那些年你错过的“VPN盲点”
01
VPN的连接模式:
① 传输模式:只保护数据,加密传输的内容
优点:效率高
缺点:不安全
应用场景:适用于在企业内网中部署IPsec vpn,不需要封装新的IP包头。结合GRE VPN使用
② 隧道模式:保护数据和IP包头,重新封装一个IP包头可以直接在公网上搭建VPN
优点:安全性更高
缺点:效率低
02
VPN的类型:
① 主模式-----站点到站点VPN:SITE-to-SITE
对方的IP地址是固定的。
②积极模式----远程访问VPN:remote-access远程用户IP地址是不固定的。
对方的IP地址不是固定的,可以用IP地址或者域名进行建立连接。
03
VPN技术:
IPsec vpn优势在于能对数据进行保护。主要用到下面两种技术:
加密算法:
① 对称加密算法:公钥加密 公钥解密
DES数据加密标准 64bit=56bit+8bit
3DES 3*(56bit+8bit)
AES 高级加密标准 128bit~256bit【最高达到256bit】
优点:传输效率高
缺点:安全性较低
② 非对称加密算法:公钥加密 私钥解密【私钥始终没有在公网上传输】
DH
优点:安全性更高
缺点:传输效率低
注:问题
使用对称加密算法密钥可能被窃听
使用非对称加密算法,计算复杂,效率太低,影响传输速度。
解决方案
§ 通过非对称加密算法加密对称加密算法的密钥
§ 然后再用对称加密算法加密实际要传输的数据
04
IPSec VPN 使用的协议:
① 阶段一:使用 ISKMAP
IKE 因特网密钥交换协议【统称】
ISKMAP:安全关联和密钥管理协议【具体实现协议】
② 阶段二:使用ESP AH
ESP:封装安全载荷协议
· ESP对用户数据实现加密功能
· ESP只对IP数据的有效载荷进行验证,不包括外部的IP包头
AH:认证头协议
· 数据完整性服务
· 数据验证
· 防止数据回放攻击
05
IPSec VPN建立的两个阶段:
阶段1:建立管理连接,
建立一个安全的VPN通道,定义密钥与及加密算法参数【非对称加密算法,对称加密算法】
阶段一建立过程中:
① 主模式-----站点到站点VPN:SITE-to-SITE
对方的IP地址是固定的
主模式协商阶段一的时候,使用到6个数据包。注:前4个报文为明文传输,从第5个数据报文开始为密文传输。
② 积极模式----远程访问VPN
对方的IP地址不是固定的,可以用IP地址或者域名进行建立连接
阶段2:建立数据连接,
配置IPSec VPN 条件:
1) 建立VPN的两个对等体公网要能够通信
2) VPN的流量要做NAT分离
ESP支持加密和认证
AH只支持认证
06
配置IPSec VPN:
阶段1:定义管理连接
crypto isakmp policy 10------设置IKE策略,policy后面跟1-10000的数字,这些数字代表策略的优先级。
encr 3des-----加密算法使用3des
hash md5---- hash算法使用MD5
authentication pre-share----采用欲共享密钥认证方式
group 2-----采用第二个组的长度【共有1、2、6三个组可以选择】
crypto isakmp key CCIE address 23.1.1.2----
设置IKE交换的密钥,CCIE表示密钥组成,23.1.1.2表示对方的IP地址
验证命令:
R2#show crypto isakmp policy 查看阶段1的IKE策略
R2# show crypto isakmp key
R1#show crypto isakmp sa 查看阶段1是否协商成功
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
23.1.1.2 13.1.1.1 QM_IDLE 1001 0 ACTIVE
阶段2的配置命令
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
crypto ipsec transform-set SPOTO esp-aes esp-md5-hmac
crypto map MAP 10 ipsec-isakmp
set peer 23.1.1.2
set transform-set SPOTO
match address 101
!
interface Serial1/0
crypto map MAP
验证命令:
R1#show crypto ipsec transform-set
R1#show crypto map
R1#show crypto ipsec sa
为了方便广大网络爱好学习者一起学(聚)习(众)交(搞)流(基),特开设华为干货交流群,里面已经上传大量学习资料,欢迎广大网络工程师进群学习!
扫描下方二维码 进群学习交流
发现“分享”和“赞”了吗,戳我看看吧