代理

1VPNVirtual Private Network

虚拟专用网络

虚拟专网

2、引入

VPN在不安全的网络上,安全的传输数据,好像专网

VPN只是一个技术,使用PKI,来保证数据的安全的三要素

3、安全三要素:

1)机密性

2)完整性

3)身份验证

4、加密技术:

1)对称加密:加密与解密使用相同的密钥

  密钥是通信双方协商生成,生成过程是明文通信

  密钥容易泄露

  速度快

  对称加密算法:DES3DESAES

2)非对称加密算法:使用公私钥加密数据

      公私钥成对生成,互为加解密关系!

      公私钥不能互相推算!

      双方交换公钥

      使用对方的公钥加密实现机密性

                    使用自己的私钥进行签名,实现身份验证

      速度慢,安全性高

常见的算法:RSADH

5、完整性算法/hash值算法:

MD5SHA

 

6

VPN类型:

1)远程访问VPN:(Remote Access VPN

一般用在个人到安全连接企业内部!

一般出差员工/在家办公,安全连接内网时使用!

一般公司部署VPN服务器,员工在外拨号连接VPN即可!

常见RAVPN协议:PPPTPL2TP VPNSSTP VPN

EZvpn/easyvpnSSL VPN

2)点到点VPN

一般用在企业对企业安全连接!

一般需要在两个企业总出口设备之间建立VPN通道

常见的点到点VPNIPsecVPN

7IPsecVPN

1)作用:属于点到点VPN,可以在2家企业之间建立VPN隧道

2VPN隧道优点:安全性!

  合并两家企业内网!

3VPN隧道技术:

1)传输模式:只加密上层数据,不加密私有IP包头,速度相对快

2)隧道模式:加密整个私有IP包,包括IP包头,更安全,速度相对慢

4VPN隧道技术:重新封装技术+加密认证技术

5IPsecVPN分为2大阶段:

第一阶段:管理连接

目的:通信双方设备通过非对称加密算法加密对此机密算法所使用的对称密钥!

命令:

conf t

crypto isakmp policy 1       (传输集/策略集)

encryption des/3des/aes

hash md5/sha

group 1/2/5

authentication pre-share

lifetime 秒    (默认86400秒)

exit

crypto isakmp key 预共享密钥 address 对方的公网IP地址

第二阶段:数据连接

目的:通过对称加密算法加密实际要传输的私网数据

命令:

定义VPN触发流量:

conf t

access-list 100 perrmit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255

定义加密及认证方式

conf t

crypto ipsec transform-set 传输模式 esp/sh-des/3des/ase esp/ah-md5/sha-hmac

例如:

crypto ipsec transform-set wentran esp-aes esp-sha-hmac

ESP:支持加密及认证(身份验证+完整性)

AH:只支持认证(身份认证+完整性)

 

创建MAP映射表:

conf t

crypto map map1 ipsec-isakmp

match address acl表名

set tansform-set 传输模式名

set peer 对方的公网IP

exit

 

 

crypto map wenmap 1 ipsec-isakmp

match address 100

set tansform-set wentran

set peer 200.1.1.2

exit

crypto map wenmap 2 ipsec-isakmp

match address 101

set tansform-set wentran

set peer 150.1.1.2

exit

 

map表应用到外网端口:

int f0/1(外网端口)

crypto map wenmap

exit

**********注意:一个接口只能应用一个map

 

8、查看命令:

show crypto isakmp sa 查看第一阶段状态

show crypto ipsec sa 查看第二阶段状态

 

show crypto isakmp policy 查看第一阶段的策略配置集

show crypto ipsec transform-set 查看第二阶段的传输模式

 

9、路由器的工作原理

内网 -- to -- 外网:路由 -- NAT --VPN -- 出去

 

实验1:北京 -- 上海 -- 建立VPN隧道,并验证

 

实验2:在实验1的基础上,要求2个公司能上网,但不影响VPN隧道

 

实验3:在实验1和实验2的基础上,要求北京总部与广州新成立的分公司也建立VPN隧道

可选:

实验4:在1-3的基础上,要求广州和上海之间不建立VPN隧道,但广州和上海可以互相安全的通信

 

10、远程访问内VPN

在公司需要搭建VPN服务器

VPN服务器需要对VPN客户端进行身份验证

VPN服务器需要给VPN客户端下发权限和IP地址

posted @ 2021-02-19 20:15  Updown_h  阅读(187)  评论(0)    收藏  举报