第25节 虚拟专有网络原理及配置命令

已于 2022-07-01 04:26:44 修改
阅读量3.3k 收藏 18
点赞数
分类专栏: # 筑基04:OSI网络模型 文章标签: 路由器 加密解密 网络安全
于 2022-01-10 21:38:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/122415642
版权

IPsecVPN

1 引言

1.1 加密技术概述

  1. 对称加密:
    • 秘钥:加密与解密使用相同的秘钥。
    • 缺点:秘钥是通信双方协商生成的,生成过程时明文通信,导致秘钥容易泄露。
    • 常用算法:DES、3DES、AES。
  2. 非对称加密算法:
    • 使用公私钥加密数据。
    • 公私钥承兑生成、互为加解密关系。
    • 公私钥不能互相推算。
    • 双方交换公钥。
    • 使用对方公钥加密以实现机密性、使用自己的私钥进行签名以实现身份验证。
    • 常见算法:RSA、DH。
  3. 完整性算法/hash值算法:MD5、SHA。
  4. 详细请参考《第17节 PKI公钥基础设施

1.2 VPN概述

  1. VPN:Virtual Private Network,虚拟专有网络。
  2. 作用:VPN可以实现在不安全的网络上,安全地传输数据,就好像专线网络一样。
  3. 专线网络的优点:稳定、可靠、安全。VPN仅能实现安全这一优点。
  4. VPN只是一个技术,使用PKI技术来保证数据的安全三要素(机密性、完整性、身份验证及操作的不可否认性)。
  5. 条件:要求路由器支持VPN。

1.3 VPN分类

1.3.1 远程访问VPN

  1. Remote Access VPN
  2. 适用性:一般用于个人安全连接到企业内部。
  3. 一般需要公司部署VPN服务器,员工在外拨号连接VPN即可。
  4. 常见RA-VPN协议:PPTPVPN、L2TP VPN、SSTP VPN、EZVPN/easyVPN、SSL VPN(最常用)。

1.3.2 点到点VPN

  1. 适用性:一般用在企业对企业的安全连接。
  2. 一般需要在两个企业总出口设备之间建立VPN通道。
  3. 常见的点到点VPN协议:IPsecVPN。

2 IPsecVPN

2.1 IPsecVPN概述

  1. 定义:指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。
  2. IPsecVPN优点:
    1. 安全性。
    2. 合并两家企业内网。
  3. IPsecVPN技术:重新封装技术+加密认证技术。
    1. 传输模式:只加密上层数据,不加密私有IP包头与公有IP包头。速度相对快。
    2. 隧道模式(默认、常用):加密整个私有IP包,包括IP包头,不加密公有IP包头。相对安全,速度相对慢。
    3. 需要两家公司都购买静态公有IP地址。如果只有一家是静态,则只能由动态公有IP地址所在端主动向静态公有IP地址所在端发起通信。

2.2 IPsecVPN传输模式工作原理

  1. 两家企业或公司在两地的分部网络连接如下图所示,两家企业在各自总路由出出口端接口均设置IPsecVPN,当A向D发送发送数据时。数据帧经过以下过程。
    在这里插入图片描述
  2. 主机A向主机D发送数据,经内部层层封装后,数据帧结构如下图所示。其中源IP地址是主机A本身,目标IP地址是主机D。在这里插入图片描述
  3. 数据帧传到路由器,路由器对数据帧解封装,识别到MAC地址是本身后,将数据路由至出口端,IPsecVPN对数据进行处理并封装。(1)先对数据利用PKI技术进行加密;(2)在数据段前后加上标签,表示加密开始和结束;(3)将源IP地址和目标IP地址放到可选项中隐藏起来,更换成两家公司总路由的IP地址。
    在这里插入图片描述
  4. 当数据帧经过互联网传达到另一家公司路由器时,该路由器对数据帧解封装,判断数据是否是发给自己,如是则路由器利用IPsecVPN技术开始对数据帧进行解密和封装,再路由给主机D所在接口。解密与封装过程为:(1)识别IP包头,将两家公司的公有IP包头替换为可选项中的私有IP包头;(2)将数据进行解密并验证数据的安全性,如没问题则封装并路由。在这里插入图片描述
  5. 数据帧安全送达主机D,实现两个私有地址之间的通信。主机D对A进行回包,则是将IP对换位置,其余过程一致。
  6. 注意上述过程每次封装后,MAC帧头与帧尾都会发送变化。

