收藏 分享(赏)
下载资源 加入VIP,免费下载

sangfor-ipsec-v4.3-2012年度培训06-标准ipsec-vpn-互联配置-20120602.ppt

上传人:无敌 文档编号:3024 上传时间:2018-03-02 格式:PPT 页数:39 大小:4.82MB
下载 相关 举报
sangfor-ipsec-v4.3-2012年度培训06-标准ipsec-vpn-互联配置-20120602.ppt_第1页
第1页 / 共39页
sangfor-ipsec-v4.3-2012年度培训06-标准ipsec-vpn-互联配置-20120602.ppt_第2页
第2页 / 共39页
sangfor-ipsec-v4.3-2012年度培训06-标准ipsec-vpn-互联配置-20120602.ppt_第3页
第3页 / 共39页
sangfor-ipsec-v4.3-2012年度培训06-标准ipsec-vpn-互联配置-20120602.ppt_第4页
第4页 / 共39页
sangfor-ipsec-v4.3-2012年度培训06-标准ipsec-vpn-互联配置-20120602.ppt_第5页
第5页 / 共39页
点击查看更多>>
资源描述

1、SANGFOR 标准 IPSEC VPN互联配置,标准IPSEC VPN功能介绍,标准IPSEC VPN建立过程,SANGFOR标准IPSEC VPN典型应用案例及配置,SANGFOR IPSEC,练练手,标准IPSEC VPN功能介绍,IPSec是一种开放标准的框架结构,特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段,来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。,标准IPSEC VPN功能介绍,通过加密保证数据的私密性私密性:防止信息泄漏给

2、未经授权的个人通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性,Internet,4ehIDx67NMop9eRU78IOPotVBn45TR,土豆批发价两块钱一斤,实在是看不懂,4ehIDx67NMop9eRU78IOPotVBn45TR,土豆批发价两块钱一斤,标准IPSEC VPN功能介绍,对数据进行hash运算来保证完整性 完整性:数据没有被非法篡改,通过对数据进行hash运算,产生类似于指纹的数据摘要,以保证数据的完整性。,土豆两块钱一斤,Hash,4ehIDx67NMop9,土豆两块钱一斤,4ehIDx67NMop9,标准IPSEC VPN功能介绍,对数据和密钥一起进行h

3、ash运算 攻击者篡改数据后,可以根据修改后的数据生成新的摘要,以此掩盖自己的攻击行为。 通过把数据和密钥一起进行hash运算,可以有效抵御上述攻击。,土豆两块钱一斤,Hash,fefe23fgrNMop7,土豆两块钱一斤,fefe23fgrNMop7,标准IPSEC VPN功能介绍,通过身份认证保证数据的真实性真实性:数据确实是由特定的对端发出。通过身份认证可以保证数据的真实性。常用的身份认证方式包括:Pre-shared key,预共享密钥RSA Signature,数字签名,标准IPSEC VPN建立过程,标准IPSEC VPN建立的过程,需要保护的流量流经路由器,触发路由器启动相关的协

4、商过程。启动IKE (Internet key exchange)阶段1,对通信双方进行身份认证,并在两端之间建立一条安全的通道。启动IKE阶段2,在上述安全通道上协商IPSec参数。按协商好的IPSec参数对数据流进行加密、hash等保护。,Host A,Host B,Router A,Router B,标准IPSEC VPN建立过程,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全通道所使用的参数交换预共享密钥双方身份认证建立IKE安全通道,协商建立IKE安全通道所使用的参数交换预共享密钥双方身份认证建

5、立IKE安全通道,标准IPSEC VPN建立过程,IKE阶段1协商建立IKE安全通道所使用的参数,包括:加密算法Hash算法DH算法身份认证方法存活时间,标准IPSEC VPN建立过程,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段2,协商IPSec安全参数建立IPSec SA,协商IPSec安全参数建立IPSec SA,标准IPSEC VPN建立过程,IKE 阶段2双方协商IPSec安全参数,称为变换集transform set,包括:加密算法Hash算法安全协议封装模式存活时间DH算法,Transform 10DESMD5E

6、SPTunnellifetime,Transform 203DESSHAESPTunnellifetime,标准IPSEC VPN建立过程,IPSec SA (安全关联,Security Association):达到lifetime以后,原有的IPSec SA就会被删除如果正在传输数据,系统会在原SA超时之前自动协商建立新的SA,从而保证数据的传输不会因此而中断。,SANGFOR 标准 IPSEC 典型应用案例及配置,SANGFOR标准IPSEC 典型应用案例及配置,SANGFOR标准IPSEC 典型应用案例及配置,环境:一客户购买一台M5100-Q设备部署在深圳,公网地址为: 220.10

