1、第十章 实现VPN连接,能力目标,具备设计基本应用方案和VPN设备部署能力掌握实现VPN环境的基本方法。,知识要点,VPN技术基本知识;一般VPN应用的使用方法;VPN设备部署的基本过程;,10.1 VPN技术基本知识,10.1.1 什么是虚拟专用网虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用
2、于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。,10.1.2 VPN的基本功能,(1)保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(IPSpoofing)的能力。(2)保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。(3)保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。(4)提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演的功能,保证通道不能被重演。(5)提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN
3、通道进行访问控制。,10.1.3 VPN所需的安全技术,VPN主要采用四项技术来保证安全,这四项技术分别为:1隧道技术(Tunneling)2加解密技术(Encryption & Decryption)密钥管理技术(Key Management)认证技术(Authentication),10.1.4 VPN的分类,根据不同的需要,可以构造不同类型的VPN。不同商业环境对VPN的要求和VPN所起的作用不同。这里分三种情况说明VPN的用途。1内部VPN:指在公司总部和其分支机构之间建立的VPN。 2远程访问VPN:指在公司总部和远地雇员之间建立的VPN。机的信息流,有加密、身份认证和过滤等功能。3
4、外联网VPN:指公司与商业伙伴、客户之间建立的VPN。,1内部VPN,内部网是通过公共网络将某一个组织的各个分支机构的LAN联接而成的网络。这种类型的LAN到LAN的联接所带来的风险最小,因为公司通常认为他们的分支机构是可信的,这种方式联结而成的网络被称为Intranet,可看作是公司网络的扩展。,1内部VPN,2远程访问VPN,典型的远程访问VPN是用户通过本地的信息提供商(ISP)登陆到Internet上,并在现在的办公室和公司内部网之间建立一条加密通道。有较高安全度的远程访问VPN应能截获特定主机的信息流,有加密、身份认证和过滤等功能。,3外联网VPN,外联网VPN为公司商业伙伴、客户和
5、在远地的雇员提供安全性。外联网VPN的主要目标是保证数据在传输过程中不被修改,保护网络资源不受外部威胁。外联网VPN应是一个由加密、认证和访问控制功能组成的集成系统。通常将公司的VPN代理服务器放在一个不能穿透的防火墙之后,防火墙阻止来历不明的信息传输。所有经过过滤后的数据通过一个唯一的入口传到VPN服务器,VPN在根据安全策略进一步过滤。,10.1.5 IP安全协议,IP安全协议(IPSec:IP Security)实际上是一套协议包而不是一个独立的协议,这一点对于认识IPSec是很重要的。从1995年开始IPSec的研究以来,IETF IPSec工作组在它的主页上发布了几十个Interne
6、t草案文献和12个RFC文件。其中,比较重要的有RFC2409 IKE(互连网密钥交换)、RFC2401 IPSec协议、RFC2402 AH验证包头、RFC2406 ESP加密数据等文件。IPSec安全体系包括3个基本协议:AH协议为IP包提供信息源验证和完整性保证;ESP协议提供加密机制;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件,规定了加密和认证的算法。最后,解释域(DOI)通过一系列命令、算法、属性和参数连接所有的IPSec组文件。,1IPSec的安全特性,不可否认性,可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息
7、。 反重播性,确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。 数据完整性,防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。 数据可靠性(加密),在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。,2预置共享密钥认证,IPSec也可以使用预置共享密钥进行认证。预共享意味着通信双方必须在IPSec策略设置中就共享的密钥达成一致。之后在安全协商过程中,信息在传输前使用共享密钥加密,接收端使用同样的密钥解密,如果接收方能够解密,即被认为可以通过认证。但在Windows 2003 IPSec策略中,这种认证方式被认为不够
