《網(wǎng)絡(luò)安全技術(shù)配置與應(yīng)用》課件網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)七 Gre Over IPSec VPN配置_第1頁(yè)
《網(wǎng)絡(luò)安全技術(shù)配置與應(yīng)用》課件網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)七 Gre Over IPSec VPN配置_第2頁(yè)
《網(wǎng)絡(luò)安全技術(shù)配置與應(yīng)用》課件網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)七 Gre Over IPSec VPN配置_第3頁(yè)
《網(wǎng)絡(luò)安全技術(shù)配置與應(yīng)用》課件網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)七 Gre Over IPSec VPN配置_第4頁(yè)
《網(wǎng)絡(luò)安全技術(shù)配置與應(yīng)用》課件網(wǎng)絡(luò)安全項(xiàng)目二任務(wù)七 Gre Over IPSec VPN配置_第5頁(yè)
已閱讀5頁(yè),還剩10頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

項(xiàng)目二任務(wù)七:GreOverIPSecVPN配置一、任務(wù)介紹二、IPSec與NAT的業(yè)務(wù)沖突三、GreOverIPSecVPN原理四、GreOverIPSecVPN配置五、任務(wù)配置一、任務(wù)介紹

根據(jù)任務(wù)網(wǎng)絡(luò)拓?fù)浼捌髽I(yè)網(wǎng)絡(luò)需求,應(yīng)用GreOverIPSecVPN實(shí)現(xiàn)任務(wù)要求,理解IPSec與NAT業(yè)務(wù)沖突原因及解決思路,理解IPSecOverGreVPN對(duì)VPN與非VPN數(shù)據(jù)的分流封裝過(guò)程,掌握GreOverIPSecVPN的配置,學(xué)會(huì)應(yīng)用GreOverIPSecVPN技術(shù)。

二、IPSec與NAT的業(yè)務(wù)沖突NAT:內(nèi)網(wǎng)地址轉(zhuǎn)換,邊界設(shè)備替換源IP源IP包轉(zhuǎn)換后IP包IPSECVPN:內(nèi)網(wǎng)到內(nèi)網(wǎng)遠(yuǎn)程隧道網(wǎng)絡(luò),邊界設(shè)備數(shù)據(jù)驗(yàn)證源IP包IPSECVPNIP包DataDataDataDataAH/ESP加密驗(yàn)證二、IPSec與NAT的業(yè)務(wù)沖突IPSECVPN&NAT---R1fa0/0:觸發(fā)IPSEC業(yè)務(wù)R1s0/0/0:觸發(fā)NAT業(yè)務(wù)DataDataAH/ESP加密驗(yàn)證hash1DataAH/ESP加密驗(yàn)證hash2二、IPSec與NAT的業(yè)務(wù)沖突

——沖突本質(zhì)VPN數(shù)據(jù)內(nèi)網(wǎng)到內(nèi)網(wǎng)IPSEC封裝,數(shù)據(jù)驗(yàn)證NAT數(shù)據(jù)內(nèi)網(wǎng)到外網(wǎng)替換源IP數(shù)據(jù)沒(méi)有區(qū)分,所有數(shù)據(jù)進(jìn)行了NAT和IPSECVPN封裝二、IPSec與NAT的業(yè)務(wù)沖突

——解決沖突內(nèi)網(wǎng)到內(nèi)網(wǎng)IPSECVPN內(nèi)網(wǎng)到外網(wǎng)NAT二、IPSec與NAT的業(yè)務(wù)沖突

——解決沖突設(shè)置規(guī)則實(shí)現(xiàn)數(shù)據(jù)分流ACL(PacketTracer不支持)路由:VPN走隧道數(shù)據(jù)

規(guī)則(路由)數(shù)據(jù)分流VPN走隧道NAT不走隧道三、GreOverIPSecVPN原理內(nèi)網(wǎng)到內(nèi)網(wǎng)兩端IP地址固定建立隧道符合內(nèi)網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)進(jìn)隧道,不符合的不進(jìn)隧道三、GreOverIPSecVPN原理

建立tunnel隧道,GREVPN建立靜態(tài)路由(內(nèi)-內(nèi))進(jìn)隧道,(內(nèi)-外)不進(jìn)隧道對(duì)隧道數(shù)據(jù)加密,IPSECVPN(注isakmpsa-隧道,ipsecsa-會(huì)話)DataAH/ESP加密驗(yàn)證Data三、GreOverIPSecVPN原理IPSECVPN數(shù)據(jù)IP數(shù)據(jù)包IPSEC隧道acIPSECOVERGREVPN數(shù)據(jù)IP數(shù)據(jù)包GRE隧道IPSEC隧道DataGRE加密驗(yàn)證AH/ESPGREIPSEC四、GreOverIPSecVPN配置IPSecOverGREVPN的關(guān)鍵是使用IPSEC封裝GRE數(shù)據(jù)包GRE數(shù)據(jù)封裝在路由之前(tunnel邏輯接口)GRE數(shù)據(jù):R1(config)#iprouteIPSecVPN對(duì)GRE數(shù)據(jù)再封裝,之后路由IPSec數(shù)據(jù)R1(config)#access-list101permitgrehosthost210.28.144四、任務(wù)配置

下載任務(wù)素材GREVPN參考interfaceTunnel0//定義邏輯接口

ipaddress52tunnelsource//邏輯接口封裝的源IP地址

tunneldestination//邏輯接口封裝的目的IP地址

tunnelkey111111//隧道驗(yàn)證密碼,雙方一致!interfaceFastEthernet0/0ipaddress52!interfaceFastEthernet1/0ipaddress!iprouteTunnel0NAT參考復(fù)動(dòng)態(tài)(PAT,基于端口網(wǎng)絡(luò)地址轉(zhuǎn)換)1)定義內(nèi)部全局地址池Router(config)#

ipnatpool地址池名起始IP終止IPnetmask

2)定義一個(gè)標(biāo)準(zhǔn)的ACL,允許那些允許通過(guò)NAT的IP地

Router(config)#

access-list標(biāo)號(hào)permitx.x.x.x通配符

3)允許通過(guò)的訪問(wèn)列表與地址進(jìn)行綁定

Router(config)#

ipnatinsidesourcelistaccess-list地址池名overload

4

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論