未完成安全hcie膠片hc基礎(chǔ)原理

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031061USG6000V1R1V1.0開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型（新開發(fā)/優(yōu)化）秦柯2014-08-15王銳開發(fā)本頁(yè)不打印HC13031061VPN基本理論目標(biāo)學(xué)完本課程后，您將能夠:初步了解VPN的原理和特點(diǎn)；對(duì)于VPN基礎(chǔ)理論和分類有明確概念；了解IPsecVPN的協(xié)商和建立的過程；了解和掌握PKI體系。目錄VPN概述IPsec技術(shù)詳解IKE介紹PKI基本架構(gòu)概述VPN介紹VPN(VirtualPrivateNetwork)是指依靠Internet服務(wù)提供商ISP（InternetServiceProvider）和網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP（NetworkServiceProvider）在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。VPN基本特征VPN具有以下兩個(gè)基本特征：專用（Private）：對(duì)于VPN用戶，使用VPN與使用傳統(tǒng)專網(wǎng)沒有區(qū)別。VPN與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)立，即VPN資源不被網(wǎng)絡(luò)中非該VPN的用戶所使用；且VPN能夠提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵?jǐn)_。虛擬（Virtual）：VPN用戶內(nèi)部的通信是通過公共網(wǎng)絡(luò)進(jìn)行的，而這個(gè)公共網(wǎng)絡(luò)同時(shí)也可以被其他非VPN用戶使用，VPN用戶獲得的只是一個(gè)邏輯意義上的專網(wǎng)。這個(gè)公共網(wǎng)絡(luò)稱為VPN骨干網(wǎng)（VPNBackbone）。VPN的優(yōu)勢(shì)安全：在遠(yuǎn)端用戶、駐外機(jī)構(gòu)、合作伙伴、供應(yīng)商與公司總部之間建立可靠的連接，保證數(shù)據(jù)傳輸?shù)陌踩浴＿@對(duì)于實(shí)現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)的融合特別重要。廉價(jià)：利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，企業(yè)可以用更低的成本連接遠(yuǎn)程辦事機(jī)構(gòu)、出差人員和業(yè)務(wù)伙伴。支持移動(dòng)業(yè)務(wù)：支持駐外VPN用戶在任何時(shí)間、任何地點(diǎn)的移動(dòng)接入，能夠滿足不斷增長(zhǎng)的移動(dòng)業(yè)務(wù)需求。服務(wù)質(zhì)量保證：構(gòu)建具有服務(wù)質(zhì)量保證的VPN（如MPLSVPN），可為VPN用戶提供不同等級(jí)的服務(wù)質(zhì)量保證。VPN的原理VPN的基本原理是利用隧道技術(shù)，把VPN報(bào)文封裝在隧道中，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實(shí)現(xiàn)報(bào)文的透明傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報(bào)文，而封裝協(xié)議本身也可以被其他封裝協(xié)議所封裝或承載。對(duì)用戶來說，隧道是其公共電話交換網(wǎng)PSTN（PublicSwitchedTelephoneNetwork）/綜合業(yè)務(wù)數(shù)字網(wǎng)ISDN（IntegratedServicesDigitalNetwork）鏈路的邏輯延伸，在使用上與實(shí)際物理鏈路相同。