VPN
虚拟专用网络virtual Private Network
VPN只是一个技术,使用PKI技术,来保证数据安全的机密性、完整性、身份验证
为什么用VPN
用于在企业用户本地网络、数据中心与华为云云上网络之间搭建安全、可靠、高性价比的加密连接通道。即在不安全的网络上安全的传输数据。
相关技术
加密技术
**对称加密:**加密与解密使用相同的密钥,密钥是通信双方协商产生,生成过程是明文通信,密钥容易泄漏。速度快。对称加密算法:DES、3DES、AES。
**非对称加密:**使用公私钥加密数据,公私钥成对出现,互为加解密关系,公私钥不能互相推算。双方交换公钥,使用对方的公钥加密实现机密性。使用自己的私钥进行签名,实现身份验证。速度慢,安全性高。非对称加密算法:RSA、DH
完整性算法/hash值算法
MD5
SHA
VPN的类型
1、远程访问VPN(Remote Access VPN)
一般用在个人到企业
一般出差员工/在家办公,安全连接内网时使用
一般公司部署VPN服务器,员工在外拨号连接VPN即可
常见RA-VPn协议:PPTP VPN、L2TP VPN、SSTP VPN、EZvpn/easyvpn、SSL VPN
2、点到点VPN
一般用在企业对企业安全连接
一般需要在两个企业总出口设备之间建立VPN通道
常见的点到点VPN:IPsecVPN
IPsecVPN
-
属于点到点VPN,可以在两家企业之间建立VPN隧道
-
VPN隧道有点:安全性、合并两家企业内网
-
VPN隧道技术:
传输模式只加密上层数据,不加密私有IP包头,速度快(相对) 隧道模式(默认、大部分):加密整个私有IP包,包括包头,重新生成新包头,更安全,速度慢
-
VPN隧道技术:重新封装技术+加密认证技术
-
IPsecVPN分为两大阶段
第一阶段:管理连接。
目的:通信双方设备通过非对称加密算法加密对称加密算法所使用的对称密钥。即双方安全的协商对称密钥。
命令:
conf t crypto isakmp policy 1 //传输集/策略集,创建策略集表1 encryption des/3des/aes //协商对称加密算法 hash md5/sha //协商完整性算法 group 1/2/5 //指定非对称加密算法,默认DH 1/2/5 authentication pre-share //身份认证使用预共享密钥算法,完成完整性和身份验证 lifetime 秒 //对称密钥的有效时间,默认(思科默认86400s) exit crypto isakmp key 预共享密钥 address 对方的公网IP地址
可以配多个传输集/策略集
第二阶段:数据连接
目的:通过对称加密算法加密实际所要传输的私网数据。
命令:
//定义VPN触发流量 access-list ACL表名(100) permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 //定义加密及认证方式 config t crypto ipsec transfrom-set 传输模式名 esp-des/3des/aes esp/ah-md5/sha-hmac 例如:crypto ipsec transfrom-set Orion esp-aes esp-sha-hmac ESP:支持加密及认证(身份验证+完整性) AH:只支持认证(身份验证+完整性)
创建MAP映射表
conf t crypto map MAP名 1 ipsec-isakmp match address ACL表名 set transform-set Orion set peer 对方的公网IP exit 将Map表应用到外网端口 int f0/1(外网端口) crypto map Orion exit *****注意:一个接口只能应用一个MAP表!!! 例如: conf t crypto map Orion 1 ipsec-isakmp //1可以理解为一个隧道 match address 100 set transform-set Orion set peer 100.1.1.2 exit conf t crypto map Orion 2 ipsec-isakmp match address 101 set transform-set Orion set peer 150.1.1.2 exit
-
查看命令
show crypto isakmp sa 查看第一阶段状态 show crypto ipsec sa 查看第二阶段状态 show crypto isakmp policy 查看第一阶段的策略配置集 show crypto ipse transform-set 查看第二阶段的传输模式
-
路由器工作原理
内网–to–外网:路由–NAT–VPN–出去
远程访问VPN
在公司需要搭建VPN服务器
VPN服务器需要对VPN客户端进行身份验证
VPN服务器需要给VPN客户端下发权限及IP地址