VPN基础配置

一、VPN概述

1.概念

• 虚拟专用网：在公网上建立一条专用的网络，提高安全性。
• 利用隧道技术，对数据进行封装。

2.VPN关键技术

• 身份认证
      保证合法身份
• 数据加密
      防止黑客截取
• 验证
      保证报文完整性和真伪性

二、IPSec(远局域网互联)

1.概念

• 基于网络层，不支持组播(OSPF)，但是很安全 是一套安全体系

2.安全机制

• AH
• ESP

3.原理

• 先保护自己，再保护别人
• 1.识别感兴趣流。
• 2.协商安全联盟。
• 3.数据传输。
• 4.隧道拆除。

4.配置步骤

• 1.将公网连通。
• 2.设置IPSec感兴趣流。（ACL）

   #alc 编号(3000)
   #rule 规则号(10) permit source 网段(192.168.1.0) 反掩码(0.0.0.255) destination 网段(192.168.2.0) 反掩码(0.0.0.255) //运行源地址是1.0的访问2.0
   #rule 规则号(20) deny source any destination any

• 3.创建安全提议

   #ipsec proposal 名字(testipsec) //创建testipsec的安全提议
   #encapsulation-mode tunnel // 使用隧道模式
   #transform esp/ah //封装模式使用esp，只对数据做操作
   #esp encryption-algorithm 加密算法方式(aes-256)
   #esp authentication-algorithm 认证算法方式(sha2-256)

• 4.配置互联网密钥交换协议(ike)
    

  #ike proposal 编号(1) //创建ike提议 
  #authentication-method 预共享和数字认证(pre-share) //使用预共享密钥的方式进行身份认证 
  #dh group 1 //密钥协商过程，用dh group1算法进行加密

• 5.配置对等体（那两个对等体进行IPsec）

  #ike peer 名字(changsha) ike版本(v1) //创建一个对等体，使用ike v1 和对方密钥协商。 
  #exchange-mode main //使用主模式建立IPSec 双方都有固定公网ip使用主模式，一方没有使用野蛮模式(aggressive)
  #ike-proposal 1 //使用全面配置好的密钥协商方法 #per-shared-key cipher 密码(123) //两边密码必须一致 
  #local-id-type ip //通过ip地址来互相认识对方 #remote-address 对端地址(公网地址)

• 6.创建ipSec策略

  #IPSec policy 策略名字(testpolicy) 编号(3) isakmp // 创建一个IPsec策略，密钥会周期性更新 
  #ike-peer 对等体名字(changsha) //绑定对等体 
  #proposal 安全提议名字(testipsec) //绑定安全提议
  #security acl 编号(3000) //绑定兴趣流ACL

• 7.出口调用 #进入接口

  #ipsec policy 策略名字(testpolicy)

三、GRE VPN

1.概念

• 通用路由封装协议 一般封装：IPX、IPv4、IPv6 基于网络层，兼容性好，但不太安全
  

2.原理

• 乘客协议：用户数据传输的原始网络协议
• 封装协议：用来包装原始报文，使其能在新的网络中传输 运输协议：在新网络中传输使用的网络协议

3.配置步骤

• 1.公网IP必须互相通
• 2.创建隧道和隧道使用的协议

   #interface tunnel 编号(0) #tunnel-protocol 什么VPN(gre)

• 3.设置隧道的源地址和目标地址

   #source 源地址(2.2.2.2) 
   #destination 目标地址（1.1.1.1）

• 4.隧道配一个虚拟地址

  #ip add 地址 掩码 //两端的虚拟地址必须同一网段

• 5.设置隧道的路由（静态）

   #ip route-static 私网地址 掩码 下一跳虚拟地址

四、其他类型

• PPTP VPN
       基于数据链路层
• SSL VPN(远程访问)
       基于应用层，Https