2.3 IPsecVPN隧道模式工作原理

  1. 当以上例子中主机A向D发送数据时,数据帧到达A公司路由器出口端时,路由器检查数据帧是否是发给自己,如是则应用IPsecVPN技术进行路由及封装。封装过程如下:(1)对整个IP包进行加密;(2)封装上VPN头与尾。
    在这里插入图片描述
  2. 数据帧经过互联网传达到另一家公司路由器时,该路由器对数据帧解封装,判断数据是否是发给自己,如是则路由器利用IPsecVPN技术开始对数据帧进行解密和封装,再路由给主机D所在接口。解密与封装过程为:(1)去掉VPN头与尾;(2)验证数据的安全性;(3)按原来的IP包头封装并路由到主机D对应的接口上。在这里插入图片描述

2.4 路由器工作顺序

当路由器上已配置了NAT与VPN时,路由器对数据帧逐个匹配,先匹配NAT、再匹配VPN最后发出去。因此部署NAT时需要考虑VPN的网段需求,两者需要互补,即NAT豁免技术。

3 IPsecVPN配置方法

大部分时间是在数据传输阶段,假设两家公司希望在数据传输阶段可以采用对称算法进行加密(速度快),在管理阶段先利用非对称算法让双方建立对称算法的秘钥,同时每隔一段时间更换一次秘钥。

3.1 第一阶段:管理连接

  1. 目的:利用非对称算法加密对称加密算法所使用的对称秘钥,以达到安全地协商对称加密算法秘钥的目的。
  2. 命令:配置在路由器外网接口处。
en
conf t
crypto isakmp policy 1		#进入传输及策略配置模式,配置策略集1号。isakmp(IKE,网络密钥交换协议)
encryption des/3des/aes		#常用aes
hash md5/sha
group 1/2/5					#指定非对称加密算法,默认采用DH算法,1 2 5指定公私钥长度。
anthentication pre-share	#使用“预共享密钥”算法验证身份,预共享密钥需要在两家公司的设备上配置,不能泄露。
lifetime 秒					#指定秘钥更新周期。可以不配,默认是86400秒即一天。两家公司设备宜设置一致,如不一致以间隔时间短的为准。
exit
crypto isakmp key 预共享密钥 addresss 对方的公网IP地址
  1. 当两公司中有一方发起通信时,将策略表1发送给另一个公司,双方需要将表格内容协商一致后才能进行通信,各个公司可以配置多个表。
  2. 策略集中,允许不一致的地方有:(1)表号;(2)秘钥更新间隔时间建议一致,有些设备要求一定要一致。

3.2 第二阶段:数据连接

  1. 目的:利用上一阶段产生的对称加密算法秘钥,采用对称加密算法加密实际所要传输的私网数据。
  2. 命令:
en
conf t
# 定义VPN触发条件,用于限定哪些流量走VPN。
access-list 100 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255		#ACL表用于匹配,表示192.168发给172.16的数据帧走VPN。
# 定义加密及验证方式,通信双方需要一致。
# esp-des/3des/aes定义了加密方式,esp/ah-md5/sha-hmac定义了身份验证及完整性验证。
# des/3des/aes,三选一。阶段一无论用哪个算法产生的秘钥,三个都可用。
# esp/ah,二选一。
# md5/sha二选一。
# md5/sha-hmac:表示将阶段一中的预共享密钥作为哈希算法的部分内容,一起算hash值。可验证身份。
# 传输模式名表示自定义名,建议英文名,当调用该模式时就是调用后面的加密认证方式。
crypto ipsec transform-set 传输模式名 esp-des/3des/aes esp/ah-md5/sha-hmac
# 例子
crypto ipsec transform-set QQtran esp-aes esp-sha-hmac
  1. ESP:支持加密及身份认证。(身份验证+完整性)
  2. AH:只支持认证。(身份验证+完整性)AH的认证强度比ESP强。