VPN分類按組網(wǎng)類型分類按實(shí)現(xiàn)層次分類按組網(wǎng)類型分類網(wǎng)關(guān)與網(wǎng)關(guān)之間的VPN鏈路主機(jī)與網(wǎng)關(guān)之間的VPN鏈路主機(jī)與主機(jī)之間的VPN鏈路網(wǎng)關(guān)與網(wǎng)關(guān)之間的VPN鏈路數(shù)據(jù)流在公網(wǎng)的VPN節(jié)點(diǎn)之間的轉(zhuǎn)發(fā)，數(shù)據(jù)包的轉(zhuǎn)發(fā)是在網(wǎng)絡(luò)層實(shí)現(xiàn)的，公網(wǎng)的每個(gè)VPN節(jié)點(diǎn)需要為每個(gè)VPN建立專用路由轉(zhuǎn)發(fā)表，包含網(wǎng)絡(luò)層可達(dá)性信息。為實(shí)現(xiàn)局域網(wǎng)之間互通而產(chǎn)生包括多種類型，例如ATM、FrameRelay、GRE、MPLSVPN、IPSecVPN主機(jī)與網(wǎng)關(guān)之間的VPN鏈路AccessVPN使出差流動(dòng)員工、家庭辦公人員和遠(yuǎn)程小辦公室可以通過廉價(jià)的撥號(hào)介質(zhì)接入企業(yè)內(nèi)部服務(wù)器，與企業(yè)的Intranet和Extranet建立私有網(wǎng)絡(luò)連接包括多種類型，IPsec、PPTP、L2TPoverIPsec、SSLVPN按實(shí)現(xiàn)層次分類Layer2VPNAddaLayer2“deliveryheader”（增加一個(gè)二層傳輸頭部）Layer3VPNAddaLayer3“deliveryheader”（增加一個(gè)三層傳輸頭部）Layer2VPNLayer2VPN實(shí)例ATMFrameRelayLayer2VPN的優(yōu)勢(shì)能夠封裝各類三層流量IP,IPX,AppleTalk,IPMulticast等等很好的QOS保障Layer3VPNLayer3VPN實(shí)例GRE（優(yōu)點(diǎn):完整的VPN功能,缺點(diǎn):缺乏安全性）MPLSVPN

（優(yōu)點(diǎn):any-to-any,缺點(diǎn):需要SP接入點(diǎn)，缺乏安全性）IPSecVPN

（優(yōu)點(diǎn):省錢，安全，缺點(diǎn):帶寬不能保障）L2VPN和L3VPN對(duì)比目錄VPN概述IPsec技術(shù)詳解IKE介紹PKI基本架構(gòu)概述IPsec簡(jiǎn)介IPsec(Internet協(xié)議安全)是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。IPSec通過在IPSec對(duì)等體間建立雙向安全聯(lián)盟，形成一個(gè)安全互通的IPSec隧道，來實(shí)現(xiàn)Internet上數(shù)據(jù)的安全傳輸。IPsec組成部分IPSec特性IPsec可以提供如下特性：訪問控制無連接的完整性、數(shù)據(jù)來源驗(yàn)證防重放機(jī)密性（加密）IPSec基本組件IPSec對(duì)等體IPSec隧道安全聯(lián)盟數(shù)據(jù)的封裝模式安全協(xié)議安全聯(lián)盟用IPSec保護(hù)數(shù)據(jù)之前，必須先建立安全聯(lián)盟SA（SecurityAssociation）。SA是出于安全目的而創(chuàng)建的一個(gè)單向邏輯連接，是通信的對(duì)等體間對(duì)某些要素的約定，例如對(duì)等體間使用何種安全協(xié)議、需要保護(hù)的數(shù)據(jù)流特征、對(duì)等體間傳輸?shù)臄?shù)據(jù)的封裝模式、用于數(shù)據(jù)安全轉(zhuǎn)換和傳輸?shù)拿荑€以及SA的生存周期等。對(duì)等體間需要通過手工配置或IKE協(xié)議協(xié)商匹配的參數(shù)才能建立起安全聯(lián)盟。SA由一個(gè)三元組來唯一標(biāo)識(shí)，這個(gè)三元組包括安全參數(shù)索引SPI（SecurityParameterIndex）、目的IP地址（SA的終端地址）和使用的安全協(xié)議。IPSec兩種封裝模式TransportModeTunnelModeTransportMode示意圖TunnelMode示意圖安全協(xié)議AH認(rèn)證頭協(xié)議AH：提供數(shù)據(jù)來源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和報(bào)文抗重放功能。AH的工作原理是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP報(bào)頭后面添加一個(gè)AH報(bào)頭(AHHeader)。AH對(duì)數(shù)據(jù)包和認(rèn)證密鑰進(jìn)行Hash計(jì)算，接收方收到帶有計(jì)算結(jié)果的數(shù)據(jù)包后，執(zhí)行同樣的Hash計(jì)算并與原計(jì)算結(jié)果比較，傳輸過程中對(duì)數(shù)據(jù)的任何更改將使計(jì)算結(jié)果無效，這樣就提供了數(shù)據(jù)來源認(rèn)證和數(shù)據(jù)完整性校驗(yàn)。AH包結(jié)構(gòu)安全協(xié)議ESP除提供AH的功能之外，還提供對(duì)有效載荷的加密功能。ESP的工作原理是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP報(bào)頭后面添加一個(gè)ESP報(bào)頭(ESPHeader)，并在數(shù)據(jù)包后面追加一個(gè)ESP尾（ESPTail和ESPAuthdata）。與AH不同的是，ESP尾中ESPAuthdata用于對(duì)數(shù)據(jù)提供來源認(rèn)證和完整性校驗(yàn)，并且ESP將數(shù)據(jù)中的有效載荷進(jìn)行加密后再封裝到數(shù)據(jù)包中，以保證數(shù)據(jù)的機(jī)密性，但ESP沒有對(duì)IP頭的內(nèi)容進(jìn)行保護(hù)。ESP包結(jié)構(gòu)目錄VPN概述IPsec技術(shù)詳解IKE介紹3.1概述3.2IKE協(xié)商過程3.3IKE安全提議PKI基本架構(gòu)概述IKE介紹IKE負(fù)責(zé)自動(dòng)建立和維護(hù)IKESAs和IPSecSAs。功能主要體現(xiàn)在如下幾個(gè)方面：對(duì)雙方進(jìn)行認(rèn)證交換公共密鑰，產(chǎn)生密鑰資源，管理密鑰。協(xié)商協(xié)議參數(shù)（封裝，加密，驗(yàn)證….）目錄VPN概述IPsec技術(shù)詳解IKE介紹3.1概述3.2IKE協(xié)商過程3.3IKE安全提議PKI基本架構(gòu)概述IKEv1和IKEv2IKE協(xié)議分IKEv1和IKEv2兩個(gè)版本。IKEv1IKEv1使用兩個(gè)階段為IPSec進(jìn)行密鑰協(xié)商并建立IPSecSA。第一階段，通信雙方協(xié)商和建立IKE本身使用的安全通道，建立一個(gè)IKESA。第二階段，利用這個(gè)已通過了認(rèn)證和安全保護(hù)的安全通道，建立一對(duì)IPSecSA。IKEv2IKEv2則簡(jiǎn)化了協(xié)商過程。在一次協(xié)商中可直接產(chǎn)生IPSec的密鑰，生成IPSecSA。IKEv1是一個(gè)復(fù)合協(xié)議IKE的三個(gè)組件IKE的三個(gè)模式野蠻模式與主模式對(duì)比IKEv1建立IKESA的過程定義了主模式（MainMode）和野蠻模式（AggressiveMode）兩種交換模式。主模式包含三次雙向交換，用到了六條信息。野蠻模式只用到三條信息。主模式和野蠻模式交換過程圖野蠻模式適用場(chǎng)景與主模式相比，野蠻模式減少了交換信息的數(shù)目，提高了協(xié)商的速度，但是沒有對(duì)身份信息進(jìn)行加密保護(hù)。雖然野蠻模式不提供身份保護(hù)，但它可以滿足某些特定的網(wǎng)絡(luò)環(huán)境需求。