8、安全而一般不推荐使用。,3公钥加密,IPSec的公钥加密用于身份认证和密钥交换,每个用户拥有一个密钥对,其中私钥仅为其个人所知,公钥则可分发给任意需要与之进行加密通信的人。例如:A想要发送加密信息给B,则A需要用B的公钥加密信息,之后只有B才能用他的私钥对该加密信息进行解密。虽然密钥对中两把钥匙彼此相关,但要想从其中一把来推导出另一把,以目前计算机的运算能力来看,这种做法几乎完全不现实。因此,在这种加密法中,公钥可以广为分发,而私钥则需要仔细地妥善保管。,4Hash函数和数据完整性,Hash信息验证码HMAC(Hash message authentication codes)验证接收消息和发
9、送消息的完全一致性(完整性)。这在数据交换中非常关键,尤其当传输媒介如公共网络中不提供安全保证时更显其重要性。有两种最常用的Hash函数:(1)HMAC-MD5。MD5(消息摘要5)基于RFC1321。MD5对MD4做了改进,计算速度比MD4稍慢,但安全性能得到了进一步改善。MD5在计算中使用了64个32位常数,最终生成一个128位的完整性检查和。 (2)HMAC-SHA。安全Hash算法定义在NIST FIPS 180-1,其算法以MD5为原型。 SHA在计算中使用了79个32位常数,最终产生一个160位完整性检查和。SHA检查和长度比MD5更长,因此安全性也更高。,5加密和数据可靠性,IP
10、Sec使用的数据加密算法是DES(数据加密标准)。DES密钥长度为56位,在形式上是一个64位数。DES以64位(8字节)为分组对数据加密,每64位明文,经过16轮置换生成64位密文,其中每字节有1位用于奇偶校验,所以实际有效密钥长度是56位。 IPSec还支持3DES算法,3DES可提供更高的安全性,但相应地,计算速度更慢。,6IPSec的好处,在防火墙或路由器中实现时,可以对所有跨越周界的流量实施强安全性。而公司内部或工作组不必招致与安全相关处理的负担,同时可以防止IP旁路。IPSec是在传输层之下,因此对应用透明,不必改变用户或服务器系统上的软件。对最终用户也是透明,无须训练用户,同时可
11、以提供个人安全性。这对非现场工作人员以及在一个组织内为一个敏感应用建立一个安全的虚拟子网是有用的。,10.1.6 SSL (Secure Socket Layer),为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准,美国则已推出128 bit之更高安全标准,但限制出境。只要3.0版本以上之IE或Netscape浏览器即可支持SSL。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全
12、支持。SSL协议可分为两层: SSL记录协议,建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议,建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。,1SSL协议提供的服务,(1)认证用户和服务器,确保数据发送到正确的客户机和服务器;(2)加密数据以防止数据中途被窃取;(3)维护数据的完整性,确保数据在传输过程中不被改变。,2SSL协议的工作流程,(1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接。(2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则
13、服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息。(3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器。(4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。(5)经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。,10.1.7 SSL VPN与IPsec VPN安全比较,1安全通道方面。2认证和权限控制管理方面。3安全测试方面。4应用系统的攻击方面。5病毒入侵方面。6防火墙上的通讯端口方面。,10.2 VPN技术应用案例,10.2.1 大学校园网VPN技术要求
14、(1)身份验证。(2)加密保护。(3)方便安全的管理。(4)DHCP支持。(5)多种用户环境支持。(6)VPN星型互联。(7)本地网络和VPN网络智能判断。(8)联通性要求。(9)应用范围广。(11)符全国家相关法律、标准和安全要求。(12)系统可升级性。,10.3 VPN设备的部署实例,10.3.1 企业VPN需求分析【案例10.1】企业VPN需求情景描述:某中型企业的邮件服务器、文件服务器、认证服务器等放置在总部,分部和移动用户需与总部通信。该企业速率要求不高。采用 IP-SEC VPN的应用解决方案,分部和移动用户通过ADSL拨号、VPN client软件与其总部通过隧道tunnel进行
15、加密通信,采用USB Key的数字证书方式进行用户身份认证。,实验拓扑,要求:VPN设备RG-WALL V50 1台、VPN远程接入系统RG-SRA 1套、路由器设备1台、PC机2台。,10.3.2 锐捷 VPN 命令行操作,1系统管理模式 锐捷VPN 网关采用分级管理模型,管理员分为两级:串口管理员、界面管理员,并各自拥有不同的权限。 串口管理员负责对VPN网关的基本配置,并可以设置修改界面管理员的口令,并限制界面管理员登录的 IP 地址。一般在初始配置完成后,只要网络的拓扑结构不再修改,无需再进行串口配置。 界面管理员则负责VPN网关日常的管理和配置,如具体的访问控制规则、隧道监控等。,2