3.3 创建MAP映射

  1. 目的:阶段一创建了传输集,阶段二定义了ACL表与加密验证模式,创建MAP映射表将上述内容应用到路由器外网接口上。
  2. 命令:
en
conf t
crypto map map1 ipsec-isakmp		#进入MAP表配置模式。创建一个map表并命名,数字1表示表号。isakmp表示应该阶段一所有策略集。
match address 100				#应用阶段二的ACL表,表号是100的那个。
set stansform-set 传输模式名		#设置前面阶段二应用的传输模式名。
set peer 对方公网IP1
exit

crypto map map组名 2 ipsec-isakmp		#在这个一个map表组里,可以有多个表号。以支持同时对多个公司开通VPN。
match address 200				#不同map表号的ACL表规则应该相互独立,不然数据帧将不知听谁指挥。
set stansform-set 传输模式名
set peer 对方公网IP2
exit

int f0/1						#假设f0/1就是接外网的接口
crypto map map组名				#应用该map表。
exit
  1. 注意:一个接口只能应用一个map组名,用不同map表号来同时与多个公司建立VPN。
  2. 对以上各阶段表号的理解:
    1. 一个接口上仅能应用一个map组,一个map组可以对应多个map表号,一个map表号就是一张完整的map表,不同map表对应不同匹配、加密、认证规则。
    2. 数据帧匹配自己是属于该map组中众多map表的哪一个,应用该表。
    3. 该表中属于阶段一的策略集含有多个策略,公司双方需要在阶段一明确该策略,在阶段利用阶段一生成的秘钥进行通信。

