HC110117002 IPsec VPN原理與配置課件

IPSecVPN原理與配置Page2前言

企業(yè)對(duì)網(wǎng)絡(luò)安全性的需求日益提升，而傳統(tǒng)的TCP/IP協(xié)議缺乏有效的安全認(rèn)證和保密機(jī)制。IPSec（InternetProtocolSecurity）作為一種開(kāi)放標(biāo)準(zhǔn)的安全框架結(jié)構(gòu)，可以用來(lái)保證IP數(shù)據(jù)報(bào)文在網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密性、完整性和防重放。Page3學(xué)習(xí)目標(biāo)

學(xué)完本課程后，您應(yīng)該能：掌握IPSecVPN的基本概念掌握IPSecVPN的基本配置IPsecVPN應(yīng)用場(chǎng)景Page4企業(yè)總部企業(yè)分支IPSec隧道企業(yè)分支可以通過(guò)IPSecVPN接入到企業(yè)總部網(wǎng)絡(luò)。IPSec架構(gòu)Page5IPSec不是一個(gè)單獨(dú)的協(xié)議，它通過(guò)AH和ESP這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)IP數(shù)據(jù)報(bào)的安全傳送。IKE協(xié)議提供密鑰協(xié)商，建立和維護(hù)安全聯(lián)盟SA等服務(wù)。TCP/UDPTCP/UDPSA協(xié)商IKERTARTBAH/ESPAH/ESP加密的IP報(bào)文IKE安全聯(lián)盟SAPage6IPSec隧道RTARTBLocalAddressRemoteAddressSPIinboundSPIoutboundKeyTransform(Proposal)LocalAddressRemoteAddressSPIinboundSPIoutboundKeyTransform(Proposal)安全聯(lián)盟定義了IPSec對(duì)等體間將使用的數(shù)據(jù)封裝模式、認(rèn)證和加密算法、密鑰等參數(shù)。安全聯(lián)盟是單向的，兩個(gè)對(duì)等體之間的雙向通信，至少需要兩個(gè)SA。IPSec傳輸模式Page7AHIPTCPDataAH認(rèn)證部分IPTCPDataESP加密部分認(rèn)證部分ESPTrailerESPAuthIPTCPDataESP加密部分認(rèn)證部分ESPTrailerESPAuthAHESPAH-ESP在傳輸模式下，

AH或ESP報(bào)頭位于IP報(bào)頭和傳輸層報(bào)頭之間。IPSec隧道模式Page8IPTCPDataAHIP認(rèn)證部分IPIPTCPDataESPESPTrailerESPAuth加密部分認(rèn)證部分IPIPTCPDataESPESPTrailerESPAuth加密部分認(rèn)證部分AHAHESPAH-ESP在隧道模式下，IPSec會(huì)另外生成一個(gè)新的IP報(bào)頭，并封裝在AH或ESP之前。IPSecVPN配置步驟Page9配置網(wǎng)絡(luò)可達(dá)配置ACL識(shí)別興趣流創(chuàng)建安全提議創(chuàng)建安全策略應(yīng)用安全策略IPSecVPN配置Page10[RTA]iproute-static10.1.2.02420.1.1.2[RTA]aclnumber3001[RTA-acl-adv-3001]rule5permitipsource10.1.1.00.0.0.255destination10.1.2.00.0.0.255[RTA]ipsecproposaltran1

[RTA-ipsec-proposal-tran1]espauthentication-algorithmsha1RTARTB20.1.1.1/2420.1.1.2/24G0/0/1G0/0/110.1.1.1/2410.1.2.1/24IPSecTunnel配置驗(yàn)證Page11[RTA]displayipsecproposalNumberofproposals:1IPSecproposalname:tran1

Encapsulationmode:Tunnel

Transform:esp-new

ESPprotocol:AuthenticationSHA1-HMAC-96

EncryptionDESIPSecVPN對(duì)等體配置的安全提議參數(shù)必須一致。IPSecVPN配置Page12[RTA]ipsecpolicyP110manual[RTA-ipsec-policy-manual-P1-10]securityacl3001[RTA-ipsec-policy-manual-P1-10]proposaltran1[RTA-ipsec-policy-manual-P1-10]tunnelremote20.1.1.2[RTA-ipsec-policy-manual-P1-10]tunnellocal20.1.1.1[RTA-ipsec-policy-manual-P1-10]saspioutboundesp54321[RTA-ipsec-policy-manual-P1-10]saspiinboundesp12345[RTA-ipsec-policy-manual-P1-10]sastring-keyoutboundespsimplehuawei[RTA-ipsec-policy-manual-P1-10]sastring-keyinboundespsimplehuawei安全策略將要保護(hù)的數(shù)據(jù)流和安全提議進(jìn)行綁定。Page13IPSecVPN配置Page14RTARTB20.1.1.1/2420.1.1.2/24G0/0/1G0/0/110.1.1.1/2410.1.2.1/24IPSecTunnel[RTA]interfaceGigabitEthernet0/0/1[RTA-GigabitEthernet0/0/1]ipsecpolicyP1[RTA-GigabitEthernet0/0/1]quit配置驗(yàn)證Page15[RTA]displayipsecpolicy===========================================IPSecpolicygroup:“P1"Usinginterface:GigabitEthernet0/0/1===========================================Sequencenumber:10Securitydataflow:3001Tunnellocaladdress:20.1.1.1Tunnelremoteaddress:20.1.1.2Qospre-classify:DisableProposalname:tran1...配置驗(yàn)證Page16……InboundESPsetting:ESPSPI:12345(0x3039)ESPstring-key:huaweiESPencryptionhexkey:ESPauthenticationhexkey:OutboundESPsetting:ESPSPI: