 6 按隧道类型对VPN分类 隧道协议如下 第二层隧道协议 如L2TP第三层隧道协议 如IPSec介于第二层和第三层之间的隧道协议 如MPLSVPN 7 L2TP L2TP封装的乘客协议是位于第二层的PPP协议 原始数据包 新增加的IP头 L2TP头 可以是IP IPX和AppleTalk PPP封装 原始数据包 PPP头 L2TP封装 原始数据包 PPP头 可以是IP ATM和帧中继 L2TP没有对数据进行加密 8 L2TP的典型应用 VPDN L2TP连接 PPP连接

4、 用户发起PPP连接到接入服务器接入服务器封装用户的PPP会话到L2TP隧道 L2TP隧道穿过公共IP网络 终止于电信VPDN机房的LNS用户的PPPsession经企业内部的认证服务器认证通过后即可访问企业内部网络资源 9 IPSec IPSec只能工作在IP层 要求乘客协议和承载协议都是IP协议 被封装的原始IP包 新增加的IP头 IPSec头 必须是IP协议 必须是IP协议 IPSec可以对被封装的数据包进行加密和摘要等 以进一步提高数据传输的安全性 10 MPLSVPN的基本工作模式 在入口边缘路由器为每个包加上MPLS标签 核心路由器根据标签值进行转发 出口边缘路由器再去掉标签 恢复

5、原来的IP包 MPLS网 P1 P2 PE1 PE2 CE1 CE2 10 1 1 1 MPLS标签 10 1 1 1 10 1 1 1 11 MPLSVPN的特点 MPLS标签位于二层和三层之间 三层包头 MPLS标签 二层包头 二层包头 三层包头 MPLS封装 12 三种VPN的比较 13 目录 VPN简介IPSecVPN BGP MPLSVPN IPSec基础端到端IPSecVPN的工作原理及配置EasyVPN 远程接入VPN 的工作原理及配置 BGP MPLSVPN的工作原理BGP MPLSVPN的配置示例 14 IPSec概述 IPSec是一种开放标准的框架结构 特定的通信方之间在I

6、P层通过加密和数据摘要 hash 等手段 来保证数据包在Internet网上传输时的私密性 confidentiality 完整性 dataintegrity 和真实性 originauthentication IPSec只能工作在IP层 要求乘客协议和承载协议都是IP协议 被封装的原始IP包 新增加的IP头 IPSec头 必须是IP协议 必须是IP协议 15 通过加密保证数据的私密性 私密性 防止信息泄漏给未经授权的个人通过加密把数据从明文变成无法读懂的密文 从而确保数据的私密性 Internet 4ehIDx67NMop9eRU78IOPotVBn45TR 土豆批发价两块钱一斤 实在是看不

7、懂 4ehIDx67NMop9eRU78IOPotVBn45TR 土豆批发价两块钱一斤 16 对称加密 如果加密密钥与解密密钥相同 就称为对称加密由于对称加密的运算速度快 所以IPSec使用对称加密算法来加密数据 17 对数据进行hash运算来保证完整性 完整性 数据没有被非法篡改通过对数据进行hash运算 产生类似于指纹的数据摘要 以保证数据的完整性 土豆两块钱一斤 Hash 4ehIDx67NMop9 土豆两块钱一斤 4ehIDx67NMop9 18 对数据和密钥一起进行hash运算 攻击者篡改数据后 可以根据修改后的数据生成新的摘要 以此掩盖自己的攻击行为 通过把数据和密钥一起进行has

8、h运算 可以有效抵御上述攻击 土豆两块钱一斤 Hash fefe23fgrNMop7 土豆两块钱一斤 fefe23fgrNMop7 19 对称密钥交换 对称加密和hash都要求通信双方具有相同的密钥 问题 怎样在双方之间安全地传递密钥 密钥 哈哈 要是敢直接传递密钥 我就只好偷看了 密钥 20 DH算法的基本原理 RouterA RouterB 生成一个整数p 生成一个整数q 把p发送到对端 p 把q发送到对端 q 根据p q生成g 根据p q生成g 21 通过身份认证保证数据的真实性 真实性 数据确实是由特定的对端发出通过身份认证可以保证数据的真实性 常用的身份认证方式包括 Pre shar

9、edkey 预共享密钥RSASignature 数字签名 22 预共享密钥 预共享密钥 是指通信双方在配置时手工输入相同的密钥 Hash L 路由器名等 本地 Hash 共享密钥 远端 生成的Hash L Hash 对端路由器名 共享密钥 接收到的Hash L 23 数字证书 RSA密钥对 一个是可以向大家公开的公钥 另一个是只有自己知道的私钥 用公钥加密过的数据只有对应的私钥才能解开 反之亦然 数字证书中存储了公钥 以及用户名等身份信息 数字证书 我是RouterA 我的公钥是 24 数字签名认证 IDInformation 加密 Hash I 解密 Hash I 私钥 公钥 本地 远端 H

