IPsec_VPN实现技术【转载】
GRE Tunnel
GRE Tunnel(General Routing Encapsulation
通用路由封装)是一种非常简单的VPN(Virtual Private Network
虚拟专用网络),其基本思路是:VPN网关把发往对方的数据包在网络边界重新进行封装,然后通过Internet将数据包发送到目标站点的对等VPN网
关,这个过程也就是把一个私网的数据包封装在一个公网的数据包中;对方收到数据包后剥离报头,复原出原来的数据包,然后向其私网内的目标主机传递出数据
包;这样私网的数据包就穿过了公网,到达了另一个私网。但是采用GRE Tunnel
VPN技术的一个重要问题是数据包在Internet上传输是不安全的。
实验
配置IP地址及路由:
R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0
12.1.1.2 permanent
R2(config)#ip route 34.1.1.0 255.255.255.0
s0/1 23.1.1.3
R3(config)#ip route 12.1.1.0 255.255.255.0
s0/1 23.1.1.2
R4(config)#ip route 0.0.0.0 0.0.0.0 s0/0
34.1.1.3 permanent
配置GRE Tunnel:
R1(config)#int tunnel
0
//创建Tunnel接口0,编号只有本地有效
R1(config-if)#ip add 172.16.14.1
255.255.255.0 //配置隧道接口的地址,显然该地址是私网地址
R1(config-if)#tunnel source
s0/0
//配置Tunnel的源接口
R1(config-if)#tunnel destination
34.1.1.4
//配置Tunnel的目的地址
R1(config-if)#tunnel mode gre
ip
//配置隧道为GRE模式,默认即为GRE
R4(config)#int tunnel
0
R4(config-if)#ip add 172.16.14.4
255.255.255.0
R4(config-if)#tunnel source
s0/0
R4(config-if)#tunnel destination 12.1.1.1
说明:
①Tunnel的源接口:也可以使用“tunnel source
12.1.1.1”命令配置,路由器将以此接口的地址作为源地址重
新封装VPN数据包;
②Tunnel的目地址:路由器将以此地址作为目的地址重新封装VPN数据包;
③隧道创建后,可以把隧道看成一条专线。
实验调试:
R1#show int tunnel
0
//查看Tunnel 0接口的状态
配置路由协议:
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no
auto-summary
R1(config-router)#network
172.16.0.0
R4(config)#router rip
R4(config-router)#version 2
R4(config-router)#no
auto-summary
R4(config-router)#network 172.16.0.0
实验调试:
R1#show ip route
R1#ping 172.16.4.1 source lo0
以上输出表明远程办公室已经学习到了企业总部内部网络的路由,下一跳为隧道另一端的地址。
配置NAT:
由于现在企业内部和远程办公室都无法与Internet通信,还需要配置NAT。
R1(config)#access-list 10 permit
172.16.1.0 0.0.0.255
R1(config)#ip nat inside source list 10 int
s0/0 overload
R1(config)#int lo0
R1(config-if)#ip nat inside
R1(config)#int
s0/0
R1(config-if)#ip nat
outside
R4(config)#access-list 10 permit
172.16.4.0 0.0.0.255
R4(config)#ip nat inside source list 10 int
s0/0 overload
R4(config)#int lo0
R4(config-if)#ip nat inside
R4(config)#int s0/0
R4(config-if)#ip nat outside
实验调试:
R1#ping 34.1.1.3 source
lo0
//测试远程办公室和Internet的通信
R1#ping 172.16.4.1 source
lo0
//再次测试远程办公室和公司总部的通信,一切正常
Site To
Site VPN/LAN To LAN VPN
Site To Site是指把一个局域网和另一个局域网连接在一起,本实验采用IPSec(Internet Protocol
Security 网际网路协定安全规格)VPN解决这个问题。IPSec VPN是针对IP通信保护的协议簇,IPSec
VPN的基础是数据机密性、数据完整性和身份验证。
数据机密性:一个常见的安全性考虑是防止窃听者窃取数据。VPN利用封装和加密机制来实现机密性,常见的算
法有DES、3DES和AES。
数据完整性:数据完整性确保数据在源主机和目的主机之间传送时不被篡改。VPN通常使用哈希来确保数据完整
性,常见的算法有MD5和SHA。
身份验证:身份验证确保消息来自真实来源,并传送到真实目的地。VPN利用用户标识确信与其建立通信的一方
正是其所认为的那一方,常用的算法有预共享密码和数字证书。
