网络设备配置与调试案例教程 课件 第五章 网络设备全配置5.2.pptx

第五章网络设备安全配置网络设备配置与调试案例教程

CONTENTS教学目标本章主要介绍主流网络安全设备的基本配置方法、路由器点到点的VPN、防火墙的主要配置方法。【知识目标】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墙【技能目标】?掌握和AAA的认证、授权的配置。?了解华为系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相关配置。?掌握USG防火墙安全策略及相关配置命令

CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墙

5.2路由器端到端的VPN网络设备配置与调试案例教程5.2.1项目背景某跨国公司总部设在中国香港，在北京和上海分别设有两个分公司，分公司需要访问总部的各种服务器资源，如OA系统等。各分公司各自分别连接Internet,由于在Internet上传输信息数据存在安全隐患，公司希望通过部署IPSecVPN技术实现公司间的数据安全传输。其中中国香港总部与北京分公司之间使用数字证书的方式来配置IPSecVPN,而北京分公司与上海公司之间采用使用预共享密钥的方式来配置IPSecVPN上海分公司不与中国香港总部直接连接，而是通过北京分公司来与总部建立连接。1.需求分析首先需要在北京分公司与上海分公司之间建立一条预共享密钥IPSecVPN隧道实现端到端的连接，然后在中国香港总部的路由器建立一台路由器CA认证服务器，北京分公司则作为CAM户端，与总部建立IPScVPN隧道实现端到端的连接。从而实现分公司之间以及分公司与总部之间的信息安全传输。

5.2路由器端到端的VPN网络设备配置与调试案例教程2.环境准备设备类型设备型号设备数量备注路由器AR设备4台含电源线、配置线计算机双核、4GB、80GB以上3台已安装WindowsXPSP3双绞线超5类3条3条交叉线广域网模块1T或2T6个与路由器配套使用广域网线缆CAB-V35MT和CAB—V35FC3对实现路由器广域网接口的对接软件环境列表软件名称数量备注WindowsXPProSP2(中文版)1系统平台VMwareWorkstation7.1.41虚拟机MicrosoftOffice2007(中文版)1文档编辑WindowsServer2003R2(中文版)1服务器平台硬件环境列表

5.2路由器端到端的VPN网络设备配置与调试案例教程3.技能准备企业对网络安全性的需求日益提升，而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec（InternetProtocolSecurity）作为一种开放标准的安全框架结构，可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放.IPSec协议标准集提供了TCP/IP网络中IP层的安全性，可以为IP分组提供许多防护措施：数据完整性(DataIntegrity)、数据可用性(DataAvailability)、数据机密性(DataConfidentiality)、授权(Authorization).鉴别(Authentication)以及避免重放攻击(ReplayAvoidance)等。IPSecVPN的主要目的是利用加密技术在公共网络上构建通信双方之间安全的信息传输通道，以提供类似专用网络的功能。IPSec通信双方通过密钥管理协议进行相互身份认证，并协商信息加密或完整性保护所需算法及其他有关参数，以此构建安全的。

5.2路由器端到端的VPN网络设备配置与调试案例教程IPSec传输模式(如图所示)：IPSec协议有两种封装模式：传输模式和隧道模式。传输模式中，在IP报文头和高层协议之间插入AH或ESP头。传输模式中的AH或ESP主要对上层协议数据提供保护。传输模式中的AH：在IP头部之后插入AH头，对整个IP数据包进行完整性校验。传输模式中的ESP：在IP头部之后插入ESP头，在数据字段后插入尾部以及认证字段。对高层数据和ESP尾部进行加密，对IP数据包中的ESP报文头，高层数据和ESP尾部进行完整性校验。传输模式中的AH+ESP：在IP头部之后插入AH和ESP头，在数据字段后插入尾部以及认证字段。

5.2路由器端到端的VPN网络设备配置与调试案例教程IPSec隧道模式(如图所示)：隧道模式中，AH或ESP头封装在原始IP报文头之前，并另外生成一个新的IP头封装到AH或ESP之前。隧道模式可以完全地对原始IP数据报进行认证和加密，而且，可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。隧道模式中的AH：对整个原始IP报文提供完整性检查和认证，认证功能优于ESP