【愚公系列】2021年12月 網(wǎng)絡(luò)工程-虛擬網(wǎng)絡(luò)VPN

前言

VPN一般指虛擬專用網(wǎng)絡(luò)。 虛擬專用網(wǎng)絡(luò)(VPN)的功能是：在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉(zhuǎn)換實現(xiàn)遠程訪問。VPN可通過服務(wù)器、硬件、軟件等多種方式實現(xiàn)。

提示：以下是本篇文章正文內(nèi)容，下面案例可供參考

一、虛擬網(wǎng)絡(luò)VPN

1、VPN（Virtual Private Network）

虛擬專有網(wǎng)絡(luò)

虛擬專網(wǎng)

2、引入

VPN可以實現(xiàn)在不安全的網(wǎng)絡(luò)上，安全的傳輸數(shù)據(jù)，好像專網(wǎng)！

VPN只是一個技術(shù)，使用PKI技術(shù)，來保證數(shù)據(jù)的安全三要素

安全三要素：

1）機密性

2）完整性

3）身份驗證

4、加密技術(shù)：

1）對稱加密：加密與解密使用相同的密鑰

密鑰是通信雙方協(xié)商生成，生成過程是明文通信！

密鑰容易泄露！

速度快！

對稱加密算法：DES、3DES、AES

2）非對稱加密算法：使用公私鑰加密數(shù)據(jù)

公私鑰成對生成，互為加解密關(guān)系！

公私鑰不能互相推算！

雙方交換公鑰

使用對方的公鑰加密實現(xiàn)機密性

使用自己的私鑰進行簽名，實現(xiàn)身份驗證

速度慢，安全性高

常見算法：RSA、DH

5.完整性算法/hash值算法：

MD5

SHA

6.VPN的類型：

1）遠程訪問VPN：（Remote Access VPN）

一般用在個人到安全連接企業(yè)內(nèi)部！

一般出差員工/在家辦公，安全連接內(nèi)網(wǎng)時使用！

一般公司部署VPN服務(wù)器，員工在外撥號連接VPN即可！

常見RA-VPN協(xié)議：PPTP VPN、L2TP VPN、SSTP VPN

EZvpn/easyvpn、SSL VPN

2）點到點VPN

一般用在企業(yè)對企業(yè)安全連接！

一般需要在兩個企業(yè)總出口設(shè)備之間建立VPN通道！

常見的點到點VPN：IPsecVPN

7.IPsecVPN：

1）屬于點到點VPN，可以在2家企業(yè)之間建立VPN隧道！

2）VPN隧道優(yōu)點：安全性！

合并倆家企業(yè)內(nèi)網(wǎng)！

3）VPN隧道技術(shù)：

1）傳輸模式：只加密上層數(shù)據(jù)，不加密私有IP包頭，速度快

2）隧道模式：加密整個私有IP包，包括IP包頭，更安全，速度慢

4）VPN隧道技術(shù)：重新封裝技術(shù)+加密認證技術(shù)

5）IPsecVPN分為2大階段：

第一階段：管理連接

目的：通信雙方設(shè)備通過非對稱加密算法加密對稱加密算法所使用的對稱密鑰！

命令：

conf t （ IKE）

crypto isakmp policy 1 （傳輸集/策略集）

encryption des/3des/aes

hash md5/sha

group 1/2/5

authentication pre-share

lifetime 秒 （默認86400秒）

exit

crypto isakmp key 預(yù)共享密鑰 address 對方的公網(wǎng)IP地址

第二階段：數(shù)據(jù)連接

目的：通過對稱加密算法加密實際所要傳輸?shù)乃骄W(wǎng)數(shù)據(jù)！

定義VPN觸發(fā)流量：

access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255

定義加密及認證方式：

conf t

crypto ipsec transform-set 傳輸模式名 esp-des/3des/aes esp/ah-md5/sha-hmac

例:

crypto ipsec teansform-set wentran esp-aes esp-sha-hmac

ESP：支持加密及認證（身份驗證+完整性）

AH：只支持認證（身份驗證+完整性）

創(chuàng)建MAP映射表：

conf t

crypto map map名 1 ipsec-isakmp

match address acl表名

set transform-set 傳輸模式名

set peer 對方的公網(wǎng)IP

exit

crypto map wenmap 1 ipsec-isakmp

match address 100

set transform-set wentran

set peer 200.1.1.2

exit

crypto map wenmap 2 ipsec-isakmp

match address 101

set transform-set wentran

set peer 150.1.1.2

exit

將map表應(yīng)用到外網(wǎng)端口：

int f0/1（外網(wǎng)端口）

crypto map wenmap

exit

****注意：一個接口只能應(yīng)用一個map表！！！！！

查看命令：

show crypto isakmp sa 查看第一階段狀態(tài)

show crypto ipsec sa 查看第二階段狀態(tài)

show crypto isakmp policy 查看第一階段的策略配置集

show crypto ipsec transform-set 查看第二階段的傳輸模式

9.路由器的工作原理：

內(nèi)網(wǎng)–to–外網(wǎng)： 路由–NAT–VPN–出去

實驗1：北京–上海–建立VPN隧道，并驗證

實驗2：在實驗1的基礎(chǔ)上，要求2個公司能上網(wǎng)，但不影響VPN隧道

實驗3：在實驗1和2的基礎(chǔ)上，要求北京總部與廣州新成立的分公司也建立VPN隧道

可選：

實驗4：在1-3的基礎(chǔ)上，要求廣州和上海之間不建立VPN隧道，但廣州和上海可以互相安全的通信！

10.遠程訪問VPN：（擴展知識點）

在公司需要搭建VPN服務(wù)器

VPN服務(wù)器需要對VPN客戶端進行身份驗證

VPN服務(wù)器需要給VPN客戶端下發(fā)權(quán)限及IP地址

網(wǎng)絡(luò) 虛擬專用網(wǎng)絡(luò) VPN 虛擬化

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。