第十九天

目录

• VPN(Virtual Rrivate Network)
  • 引入
  • 加密技术
  • 完整性算法/hash值算法
  • VPN的类型
  • IPsecVPN
  • 远程访问VPN
  • 端口号

VPN(Virtual Rrivate Network)

虚拟专有网络，虚拟专网

引入

VPN可以实现在不安全的网络上，安全的传输数据，好像专网，VPN只是一个技术，使用PKI技术，来保证数据的安全三要素（机密性，完整性，身份验证）。

加密技术

1. 对称加密：加密与解密使用相同的密钥，密钥是通信双方协商生成的，生成过程中是明文通信！密钥容易泄露！对称加密算法：DES、3DES、AES(一般使用)
2. 非对称加密：使用公私钥加密数据，公私钥成对生成，互为加解密关系！公私钥不能互相推算！双方交换公钥，加密的时候使用对方的公钥加密实现机密性，使用自己的私钥进行数字签名实现身份验证。常见算法：RSA，DH(VPN使用)

完整性算法/hash值算法

MD5 、SHA

VPN的类型

1. 远程访问VPN：(Remote Access VPN)
   • 一般用在个人到安全连接企业内部
   • 一般出差员工/在家办公，安全连接内网时使用
   • 一般公司部署VPN服务器，员工在外拨号连接VPN即可
   • 常见RA-VPN协议：PPTP VPN、L2TP VPN(FQ) 、SSTP VPN、EZvpn/easyvpn、SSL VPN
2. 点到点VPN：
   • 一般用在企业对企业安全连接
   • 一般需要在两个企业总出口设备之间建立VPN通道！
   • 常见的点到点VPN：IPsecVPN

IPsecVPN

• 属于点到点VPN，可以在两家企业之间建立隧道！
• VPN隧道优点：
  • 安全性
  • 合并两家企业内网
• VPN隧道技术：
  • 传输模式：只加密上层数据，不加密私有IP包头，速度快
  • 隧道模式：加密整个私有IP包，包括IP包头，更安全，速度慢
• VPN隧道技术：重新封装+加密认证技术
• IPsecVPN分为两大阶段：
  • 第一阶段：管理连接
    • 目的：通信双方设备通过非对称加密算法加密对称加密算法所协商的加密密钥
    • 命令：

conf t
crypto isakmp policy 1          // （传输集/策略集配置模式）
    encryption  des/3des/aes
    hash md5/sha
    group 1/2/5
    authentication pre-share
    lifetime 秒                      //（默认86400秒）
    exit
crypto isakmp key 预共享密钥 address 对方的公网IP地址

• 第二阶段：数据连接
  • 目的：通过对称加密算法加密实际所要传输的私网数据
  • 命令：

//ACL 
1. 用在接口进和出的时候起流量过滤的作用
2. 用来进行匹配

// 定义VPN出发流量：
access-list 100 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255

//定义加密方式：
conf t
crypto ipsec transform-set 传统模式 esp/ah-des/3des/aes     esp/ah-md5/sha-hmac
                                                              加密                                 完整性和身份认证
例如：
crypto ipsec transform-set wentran esp-aes esp-sha-hmac

ESP：支持加密及认证（身份认证+完整性）
AH：只支持认证(身份认证+完整性)

• 创建MAP映射表：

conf t
crypto map map名 1 ipsec-isakmp
    match address acl表名
    set transform-set wentran
    set peer 对方的公网IP
    exit
例如：
conf t
crypto map wenmap 1 ipsec-isakmp
    match address 100
    set transform-set wentran
    set peer 200.1.1.2
    exit
    
 conf t
crypto map wenmap 2 iskmp
    match address 101
    set transform-set wentran
    set peer 150.1.1.2
    exit

• 将MAP映射表应用到外网端口

int f0/1(外网端口)
    crypto map wenmap
    exit


注意：一个接口只能应用一个MAP表！！！

• 查看命令

show crypto isakmp sa 查看第一阶段状态
show crypto ipsec sa 查看第二阶段状态

show crypto isakmp policy 查看第二阶段的配置策略集
show crypto ipsec transform-set 查看第二阶段的传输模式

• 路由器的工作原理
  内网-to-外网：路由-NAT-VPN-出去

远程访问VPN

在公司需要搭建VPN服务器
VPN服务器需要对VPN客户端进行身份验证
VPN服务器需要给VPN客户端下发权限及IP地址

端口号

无论是PPTP还是L2TP
都是 TCP 1723