网络设备安全部署-PPT06-v1.0.ppt

* 第二节理论课 教员演示两个实验 * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */21 BENET 4.0 B e n e t BENET 4.0 */35 B e n e t BENET 4.0 */35 第六章 在ASA防火墙上实现IPSec VPN —— 理论部分 简述VPN的连接模式有哪些？区别是什么？ 简述VPN的类型有哪些？ 简述常见的对称加密算法有哪些？哪种更安全？ 简述IPSec VPN阶段一需要配置哪些参数？ 课程回顾 掌握IPSec VPN故障排查思路 会在Cisco ASA防火墙上配置IPSecVPN 技能展示 本章结构 配置IPSec VPN 应用案例 防火墙和路由器的区别 在ASA防火墙上实现IPSec VPN IPSec VPN故障排查 查看阶段一管理连接的状态 show crypto isakmp sa 管理连接的五个状态 IPSec VPN故障排查3-1 状 态 说 明 MM_NO_STATE ISAKMP SA建立的初始状态；管理连接建立失败也会处于该状态 MM_SA_SETUP 对等体之间ISAKMP策略协商成功后处于该状态 MM_KEY_EXCH 对等体通过DH算法成功建立共享密钥，此时还没有进行设备验证 MM_KEY_AUTH 对等体成功进行设备验证，之后会过渡到QM_IDLE状态 QM_IDLE 管理连接成功建立，即将过渡到阶段2的数据连接建立过程 诊断和排查管理连接出现的问题 debug crypto isakmp 故障实例一 两端加密算法不匹配 IPSec VPN故障排查3-2 ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 1 policy ISAKMP: default group 1 ISAKMP: encryption DES-CBC ISAKMP: hash SHA ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy! ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 0 …… ISAKMP:(0:0:N/A:0):no offers accepted! …… received packet from 10.0.0.1 dport 500 sport 500 Global (R) MM_NO_STATE 加密算法不匹配 策略不被接受 没有匹配策略 策略进入未成功状态 故障案例二 两端使用的预共享密钥不一致 IPSec VPN故障排查3-3 ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 1 policy ISAKMP: default group 1 ISAKMP: encryption DES-CBC ISAKMP: hash SHA ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0 ……? ISAKMP (0:134217729): received packet from 10.0.0.1 dport 500 sport 500 Global (R) MM_KEY_EXCH ISAKMP: reserved not zero on ID payload! %CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 10.0.0.1 failed its sanity check or is malformed 算法已匹配,开始密钥交换及身份验证 完整性验证失败，将停留在MM_KEY_EXCH阶段 应用案例 开发项目小组可以通过VPN访问总公司研发服务器，但不能访问Internet 分公司的其他客户端可以访问Internet Cisco ASA