一、VPN概述
1、介绍
VPN(Virtual Private Network)虚拟专用网络/虚拟专网
2、引入
VPN在不安全的网络上,安全的传输数据,好像专网
VPN只是一个技术,使用PKI,来保证数据的安全的三要素
3、安全三要素
1)机密性
2)完整性
3)身份验证
4、加密技术
1)对称加密
加密与解密使用相同的密钥
密钥是通信双方协商生成,生成过程是明文通信
密钥容易泄露
速度快
对称加密算法:DES、3DES、AES
2)非对称加密
使用公私钥加密数据
公私钥成对生成,互为加解密关系!
公私钥不能互相推算!
双方交换公钥
使用对方的公钥加密实现机密性
使用自己的私钥进行签名,实现身份验证
速度慢,安全性高
常见的算法:RSA、DH
5、完整性算法/hash值
MD5、SHA
6、VPN类型
1)远程访问VPN
远程访问VPN(Remote Access VPN)
用在个人到安全连接企业内部!
出差员工/在家办公,安全连接内网时使用!
公司部署VPN服务器,员工在外拨号连接VPN即可!
常见RA-VPN协议:PPPTP、L2TP VPN、SSTP VPN、EZvpn/easyvpn、SSL VPN
2)点到点VPN
用在企业对企业安全连接!
需要在两个企业总出口设备之间建立VPN通道
常见的点到点VPN:IPsecVPN
二、IPsecVPN
1、IPsecVPN概述
属于点到点VPN,可以在2家企业之间建立VPN隧道
2、VPN隧道优点
- 安全
- 合并两家企业内网!
3、VPN隧道技术
VPN隧道技术 = 重新封装技术 + 加密认证技术
VPN隧道模式
1)传输模式:只加密上层数据,不加密私有IP包头,速度相对快
2)隧道模式:加密整个私有IP包,包括IP包头,更安全,速度相对慢
4、IPsecVPN两大阶段
第一阶段:管理连接
目的
通信双方设备通过非对称加密算法加密对此机密算法所使用的对称密钥!
命令
conf t
crypto isakmp policy 1 (传输集/策略集)
encryption des/3des/aes
hash md5/sha
group 1/2/5
authentication pre-share
lifetime 秒 (默认86400秒)
exit
crypto isakmp key 预共享密钥 address 对方的公网IP地址
第二阶段:数据连接
目的
通过对称加密算法加密实际要传输的私网数据
命令
1)定义VPN触发流量:
conf t
access-list 100 perrmit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
2)定义加密及认证方式
ESP:支持加密及认证(身份验证+完整性)
AH:只支持认证(身份认证+完整性)
conf t
crypto ipsec transform-set 传输模式 esp/sh-des/3des/ase esp/ah-md5/sha-hmac
例如:
crypto ipsec transform-set wentran esp-aes esp-sha-hmac
3)创建MAP映射表:
conf t
crypto map map名 1 ipsec-isakmp
match address acl表名
set tansform-set 传输模式名
set peer 对方的公网IP
exit
例:
crypto map wenmap 1 ipsec-isakmp
match address 100
set tansform-set wentran
set peer 200.1.1.2
exit
crypto map wenmap 2 ipsec-isakmp
match address 101
set tansform-set wentran
set peer 150.1.1.2
exit
4)将map表应用到外网端口
注:一个接口只能应用一个map表
int f0/1(外网端口)
crypto map wenmap
exit
5、查看命令
show crypto isakmp sa 查看第一阶段状态
show crypto ipsec sa 查看第二阶段状态
show crypto isakmp policy 查看第一阶段的策略配置集
show crypto ipsec transform-set 查看第二阶段的传输模式
6、路由器的工作原理
内网 -- to -- 外网:路由 -- NAT --VPN -- 出去
三、远程访问内VPN
在公司需要搭建VPN服务器
VPN服务器需要对VPN客户端进行身份验证
VPN服务器需要给VPN客户端下发权限和IP地址