返回
网络互连设备配置 郭锡泉 22204-第5章

网络互连设备配置 郭锡泉 22204-第5章

ID:43761148

大小:9.08 MB

页数:159页

时间:2019-10-13

网络互连设备配置 郭锡泉 22204-第5章_第1页
网络互连设备配置 郭锡泉 22204-第5章_第2页
网络互连设备配置 郭锡泉 22204-第5章_第3页
网络互连设备配置 郭锡泉 22204-第5章_第4页
网络互连设备配置 郭锡泉 22204-第5章_第5页
资源描述:

《网络互连设备配置 郭锡泉 22204-第5章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、项目五VPN配置任务一IntranetVPN配置任务二AccessVPN配置任务一IntranetVPN配置一、任务分析北京的某公司在上海新设立了分公司,分公司要远程访问总公司的各种服务器资源,如CRM系统、FTP系统等。Internet上的网络传输本身存在安全隐患,假设你是该公司的网络管理员,要求你通过采用IPSecVPN技术实现数据的安全传输。二、相关知识1.VPN的概念虚拟专用网(VPN)是利用公共网络来构建的“私人专用网络”,能够用于构建VPN的公共网络包括Internet和服务提供商所提供的FR、ATM等。构建在公共网络上的VPN将

2、像企业的私有网络一样安全、可靠,越来越多的企业通过VPN来保证网络通信的安全。要实现VPN在公共网上安全地传输数据,必须提供隧道、加密以及报文的验证,另外用户的验证和访问的控制也是必须具有的特性。隧道连接是VPN的基本模式,通过隧道虚接口,为用户屏蔽了公网上复杂的网络拓扑结构,用户看到的只是私有网直连的结构。即使在Internet上,任意两台具有隧道虚接口的路由器仍然像是接口之间直接相连的一样,为用户使用被承载层的应用提供了透明的服务。在图5-1中,通信双方通过Internet互连,双方之间存在很多路由器进行网络的互连,但采用VPN技术之后,

3、用户看到的只是私有网直连的结构。图5-1VPN隧道隧道技术可以在IP无连接的网络中提供虚拟的点到点的连接。隧道技术涉及3种协议:包括传输协议(如IP)、封装协议(如L2TP/GRE)以及乘客协议(如PPP/IP/IPX)等。目前,主要有两类隧道协议:二层隧道协议(L2TP)和三层隧道协议(GRE/IPSEC)。三层隧道协议用来封装并传输三层协议,如IP、IPX等,它主要应用于构建Access/Intranet/ExtranetVPN,目前用来封装和解密IP报文的是IPSec。2.IPSec的基本原理IPSec将几种安全技术结合在一起形成一个完

4、整的体系,用来保证IP数据分组在Internet上传输时的私有性、完整性和真实性。在IPv6中,IPSec是必备的组件。IPSec为IP及其上层提供保护,这些安全服务包括基于数据流的访问控制、面向数据的验证、为保证数据保密性的加密等。IPSec提供了两个安全协议:AH(AuthenticationHeader)和ESP(EncapsulationSecurityPayload)。IPSec还提供了端到端之间协商密钥的协议IKE(InternetKeyExchange)。IPSec的基本概念如下。●安全联盟(SA):一个安全联盟是一个单向的安全

5、“连接”,该“连接”上的数据流享有安全服务。安全联盟的内容包括安全协议协议、算法(包括加密算法以及验证算法)、算法使用的密钥、隧道对端的IP地址、安全参数索引等。●安全策略(CryptoMap):它定义了对IP报文提供的服务方式及实现方法,由唯一的名称及安全策略顺序号标识。相同名称不同的安全策略顺序号构成了安全策略组。●安全参数索引(SPI):一个32bit(4个字节长度)的数值。手工配置安全联盟时,需要手工配置安全参数索引;IKE协商产生安全联盟时,使用随机数来生成安全参数索引。●安全联盟进行更新的周期:它包括两种方式,一种是以时间为限制,

6、每隔定长的时间进行更新;另一种是以流量为限制,每传输一定的报文(字节)进行更新。●数据流(Data-Flow):数据流是一类流量(Traffic)的划分。数据流可以由报文源地址/通配位、报文目的地址/通配位、协议号、源端口号、目的端口号来规定,通过ACL模块来实现。数据流匹配的效率也由ACL模块来保证。●隧道(Tunnel):也称安全隧道,是点对点的安全“连接”建立了安全联盟的两端,实现在本端对IP报文加密,在对端解密。IPSec提供安全服务数据加密,它在传输或转发报文之前可以对报文进行加密;IPSec提供数据完整性验证,它在接收端可以验证I

7、PSec发送端发送的报文是否在传输的过程中被改动。IPSec提供数据身份验证,它在接收端可以验证发送IPSec报文的发送端是否合法,这个功能是依靠数据完整性验证来实现的;IPSec提供防重放功能,它在接收端可以检测并丢弃重放的报文。IPSec实现的具体功能依赖于安全协议AH协议和ESP协议,依赖于密码算法MD5、SHA1、DES、3DES和硬件加密等。IPSec可以通过手工配置建立安全联盟,也可以利用IKE自动协商生成安全联盟(进行密钥管理)。IPSec划分数据流(具体数据流的划分依靠ACL模块实现),对不同的数据流使用不同的安全联盟(采用不

8、同的安全策略)。可以根据生存时间定期地重新协商安全联盟,或自动地删除安全联盟。安全协议支持隧道和传输两种模式。图5-2是两台主机建立VPN隧道前确定的安全联盟。图5

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。