VPN(Virtual Private Network):虚拟专用网络,简称虚拟专网,VPN工作在三层以上的设备,如:路由器、防火墙等,而交换机是不行的,他工作在数据链路层(第二层)。VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络,进行加密通讯。
例如某公司员工出差到外地,他想访问企业内网的服务器资源。这就是为什么需要虚拟专网的原因。
VPN可以实现在不安全的网络上,安全的传输数据,好像专网。实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
让外地员工访问到内网资源,利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。
有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。
二、工作原理那么我们知道,对于VPN通讯的两个参数是很重要的:原始数据包目标地址(VPN的目标地址)和远程VPN的网关地址。
由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
三、基本处理过程①要保护主机发送明文信息到其他VPN设备。
②VPN设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。
③对需要加密的数据,VPN设备将其整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密并附上数据签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和一些初始化参数)重新封装。
④将封装后的数据包通过隧道在公共网络上传输。
⑤数据包到达目的VPN设备后,将其解封,核对数字签名无误后,对数据包解密。
四、VPN三要素VPN必须满足这三要素,否则它是无法通讯的
VPN其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
那么接下来就要讲讲加密技术有关知识了。
加密算法又分为对称加密算法、非对称加密算法。 加密算法可以暴力破解,建议定期更换密钥。分为:
对称加密
非对称加密
对称加密算法是一种可逆的算法 ,解密与加密使用同一个密钥(因此密钥与数据一般不用一个通道传递),密钥是通过双方协商生成,生成过程是明文通信,也就是说,在协商之前,密钥是不会产生的。原始数据 密钥 通过复杂的加密过程得到加密数据,理论上是可以反向破解的,但受计算机性能的影响越复杂的对称加密算法越难以破解,常见的有(从低到高)DES、3DES、AES
DES算法全称为Data Encryption Standard,即数据加密算法,它是IBM公司于1975年研究成功并公开发表的。DES算法的入口参数有三个:Key、Data、Mode。其中Key为8个字节共64位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。
优点:算法公开、计算量小、加密速度快、加密效率高。
缺点:交易双方都使用同样钥匙,安全性得不到保证,简单来说,就是密钥容易泄露。
每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一钥匙,这会使得发收信双方所拥有的钥匙数量呈几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高
非对称加密算法是一种不可逆的算法,解密与加密使用不同的密钥, 它的密钥分为私钥、公钥 ,无法反向破解。因为非对称算法强度复杂、安全性依赖于算法与密钥,但是由于其算法过于复杂,而使得加密解密速度没有对称加密解密的速度快。因此一般用非对称算法加密对称加密算法的公钥,使用对称加密算法加密数据。简单来说就是,使用公私钥加密,公私钥成对出现,互为加解密关系,使用对方的公钥加密实现机密性,使用自己的私钥进行签名,实现身份验证。常见的有Elgamal(又称dh)、RSA。
DH算法主要做密钥交换
RSA算法 公钥 私钥 (成对出现)原始数据 公钥=加密数据
完整性算法/哈希算法(完整性)完整性算法/哈希算法主要有MD5/SHA
六、VPN类型VPN类型分为远程访问VPN(Remate Access VPN)、点到点VPN
远程访问VPN(Remate Access VPN)用于个人—企业,员工/家里办公—内网。
常见的RA—VPN协议
点到点VPN用于企业—企业,在2个企业总出口设备间建立VPN通道
IPsec通信协议AH协议(Authentication Header,认证报头)
AH不提供任何保密性服务,它不加密所保护的数据包。不论是传输模式还是隧道模式下,AH提供对数据包的保护时,它保护的是整个IP数据包(易变的字段除外,如IP头中的TTL和TOS字段)
ESP协议
ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证。保密服务通过使用密码算法加密 IP 数据包的相关部分来实现。数据流保密由隧道模式下的保密服务提供。
ESP:支持加密认证(身份认证 完整性)
AH:只支持认证,不支持加密
IPSec vpn建立安全联盟SA:SA(Security Association)是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA。SA由三元组来唯一标识,包括安全参数索引、目的IP地址、安全协议号IPSec的安全联盟可以通过手工配置的方式建立。也可以使用IKE(Internet Key Exchange)自动进行安全联盟建立与密钥交换的过程。IKE(Internet Key Exchange)IKE是一种混合型协议
IKE是一种混合型协议,由RFC2409定义,包含了3个不同协议的有关部分:ISAKMP、Oakley和SKEME。IKE和ISAKMP的不同之处在于:IKE真正定义了一个密钥交换的过程,而ISAKMP只是定义了一个通用的可以被任何密钥交换协议使用的框架。
Ike第一阶段内容:通信各方彼此间建立了一个已通过身份验证和安全保护的通道,用于传输第二阶段的对称密钥,此阶段的交换生成了一个ISAKMP SA(也可称为IKE SA)
VPN隧道技术(传输模式、隧道模式)
接下来我们用思科模拟器来实验一下。
IPSec VPN配置实验步骤:
一、阶段一配置ISAKMP策略集
二、阶段二1、配置ACL
2、配置IPSec策略集(转换集)
3、配置加密映射集(创建MAP映射表)
4、配置将MAP集应用在端口上。
基本配置
PC的ip地址、各接口的IP地址以及默认路由R0,R4(0.0.0.0 0.0.0.0 下一跳IP地址)
在R0上配置vpn
#配置 ISAKMP 策略(ISAKMP(Internet Security Association Key Management Protocol,Internet安全关联密钥管理协议)
crypto isakmp policy 1 //建立加密策略 1
encryption aes // 采用 aes 加密
hash sha // 哈希采用sha 验证,不是加密
authentication pre-share //采用欲共享密钥认证方式
group 2 //指定dh加密算法的长度,第二组的长度
crypto isakmp key tedu(密码) address 200.1.1.1(对方的IP地址)
//key后面是密码, address 后面是对端外网地址,
#配置 acl
access-list 100 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255 (顺序:源IP、目标IP)
#配置ipsec策略集(转换集Internet Protocol Security)
crypto ipsec transform-set yf-set(策略名) esp-aes des-sha-hmac
//创建变换集,yf-set ,后面两项为加密传输的算法
# 配置加密 映射集
Router(config)crypto map yf-map 1 ipsec-isakmp
//创建加密图 yf-map 序列号为1
Router(config-crypto-map)#set peer 200.1.1.1 //vpn 隧道对端的ip地址
Router(config-crypto-map)#set transform-set yf-set
Router(config-crypto-map)# match address 100 (ACL表)
#将yf-map应用到f0/0
Router(config)#interface f0/0
Router(config-if)#crypto map yf-map
#在R4配置vpn
#配置 isakmp 策略
# crypto isakmp policy 1
encryption aes
hash sha
authentication pre-share
group 2
crypto isakmp key tedu(密码) address 100.1.1.1(对方的IP地址)
#配置 acl
access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
#配置ipsec策略(转换集)
crypto ipsec transform-set yf-set esp-des des-sha-hmac //
# 配置加密 映射集
Router(config)# crypto map yf-map 1 ipsec-isakmp
Router(config-crypto-map)#set peer 100.1.1.1
Router(config-crypto-map)# set transform-set yf-set
Router(config-crypto-map)#match address 100
#将yf-map应用到f0/1
Router(config)#interface f0/1
Router(config-if)#crypto map yf-map
验证与测试
# show crypto isakmp sa //查看链接状态
Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved