虚拟专用网络VPN技术

虚拟专用网络VPN技术

VPN

1、VPN

（Virtual Private Network）虚拟专有网络虚拟专网

2、引入

VPN可以实现在不安全的网络上，安全的传输数据，好像专网！VPN只是一个技术，使用PKI技术，来保证数据的安全三要素

3、安全三要素

机密性完整性身份验证性

4、加密技术

1）对称加密

加密与解密使用相同的秘钥秘钥是通信双方协商生成，生成过程是明文通信！秘钥容易泄露！速度快！常见的对称加密算法：DES、3DES、AES

2）非对称加密算法

使用公私钥加密数据公私钥成对生成，互为加解密关系！公私钥不能互相推算！对方交换公钥使用对方的公钥加密实现机密性使用自己的私钥进行签名，实现身份验证速度慢，安全性高常见算法：RSA、DH

3）完整性算法/hash值算法

MD5SHA

5、VPN的类型

1）远程访问VPN

（Remote Access VPN）

一般用在个人到安全连接企业内部！

一般出差员工/在家办公。安全连接内网时使用！

一般公司部署VPN服务器，员工在外拨号连接VPN即可！

常见RA-VPN协议：PPTP VPN、L2TPVPN、SSTPVPN、EZvpn/easyvpn、SSLvpn

2）点到点VPN

一般用在企业对企业安全连接！

一般需要在两个企业总出口设备间建立VPN通道！

常见的点到点VPN：IPsecVPN

6、IPsecVPN概述

1）属于点到点VPN，可以在两家企业间建立VPN隧道！

2）VPN隧道优点：1）安全性！

2）合并两家企业内网！

3）VPN隧道技术：

1）传输模式：只加密上层数据，不加密私有IP包头，速度快

2）隧道模式tunnel/一般是默认的：加密整个私有IP包，包括IP包头，更安全、速度慢

4）VPN隧道技术：重新封装技术+加密认证技术7、IPsecVPN原理

也称为IPsecVPN工作流程：

IPsecVPN分为两大阶段

第一阶段：管理连接

目的：通信双方设备通过非对称加密算法加密对称加密算法所使用的对称秘钥！

命令：

conf t （ IKE） > > crypto isakmp policy 1 （创建IKE策略集，集名为1） encryption des/3des/aes hash md5/sha group 1/2/5 authentication pre-share lifetime 秒 （默认86400秒） exit crypto isakmp key 预共享密钥 address 对方的公网IP地址

第二阶段：数据连接

目的：通过对称加密算法加密实际所要传输的私网数据！

1）定义VPN触发流量： access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255 2）定义加密及认证方式： conf t crypto ipsec transform-set 传输集名 esp-des/3des/aes esp/ah-md5/sha-hmac 例: crypto ipsec teansform-set wentran esp-aes esp-sha-hmac ESP：支持加密及认证（身份验证+完整性） AH：只支持认证（身份验证+完整性） 将阶段1和阶段2的重要配置引用到一张map映射表中，然后将map表应用到外网端口上 创建MAP映射表 conf t crypto map map名 1 ipsec-isakmp match address acl表名 set transform-set 传输集名 set peer 对方的公网IP exit 例如： crypto map wenmap 1 ipsec-isakmp match address 100 set transform-set wentran set peer 200.1.1.2 exit 将map表应用到外网端口 int f0/1（外网端口） crypto map map名 exit

查看命令：

show crypto isakmp sa 查看第一阶段状态 active成功 active（delete）失败 show crypto ipsec sa 查看第二阶段状态 show crypto isakmp policy 查看第一阶段的策略配置集 show crypto ipsec transform-set 查看第二阶段的传输模式

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。