7、.10.10/30,在北京有一台思科的路由器,公网地址为:110.120.10.10/30。需求: 客户希望通过SANGFOR设备的IPSEC VPN和思科路由器的VPN互联,实现192.168.10.0/24、192.168.20.0/24与192.168.30/24网段互访。,SANGFOR标准IPSEC 典型应用案例及配置,配置思路:1.确定配置标准IPSEC的前提条件A:确保SANGFOR设备序列号里有分支授权,B:两端设备能正常上网,并且至少保证有一端有固定公网IP2.配置第一阶段,确定传输模式,对通信双方进行身份认证,并在两端建立一条安全通道。(采用主模式或者野蛮模式)3.配置安全

8、选项,包括协议,认证算法,加密算法4.配置第二阶段,在上述安全通道上协商IPSEC参数,设置出入站策略。注:当两端有一端是拔号的情况下只能采用野蛮模式,SANGFOR标准IPSEC 典型应用案例及配置,Cisco路由器配置命令如下:(Cisco某些版本可能配置命令不一样,但过程一样) Conf t /进入特权模式配置crypto isakmp key sangfor address 220.10.10.10/创建预共享密钥以及对端地址crypto isakmp policy 100 /创建isakmp策略(第一阶段策略) hash md5 /配置hash算法encry 3des /配置加密算法

9、group 2 /配置DH群auth pre-share /配置认证方式(预共享密钥) exit /退出isakmp策略配置access-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255access-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255/创建ACL,类似我们的出入站策略,允许本端网段访问对端网段,主模式互联 (双方都有固定公网IP),SANGFOR标准IPSEC 典型应用案例及配置,crypto ipsec transfor

10、m-set sangforvpn esp-3des esp-md5-hmac /创建变换集及策略mode tunnel /配置传输模式(隧道模式)SANGFOR只支持隧道模式exit /退出变换集crypto map sangfor 100 ipsec-isakmp /创建IPsec策略(第二阶段) set peer 220.10.10.10 /配置对端地址set transform-set sangforvpn /绑定变换集到映射图set pfs group2 /配置密钥完美向前保护(请注意跟第一阶段DH群一样) match address 100 /配置映射图匹配的ACL策略exit /退

11、出配置映射图interface e0/0 /进入Cisco外网口crypto map sangfor /将映射图绑定到接口exit /退出接口配置,SANGFOR标准IPSEC 典型应用案例及配置,主模式互联(双方都有固定IP)SANGFOR设备配置:1.设置第一阶段,双方身份认证,设置参数和CISCO保持一致。,选择为主模式,配置对端的固定公网IP,设置IKE参数,与对端设备保持一致,SANGFOR标准IPSEC 典型应用案例及配置,2. 按协商好的IPSec参数对数据流进行加密、hash等保护,保持和CISCO配置一致。,选择协议,认证算法和加密算法,与对端设备一致。,SANGFOR标准I

12、PSEC 典型应用案例及配置,3. 第二阶段,在上述安全通道上协商IPSec参数,设备出入站策略,出站策略为192.168.10.0/24,192.168.20.0/24,入站策略为192.168.30.0/24。,配置入站策略,源地址为对端的内网地址,出站策略中,源地址为本地内网IP,以上步骤完成,即完成了本例所有配置,实现SANGFOR 与CISCO建立IPSEC VPN连接,勾选启用策略和启用密钥完美向前保密,SANGFOR标准IPSEC 典型应用案例及配置,野蛮模式互联(SANGFOR设备拨号,CISCO为固定IP),拓朴如下:,SANGFOR标准IPSEC 典型应用案例及配置,野蛮模

13、式互联(SANGFOR设备拨号,CISCO为固定IP)Cisco路由器的配置命令如下: Conf t /进入特权模式配置hostname cisco /创建路由器名字,该名字就是它的野蛮模式身份ID crypto isakmp key sangfor hostname sangfor /创建预共享密钥,以及对端野蛮模式身份ID crypto isakmp identity hostname /用hostname再次校验身份crypto isakmp policy 100 /创建isakmp策略(第一阶段策略) hash md5 /配置hash算法encry 3des /配置加密算法group

14、2 /配置DH群auth pre-share /配置认证方式(预共享密钥) exit /退出isakmp策略配置crypto ipsec transform-set sangforvpn esp-3des esp-md5-hmac /创建变换集及策略mode tunnel /配置传输模式(隧道模式)SANGFOR只支持隧道模式exit /退出变换集配置,SANGFOR标准IPSEC 典型应用案例及配置,access-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255access-list 100 permit ip