4 总结

  1. 了解加密技术的种类及常用算法;
  2. 了解VPN技术的作用及分类;
  3. 理解掌握两种IPsecVPN模式的工作原理;
  4. 理解map表组、map表号、ACL表号、策略集之间的关系;
  5. 理解掌握IPsecVPN配置方法。
Fighting_hawk
关注
  • 0
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPSEC学习
Hakkazhongli的博客
06-20 2310
IPSec协议产生的背景 用户在互联网上传输的数据容易遭受窃取
CIsco路由器实现IPSec 虚拟专用网原理配置详解
小健健的博客
11-02 5126
博文大纲: 一、虚拟专用网概述; 1.虚拟专用网的定义; 2.虚拟专用网的模型与类型; (1)虚拟专用网的连接模式; (2)虚拟专用网的类型; 二、虚拟专用网技术; 1.加密技术; (1)对称加密算法; (2)非对称加密算法; (3)密钥交换; 2.数据报文验证; (1)HMAC功能实现验证功能; (2)MD5和SHA; 三、IPSec 虚拟专用网; 1.IPsec连接; 2.ISAKMP/IK...
在企业网络中部署×××备份技术
weixin_33979203的博客
12-02 109
随着社会经济的高速发展,现代企业发展规模正从独立企业走向集团化企业,企业管理也从独立化走向集中统一管理模式,在这种需求情况下,信息化建房也成为企业发展的重要环,为了保障企业业务数据安全的在运营商或internet网络中传输,×××技术也得到广泛的应用。为了保障网络的高可用性和高可靠性,在部署×××网络的时候,备份链路是必须考虑到的关键因素。 在部署×××备份链路时,可以通...
思科路由器配置命令(五)
kali_Chenye的博客
09-29 4751
一、 GRE配置 https://blog.csdn.net/weixin_33850890/article/details/89906543 1、实验拓扑 2、基本配置 R1(config)#int lo0 R1(config-if)#ip address 10.1.1.1 255.255.255.0 配置环回口地址当接入PC用 R1(config)#int e0/0 R1(config-if)#ip address 202.1.1.1 255.255.255.0 R1(config-if)#n
VPN入门教程:基本概念、使用方法及思科模拟器实践
热门推荐
weixin_43263566的博客
12-16 2万+
VPN(Virtual Private Network)虚拟专用网络
CISCO路由器配置命令及方法
10-31
在本文中,我们将深入探讨Cisco路由器配置命令及方法,这对于初学者来说是一个非常实用的指南。Cisco路由器网络基础设施的核心组件,它们负责在网络之间转发数据包并实现网络间的通信。了解如何配置Cisco路由器...
思科路由器配置命令及方法
05-04
思科路由器配置网络管理员必须掌握的关键技能之一,它涉及多个方面,包括基本设置、命令状态、协议配置、服务质量以及访问控制等。以下是对这些知识点的详细说明: **第一章 路由器配置基础** 1. **基本设置方式...
CCNA路由配置命令及解析
05-18
【CCNA路由配置命令及解析】是网络管理员和学习者必备的参考资料,主要涉及Cisco路由器配置网络连接以及路由协议的设定。本教程旨在帮助读者掌握基础的网络配置技能,提升网络管理能力。 第一章:路由器配置...
思科路由器命令大全
06-09
**第二章 广域网协议设置** 1. **HDLC**:Cisco专有的数据链路层协议,用于同步串行链路。 2. **PPP**:点对点协议,支持认证、压缩和多协议封装。 3. **X.25**:公共数据网络协议,提供错误检测和纠正。 4. **...
CISCO路由器配置手册
02-21
**第二章 广域网协议设置** 本章介绍了CISCO路由器支持的不同广域网协议,包括: - **HDLC**(高级数据链路控制):Cisco的默认数据链路层协议,用于点对点连接。 - **PPP**(点对点协议):安全且灵活的协议,支持...
网络安全与渗透测试》课堂笔记---15
zhaotiannuo_1998的博客
05-10 944
2019/5/9 - - - 关于IPsec VPN的介绍,与实验 IPsec VPN 建立IPsec VPN连接需要3个步骤: 1、流量触发 IPsec 需要借助扩展ACL去定义(匹配、permit)要保护的流量 How do? access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255 do show runnin...
25 IPsec虚拟专网工作原理配置详解
m0_64378913的博客
02-12 4414
(1)了解加密技术的种类(对称加密算法和非对称加密算法)及这两种加密算法的常用算法; (2)了解VPN技术的作用及分类(分为远程访问VPN及点到点VPN); (3)理解掌握两种IPsecVPN模式(IPsecVPN传输模式及IPsecVPN隧道模式)的工作原理; (4)理解并掌握IPsecVPN的配置步骤,理解各步骤之间是如何起作用的; (5)理解map表组、map表号、ACL表号、策略集之间的关系;
IPSec配置
凯歌响起的博客
08-23 1292
案例配置拓扑 案例拓扑需求 R1和PC1模拟分公司,R2和PC2模拟总公司,配置分公司和总公司通过IPSec VPN互联. 设备之间互联的IP如图所示; 在R1和R2上分配配置NAT,允许内网用户能够通过NAT访问Internet; 在R1和R2上分别配置IPSec VPN,实现分公司和总公司互访; 案例配置思路 根据拓扑配置IP地址 R1 Router#conf ter Router(config)#hostname R1 R1(config)#int fa0/1
思科cisoc 路由器IKEv2使用map配置隧道
沉默的鹏先生
08-04 1462
环境拓扑图 R1配置 接口配置 R1#conf terminal R1(config)#interface ethernet 1/0 R1(config-if)#ip address 172.16.1.193 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface ethernet 1/1 R1(config-if)#no shutdown R1(config-if)#ip address 3
crypto map acl和接口acl为什么分开?
blakegao的专栏
10-18 1449
总的来说,cry map在接口acl之前先被检查,来撞击感兴趣流。对入站感兴趣流匹配并标记加密流,cry map来丢弃明文的入站感兴趣流,因为可能是被伪装的,之后对于入站流量来说,检查接口acl,来放行加密流和明文的其他被允许流量,同时,如果对于加密流,因为之前是加密的,所以并不知道加密的内容,解密后,或许可能对内容有限制,所以进行解密,然后去匹配cry map acl,12.3之前将两个acl由
Cisco路由器配置Ipsec
amsilence的博客
10-23 1万+
Cisco 路由器配置Ipsec,以及各阶段的SA内容解读
golang key map 所有_golang 按key字母顺序遍历map
weixin_34617955的博客
12-23 248
package mainimport ("fmt""crypto/md5""math/rand""sort""time")type MapEntryHandler func (string, string)// func printKeyValue(key string, value string) {// fmt.Printf("key=%s, value=%s\n", key, value)/...
2.1 IKEv2 标准 IOS vs ASA Crypto Map
LinuxKernelCiscoIOS的博客
05-11 1145
IOS vs ASA Crypto Map IKEv2
配置基于硬件的Ez×××(使用dynamic crypto map
weixin_34101229的博客
04-03 301
R1#sh run Building configuration... Current configuration : 1506 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec ...
企业怎么用虚拟专有网络
最新发布
04-23
企业可以使用虚拟专有网络(VPN)来保护其网络通信安全。使用VPN可以使所有的通信都通过加密的隧道进行传输,防止数据泄露和未经授权的访问。此外,VPN还可以帮助企业员工在远程工作时访问企业内部网络。企业可通过购买VPN服务或自建VPN来实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值