返回
网络安全项目二任务四SiteIpsecVlan配置ppt课件.ppt

网络安全项目二任务四SiteIpsecVlan配置ppt课件.ppt

ID:59486312

大小:933.50 KB

页数:25页

时间:2020-09-13

网络安全项目二任务四SiteIpsecVlan配置ppt课件.ppt_第1页
网络安全项目二任务四SiteIpsecVlan配置ppt课件.ppt_第2页
网络安全项目二任务四SiteIpsecVlan配置ppt课件.ppt_第3页
网络安全项目二任务四SiteIpsecVlan配置ppt课件.ppt_第4页
网络安全项目二任务四SiteIpsecVlan配置ppt课件.ppt_第5页
资源描述:

《网络安全项目二任务四SiteIpsecVlan配置ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络安全技术吴伟项目二任务四:IPSecVPN一、任务介绍二、IPSecVPN基础三、IPSecVPN应用四、site-to-siteIPSecVPN配置五、任务配置一、任务介绍根据任务网络拓扑及企业网络需求,应用IPSecVPN实现任务要求,理解IPSecVPN特点、结构,理解IKE、SA、AH、ESP在IPSec中的作用,掌握IPSecVPN两种模式的配置过程,学会应用IPSecVPN为企业构建远程传输网络。二、IPSecVPN基础GREVPN缺陷:隧道密钥验证,数据明文只能实现site-to-siteVPNGREVPN实现:PCtunnel:source:12.1.1.1(动态)d

2、estination:210.28.144.1Routertunnel:source:210.28.144.1destination:12.1.1.1(动态)二、IPSecVPN基础IPsecVPN是网络层的VPN技术是随着IPv6的制定而产生的,鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增加了对IPv4的支持,它独立于应用程序;通过使用现代密码学方法支持保密和认证服务,使用户能有选择地使用,以AH或ESP协议封装原始IP信息,实现数据加密、带验证机制,安全性较高。支持VPN类型site-to-siteVPNRemoteAccessVPN连接类型PC-PCPC-VPN网

3、关VPN网关-VPN网关二、IPSecVPN基础VPN核心:两层封装:隧道数据分流:VPN与非VPNIPSEC:数据加密、数据验证二、IPSecVPN基础主要协议集:安全协议认证报文头(AuthenticationHeader,AH)封装安全载荷(EncapsulatingSecurityPayload,ESP)Internet密钥交换(InternetKeyExchange,IKE)主要概念:安全关联(SecurityAssociation,SA)传输方式:传输模式和隧道模式二、IPSecVPN基础隧道模式隧道模式下数据包最终目的地不是安全终点。通常情况下,只要IPSec双方有一方是安

4、全网关或路由器,就必须使用隧道模式。加密整个IP数据包括头部传输模式传输模式下,IPSec主要对上层协议即IP包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。只加密整个IP数据负载部分二、IPSecVPN基础AH为IP包提供数据完整性校验和身份认证具备可选择的重放攻击保护保护上层协议(传输模式)或完整的IP数据包(隧道模式)二、IPSecVPN基础ESP为IP报文提供数据完整性校验、身份认证、数据加密以及重放攻击保护等。二、IPSecVPN基础传输模式二、IPSecVPN基础隧道模式二、IPSecVPN基础SA安全关联(SecurityAssociation)SA

5、是构成IPSec的基础,是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。单向逻辑连接SPI、目的IP地址、安全协议二、IPSecVPN基础Internet密钥交换协议(IKE)IKE是IPSec默认的安全密钥协商方法密钥交换协议,AH和ESP协议提供密钥交换管理SA管理二、IPSecVPN基础二、IPSecVPN基础三、IPSec应用Site-to-SiteVPN隧道模式RemoteAccessVPN隧道模式(End-Site)传输模式(End-End)三、IPSecVPN应用Site-to-

6、SiteIPSecVPN参与设备:两端VPN网关隧道建立:sa第一阶段区分VPN数据与非VPN:传输VPN数据,sa第二阶段数据加密、数据验证三、IPSecVPN应用——IPSECVPN封装IPSec封装192.168.1.1-10.35.1.1PC1:IP原始数据包,R1Fa0/0:路由处理,内网IP无路由(ISP屏蔽),根据ACL识别VPN数据(感兴趣流)并交给IPSEC驱动程序进行封装,建立VPN隧道,sa第一阶段;隧道建立好后,利用隧道进行VPN数据传输,sa第二阶段R1IPSEC驱动程序:根据sa中定义安全协议、加密算法、验证算法对数据进行封装R1S0/0/0:根据新IP包目的

7、地址进行路由转发192.168.1.1TCPDATA10.35.1.1192.168.1.1TCPDATA10.35.1.158.1.1.1210.28.144.1AH/ESP路由VPN封装二、虚拟专用网(VPN)基础——IPSecVPN解封装IPSec解封装192.168.1.1-10.35.1.1R2S0/0/0:若sa协商成功,成功建立通道IP包与接口地址相同,接收去除IP头,根据IP包头信息交与相应IPSEC驱动程序处理R2

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。