1 / 14

实验八、 IPSec VPN 典型配置实验

实验八、 IPSec VPN 典型配置实验. 实验开发教师 : 谌黔燕. 【 实验目的 】 1 、理解 IPSec ( IP Security )协议在网络安全中的作用。 2 、理解 IP 层数据加密与数据源验证的原理。 3 、掌握实现 IPSec VPN 的典型配置方法。 【 实验内容 】 1 、图 2-1 通过 Console 口搭建本地配置环境 按图 2-1 搭建本地配置环境,通过 PC 机对 QuidwayA 和 QuidwayB 进行典型配置。配置要求为:安全协议采用 ESP 协议,加密算法采用 DES ,验证算法采用 SHA1-HMAC-96 。.

tyson
Download Presentation

实验八、 IPSec VPN 典型配置实验

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 实验八、 IPSec VPN典型配置实验 实验开发教师:谌黔燕

  2. 【实验目的】 1、理解IPSec(IP Security)协议在网络安全中的作用。 2、理解IP层数据加密与数据源验证的原理。 3、掌握实现IPSec VPN的典型配置方法。 【实验内容】 1、图2-1 通过Console口搭建本地配置环境 按图2-1搭建本地配置环境,通过PC机对QuidwayA和QuidwayB进行典型配置。配置要求为:安全协议采用ESP协议,加密算法采用DES,验证算法采用SHA1-HMAC-96。

  3. 2、按图2-2拓扑结构组网,在QuidwayA和QuidwayB之间建立一个安全隧道,对PC A代表的子网(10.1.1.x)与PC B代表的子网(10.1.2.x)之间的数据流进行安全保护。 3、从子网A向子网B发送数据包,对配置结果进行验证。 【实验环境】 1、 华为Quidway SecPath 100F硬件防火墙两 台。 2、 PC个人计算机两台,分别安装Windows 2000 pro操作系统。 3、 Console口配置电缆两根。 4、 RJ45直通网线三根。

  4. 防火墙A 防火墙B Ethernet0/0 10.1.1.1 Ethernet0/0 10.1.2.1 Ethernet1/0 202.38.163.1 Ethernet1/0 202.38.162.1 PC A: 10.1.1.2 PC B: 10.1.2.2 图2-2 IPSec VPN组网图

  5. 【实验参考步骤】 1、按图2-2拓扑结构组网。 2、建立本地配置环境 3、配置IPSec VPN 第一步:配置QuidwayA 第二步:配置QuidwayB 第三步:配置PC机的IP地址 4、进行数据加密传输验证

  6. 【实验报告】 1、阐述本实验中的加密原理。 2、提交规划组网的地址信息表。 3、对实验结果进行分析说明。 【实验预备知识】 1、VPN原理 图2-3 VPN接入示意图

  7. VPN用户通过PSTN/ISDN网拨入ISP的NAS(Network Access Server)服务器,NAS服务器通过用户名或接入号码识别出该用户为VPN用户后,就和用户的目的VPN服务器建立一条连接,称为隧道(Tunnel)。 隧道两侧可以对报文进行加密处理,使Internet上的其它用户无法读取,因而是安全可靠的。 隧道协议分为第二层隧道协议和第三层隧道协议。 2、第二层隧道协议 第二层隧道协议是将整个PPP帧封装在内部隧道中。现有的第二层隧道协议有: (1)PPTP(Point-to-Point Tunneling Protocol):点到点隧道协议,支持点到点PPP协议在IP网络上的隧道封装,

  8. (2)L2F(Layer 2 Forwarding)协议:二层转发协议。L2F协议支持对更高级协议链路层的隧道封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。 (3) L2TP(Layer 2 Tunneling Protocol):二层隧道协议 结合了上述两个协议的优点,已经成为标准RFC。L2TP既可用于实现拨号VPN业务,也可用于实现专线VPN业务。 3、第三层隧道协议 第三层隧道协议的起点与终点均在ISP内,PPP会话终止在NAS处,隧道内只携带第三层报文。现有的第三层隧道协议主要有:

  9. GRE(Generic Routing Encapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。 IPSec(IP Security)协议:IPSec协议不是一个单独 的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。 GRE和IPSec主要用于实现专线VPN业务。 4、安全联盟 IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。 IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。通过SA(Security Association,安全联盟),IPSec能够对不同的数据流提供不同级别的安全保护。 安全联盟是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,

  10. 5、IPSec协议的操作模式 IPSec协议有两种操作模式:传输模式和隧道模式。SA中指定了协议的操作模式。 6、验证算法与加密算法 (1) 验证算法 AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数。。一般来说IPSec使用两种验证算法: MD5:MD5通过输入任意长度的消息,产生128bit的消息摘要。 SHA-1:SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。 (2) 加密算法 ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。

  11. 加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。VRP中IPSec实现三种加密算法:加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。VRP中IPSec实现三种加密算法: DES(Data Encryption Standard):使用56bit的密钥对一个64bit的明文块进行加密。 3DES(Triple DES):使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。 AES(Advanced Encryption Standard):VRP实现了128bit密钥长度的AES算法,这也是IETF标准要求实现的。 7、协商方式 有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE自动协商(isakmp)方式。

  12. 8、IPSec在VRP上的实现 (1)  定义被保护的数据流 数据流是一组流量(traffic)的集合,由源地址/掩码、目的地址/掩码、IP报文承载的协议号、源端口号、目的端口号等来规定。一个数据流用一个ACL来定义,所有匹配一个访问控制列表规则的流量,在逻辑上作为一个数据流。 (2) 定义安全提议 安全提议规定了对要保护的数据流所采用的安全协议、验证或加密算法、操作模式(即报文的封装方式)等 (3) 定义安全策略或安全策略组 安全策略规定了对什么样的数据流采用什么样的安全提议。一条安全策略由“名字”和“顺序号”共同唯一确定。分手工安全策略和IKE协商安全策略。

  13. 9、IPSec在VRP上的实现 (1)  定义被保护的数据流 (2) 定义安全提议 (3) 定义安全策略或安全策略组 (4)  接口实施安全策略 10、IPSec主要配置 (1)  配置访问控制列表 (2)   定义安全提议 创建安全提议 选择安全协议 选择安全算法 选择报文封装形式 (3)   创建安全策略

  14. 包括手工创建安全策略和用IKE创建安全策略。用IKE创建安全策略的步骤:包括手工创建安全策略和用IKE创建安全策略。用IKE创建安全策略的步骤: 用IKE创建安全策略 在安全策略中引用安全提议 在安全策略中引用访问控制列表 在安全策略中引用IKE对等体 配置安全联盟生存周期(可选) 配置协商时使用的PFS特性 (4)配置安全策略模板(可选) (5)接口上应用安全策略

More Related