15、192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255/创建ACL, 类似我们的出入站策略,允许本端网段访问对端网段crypto dynamic-map sangfor 100 /创建动态映射图set transform-set sangforvpn /绑定变换集到映射图set pfs group2 /配置完美密钥向前保护(跟第一阶段一致) match address 100 /匹配ACL策略exit /退出映射图配置crypto map sangfor 100 ipsec-isakmp dynamic sangfor /创建IPsec策略(第二阶段) in

16、t e0/0 /进入Cisco外网口crypto map sangfor /将映射图绑定到接口exit /退出接口配置,SANGFOR标准IPSEC 典型应用案例及配置,野蛮模式互联(SANGFOR设备拨号,CISCO为固定IP)SANGFOR设备配置:1.设置第一阶段,双方身份认证,设置参数和CISCO保持一致。,选择野蛮模式,远程IP为对端的公网IP,IKE参数与对端保持一致,野蛮模式时,需要填写我方身份ID与对端的ID,注意对端ID后要加.,SANGFOR标准IPSEC 典型应用案例及配置,2. 按协商好的IPSec参数对数据流进行加密、hash等保护,保持和CISCO配置一致。,在安全

17、选项中选择协议,认证算法和加密码算法,与对端设备一致,SANGFOR标准IPSEC 典型应用案例及配置,3. 第二阶段,在上述安全通道上协商IPSec参数,设置出入站策略,出站策略为192.168.10.0/24,192.168.20.0/24,入站策略为192.168.30.0/24。,设置出入站策略,SANGFOR标准IPSEC 典型应用案例及配置,野蛮模式互联(SANGFOR设备固定IP,CISCO为拨号),拓朴如下:,SANGFOR标准IPSEC 典型应用案例及配置,野蛮模式互联(SANGFOR设备固定IP,CISCO为拨号)conf t /进入特权模式配置crypto isakmp

18、policy 100 /创建isakmp策略(第一阶段) hash md5 /hash算法encry 3des /加密算法group 2 /DH群auth pre-share /身份认证方式exit /退出isakmp策略配置crypto isakmp peer address 201.1.1.2 /创建isakmp对端地址set aggressive-mode password sangfor /创建预共享密钥set aggressive-mode client-endpoint fqdn cisco /创建本端野蛮模式ID exit /退出crypto ipsec transform-se

19、t sangfor esp-3des esp-md5-hmac /创建变换集及策略mode tunnel /配置成隧道模式exit /退出,SANGFOR标准IPSEC 典型应用案例及配置,access-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255access-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255/创建ACL,类似我们的出入站策略,允许本端网段访问对端网段crypto map sangfor 100 ipsec-isak

20、mp /创建映射图set peer 220.10.10.10 /配置对端地址set pfs group2 /配置完美密钥向前保护(跟第一阶段一致) set transform-set sangfor /绑定变换集到映射图set security-association lifetime seconds 28800 /设置第二阶段SA时间match address 100 /匹配ACL exit /退出int e0/0 /进入接口crypto map sangfor /将映射图绑定到接口exit /退出,SANGFOR标准IPSEC 典型应用案例及配置,野蛮模式互联(SANGFOR设备固定IP,

21、CISCO为拨号)SANGFOR设备配置:1. 设置第一阶段,双方身份认证,设置参数和CISCO保持一致。,选择野蛮模式,本例中,对端IP为动态IP,填写两端的身份ID,注意,此案例的环境下,对端ID后不需要加.,SANGFOR标准IPSEC 典型应用案例及配置,2. 按协商好的IPSec参数对数据流进行加密、hash等保护,保持和CISCO配置一致。,在安全选项中选择协议,认证算法和加密码算法,与对端设备一致,SANGFOR标准IPSEC 典型应用案例及配置,3. 第二阶段,在上述安全通道上协商IPSec参数,设备出入站策略,出站策略为192.168.10.0/24,192.168.20.0/24,入站策略为192.168.30.0/24。,设置出入站策略,练练手,某公司客户购买了一台5400加速设备,网关部署在总部,已经有一个分支授权,现在分公司有一台其它厂商的设备,并具有标准IPSEC VPN的功能。客户希望通过VPN连接实现分公司和总部双向互访。,您来试试吧!,问题思考,1.标准IPSEC VPN如何保证数据完整性的?2.标准IPSEC VPN的建立有哪几个阶段?在哪个进行身份认证?3.标准IPSEC VPN有哪两种模式?,,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 中等教育 > 职业教育

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报