通过思科模拟器CISCO PACKET TRACER学习网络——VPN

通过思科模拟器CISCO PACKET TRACER学习网络——VPN

首页枪战射击伊泽瑞尔模拟器更新时间:2024-04-26
一、VPN的概念

VPN(Virtual Private Network):虚拟专用网络,简称虚拟专网,VPN工作在三层以上的设备,如:路由器、防火墙等,而交换机是不行的,他工作在数据链路层(第二层)。VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络,进行加密通讯

例如某公司员工出差到外地,他想访问企业内网的服务器资源。这就是为什么需要虚拟专网的原因。

VPN可以实现在不安全的网络上,安全的传输数据,好像专网。实质上就是利用加密技术在公网上封装出一个数据通讯隧道。

让外地员工访问到内网资源,利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理

有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。

二、工作原理
  1. 通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入internet。
  2. 网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。
  3. 网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。
  4. 网络一的VPN网关将VPN数据包发送到internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。
  5. 网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
  6. 网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。
  7. 从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。

那么我们知道,对于VPN通讯的两个参数是很重要的:原始数据包目标地址(VPN的目标地址)和远程VPN的网关地址。

由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

三、基本处理过程

①要保护主机发送明文信息到其他VPN设备。

②VPN设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。

③对需要加密的数据,VPN设备将其整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密并附上数据签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和一些初始化参数)重新封装。

④将封装后的数据包通过隧道在公共网络上传输。

⑤数据包到达目的VPN设备后,将其解封,核对数字签名无误后,对数据包解密。

四、VPN三要素

VPN必须满足这三要素,否则它是无法通讯的

五、加密技术(机密性)

VPN其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。

那么接下来就要讲讲加密技术有关知识了。

加密算法又分为对称加密算法、非对称加密算法。 加密算法可以暴力破解,建议定期更换密钥。分为:

对称加密
非对称加密

对称加密算法是一种可逆的算法 ,解密与加密使用同一个密钥(因此密钥与数据一般不用一个通道传递),密钥是通过双方协商生成,生成过程是明文通信,也就是说,在协商之前,密钥是不会产生的。原始数据 密钥 通过复杂的加密过程得到加密数据,理论上是可以反向破解的,但受计算机性能的影响越复杂的对称加密算法越难以破解,常见的有(从低到高)DES、3DES、AES

DES算法全称为Data Encryption Standard,即数据加密算法,它是IBM公司于1975年研究成功并公开发表的。DES算法的入口参数有三个:Key、Data、Mode。其中Key为8个字节共64位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。

优点:算法公开、计算量小、加密速度快、加密效率高。

缺点:交易双方都使用同样钥匙,安全性得不到保证,简单来说,就是密钥容易泄露。

每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一钥匙,这会使得发收信双方所拥有的钥匙数量呈几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高

非对称加密算法是一种不可逆的算法,解密与加密使用不同的密钥, 它的密钥分为私钥、公钥 ,无法反向破解。因为非对称算法强度复杂、安全性依赖于算法与密钥,但是由于其算法过于复杂,而使得加密解密速度没有对称加密解密的速度快。因此一般用非对称算法加密对称加密算法的公钥,使用对称加密算法加密数据。简单来说就是,使用公私钥加密,公私钥成对出现,互为加解密关系,使用对方的公钥加密实现机密性,使用自己的私钥进行签名,实现身份验证。常见的有Elgamal(又称dh)、RSA。

DH算法主要做密钥交换

RSA算法 公钥 私钥 (成对出现)原始数据 公钥=加密数据

完整性算法/哈希算法(完整性)

完整性算法/哈希算法主要有MD5/SHA

六、VPN类型

VPN类型分为远程访问VPN(Remate Access VPN)、点到点VPN

远程访问VPN(Remate Access VPN)用于个人—企业,员工/家里办公—内网。

常见的RA—VPN协议

点到点VPN用于企业—企业,在2个企业总出口设备间建立VPN通道

IPsec通信协议

AH协议(Authentication Header,认证报头)