當(dāng)IPSec隧道中存在NAT設(shè)備時(shí)，需要啟用NAT穿越功能，而NAT轉(zhuǎn)換會(huì)改變對(duì)等體的IP地址，由于野蠻模式不依賴于IP地址標(biāo)識(shí)身份，使得采用預(yù)共享密鑰驗(yàn)證方法時(shí)，NAT穿越只能在野蠻模式中實(shí)現(xiàn)。如果發(fā)起方的IP地址不固定或者無法預(yù)知道，而雙方都希望采用預(yù)共享密鑰驗(yàn)證方法來創(chuàng)建IKESA，則只能采用野蠻模式。如果發(fā)起方已知響應(yīng)方的策略，或者對(duì)響應(yīng)者的策略有全面的了解，采用野蠻模式能夠更快地創(chuàng)建IKESA?？焖倌Ｊ剑≦uickMode）快速模式中，雙方需要協(xié)商生成IPSecSA各項(xiàng)參數(shù)（包含可選參數(shù)PFS），并為IPSecSA生成認(rèn)證/加密密鑰。這在快速模式交換的前兩條消息①和②中完成，消息②中還包括認(rèn)證響應(yīng)方。消息③為確認(rèn)信息，通過確認(rèn)發(fā)送方收到該階段的消息②，驗(yàn)證響應(yīng)者是否可以通信?？焖倌Ｊ浇粨Q過程圖IKEv2密鑰協(xié)商和交換IKEv2保留了IKEv1的大部分特性，IKEv1的一部分?jǐn)U展特性（如NAT穿越）作為IKEv2協(xié)議的組成部分被引入到IKEv2框架中。IKEv2中所有消息都以“請(qǐng)求-響應(yīng)”的形式成對(duì)出現(xiàn)，響應(yīng)方都要對(duì)發(fā)起方發(fā)送的消息進(jìn)行確認(rèn)，如果在規(guī)定的時(shí)間內(nèi)沒有收到確認(rèn)報(bào)文，發(fā)起方需要對(duì)報(bào)文進(jìn)行重傳處理，提高了安全性。IKEv2初始交換過程圖IKEv2初始交換過程圖目錄VPN概述IPsec技術(shù)詳解IKE介紹3.1概述3.2IKE協(xié)商過程3.3IKE安全提議PKI基本架構(gòu)概述IKE安全機(jī)制身份認(rèn)證身份保護(hù)DH（Diffie-Hellman）密鑰交換算法完善的前向安全性PFS（PerfectForwardSecrecy）身份認(rèn)證確認(rèn)通信雙方的身份（對(duì)等體的IP地址或名稱），包括：預(yù)共享密鑰PSK（pre-sharedkey）認(rèn)證數(shù)字證書RSA（rsa-signature）認(rèn)證數(shù)字信封認(rèn)證DH（Diffie-Hellman）密鑰交換算法網(wǎng)關(guān)A和B利用ISAKMP消息的KeyExchange和nonce載荷交換彼此的密鑰材料。KeyExchange用于交換DH公開值。nonce用于傳送臨時(shí)隨機(jī)數(shù)。由于DH算法中IKEPeer雙方只交換密鑰材料，并不交換真正的共享密鑰，所以即使黑客竊取了DH值和臨時(shí)值也無法計(jì)算出共享密鑰，這一點(diǎn)正是DH算法的精髓所在。從抓包中可以看到IKEPeer雙方交換密鑰材料，以消息3為例：DH（Diffie-Hellman）密鑰交換算法完美的前向安全性PFS短暫的一次性密鑰系統(tǒng)稱為“完美向前保密”（PerfectForwardSecrecy，PFS）如果加密系統(tǒng)中有一個(gè)秘密是所有對(duì)稱密鑰的衍生者（始祖），便不能認(rèn)為那是一個(gè)“完美向前保密”的系統(tǒng)。在這種情況下，一旦破解了根密鑰，便能拿到自它衍生的所有密鑰，受那些密鑰保護(hù)的全部數(shù)據(jù)都會(huì)曝光。在IPSEC里,PFS是通過在IPSECSA協(xié)商階段重新進(jìn)行一次D-H交換來實(shí)現(xiàn)的.目錄VPN概述IPsec技術(shù)詳解IKE介紹PKI基本架構(gòu)概述PKI定義PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）是通過使用公鑰技術(shù)和數(shù)字證書來提供系統(tǒng)信息安全服務(wù)，并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系。PKI保證了通信數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性和認(rèn)證性。PKI系統(tǒng)邏輯結(jié)構(gòu)圖用戶通過與PKI的管理層RA進(jìn)行交互，通過RA身份認(rèn)證后，就可以提交申請(qǐng)到CA進(jìn)行證書申請(qǐng)，CA就可以頒發(fā)證書給用戶。通常，我們?cè)诂F(xiàn)實(shí)生活中，例如網(wǎng)上銀行要用到證書，證書申請(qǐng)還需要比較傳統(tǒng)的方法，到銀行去手動(dòng)辦理，進(jìn)行填寫表格后，由銀行進(jìn)行確認(rèn)后，CA才會(huì)頒發(fā)。而在我們一些使用證書的解決方案中，就不需要這么麻煩，可以使用計(jì)算機(jī)通過網(wǎng)絡(luò)來實(shí)現(xiàn)整個(gè)PKI結(jié)構(gòu)的使用及其服務(wù)申請(qǐng)。為什么要用PKI舉例：IPsec身份認(rèn)證（預(yù)共享密鑰方式）配置簡(jiǎn)單。只需在總舵和分舵的網(wǎng)關(guān)上配置相同的密鑰即可。維護(hù)復(fù)雜。但隨著分舵數(shù)量越來越多，總舵和每個(gè)分舵之間形成的對(duì)等體都要配置預(yù)共享密鑰。安全風(fēng)險(xiǎn)高。如果所有對(duì)等體都使用同一個(gè)密鑰，存在安全風(fēng)險(xiǎn)。IPsec身份認(rèn)證（PKI中的證書認(rèn)證方式）維護(hù)簡(jiǎn)單。但隨著分舵數(shù)量越來越多，只需要向CA申請(qǐng)證書即可。安全風(fēng)險(xiǎn)高。不同的分舵使用不同的證書，對(duì)應(yīng)的密鑰也不同。PKI的組成PKI的組成通常由以下幾部分組成：證書頒發(fā)機(jī)構(gòu)（CA）證書注冊(cè)機(jī)構(gòu)（RA）證書庫(kù)密鑰備份及恢復(fù)系統(tǒng)證書廢除處理系統(tǒng)應(yīng)用系統(tǒng)接口數(shù)字證書PKI的功能簽發(fā)證書證書、密鑰對(duì)的自動(dòng)更新簽發(fā)證書黑名單密鑰備份與恢復(fù)功能加密、簽名密鑰的分隔密鑰歷史的管理證書鑒別，交叉認(rèn)證PKI框架的兩個(gè)重要角色終端實(shí)體（EE，EndEntity）：證書的最終使用者，例如總舵和分舵的網(wǎng)關(guān)。證書頒發(fā)機(jī)構(gòu)（CA，CertificateAuthority）：是一個(gè)權(quán)威的、可信任的第三方機(jī)構(gòu)（類似刑部），負(fù)責(zé)證書頒發(fā)、查詢以及更新等工作。證書申請(qǐng)過程終端實(shí)體生成公私密鑰對(duì)，并將公鑰、實(shí)體信息發(fā)送給CA進(jìn)行證書申請(qǐng)。CA審核實(shí)體身份，根據(jù)實(shí)體的公鑰和實(shí)體信息制作證書，然后為實(shí)體頒發(fā)證書。通過這一過程，總舵和分舵網(wǎng)關(guān)就可以從CA獲取到代表自己身份的證書。CA的證書組成CA生成的證書版本：即使用X.509的版本，目前普遍使用的是v3版本（0x2）。序列號(hào)：該序列號(hào)在CA服務(wù)范圍內(nèi)唯一。簽名算法：CA簽名使用的算法。頒發(fā)者：CA的名稱。有效期：包含有效的起、止日期，不在有效期范圍的證書為無效證書。主題：證書所有者的名稱。公鑰信息：對(duì)外公開的公鑰。擴(kuò)展信息：通常包含了使用者備用名稱、使用者密鑰標(biāo)識(shí)符等可選字段。簽名：CA的簽名信息，又叫CA的指紋信息。PKI框架中申請(qǐng)、頒發(fā)證書兩種方式從CA獲取證書：在線方式（帶內(nèi)方式）網(wǎng)關(guān)和CA通過證書申請(qǐng)協(xié)議交互報(bào)文，在線申請(qǐng)證書。常用的證書申請(qǐng)協(xié)議有SCEP（SimpleCertificationEnrollmentProtocol）和CMP（CertificateManagementProtocol）。離線方式（帶外方式）首先，通過磁盤、電子郵件等方式將該文件發(fā)送給CA。