GRE Tunnel

GRE Tunnel(General Routing Encapsulation
通用路由封装)是一种非常简单的VPN(Virtual Private Network
虚拟专用网络),其基本思路是:VPN网关把发往对方的数据包在网络边界重新进行封装,然后通过Internet将数据包发送到目标站点的对等VPN网
关,这个过程也就是把一个私网的数据包封装在一个公网的数据包中;对方收到数据包后剥离报头,复原出原来的数据包,然后向其私网内的目标主机传递出数据
包;这样私网的数据包就穿过了公网,到达了另一个私网。但是采用GRE Tunnel
VPN技术的一个重要问题是数据包在Internet上传输是不安全的。

实验

配置IP地址及路由:

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0
12.1.1.2 permanent

R2(config)#ip route 34.1.1.0 255.255.255.0
s0/1 23.1.1.3

R3(config)#ip route 12.1.1.0 255.255.255.0
s0/1 23.1.1.2

R4(config)#ip route 0.0.0.0 0.0.0.0 s0/0
34.1.1.3 permanent

配置GRE Tunnel:

R1(config)#int tunnel
0
       
//创建Tunnel接口0,编号只有本地有效

R1(config-if)#ip add 172.16.14.1
255.255.255.0
      //配置隧道接口的地址,显然该地址是私网地址

R1(config-if)#tunnel source
s0/0
       
//配置Tunnel的源接口

R1(config-if)#tunnel destination
34.1.1.4
       
//配置Tunnel的目的地址

R1(config-if)#tunnel mode gre
ip
       
//配置隧道为GRE模式,默认即为GRE

R4(config)#int tunnel
0

R4(config-if)#ip add 172.16.14.4
255.255.255.0

R4(config-if)#tunnel source
s0/0

R4(config-if)#tunnel destination 12.1.1.1

说明:

①Tunnel的源接口:也可以使用“tunnel source
12.1.1.1”命令配置,路由器将以此接口的地址作为源地址重

新封装VPN数据包;

②Tunnel的目地址:路由器将以此地址作为目的地址重新封装VPN数据包;

③隧道创建后,可以把隧道看成一条专线。

实验调试:

R1#show int tunnel
0       
//查看Tunnel 0接口的状态

配置路由协议:

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no
auto-summary

R1(config-router)#network
172.16.0.0

R4(config)#router rip

R4(config-router)#version 2

R4(config-router)#no
auto-summary
R4(config-router)#network 172.16.0.0

实验调试:

R1#show ip route

R1#ping 172.16.4.1 source lo0



以上输出表明远程办公室已经学习到了企业总部内部网络的路由,下一跳为隧道另一端的地址。

配置NAT:

由于现在企业内部和远程办公室都无法与Internet通信,还需要配置NAT。

R1(config)#access-list 10 permit
172.16.1.0 0.0.0.255

R1(config)#ip nat inside source list 10 int
s0/0 overload

R1(config)#int lo0

R1(config-if)#ip nat inside

R1(config)#int
s0/0
R1(config-if)#ip nat
outside

R4(config)#access-list 10 permit
172.16.4.0 0.0.0.255

R4(config)#ip nat inside source list 10 int
s0/0 overload

R4(config)#int lo0

R4(config-if)#ip nat inside

R4(config)#int s0/0

R4(config-if)#ip nat outside

实验调试:

R1#ping 34.1.1.3 source
lo0       
//测试远程办公室和Internet的通信



R1#ping 172.16.4.1 source
lo0       
//再次测试远程办公室和公司总部的通信,一切正常

Site To
Site VPN/LAN To LAN VPN

Site To Site是指把一个局域网和另一个局域网连接在一起,本实验采用IPSec(Internet Protocol
Security 网际网路协定安全规格)VPN解决这个问题。IPSec VPN是针对IP通信保护的协议簇,IPSec
VPN的基础是数据机密性、数据完整性和身份验证。

数据机密性:一个常见的安全性考虑是防止窃听者窃取数据。VPN利用封装和加密机制来实现机密性,常见的算

法有DES、3DES和AES。

数据完整性:数据完整性确保数据在源主机和目的主机之间传送时不被篡改。VPN通常使用哈希来确保数据完整

性,常见的算法有MD5和SHA。

身份验证:身份验证确保消息来自真实来源,并传送到真实目的地。VPN利用用户标识确信与其建立通信的一方

正是其所认为的那一方,常用的算法有预共享密码和数字证书。

两种主要的IPSec协议框架:

