《§9.网络安全高级应用NetworkSecuritychap04v1.0章节》由会员分享,可在线阅读,更多相关《§9.网络安全高级应用NetworkSecuritychap04v1.0章节(30页珍藏版)》请在金锄头文库上搜索。
1、BENET3.0第二学期课程,第四章 IPSec VPN(二), 理论部分,课程回顾,VPN的连接模式有哪两种?哪种模式会添加新的IP包头? 常见的对称加密算法有哪三种?哪种最安全? 常用的Hash算法有哪两种? ESP协议与AH协议的区别是什么?,2,技能展示,会在Cisco ASA防火墙上配置IPSecVPN 会在Cisco路由器或防火墙上配置实现NAT穿越 会排除IPSec VPN常见故障,3,本章结构,在ASA上配置实现IPSec VPN,IPSec和地址转换,防火墙和路由器的区别,地址转换存在的问题及解决方案,路由器实现NAT-T,路由器的故障诊断与排查,应用案例,IPSec VPN
2、故障排查,IPSec VPN(二),防火墙的故障诊断与排查,4,在ASA上配置实现IPSec VPN,应用案例,5,分公司网关ASA1的配置1,ASA1(config)#route outside 0 0 100.0.0.2 ASA1(config)#nat-control ASA1(config)#nat (inside) 1 0 0 ASA1(config)#global (outside) 1 int,基本配置,配置NAT豁免,ASA1(config)#access-list nonat extended permit ip 172.16.10.0 255.255.255.0 10.10
3、.33.0 255.255.255.0 ASA1(config)#nat (inside) 0 access-list nonat,启用ISAKMP,ASA1(config)#crypto isakmp enable outside,6,分公司网关ASA1的配置2,ASA1(config)#isakmp key benet address 200.0.0.1,配置预共享密钥,ASA从7.0版本开始一般使用隧道组来配置,ASA1(config)#tunnel-group 200.0.0.1 type ipsec-l2l ASA1(config)#tunnel-group 200.0.0.1 ip
4、sec-attributes ASA1(config-ipsec)#pre-shared-key benet ASA1(config-ipsec)#exit,配置ISAKMP策略,ASA1(config)#crypto isakmp policy 1 ASA1(config-isakmp-policy)#encryption aes ASA1(config-isakmp-policy)#hash sha ASA1(config-isakmp-policy)#authentication pre-share ASA1(config-isakmp-policy)#group 1,7,分公司网关AS
5、A1的配置3,ASA1(config)#crypto ipsec transform-set benet-set esp-aes esp-sha-hmac,配置数据连接的传输集,ASA1(config)#crypto map benet-map 1 match address yfvpn ASA1(config)#crypto map benet-map 1 set peer 200.0.0.1 ASA1(config)#crypto map benet-map 1 set transform-set benet-set ASA1(config)#crypto map benet-map in
6、terface outside,配置crypto ACL,ASA1(config)#access-list yfvpn extended permit ip 172.16.10.0 255.255.255.0 10.10.33.0 255.255.255.0,配置crypto map并应用到outside接口上,8,防火墙和路由器的区别,默认配置的区别,IKE协商默认是否开启 隧道组特性的引入,9,防火墙和路由器的区别,接口安全级别对于IPSec流量的影响 流量无法通过具有相同安全级别的两个不同的接口 流量无法从同一接口进入后再流出,ASA(config)#same-security-traf
7、fic permit intra-interface | inter-interface,10,IPSec和地址转换,两台设备负载分担,11,地址转换存在的问题及解决方案,AH协议不能与NAT设备一同工作,而ESP可以,12,地址转换存在的问题及解决方案,ESP协议不能与PAT一同工作 解决方案,IPSec over TCP IPSec over UDP NAT-T(NAT穿越),13,路由器实现NAT-T,外网发起建立管理连接或数据连接,Router(config)#ip nat inside source list access-list-number interface f0/1 ove
8、rload Router(config)#ip nat inside source static udp local-ip 500 interface f0/1 500 Router(config)#ip nat inside source static udp local-ip 4500 interface f0/1 4500,14,小结,请思考: 在ASA上配置IPSec VPN时,NAT豁免的作用是什么? AH和ESP协议是否能与NAT设备一同工作?是否能与PAT设备一同工作? 实现ESP协议与PAT一同工作的解决方案有哪3种?,15,IPSec VPN故障排查,实验环境,16,路由器的
9、故障诊断与排查,管理连接的状态,17,路由器的故障诊断与排查,debug crypto isakmp 初始状态 阶段1策略协商 生成随机数(用于验证) 身份验证 阶段1连接建立 阶段2参数协商 创建数据连接的SA,18,路由器的故障诊断与排查,故障实例一 将路由器的加密算法由DES改为3DES 故障实例二 将路由器的预共享密钥KEY改为与防火墙不同的密钥 故障实例三 修改路由器的Crypto ACL,19,路由器的故障诊断与排查,debug crypto ipsec 协商阶段2的传输集 匹配crypto ACL SA建立 协商完成,20,路由器的故障诊断与排查,故障实例四 对等体间的传输集不匹
10、配 故障实例五 配置的crypto ACL错误 故障实例六 crypto map中的peer地址配置错误,21,ASA的故障诊断与排查,show crypto isakmp sa debug crypto isakmp 阶段1策略协商 密钥产生 验证过程 阶段1连接建立 查找匹配的Crypto Map 查找匹配的传输集 检测Crypto ACL 分配SPI debug crypto ipsec,22,本章总结,在ASA上配置实现IPSec VPN,IPSec和地址转换,防火墙和路由器的区别,地址转换存在的问题及解决方案,路由器实现NAT-T,路由器的故障诊断与排查,应用案例,IPSec VPN
11、故障排查,IPSec VPN(二),防火墙的故障诊断与排查,23,第四章 IPSec VPN(二), 上机部分,BENET3.0第二学期课程,实验案例1:配置实现IPSec VPN的NAT-T,需求描述 R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问 两台防火墙之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体成功建立IPSec连接,25,实验案例1:配置实现IPSec VPN的NAT-T,实现思路 在ASA上配置IPSec VPN 配置实现NAT穿越 学员练习,26,40分钟完成,实验案例2:IPSec VPN常见故障排查,需求描述 观察IPSec VPN的几个常见故障现象及输出结果,27,设置故障,查看debug信息,实验案例2: IPSec VPN常见故障排查,实现思路 分别模拟以下故障,观察show、debug命令输出 故障一:忘记启用ISAKMP协议 故障二:阶段1传输集不匹配 故障三:预共享密钥配置错误 故障四:镜像Crypto ACL配置错误 故障五:阶段2传输集不匹配 故障六:Crypto Map不匹配 故障七:Crypto Map应用到错误的接口,28,实验案例2: IPSec VPN常见故障排查,学员练习 配置故障 通过show、debug命令演示故障 常见的show、debug命令,29,40分钟完成,30,
