实验八、 IPSec VPN典型配置实验 实验开发教师:谌黔燕.

Slides:



Advertisements
Similar presentations
网络管理员考证辅导 —— 真题解析 广东水利电力职业技术学院 计算机系 温海燕
Advertisements

NAT与ICMP交互.
第6章 IP安全 曾雪梅
密码学应用 培训机构名称 讲师名字.
计算机网络教程 任课教师:孙颖楷.
数据通信与计算机网络 第1讲 绪论 浙江万里学院 邵鹏飞.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
IPV6技术与物联网应用 贾智平 1.
IPv6—移动数据应用的未来 中国移动通信集团公司.
第2章 VPN原理和配置.
网络互联技术
第9讲 VPN技术(一).
Internal DP GRE协议原理 ISSUE1.0.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
企業如何建置安全的作業系統 Windows XP 網路安全
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
实验八 配置动态路由-OSPF协议.
第17章 实现路由器.
项目四 组建跨地区网络 授课教师:肖颖.
GRE原理与配置.
网络地址转换(NAT) 及其实现.
資訊安全-資料加解密 主講:陳建民.
第10章 虚拟专用网络(VPN)技术 本章学习目标: 了解VPN概念及基本功能 掌握VPN的工作协议 了解VPN的分类
第9章 電子商務安全防範.
交换 Cisco三层模型 交换机基本配置 VLAN VTP.
David liang 数据通信安全教程 防火墙技术及应用 David liang
信息安全 第10章 虚拟专用 网络技术 2018/11/14 1.
第18章 实现VPN服务器.
计算机网络原理 徐明伟
元智大學網路技術系 TN307 進階網路技術   指導教授 :王井煦.
第9章 虛擬私人網路VPN.
第二讲 搭建Java Web开发环境 主讲人:孙娜
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第九章 IPSec VPN技术.
存储系统.
第14章虚拟专用网技术与应用实验.
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
管理信息结构SMI.
实用组网技术 第一章 网络基础知识.
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
第九章 IPSec VPN技术.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第17章 网站发布.
2019/1/12 GDP设计协同 超级管理员操作手册 GDP项目组.
IP安全 胡建斌 北京大学网络与信息安全研究室
实验十一、链路层加密实验 实验开发教师:谌黔燕.
第12章 远程访问、NAT技术.
校 園 雲端輸出管理系統 新印科技股份有限公司 聯絡人:伍宏一 電 話: /
IPsec封装安全有效载荷.
第9章 信息安全.
第四章 团队音乐会序幕: 团队协作平台的快速创建
Speaker: 碩專一甲 陳芸仙 N 服務單位: 高雄市立裕誠幼稚園
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
实验七 安全FTP服务器实验 2019/4/28.
IT 安全 第 11节 加密控制.
應用加密技術 A 譚惠心 指導教授:梁明章教授.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
谢聪.
Common Security Problems in Business and Standards
实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.
实验目的:掌握数据的顺序存储结构及它们在计算机中的操作。 实验内容:
VoIP组工作汇报 黄权 李光华.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
实验六静态路由.
入侵检测技术 大连理工大学软件学院 毕玲.
实验六、COM类型病毒分析实验 实验开发教师: 刘乃琦 谌黔燕.
Presentation transcript:

实验八、 IPSec VPN典型配置实验 实验开发教师:谌黔燕

【实验目的】 1、理解IPSec(IP Security)协议在网络安全中的作用。 2、理解IP层数据加密与数据源验证的原理。 3、掌握实现IPSec VPN的典型配置方法。 【实验内容】 1、图2-1 通过Console口搭建本地配置环境 按图2-1搭建本地配置环境,通过PC机对QuidwayA和QuidwayB进行典型配置。配置要求为:安全协议采用ESP协议,加密算法采用DES,验证算法采用SHA1-HMAC-96。

3、从子网A向子网B发送数据包,对配置结果进行验证。 【实验环境】 1、 华为Quidway SecPath 100F硬件防火墙两 台。 2、按图2-2拓扑结构组网,在QuidwayA和QuidwayB之间建立一个安全隧道,对PC A代表的子网(10.1.1.x)与PC B代表的子网(10.1.2.x)之间的数据流进行安全保护。 3、从子网A向子网B发送数据包,对配置结果进行验证。 【实验环境】 1、 华为Quidway SecPath 100F硬件防火墙两 台。 2、 PC个人计算机两台,分别安装Windows 2000 pro操作系统。 3、 Console口配置电缆两根。 4、 RJ45直通网线三根。