AH不提供任何保密性服务,它不加密所保护的数据包。不论是传输模式还是隧道模式下,AH提供对数据包的保护时,它保护的是整个IP数据包(易变的字段除外,如IP头中的TTL和TOS字段)

ESP协议

ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证。保密服务通过使用密码算法加密 IP 数据包的相关部分来实现。数据流保密由隧道模式下的保密服务提供。

ESP:支持加密认证(身份认证 完整性)

AH:只支持认证,不支持加密

IPSec vpn建立安全联盟SA:SA(Security Association)是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA。SA由三元组来唯一标识,包括安全参数索引、目的IP地址、安全协议号IPSec的安全联盟可以通过手工配置的方式建立。也可以使用IKE(Internet Key Exchange)自动进行安全联盟建立与密钥交换的过程。

IKE(Internet Key Exchange)IKE是一种混合型协议

IKE是一种混合型协议,由RFC2409定义,包含了3个不同协议的有关部分:ISAKMP、Oakley和SKEME。IKE和ISAKMP的不同之处在于:IKE真正定义了一个密钥交换的过程,而ISAKMP只是定义了一个通用的可以被任何密钥交换协议使用的框架。

Ike第一阶段内容:通信各方彼此间建立了一个已通过身份验证和安全保护的通道,用于传输第二阶段的对称密钥,此阶段的交换生成了一个ISAKMP SA(也可称为IKE SA)

VPN隧道技术(传输模式、隧道模式)

接下来我们用思科模拟器来实验一下。

IPSec VPN配置

实验步骤:

一、阶段一

配置ISAKMP策略集

二、阶段二

1、配置ACL

2、配置IPSec策略集(转换集)

3、配置加密映射集(创建MAP映射表)

4、配置将MAP集应用在端口上。

基本配置

PC的ip地址、各接口的IP地址以及默认路由R0,R4(0.0.0.0 0.0.0.0 下一跳IP地址)

在R0上配置vpn

#配置 ISAKMP 策略(ISAKMP(Internet Security Association Key Management Protocol,Internet安全关联密钥管理协议)

crypto isakmp policy 1 //建立加密策略 1

encryption aes // 采用 aes 加密

hash sha // 哈希采用sha 验证,不是加密

authentication pre-share //采用欲共享密钥认证方式

group 2 //指定dh加密算法的长度,第二组的长度

crypto isakmp key tedu(密码) address 200.1.1.1(对方的IP地址)

//key后面是密码, address 后面是对端外网地址,

#配置 acl

access-list 100 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255 (顺序:源IP、目标IP)

#配置ipsec策略集(转换集Internet Protocol Security)

crypto ipsec transform-set yf-set(策略名) esp-aes des-sha-hmac

//创建变换集,yf-set ,后面两项为加密传输的算法

# 配置加密 映射集

Router(config)crypto map yf-map 1 ipsec-isakmp

//创建加密图 yf-map 序列号为1

Router(config-crypto-map)#set peer 200.1.1.1 //vpn 隧道对端的ip地址

Router(config-crypto-map)#set transform-set yf-set

Router(config-crypto-map)# match address 100 (ACL表)

#将yf-map应用到f0/0

Router(config)#interface f0/0

Router(config-if)#crypto map yf-map

#在R4配置vpn

#配置 isakmp 策略

# crypto isakmp policy 1

encryption aes

hash sha

authentication pre-share

group 2

crypto isakmp key tedu(密码) address 100.1.1.1(对方的IP地址)

#配置 acl

access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255

#配置ipsec策略(转换集)

crypto ipsec transform-set yf-set esp-des des-sha-hmac //

# 配置加密 映射集

Router(config)# crypto map yf-map 1 ipsec-isakmp

Router(config-crypto-map)#set peer 100.1.1.1

Router(config-crypto-map)# set transform-set yf-set

Router(config-crypto-map)#match address 100

#将yf-map应用到f0/1

Router(config)#interface f0/1

Router(config-if)#crypto map yf-map

验证与测试

# show crypto isakmp sa //查看链接状态

查看全文
大家还看了
也许喜欢
更多游戏

Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved