文档详情

网络设备安全部署-PPT08-v1.0.ppt

发布:2019-04-03约9.47千字共31页下载文档
文本预览下载声明
本章总结 在路由器上实现远程VPN 应用案例 应用案例 防火墙与路由器配置的区别 Easy VPN 使用XAUTH做用户验证 组策略 在防火墙上实现远程VPN 远程访问VPN需要解决的问题 动态Crypto Map 第八章 远程访问VPN —— 上机部分 ——Easy VPN 需求描述 建立用户分别是benet和cisco,口令任意指定 要求使用benet用户登录时只能访问00服务器资源;使用cisco用户登录是只能访问00服务器资源 这两个用户在访问内网资源的同时可以访问Internet 实验案例一:防火墙实现远程VPN2-1 客户端 VPN网关 ISP 00 00 内网地址/24 Benet用户 Cisco用户 实现思路 配置用户名密码 配置组策略 配置用户组 配置Crypto Map 学员练习 实验案例一: 防火墙实现远程VPN2-2 90分钟完成 * * * 只需简单讲解 远程访问IPSec VPN增加了什么 后面有详细讲解 * 讲解需求 * 不需要演示 * dns-server value用于指定dns服务器地址,address-pool value用于指定地址池,split-dns 用于分离dns,这些命令与路由器类似。分离隧道的命令中新增了split-tunnel-policy命令,该参数后有三个选项:tunnelall、tunnelspecified、excludespecified. Tunnelall:所有流量必须走隧道,即不做分离隧道,这个是默认设置。 Tunnelspecified:所有匹配ACL的流量走隧道。 excludespecified:所有不匹配ACL的流量走隧道。 * * * * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */31 BENET 4.0 B e n e t BENET 4.0 */35 B e n e t BENET 4.0 */35 第八章 远程访问VPN —— 理论部分 ——Easy VPN 简述多点IPSec VPN配置思路? 简述NAT-T的作用是什么? 课程回顾 理解远程访问VPN的原理 会在Cisco ASA防火墙上实现远程访问VPN 技能展示 本章结构 在路由器上实现远程VPN 应用案例 应用案例 防火墙与路由器配置的区别 Easy VPN 使用XAUTH做用户验证 组策略 在防火墙上实现远程VPN 远程访问VPN需要解决的问题 动态Crypto Map 阶段1——建立管理连接 协商采用何种方式建立管理连接 通过DH算法共享密钥信息 对等体彼此进行身份验证 回顾站点到站点的IPSec VPN Internet 加密 解密 阶段2——建立数据连接 定义对等体间保护何种流量 定义用来保护数据的安全协议 定义传输模式 阶段1.5——插在两个阶段之间 额外添加用户验证(XAUTH),通过AAA辅助实现 用户组的策略由设备“推”给客户端 远程访问的IPSec VPN Internet AAA认证通过 1.指定ACL 2.指定peer 3.指定传输集 静态crypto map 用户名:… 密 码:… 组策略:… 阶段2——建立数据连接 引入动态映射(动态的Crypto Map) 网关设备无法与动态用户协商ACL与peer,配置远程VPN时无法单纯应用静态MAP实现 建立数据连接 建立管理连接 XAUTH扩展认证协议 IPSec协议最初的设计并未考虑用户验证的问题 提供用户名密码的方式来验证用户身份 用户名密码的存储方式 存储在VPN网关设备的内部数据库中 存储在远程AAA服务器中 为了保证客户端的用户名、密码安全 Easy 客户端不在本地存储用户名、密码,用户每次必须手动输入 使用XAUTH做用户验证4-1 阶段1 阶段2 阶段1.5 AAA服务器 VPN 网关 客户端 Internet 用户名:cisco 密 码:***** AAA的定义 Authentication——认证 对用户的合法性进行验证,包括用户名、密码等信息的验证 Authorization——授权 在用户通过验证后,为用户指定其能够使用的服务等权限 Accounting——统计 在用户验证、授权成功后,记录用户的操作等信息,以便用于 记账、审计和报告 使用XAUTH做用户验证4-2 Internet 哪位? benet 何以证明? 口令为sun_123 我能做什么? 你能访问这台服务器 记录benet登录服务器的一切行为 AAA服务使用的协议 RADIUS(远程验证拨入用户服务) 是一个全开放的标准协议厂商或用户可以灵活地修改RADIUS 只加密数据包中的帐户名、密码 基于UDP协议 TACACS+(终端访问
显示全部
相似文档