防火墙A 防火墙B 图2-2 IPSec VPN组网图 Ethernet1/0 202.38.163.1 PC A: 10.1.1.2 PC B: 10.1.2.2 图2-2 IPSec VPN组网图

【实验参考步骤】 1、按图2-2拓扑结构组网。 2、建立本地配置环境 3、配置IPSec VPN 第一步:配置QuidwayA 第二步:配置QuidwayB 第三步:配置PC机的IP地址 4、进行数据加密传输验证

【实验报告】 1、阐述本实验中的加密原理。 2、提交规划组网的地址信息表。 3、对实验结果进行分析说明。 【实验预备知识】 1、VPN原理

VPN用户通过PSTN/ISDN网拨入ISP的NAS(Network Access Server)服务器,NAS服务器通过用户名或接入号码识别出该用户为VPN用户后,就和用户的目的VPN服务器建立一条连接,称为隧道(Tunnel)。 隧道两侧可以对报文进行加密处理,使Internet上的其它用户无法读取,因而是安全可靠的。 隧道协议分为第二层隧道协议和第三层隧道协议。 2、第二层隧道协议 第二层隧道协议是将整个PPP帧封装在内部隧道中。现有的第二层隧道协议有: (1) PPTP(Point-to-Point Tunneling Protocol):点到点隧道协议,支持点到点PPP协议在IP网络上的隧道封装,

(2) L2F(Layer 2 Forwarding)协议:二层转发协议。L2F协议支持对更高级协议链路层的隧道封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。 (3) L2TP(Layer 2 Tunneling Protocol):二层隧道协议 结合了上述两个协议的优点,已经成为标准RFC。L2TP既可用于实现拨号VPN业务,也可用于实现专线VPN业务。 3、第三层隧道协议 第三层隧道协议的起点与终点均在ISP内,PPP会话终止在NAS处,隧道内只携带第三层报文。现有的第三层隧道协议主要有:

IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。 GRE(Generic Routing Encapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。 IPSec(IP Security)协议:IPSec协议不是一个单独 的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。 GRE和IPSec主要用于实现专线VPN业务。 4、安全联盟 IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。 IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。通过SA(Security Association,安全联盟),IPSec能够对不同的数据流提供不同级别的安全保护。 安全联盟是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,

(2) 加密算法 5、IPSec协议的操作模式 IPSec协议有两种操作模式:传输模式和隧道模式。SA中指定了协议的操作模式。 6、验证算法与加密算法 (1) 验证算法 AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数。。一般来说IPSec使用两种验证算法: MD5:MD5通过输入任意长度的消息,产生128bit的消息摘要。 SHA-1:SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。 (2) 加密算法 ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。

加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。VRP中IPSec实现三种加密算法: DES(Data Encryption Standard):使用56bit的密钥对一个64bit的明文块进行加密。 3DES(Triple DES):使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。 AES(Advanced Encryption Standard):VRP实现了128bit密钥长度的AES算法,这也是IETF标准要求实现的。 7、协商方式 有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE自动协商(isakmp)方式。

8、IPSec在VRP上的实现 (1)  定义被保护的数据流 数据流是一组流量(traffic)的集合,由源地址/掩码、目的地址/掩码、IP报文承载的协议号、源端口号、目的端口号等来规定。一个数据流用一个ACL来定义,所有匹配一个访问控制列表规则的流量,在逻辑上作为一个数据流。 (2) 定义安全提议 安全提议规定了对要保护的数据流所采用的安全协议、验证或加密算法、操作模式(即报文的封装方式)等 (3) 定义安全策略或安全策略组 安全策略规定了对什么样的数据流采用什么样的安全提议。一条安全策略由“名字”和“顺序号”共同唯一确定。分手工安全策略和IKE协商安全策略。

9、IPSec在VRP上的实现 (1)  定义被保护的数据流 (2) 定义安全提议 (3) 定义安全策略或安全策略组 (4)  接口实施安全策略 10、IPSec主要配置 (1)  配置访问控制列表 (2)   定义安全提议 创建安全提议 选择安全协议 选择安全算法 选择报文封装形式 (3)   创建安全策略

包括手工创建安全策略和用IKE创建安全策略。用IKE创建安全策略的步骤: 在安全策略中引用安全提议 在安全策略中引用访问控制列表 在安全策略中引用IKE对等体 配置安全联盟生存周期(可选) 配置协商时使用的PFS特性 (4)配置安全策略模板(可选) (5)接口上应用安全策略