10、ash 身份信息 Hash 对称密钥 数字签名 身份信息 Hash 1 2 数字证书 Internet 对称密钥 数字签名 数字证书 25 IPSec框架结构 ESP AH DES 3DES AES MD5 SHA DH1 DH2 IPSec框架 可选择的算法 IPSec安全协议 加密 数据摘要 对称密钥交换 26 IPSec安全协议 AH AuthenticationHeader 只能进行数据摘要 hash 不能实现数据加密ah md5 hmac ah sha hmacESP EncapsulatingSecurityPayload 能够进行数据加密和数据摘要 hash esp des es

11、p 3des esp md5 hmac esp sha hmac IPSec安全协议描述了如何利用加密和hash来保护数据安全 27 IPSec封装模式 IPSec支持两种封装模式 传输模式和隧道模式传输模式 不改变原有的IP包头 通常用于主机与主机之间 IP头 数据 原始IP包 IP头 数据 AH头 AH hash AH对除了TTL等变化值以外的整个IP包进行hash运算 IP头 数据 ESP头 hash ESPtrailer ESPauth ESP 加密 hash 28 IPSec封装模式 IPSec支持两种封装模式 传输模式和隧道模式隧道模式 增加新的IP头 通常用于私网与私网之间通过公

12、网进行通信 IP头 数据 原始IP包 IP头 数据 新IP头 AH hash IP头 数据 ESP头 hash ESPtrailer ESPauth ESP 加密 hash AH头 新IP头 29 IPSec与NAT AH模式无法与NAT一起运行AH对包括IP地址在内的整个IP包进行hash运算 而NAT会改变IP地址 从而破坏AH的hash值 IP头 数据 AH头 hash hash NAT 我要修改源 目的IP地址 AH 不行 我对IP地址也进行了hash 30 IPSec与NAT ESP模式下 只进行地址映射时 ESP可与它一起工作 进行端口映射时 需要修改端口 而ESP已经对端口号进行

13、了加密和 或hash 所以将无法进行 IP头 数据 ESP头 ESPtrailer ESPauth 加密 TCP UDP端口 NAT 端口号被加密了 没法改 真郁闷 31 IPSec与NAT ESP模式下 启用IPSecNAT穿越后 会在ESP头前增加一个UDP头 就可以进行端口映射 IP头 数据 ESP头 ESPtrailer ESPauth 加密 TCP UDP端口 NAT 可以改端口号了 太棒了 新UDP头 32 目录 VPN简介IPSecVPN BGP MPLSVPN IPSec基础端到端IPSecVPN的工作原理及配置EasyVPN 远程接入VPN 的工作原理及配置 BGP MPLS

14、VPN的工作原理BGP MPLSVPN的配置示例 33 对上一节的回顾 IPSec协议框架包括加密 hash 对称密钥交换 安全协议等四个部分 这些部分都可以采用多种算法来实现 问题1 要成功建立IPSecVPN 两端路由器必须采用相同的加密算法 hash算法和安全协议等 但IPSec协议中并没有描述双方应如何协商这些参数 问题2 IPSec协议中没有定义通信双方如何进行身份认证 路由器有可能会和一个假冒的对端建立IPSecVPN 34 端到端IPSecVPN的工作原理 需要保护的流量流经路由器 触发路由器启动相关的协商过程 启动IKE Internetkeyexchange 阶段1 对通信双

15、方进行身份认证 并在两端之间建立一条安全的通道 启动IKE阶段2 在上述安全通道上协商IPSec参数 按协商好的IPSec参数对数据流进行加密 hash等保护 HostA HostB RouterA RouterB 什么是端到端的VPN 35 IKE阶段1 HostA HostB RouterA RouterB 10 0 1 3 10 0 2 3 IKE阶段1 协商建立IKE安全通道所使用的参数 协商建立IKE安全通道所使用的参数 36 IKE阶段1 协商建立IKE安全通道所使用的参数 包括 加密算法Hash算法DH算法身份认证方法存活时间 37 IKE阶段1 Policy10DESMD5DH

16、1Pre sharelifetime Policy15DESMD5DH1Pre sharelifetime RouterA RouterB hostA hostB Policy203DESSHADH1Pre sharelifetime Policy253DESSHADH2Pre sharelifetime 双方找到相同的策略集 上述IKE参数组合成集合 称为IKEpolicy IKE协商就是要在通信双方之间找到相同的policy 38 IKE阶段1 HostA HostB RouterA RouterB 10 0 1 3 10 0 2 3 IKE阶段1 协商建立IKE安全通道所使用的参数交换对称密钥双方身份认证建立IKE安全通道 协商建立IKE安全通道所使用的参数交换对称密钥双方身份认证建立IKE安全通道 39 IKE阶段2 HostA HostB RouterA RouterB 10 0 1 3 10 0 2 3 IKE阶段2 协商IPSec安全参数 协商IPSec安全参数 40 IKE阶段2 双方协商IPSec安全参数 称为变换集transformset 包括 加密算法Hash算法

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件 > 高中课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号