16、管理员,锐捷VPN网关安装后,串口管理员sadm必须通过Console口进行系统配置,包括设定VPN网关的IP、路由、域名服务器、接口配置、用户管理等。 sadm的出厂默认口令为sadm。 串口管理员sadm和界面管理员adm不能同时登录,当adm用户登录到GUI管理界面上时, 串口只能用sadmview用户来查看配置,sadmview不能修改配置,出厂口令为sadmview。,3串口管理,首先要对安全网关进行最基本的网卡、路由和管理员等信息的配置。进行配置时使用便携机或台式机通过串口线与安全网关设备的串口相连,在Windows 9x/2000或Windows XP下运行【开始】菜单中的【程序
17、】【附件】【通讯】【超级终端】程序。【连接时使用】串口按默认值,一般为COM1,具体串口根据控制台机器的串口线连在哪个串口上为准。设置连接速率【每秒位数】为【9600】,其它按默认值,即可连接到安全网关上。在使用超级终端时,若要使 Backspace 退格键有效,需在超级终端的菜单栏“文件”处选择“属性”,然后点击“设置”,将“Backspace 键发送”这一栏选为“Del(D)”。,清空系统当前所有配置恢复到出厂设置,sadmRG-WALL# clear confWarning: The command will restore all system configuration to def
18、ault and then REBOOT the system! Are you sure to CLEAR all the system configuration and REBOOT system?(Y/N):n,10.3.3 IPSec VPN设备配置,IP规划表,设置路由器的IP地址,RouterenRouter#conf tRouterA(config)#interface f1/0 !进入路由器的快速以太网端口F1/0RouterA(config-if)#ip address 10.1.1.1 255.255.255.0RouterA(config-if)#no shutdown
19、RouterA(config-if)#exitRouterA(config)#interface f1/1 !进入路由器的快速以太网端口F1/1RouterA(config-if)#ip address 10.1.2.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exitRouterA#show ip interface f1/0RouterA#show ip interface f1/1,VPN管理器的安装,锐捷 VPN管理平台是一个基于Windows图形用户界面的管理工具。目前锐捷VPN管理平台支持Windo
20、ws系列的各种中文操作系统,如:Win98、Win2000系列、Win XP、Win2003等。锐捷VPN管理平台可以同时对多台不同版本的VPN设备进行集中管理。安装程序直观简洁,一步一步按照提示,直接采用默认设置,用户就可以轻松的完成锐捷 VPN 管理平台的安装。具体步骤如下,锐捷网关管理中心软件安装,(1)双击锐捷网关管理中心软件安装包(锐捷网关管理中心_2.30.10.exe),打开VPN管理平台安装界面,进入 VPN的安装目录,3VPN首次配置,首先把VPN设备通电,VPN设备出厂时Eth1网口有一个默认IP地址配置,即IP地址: 192.168.1.1,子网掩码:255.255.25
21、5.0。在配置设备之前,电脑需要一个和设备Eth1接口在同一网段的IP地址; 如果使用电脑直接连到Eth1接口, 用户可以使用交叉网线; 如果把设备的Eth1网口直接连到HUB或交换机上,请使用直通线。在电脑能够与设备通信之前,用户必须修改电脑的网络配置。,设置电脑的IP地址,从VPN管理平台登录到锐捷VPN设备,添加网关,锐捷VPN管理平台的主界面,VPN管理平台登录,登录后的界面,网络接口设置,添加接口的IP地址和子网掩码以及默认网关,配置IPSec VPN隧道,远程用户管理界面,允许访问内部子网设置,内部地址池设置,配置本地用户数据库,用户特征码表,用户的PC上运行RG-SRA程序,新建
22、连接,输入用户名和密码,连接成功查看到如下信息,10.3.4配置USBKey的数字证书方式进行VPN通信,认证参数,证书管理系统RG_CMS的使用,证书管理系统登录,添加客户端用户,生成证书,选择证书导出后存放的位置,在PC上运行RG-SRA程序,数字证书认证,启动连接,在弹出的对话框中选择【从USB_Key中读取】,在弹出的对话框中输入pin码,配置信息,实验与实践训练任务,任务1 设计应用方案并部署VPN设备目的:。掌握一般VPN应用的使用方法和VPN设备部署的基本过程;环境: PC 2台(分别安装VPN服务器端和客户端管理软件)路由器1台,VPN设备一套。内容:参考部署实例的拓扑结构,搭建VPN应用环境,并实现用账户密码和数字证书两种不同方式进行VPN的应用。,