然后，CA根據(jù)證書請(qǐng)求文件為網(wǎng)關(guān)制作證書，同樣通過磁盤、電子郵件等方式將證書返回。最后，我們將證書上傳到網(wǎng)關(guān)的存儲(chǔ)設(shè)備中。離線方式申請(qǐng)證書的流程1、創(chuàng)建公私密鑰對(duì)在網(wǎng)關(guān)FWA上創(chuàng)建公私密鑰對(duì)：[FWA]rsalocal-key-paircreateThekeynamewillbe:FWA_HostTherangeofpublickeysizeis(512~2048).NOTES:Ifthekeymodulusisgreaterthan512,

Itwilltakeafewminutes.Inputthebitsinthemodulus[default=512]:2048Generatingkeys....................................................+++...............................................+++..............++++++++.++++++++在網(wǎng)關(guān)FWB上創(chuàng)建公私密鑰對(duì)：[FWA]rsalocal-key-paircreateThekeynamewillbe:FWB_HostTherangeofpublickeysizeis(512~2048).NOTES:Ifthekeymodulusisgreaterthan512,

Itwilltakeafewminutes.Inputthebitsinthemodulus[default=512]:2048Generatingkeys....................................................+++...............................................+++..............++++++++.++++++++2、配置實(shí)體信息在網(wǎng)關(guān)FWA上創(chuàng)建公私密鑰對(duì)：pkientityfwacommon-namefwa//通用名稱fqdn//FQDN名稱

ip-address//IP地址email//Email地址pkidomainfwacertificaterequestentityfwa

//PKI域中引用實(shí)體信息在網(wǎng)關(guān)FWB上創(chuàng)建公私密鑰對(duì)：

pkientityfwbcommon-namefwb//通用名稱fqdn//FQDN名稱ip-address//IP地址email//Email地址pkidomainfwbcertificaterequestentityfwb

//PKI域中引用實(shí)體信息3、生成證書請(qǐng)求文件接下來就可以在網(wǎng)關(guān)FWA和FWB上生成證書請(qǐng)求文件，生成的證書請(qǐng)求文件以“PKI域名.req”的名字保存在網(wǎng)關(guān)FWA和FWB的存儲(chǔ)設(shè)備中，F(xiàn)WA生成的證書請(qǐng)求文件名字是fwa.req，F(xiàn)WA生成的證書請(qǐng)求文件名字是fwb.req。[FWA]pkirequest-certificatedomainfwapkcs10Creatingcertificaterequestfile...Info:Createcertificaterequestfilesuccessfully.[FWB]pkirequest-certificatedomainfwbpkcs10Creatingcertificaterequestfile...Info:Createcertificaterequestfilesuccessfully.4、CA根據(jù)證書請(qǐng)求文件制作證書證書請(qǐng)求文件生成后，可以將該文件通過磁盤、電子郵件等方式將該文件發(fā)送給CA，由CA為網(wǎng)關(guān)FWA和FWB制作證書。除了網(wǎng)關(guān)FWA和FWB的證