两种主要的IPSec协议框架:
验证报头(AH):仅提供完整性和身份验证功能,在不要求或不允许有机密性时使用。AH在原有的数据包头部和
数据之间加入AH字段,该字段里包含IP头和数据的完整性校验值。因此AH能为两个系统间传送的IP数据包提供
数据验证和数据完整性检查。它验证消息在传送过程中是否未被篡改,还验证来源。AH不提供数据包的数据机
密性(加密)检查。AH协议在单独使用时提供的保护较脆弱,因此需要将其与ESP协议配合使用,来提供数据加
密和防篡改检测等安全功能。
封装安全负载(ESP):通过对IP数据包加密隐藏数据及源主机和目的主机的身份提供机密性、完整性和身份验
证。ESP可验证内部IP数据包和ESP报头的身份,从而提供数据来源验证和数据完整性检查。ESP有两种模式:传
输模式和隧道模式。
传输模式:不产生新的IP包头,但是在原有的IP包头和数据字段之间加入ESP头部,并且在尾部加了ESP尾和完
整性校验值,该模式提供端到端的安全。
隧道模式:用新的IP包头对原有的数据包进行了重新封装,添加了ESP头、ESP尾及完整性校验值,该模式提供
路由器到路由器的安全,计算机到路由器的数据安全并不能保证,该模式对用户是透明的,因此使用较多。
IPSec的工作方式:
协商阶段:互联VPN之前要进行协商,VPN的协商可分为两个阶段:
①密钥协商阶段:设备获取了相应的密钥(为了保证传输过程中传输的安全性会使用非对称密钥);
②IPsec阶段:数据要进加密的数据交换(通过协商后产生的非对称密钥获得加密的先决条件)。
数据传输阶段:采用对称加密算法完成数据的安全传输,对等体双方使用的相应加密手段与校验手段。
说明:对称加密算法安全性更高,第一阶段不使用对称加密算法的原因就是避免传输过程中被截获,而第二阶段
通过安全的密钥交换之后不怕被截获,即便被截获通过转换集复杂的加密算法被解密的可能性也是微乎其微。
实验
配置IP地址及路由:
R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0
12.1.1.2 permanent
R2(config)#ip route 34.1.1.0 255.255.255.0
s0/1 23.1.1.3
R3(config)#ip route 12.1.1.0 255.255.255.0
s0/1 23.1.1.2
R4(config)#ip route 0.0.0.0 0.0.0.0 s0/0
34.1.1.3 permanent
配置Site To Site VPN:
R1(config)#crypto isakmp policy
10
//创建一个ISAKMP策略,编号为10
R1(config-isakmp)#encryption
aes
//配置ISAKMP采用AES加密算法
R1(config-isakmp)#authentication
pre-share
//配置ISAKMP采用预共享密码身份认证算法
R1(config-isakmp)#hash
sha
//配置ISAKMP采用SHA HASH算法
R1(config-isakmp)#group
5
//配置ISAKMP采用DH group 5密钥交换算法
R1(config-isakmp)#lifetime
86400 //为了安全起见设置生存时间,即多长时间重认证,默认即为86400
R1(config)#crypto isakmp key cisco
address
34.1.1.4 //配置对等体34.1.1.4的预共享密码为cisco
R1(config)#crypto ipsec
transform-set TRAN esp-aes esp-sha-hmac
//创建一个名为TRAN的IPSec交换集,交换集采用ESP封装,加密算法为AES,HASH算法为SHA
R3(cfg-crypto-trans)#mode
tunnel
//设置ESP的模式,默认即为Tunnel
R1(config)#ip access-list extended
VPN
R1(config-ext-nacl)#permit ip
172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255
//定义一个ACL,只限定从远程办公室到企业总部的流量才通过VPN加密发送,其它流量(如到Internet)不加密
R1(config)#crypto map MAP 10
ipsec-isakmp
//创建名为MAP,编号为10的加密图
R1(config-crypto-map)#set peer
34.1.1.4
//指明VPN对等体为路由器R4
R1(config-crypto-map)#set
transform-set
TRAN
//指明采用前边已经定义的交换集
R1(config-crypto-map)#match address
VPN
//指明匹配名为VPN的ACL的定义的流量就是VPN流量
R1(config-crypto-map)#reverse-route
static
//指明要反向路由注入
R1(config)#int
s0/0
R1(config-if)#crypto map
MAP
//把名为MAP的加密图应用在接口上
R4(config)#crypto isakmp policy
10
R4(config-isakmp)#encryption
aes
R4(config-isakmp)#authentication
pre-share
R4(config-isakmp)#hash
sha
R4(config-isakmp)#group
5
R4(config)#crypto isakmp key cisco
address 12.1.1.1
R4(config)#crypto ipsec transform-set
TRAN esp-aes esp-sha-hmac
R4(config)#ip access-list extended
VPN
R4(config-ext-nacl)#permit ip
172.16.4.0 0.0.0.255 172.16.1.0 0.0.0.255
R4(config)#crypto map MAP 10
ipsec-isakmp
R4(config-crypto-map)#set peer
12.1.1.1
R4(config-crypto-map)#set
transform-set TRAN
R4(config-crypto-map)#match address
VPN
R4(config-crypto-map)#reverse-route
static
R4(config)#int
s0/0
R4(config-if)#crypto map
MAP
说明:
①创建ISAKMP(Internet Security
And Key Management Protocol
因特网安全协议与密钥管理协议)策略时,可
以创建多个ISAKMP策略,但是双方路由器将采用编号最小、参数一致的策略,因此双方至少要有一个策略是一
致的,否则协商失败。
②加密算法可以选择:DES、3DES和AES。
③身份认证算法可以选择:预共享密码和(如果有CA服务器时也可以选择)CA(电子证书)进行身份认证。
④HASH算法可以选择:SHA和MD5。
⑤密钥交换算法可以选择:group 1、group 2和group
5。
⑥配置预共享密码时,要确保双方配置的密码要一致,否则协商失败。
⑦配置交换集时,交换集名称只在本地有效,并且要确保双方路由器有一个参数一致的交换集,否则协商失败。
1>交换集的封装方式:ESP、AH和ESP+AH;
1)ESP封装提供的功能:机密性、完整性和身份认证;
2)AH封装提供的功能:完整性和身份认证,实际上AH使用的较少。
2>交换集的加密算法:DES、3DES和AES;
3>交换集的HASH算法:SHA和MD5。
⑧创建加密图时,名称和编号都只在本地有效,如果有多个编号,路由器将从小到大逐一匹配。
⑨反向路由注入就是在VPN设备上会根据“match address
VPN”命令生成静态路由,静态路由的条数和ACL条数
相对应,“static”参数指明即使VPN会话没有建立起来返向路由也要创建。
实验调试:
R1#show ip route
R1#ping 172.16.4.1 source lo0
以上输出表明路由器R1有172.16.4.0/24条路由了,下一跳为对方公网地址,并且能与对端局域网正常通信。
R1#show crypto engine connections
active
//查看活动的VPN会话的基本情况
以上输出表明加密和解密是独立的会话,可以看到加密和解密了个5个数据包。
R1#show crypto isakmp
policy
//显示系统中所有的ISAKMP策略情况
R1#show crypto ipsec
transform-set
//显示系统中所有的IPSec交换机情况
R1#show crypto
map
//显示系统中的加密图情况
R1#show crypto ipsec
sa
//显示IPSec会话的情况
NAT配置:
由于现在远程办公室和企业内部都无法与Internet通信,还需要配置NAT。
R1(config)#access-list 100 deny ip
172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255
//特别注意,要把远程办公室去往企业总部的IP数据包排除在进行NAT之外
R1(config)#access-list 100 permit ip
172.16.1.0 0.0.0.255 any
R1(config)#ip nat inside source list 100 int
s0/0 overload
R1(config)#int lo0
R1(config-if)#ip nat inside
R1(config)#int s0/0
R1(config-if)#ip nat outside
R4(config)#access-list 100 deny ip
172.16.4.0 0.0.0.255 172.16.1.0 0.0.0.255
R4(config)#access-list 100 permit ip
172.16.4.0 0.0.0.255 any
R4(config)#ip nat inside source list 100 int
s0/0 overload
R4(config)#int lo0
R4(config-if)#ip nat inside
R4(config)#int s0/0
R4(config-if)#ip nat outside
实验调试:
R1#ping 34.1.1.3 source
lo0 //测试远程办公室和Internet的通信
R1#ping 172.16.4.1 source
lo0
//再次测试远程办公室和公司总部的通信,一切正常
IPsec_VPN实现技术【转载】的更多相关文章
- Comet:基于 HTTP 长连接的“服务器推”技术(转载)
“服务器推”技术的应用 传统模式的 Web 系统以客户端发出请求.服务器端响应的方式工作.这种方式并不能满足很多现实应用的需求,譬如: 监控系统:后台硬件热插拔.LED.温度.电压发生变化: 即时通信 ...
- 技术转载:Jni学习四:如何编写jni方法
转载:http://blog.chinaunix.net/u1/38994/showart_1099528.html 一.概述: 在这篇文章中将会简单介绍如何编制一些简单的JNI 方法.我们都知道JN ...
- MYSQL优化_MYSQL分区技术[转载]
MySQL分区技术是用来减轻海量数据带来的负担,解决数据库性能下降问题的一种方式,其他的方式还有建立索引,大表拆小表等等.MySQL分区按照分区的参考方式来分有RANGE分区.LIST分区.HASH分 ...
- ado.net EF学习系列----深入理解查询延迟加载技术(转载)
ado.net EF是微软的一个ORM框架,使用过EF的同学都知道EF有一个延迟加载的技术. 如果你是一个老鸟,你可能了解一些,如果下面的学习过程中哪些方面讲解的不对,欢迎批评指教.如果一个菜鸟,那我 ...
- .net环境下的缓存技术-转载!
摘要: 介绍缓存的基本概念和常用的缓存技术,给出了各种技术的实现机制的简单介绍和适用范围说明,以及设计缓存方案应该考虑的问题(共17页) 1 概念 1.1 缓存能解决的问题 · 性 ...
- scRNA-seq测序的两种技术[转载]
转自:http://www.ebiotrade.com/newsf/2017-9/201795172237350.htm 1.综述 哈佛大学的两个团队将微流体技术引入单细胞RNA-Seq方法中,分别开 ...
- ESI 动态缓存技术[转载]
任何一个Web网站的内容都是在不断更新和变化,但这并不意味这这个网站的内容就是动态内容,事实上,动态的内容是指用户每次点击 相同的链接时取的的内容是由Web服务器应用程序生成的,如常见得ASP,JSP ...
- JSP编程中常用的JavaScript技术(转载)
1.<tronMouseOver=this.style.backgroundColor=’#FFFFFF’ onMouseOut=this.style.backgroundColor=”> ...
- 走进JavaWeb技术世界3:JDBC的进化与连接池技术
走进JavaWeb技术世界3:JDBC的进化与连接池技术 转载公众号[码农翻身] 网络访问 随着 Oracle, Sybase, SQL Server ,DB2, Mysql 等人陆陆续续住进数据库 ...
随机推荐
- excel下拉级联的做法
前面的文章讲了,excel下拉级联,重新选第一个下拉,后面那个值怎么清除.今天我讲下excel利用宏解决整个表格的级联下拉问题. 我遇到的情况是两个下垃圾连,第一个医生类别,第二个医生职称,而且我是要 ...
- 喂,前端,你应该知道的chrome插件
最近,优点闲. 压力,有点大,回顾,曾今被问,你怎么查看内存泄露,然后,一脸蒙. 工欲善其事, 必先利其器 最近在研究chrome devtools,发现,其实他很强.而且chrome6周一次的更新, ...
- 在基于TypeScript的LayaAir HTML5游戏开发中使用AMD
在基于TypeScript的LayaAir HTML5游戏开发中使用AMD AMD AMD是"Asynchronous Module Definition"的缩写,意思就是&quo ...
- $($('.className').html( )选择器的工作原理
$($('.slot')[0]).html('<img src = "' + images[slotOne-1] + '">');
- 多人开发的git项目如何保持提交日志为一条直线?
多人开发的git项目如何保持提交日志为一条直线? 一.Git的项目的git常用操作 a)Git clone 项目地址 从远程仓库克隆项目到本地 b)Git pull 从当前分支拉取更新代码 c)Git ...
- Qt窗体引用window自带阴影边框效果
<1>.工程pro文件添加Dwmapi.lib LIBS += Dwmapi.lib <2>.窗体控件添加系统函数 #ifdef Q_OS_WIN #include <D ...
- 用UE4来做Zego即构的房间列表
Zego即构是一家做直播的服务商,Zego即构自己的房间列表,本文只是测试功能用,相应代码并没完全测试,请选择性参考. 我们在UE4中来实现一下,我感觉这个过程有点意思,UE4中C++与蓝图和UI的互 ...
- Python 文本和字节序列
p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 15.0px Helvetica } Python 3 明确区分了人类可读的文本字符串和原始的字节序列.隐式 ...
- JMeter脚本录制
1.1. 使用第三方录制方式或代理录制方式(建议) 第三方采用:http://www.badboy.com.au/ 通过badboy来录制,录制后另存为jmx格式即可. 操作步骤: a.打开badb ...
- 【问题解决记录】Error: Cannot find module '@ionic/app-scripts'
主要问题为: ionic serve 编译在浏览器中预览项目时,提示报错 Error: Cannot find module '@ionic/app-scripts'.这个问题的主要现象就是创建的项目 ...