Download
1 / 30
300 likes | 542 Views
Chapter11 网络安全技术. ISSUE 1.2. 学习目标. 学习完本课程,您应该能够:. 了解 VPN 基本概念 掌握 IPsec 基本理论. 课程内容. 第一节 VPN 基本概念 第二节 IPSEC 原理介绍. 合作伙伴. 总部. 异地办事处. 隧道. Internet. 分支机构. 专线. 出差员工. 办事处. VPN 的定义. VPN ——Virtual Private Network. VPN 的分类. 按应用类型分类: Access VPN Intranet VPN Extranet VPN
E N D
Chapter11 网络安全技术 ISSUE 1.2
学习目标 学习完本课程,您应该能够: • 了解VPN基本概念 • 掌握IPsec基本理论 2
课程内容 第一节 VPN基本概念 第二节 IPSEC原理介绍 3
合作伙伴 总部 异地办事处 隧道 Internet 分支机构 专线 出差员工 办事处 VPN的定义 VPN ——Virtual Private Network 4
VPN的分类 • 按应用类型分类: • Access VPN • Intranet VPN • Extranet VPN • 按实现的层次分类: • 二层隧道 VPN • 三层隧道 VPN 5
POP POP POP VPDN 隧道 ISP发起连接 总部 用户直接发起连接 • 适用范围: • 出差员工 • 异地小型办公机构 6
总部 研究所 Internet/ ISP IP ATM/FR 分支机构 隧道 办事处 Intranet VPN 7
总部 异地办事处 Internet/ ISP IP ATM/FR 分支机构 合作伙伴 Extranet VPN 8
按实现的层次分类 • 二层隧道VPN • L2TP: Layer 2 Tunnel Protocol (RFC 2661) • PPTP: Point To Point Tunnel Protocol • L2F: Layer 2 Forwarding • 三层隧道VPN • GRE : General Routing Encapsulation • IPSEC : IP Security Protocol 9
网络层隔离客户图示 Blue2 Blue1 202.0.0.0/24 Rt2 Rt1 Red1 Red2 10
GRE • GRE (Generic Routing Encapsulation): 是 对 某 些 网 络 层 协 议 ( 如 :I P, IPX, AppleTalk等)的数据报进行封装,使这 些 被封装的数据报能够在另一个 网 络 层 协 议)中传输 • GRE 提供了将一种 协 议 的报文封装在另一种 协 议 报文中的机制,使报文能够在异种 网 络 中传输,异种报文传输的通道称为tunnel 11
IP/IPX GRE IP 链路层协议 GRE 协议栈 乘客 协 议 封装 协 议 运输 协 议 GRE 协 议 栈 链路层 IP GRE IP/IPX Payload 隧道接口的报文格式 12
GRE构建 VPN Original Data Packet Transfer Protocol Header GRE Header Tunnel Internet 企业总部 分支机构 13
隧道技术组建VPN示意图 10.0.1.1/24 10.0.1.2/24 GRE Tunnel 10.0.0.0/24 129.0.0.2/30 129.0.2.2/30 Blue2 Blue1 129.0.2.1/30 129.0.0.1/30 公共IP网络 129.0.1.1/30 Rt2 Rt1 129.0.3.1/30 129.0.1.2/30 129.0.3.2/30 10.0.0.0/24 GRE Tunnel Red2 Red1 10.0.1.2/24 10.0.1.1/24 14
课程内容 第一节 VPN基本概念 第二节 IPSEC原理介绍 15
对称加密算法图示 E(P) 加密算法 解密算法 P P Key Key A B 16
ECB ( Electronic Codebook ) CBC ( Cipher Block Chaining ) CFB ( Cipher Feedback ) OFB ( Output Feedback ) 加密算法 DES的四种操作模式: 17
公钥密码算法图示 EkpubB(P) 加密算法 解密算法 P P kprvB kpubB A B kprvB kprvB 保密的私钥 保密的私钥 公开私钥表 18
MD5算法图示 P MD5(P) MD5 MD5 P MD5(P) OK MD5(P) A B 19
IPSec • IPSec(IP Security)是 IETF制定的为保证在Internet上传送数据的安全保密性能的框架 协 议 • IPSec包括报文验证头 协 议 AH( 协 议 号51) 和报文安全封装 协 议 ESP( 协 议 号50)两个 协 议 • IPSec有隧道(tunnel)和传送(transport)两种工作方式 20
IPSec 的组成 • IPSec 提供两个安全 协 议 • AH (Authentication Header)报文认证头协议 • MD5(Message Digest 5) • SHA1(Secure Hash Algorithm) • ESP (Encapsulation Security Payload)封装安全载荷协议 • DES (Data Encryption Standard) • 3DES • 其他的加密算法:Blowfish ,blowfish、cast … 21
IPSec 的安全特点 • 数据机密性(Confidentiality) • 数据完整性( Data Integrity) • 数据来源认证( Data Authentication) • 反重放(Anti-Replay) 22
IPSec 基本概念 • 数据流 (Data Flow) • 安全联盟 (Security Association) • 安全参数索引 (Security Parameter Index) • 安全联盟生存时间 (Life Time) • 安全策略 (Crypto Map) • 转换方式(Transform Mode) 23
IKE • IKE(Internet Key Exchange,因特 网 密钥交换 协 议 ) • 为IPSec提供了自动 协 商交换密钥、建立安全联盟的服务 • 通过数据交换来计算密钥 24
IKE的交换过程 Peer1 Peer2 发送本地 IKE策略 确认对方使用的算法 发起方策略 查找匹配 的策略 接收方确认的策略 SA交换 接受对端 确认的策略 产生密钥 发起方的密钥生成信息 密钥生成 接收方的密钥生成信息 密钥交换 密钥生成 验证对方身份 发起方身份和验证数据 身份验证和 交换过程验证 接收方的身份和验证数据 ID交换及验证 身份验证和 交换过程验证 25
DH交换及密钥产生 (g ,p) peer1 peer2 a b c=gamodp d=gbmodp damodp cbmodp damodp= cbmodp=gabmodp 26
原IP 包头 数据 AH协议 IP 包头 数据 传输模式 IP 包头 AH 数据 隧道模式 新IP 包头 AH 0 8 16 31 AH头结构 27
加密部分 原IP 包头 数据 ESP 协议 IP 包头 数据 传输模式 ESP尾部 ESP验证 IP 包头 ESP头部 加密后的数据 隧道模式 新IP 包头 ESP头 ESP尾部 ESP验证 ESP协议包结构 28
小结 • VPN基本理论 • IPSEC基本原理 • 网络安全算法 29
华为3Com技术有限公司 华为3Com公司网址: www.huawei-3com.com 华为3Com技术论坛网址: forum.huawei-3com.com