验证报头(AH):仅提供完整性和身份验证功能,在不要求或不允许有机密性时使用。AH在原有的数据包头部和

数据之间加入AH字段,该字段里包含IP头和数据的完整性校验值。因此AH能为两个系统间传送的IP数据包提供

数据验证和数据完整性检查。它验证消息在传送过程中是否未被篡改,还验证来源。AH不提供数据包的数据机

密性(加密)检查。AH协议在单独使用时提供的保护较脆弱,因此需要将其与ESP协议配合使用,来提供数据加

密和防篡改检测等安全功能。

封装安全负载(ESP):通过对IP数据包加密隐藏数据及源主机和目的主机的身份提供机密性、完整性和身份验

证。ESP可验证内部IP数据包和ESP报头的身份,从而提供数据来源验证和数据完整性检查。ESP有两种模式:传

输模式和隧道模式。

传输模式:不产生新的IP包头,但是在原有的IP包头和数据字段之间加入ESP头部,并且在尾部加了ESP尾和完

整性校验值,该模式提供端到端的安全。

隧道模式:用新的IP包头对原有的数据包进行了重新封装,添加了ESP头、ESP尾及完整性校验值,该模式提供

路由器到路由器的安全,计算机到路由器的数据安全并不能保证,该模式对用户是透明的,因此使用较多。

IPSec的工作方式:

协商阶段:互联VPN之前要进行协商,VPN的协商可分为两个阶段:

 
①密钥协商阶段:设备获取了相应的密钥(为了保证传输过程中传输的安全性会使用非对称密钥);

②IPsec阶段:数据要进加密的数据交换(通过协商后产生的非对称密钥获得加密的先决条件)。

数据传输阶段:采用对称加密算法完成数据的安全传输,对等体双方使用的相应加密手段与校验手段。

说明:对称加密算法安全性更高,第一阶段不使用对称加密算法的原因就是避免传输过程中被截获,而第二阶段

通过安全的密钥交换之后不怕被截获,即便被截获通过转换集复杂的加密算法被解密的可能性也是微乎其微。

实验

配置IP地址及路由:

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0
12.1.1.2 permanent

R2(config)#ip route 34.1.1.0 255.255.255.0
s0/1 23.1.1.3

R3(config)#ip route 12.1.1.0 255.255.255.0
s0/1 23.1.1.2

R4(config)#ip route 0.0.0.0 0.0.0.0 s0/0
34.1.1.3 permanent

配置Site To Site VPN:

R1(config)#crypto isakmp policy
10
       
//创建一个ISAKMP策略,编号为10

R1(config-isakmp)#encryption
aes
       
//配置ISAKMP采用AES加密算法

R1(config-isakmp)#authentication
pre-share
       
//配置ISAKMP采用预共享密码身份认证算法

R1(config-isakmp)#hash
sha
       
//配置ISAKMP采用SHA HASH算法

R1(config-isakmp)#group
5
       
//配置ISAKMP采用DH group 5密钥交换算法

R1(config-isakmp)#lifetime
86400
     //为了安全起见设置生存时间,即多长时间重认证,默认即为86400

R1(config)#crypto isakmp key cisco
address
34.1.1.4
   //配置对等体34.1.1.4的预共享密码为cisco

R1(config)#crypto ipsec
transform-set TRAN esp-aes esp-sha-hmac

//创建一个名为TRAN的IPSec交换集,交换集采用ESP封装,加密算法为AES,HASH算法为SHA

R3(cfg-crypto-trans)#mode
tunnel
       
//设置ESP的模式,默认即为Tunnel

R1(config)#ip access-list extended
VPN


R1(config-ext-nacl)#permit ip
172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255

//定义一个ACL,只限定从远程办公室到企业总部的流量才通过VPN加密发送,其它流量(如到Internet)不加密

R1(config)#crypto map MAP 10
ipsec-isakmp
       
//创建名为MAP,编号为10的加密图

R1(config-crypto-map)#set peer
34.1.1.4
       
//指明VPN对等体为路由器R4

R1(config-crypto-map)#set
transform-set
TRAN
       
//指明采用前边已经定义的交换集

R1(config-crypto-map)#match address
VPN
       
//指明匹配名为VPN的ACL的定义的流量就是VPN流量

R1(config-crypto-map)#reverse-route
static
       
//指明要反向路由注入

R1(config)#int
s0/0


R1(config-if)#crypto map
MAP
       
//把名为MAP的加密图应用在接口上

R4(config)#crypto isakmp policy
10


R4(config-isakmp)#encryption
aes


R4(config-isakmp)#authentication
pre-share


R4(config-isakmp)#hash
sha


R4(config-isakmp)#group
5


R4(config)#crypto isakmp key cisco
address 12.1.1.1


R4(config)#crypto ipsec transform-set
TRAN esp-aes esp-sha-hmac


R4(config)#ip access-list extended
VPN


R4(config-ext-nacl)#permit ip
172.16.4.0 0.0.0.255 172.16.1.0 0.0.0.255


R4(config)#crypto map MAP 10
ipsec-isakmp


R4(config-crypto-map)#set peer
12.1.1.1


R4(config-crypto-map)#set
transform-set TRAN


R4(config-crypto-map)#match address
VPN


R4(config-crypto-map)#reverse-route
static


R4(config)#int
s0/0


R4(config-if)#crypto map
MAP

说明:

①创建ISAKMP(Internet Security
And Key Management Protocol
因特网安全协议与密钥管理协议)策略时,可

以创建多个ISAKMP策略,但是双方路由器将采用编号最小、参数一致的策略,因此双方至少要有一个策略是一

致的,否则协商失败。

②加密算法可以选择:DES、3DES和AES。

③身份认证算法可以选择:预共享密码和(如果有CA服务器时也可以选择)CA(电子证书)进行身份认证。

④HASH算法可以选择:SHA和MD5。

⑤密钥交换算法可以选择:group 1、group 2和group
5。

⑥配置预共享密码时,要确保双方配置的密码要一致,否则协商失败。

⑦配置交换集时,交换集名称只在本地有效,并且要确保双方路由器有一个参数一致的交换集,否则协商失败。

1>交换集的封装方式:ESP、AH和ESP+AH;

1)ESP封装提供的功能:机密性、完整性和身份认证;

2)AH封装提供的功能:完整性和身份认证,实际上AH使用的较少。

2>交换集的加密算法:DES、3DES和AES;

3>交换集的HASH算法:SHA和MD5。

⑧创建加密图时,名称和编号都只在本地有效,如果有多个编号,路由器将从小到大逐一匹配。

⑨反向路由注入就是在VPN设备上会根据“match address
VPN”命令生成静态路由,静态路由的条数和ACL条数

相对应,“static”参数指明即使VPN会话没有建立起来返向路由也要创建。

实验调试:

R1#show ip route

R1#ping 172.16.4.1 source lo0



以上输出表明路由器R1有172.16.4.0/24条路由了,下一跳为对方公网地址,并且能与对端局域网正常通信。

R1#show crypto engine connections
active       
//查看活动的VPN会话的基本情况



以上输出表明加密和解密是独立的会话,可以看到加密和解密了个5个数据包。

R1#show crypto isakmp
policy       
//显示系统中所有的ISAKMP策略情况



R1#show crypto ipsec
transform-set       
//显示系统中所有的IPSec交换机情况



R1#show crypto
map       
//显示系统中的加密图情况



R1#show crypto ipsec
sa       
//显示IPSec会话的情况



NAT配置:

由于现在远程办公室和企业内部都无法与Internet通信,还需要配置NAT。

R1(config)#access-list 100 deny ip
172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255

//特别注意,要把远程办公室去往企业总部的IP数据包排除在进行NAT之外

R1(config)#access-list 100 permit ip
172.16.1.0 0.0.0.255 any

R1(config)#ip nat inside source list 100 int
s0/0 overload

R1(config)#int lo0

R1(config-if)#ip nat inside

R1(config)#int s0/0

R1(config-if)#ip nat outside

R4(config)#access-list 100 deny ip
172.16.4.0 0.0.0.255 172.16.1.0 0.0.0.255

R4(config)#access-list 100 permit ip
172.16.4.0 0.0.0.255 any

R4(config)#ip nat inside source list 100 int
s0/0 overload

R4(config)#int lo0

R4(config-if)#ip nat inside

R4(config)#int s0/0

R4(config-if)#ip nat outside

实验调试:

R1#ping 34.1.1.3 source
lo0        //测试远程办公室和Internet的通信

R1#ping 172.16.4.1 source
lo0       
//再次测试远程办公室和公司总部的通信,一切正常

IPsec_VPN实现技术【转载】的更多相关文章

  1. Comet:基于 HTTP 长连接的“服务器推”技术(转载)

    “服务器推”技术的应用 传统模式的 Web 系统以客户端发出请求.服务器端响应的方式工作.这种方式并不能满足很多现实应用的需求,譬如: 监控系统:后台硬件热插拔.LED.温度.电压发生变化: 即时通信 ...

  2. 技术转载:Jni学习四:如何编写jni方法

    转载:http://blog.chinaunix.net/u1/38994/showart_1099528.html 一.概述: 在这篇文章中将会简单介绍如何编制一些简单的JNI 方法.我们都知道JN ...

  3. MYSQL优化_MYSQL分区技术[转载]

    MySQL分区技术是用来减轻海量数据带来的负担,解决数据库性能下降问题的一种方式,其他的方式还有建立索引,大表拆小表等等.MySQL分区按照分区的参考方式来分有RANGE分区.LIST分区.HASH分 ...

  4. ado.net EF学习系列----深入理解查询延迟加载技术(转载)

    ado.net EF是微软的一个ORM框架,使用过EF的同学都知道EF有一个延迟加载的技术. 如果你是一个老鸟,你可能了解一些,如果下面的学习过程中哪些方面讲解的不对,欢迎批评指教.如果一个菜鸟,那我 ...

  5. .net环境下的缓存技术-转载!

    摘要: 介绍缓存的基本概念和常用的缓存技术,给出了各种技术的实现机制的简单介绍和适用范围说明,以及设计缓存方案应该考虑的问题(共17页) 1         概念 1.1   缓存能解决的问题 · 性 ...

  6. scRNA-seq测序的两种技术[转载]

    转自:http://www.ebiotrade.com/newsf/2017-9/201795172237350.htm 1.综述 哈佛大学的两个团队将微流体技术引入单细胞RNA-Seq方法中,分别开 ...

  7. ESI 动态缓存技术[转载]

    任何一个Web网站的内容都是在不断更新和变化,但这并不意味这这个网站的内容就是动态内容,事实上,动态的内容是指用户每次点击 相同的链接时取的的内容是由Web服务器应用程序生成的,如常见得ASP,JSP ...

  8. JSP编程中常用的JavaScript技术(转载)

    1.<tronMouseOver=this.style.backgroundColor=’#FFFFFF’ onMouseOut=this.style.backgroundColor=”> ...

  9. 走进JavaWeb技术世界3:JDBC的进化与连接池技术

    走进JavaWeb技术世界3:JDBC的进化与连接池技术 转载公众号[码农翻身] 网络访问 随着 Oracle, Sybase, SQL Server ,DB2,  Mysql 等人陆陆续续住进数据库 ...

随机推荐

  1. C语言_第一讲_C语言入门

    一.C语言的简介 1.C语言是一个标准,而执行标准的时候产生的自动化程序则是编译器2.了解:1983年美国国家标准化歇会(ANSI)制定了C语言标准.C语言的特点:3.代码的可移植性(理想状态是代码可 ...

  2. 白帽子之路首章:Footprinting, TARGET ACQUISITION

    *Disclaimer: All materials provided on this blog are for educational purposes only. The author and o ...

  3. MySQL的grant,revoke使用

    MySQL 赋予用户权限命令的简单格式可概括为: grant 权限 on 数据库对象 to 用户 一.grant 普通数据用户,查询.插入.更新.删除 数据库中所有表数据的权利. grant sele ...

  4. JFFS2文件系统的移植

    Linux文件系统的移植-JFFS2 JFFS2是JFFS的后继者,由Red Hat重新改写而成.JFFS2的全名为JournallingFlash File System Version 2(闪存日 ...

  5. 利用CSS简单布局的不同组合类型

    关于CSS布局页面的简单组合方式: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" " ...

  6. Maven详解(三)------ Maven工程目录介绍

    上一章我们配置并安装好了 Maven,那么这一章我们介绍如何用eclipse创建一个 Maven 工程,然后介绍 Maven 工程的目录结构. 1.eclipse 创建 Maven 工程 第一步:Fi ...

  7. 理解JavaScript的立即调用函数表达式(IIFE)

    首先这是js的一种函数调用写法,叫立即执行函数表达式(IIFE,即immediately-invoked function expression).顾名思义IIFE可以让你的函数立即得到执行(废话). ...

  8. 【MySQL】Linux下MySQL 5.5、5.6和5.7的RPM、二进制和源码安装

      [MySQL]Linux下MySQL 5.5.5.6和5.7的RPM.二进制和源码安装 1.1  BLOG文档结构图 1.2  前言部分 1.2.1  导读和注意事项 各位技术爱好者,看完本文后, ...

  9. Kickstart Round D 2017 problem A sightseeing 一道DP

    这是现场完整做出来的唯一一道题Orz..而且还调了很久的bug.还是太弱了. Problem When you travel, you like to spend time sightseeing i ...

  10. 【渗透笔记】拿下某小H网的全过程

    自从班上A片小王子的7个T资源被封了以后,本小白为造福全班同学,尝试拿下个小H网,先用webrobot搜某些只有小H网才会出现的关键词 本以为直接导出放御剑里跑就行了,然并软.于是用awvs扫了一下, ...