【原】那些年你错过的“VPN盲点”

01

VPN的连接模式：

① 传输模式：只保护数据，加密传输的内容

  优点：效率高

  缺点：不安全

应用场景：适用于在企业内网中部署IPsec vpn，不需要封装新的IP包头。结合GRE VPN使用

② 隧道模式：保护数据和IP包头，重新封装一个IP包头可以直接在公网上搭建VPN

  优点：安全性更高

  缺点：效率低

02

VPN的类型：

① 主模式-----站点到站点VPN：SITE-to-SITE

对方的IP地址是固定的。

②积极模式----远程访问VPN：remote-access远程用户IP地址是不固定的。

对方的IP地址不是固定的，可以用IP地址或者域名进行建立连接。

03

VPN技术：

IPsec vpn优势在于能对数据进行保护。主要用到下面两种技术：

加密算法：

① 对称加密算法：公钥加密 公钥解密

DES数据加密标准  64bit=56bit+8bit

3DES  3*（56bit+8bit）

AES  高级加密标准 128bit~256bit【最高达到256bit】

优点：传输效率高

缺点：安全性较低

② 非对称加密算法：公钥加密 私钥解密【私钥始终没有在公网上传输】

DH

优点：安全性更高

缺点：传输效率低

注：问题

使用对称加密算法密钥可能被窃听

使用非对称加密算法，计算复杂，效率太低，影响传输速度。

解决方案

§ 通过非对称加密算法加密对称加密算法的密钥

§ 然后再用对称加密算法加密实际要传输的数据  

04

IPSec VPN 使用的协议：

① 阶段一：使用 ISKMAP

IKE 因特网密钥交换协议【统称】

ISKMAP：安全关联和密钥管理协议【具体实现协议】

② 阶段二：使用ESP AH

ESP：封装安全载荷协议

· ESP对用户数据实现加密功能

· ESP只对IP数据的有效载荷进行验证，不包括外部的IP包头

AH：认证头协议

· 数据完整性服务

· 数据验证

· 防止数据回放攻击

05

IPSec VPN建立的两个阶段：

阶段1：建立管理连接，

建立一个安全的VPN通道，定义密钥与及加密算法参数【非对称加密算法，对称加密算法】

阶段一建立过程中：

① 主模式-----站点到站点VPN：SITE-to-SITE 

对方的IP地址是固定的

主模式协商阶段一的时候，使用到6个数据包。注：前4个报文为明文传输，从第5个数据报文开始为密文传输。

② 积极模式----远程访问VPN

对方的IP地址不是固定的，可以用IP地址或者域名进行建立连接

阶段2：建立数据连接，

配置IPSec VPN 条件：

1） 建立VPN的两个对等体公网要能够通信

2） VPN的流量要做NAT分离

ESP支持加密和认证

AH只支持认证

06

配置IPSec VPN：

阶段1：定义管理连接

crypto isakmp policy 10------设置IKE策略，policy后面跟1-10000的数字，这些数字代表策略的优先级。

 encr 3des-----加密算法使用3des

 hash md5---- hash算法使用MD5

 authentication pre-share----采用欲共享密钥认证方式

 group 2-----采用第二个组的长度【共有1、2、6三个组可以选择】

crypto isakmp key CCIE address 23.1.1.2----

设置IKE交换的密钥，CCIE表示密钥组成，23.1.1.2表示对方的IP地址

验证命令：

R2#show crypto isakmp policy  查看阶段1的IKE策略

R2# show crypto isakmp key

R1#show crypto isakmp sa  查看阶段1是否协商成功

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

23.1.1.2        13.1.1.1        QM_IDLE           1001    0 ACTIVE

阶段2的配置命令

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

！

crypto ipsec transform-set SPOTO esp-aes esp-md5-hmac

crypto map MAP 10 ipsec-isakmp

 set peer 23.1.1.2

 set transform-set SPOTO

 match address 101

！

interface Serial1/0

crypto map MAP

验证命令：

R1#show crypto ipsec transform-set

R1#show crypto map

R1#show crypto ipsec sa

为了方便广大网络爱好学习者一起学（聚）习（众）交（搞）流（基），特开设华为干货交流群，里面已经上传大量学习资料，欢迎广大网络工程师进群学习！

扫描下方二维码   进群学习交流

发现“分享”和“赞”了吗，戳我看看吧