首先声明,VPN技术无关好坏,本身并无过错,只不过有人利用这种技术做了坏事罢了。
一.技术背景
一个规模较大的公司:
总部位于北京,有个局域网,网段为172.16.10.X
分公司位于长沙,有个局域网,网段为172.16.20.X
使用VPN解决北京和长沙两地局域网的通信问题。
问题:在不使用VPN的前提下,要拉一条内网专线,价格昂贵。
1.1隧道技术
假设一个源IP为172.16.10.123的北京总部的内网IP要往长沙分部的172.16.20.123发送数据,会在原有数据包加上新报头,源IP变为:64.1.1.1,目的IP变为:202.1.1.1,然后再经由公网进行转发。
二.VPN技术分类
2.1GRE
也是最简单的VPN技术,就类似于上面的隧道技术。
以下的防火墙配置只展示一端,另一端也需进行同样的配置。
防火墙上的配置:
然后解释下中间要配置的IP地址
然后再新建一条路由进行数据转发
抓包看看,发现是封装了两层的IPV4报头,这层多余的会在对端防火墙接收到后删除掉。
这种技术用的并不是特别广泛,缺点太过明显,那就是没有加密,基本为明文传输。
2.2IPsec VPN
为了解决上面的安全问题,于是便加入了加密相关的技术,演变成了IPsec VPN。
解决了几个问题:
- 怕有人偷看我的数据。数据包加密
- 怕有人篡改我的数据。计算数据包哈希
- 怕有人伪装身份。 预共享密钥,第三方证书
这一整套的技术组合,被称为ipsec。
防火墙配置实例:
配置需加密的网络段
在这里,我们是直接点击应用即可,是因为两端防火墙都是同型号的华为防火墙,如果遇到两端防火墙不同,或者VPN设备不同的情况下,需确保两边算法相同:
然后接下来抓下数据包,可以看到没有出现类似GRE的两层IP报头,同时数据包内容也进行了加密。