我们先和海翎光电的小编一起了解一下什么是VPN,VPN的分类。对基础知识有一定的了解后,我们再来讲一下VPN的盲点。
和海翎光电的小编一起看看VPN 盲点。
01、VPN 的连接模式:
① 传输模式:只保护数据,加密传输的内容
优点:效率高
缺点:不安全
应用场景:适用于在企业内网中部署 ipsec vpn,不需要封装新的 IP 包头。结合 GRE VPN 使用
② 隧道模式:保护数据和 IP 包头,重新封装一个 IP 包头可以直接在公网上搭建
VPN优点:安全性更高
缺点:效率低
02、VPN 的类型:
① 主模式—–站点到站点 VPN:SITE-to-SITE
对方的 IP 地址是固定的。
②积极模式—-远程访问 VPN:remote-access 远程用户 IP 地址是不固定的。
对方的 IP 地址不是固定的,可以用 IP 地址或者域名进行建立连接。
03、VPN 技术:
IPsec vpn 优势在于能对数据进行保护。主要用到下面两种技术:
加密算法:
① 对称加密算法:公钥加密 公钥密
DES 数据加密标准 bit=56bit+8bit
3DES 3*(56bit+8bit)
AES 高级加密标准 128bit~256bit【高达到 256bit】
优点:传输效率高
缺点:安全性较低
② 非对称加密算法:公钥加密 私钥密【私钥始终没有在公网上传输】
DH
优点:安全性更高
缺点:传输效率低
问题:使用对称加密算法密钥可能被窃听,使用非对称加密算法,计算复杂,效率太低,影响传输速度。
解决方案:通过非对称加密算法加密对称加密算法的密钥,然后再用对称加密算法加密实际要传输的数据。
04、IPSec VPN 使用的协议:
① 阶段一:使用 ISKMAP
- IKE 因特网密钥交换协议【统称】
- ISKMAP:安全关联和密钥管理协议【具体实现协议】
② 阶段二:使用 ESP AH
ESP:封装安全载荷协议
- ESP 对用户数据实现加密功能
- ESP 只对 IP 数据的有效载荷进行验证,不包括外部的 IP 包头
AH:认证头协议
- 数据完整性服务
- 数据验证
- 防止数据回放攻击
05、IPSec VPN 建立的两个阶段:
阶段 1:建立管理连接,建立一个安全的 VPN 通道,定义密钥与及加密算法参数【非对称加密算法,对称加密算法】
阶段一建立过程中:
① 主模式—–站点到站点 VPN:SITE-to-SITE
对方的 IP 地址是固定的,主模式协商阶段一的时候,使用到 6 个数据包。注:前 4 个报文为明文传输,从第 5 个数据报文开始为密文传输。
② 积极模式—-远程访问 VPN:对方的 IP 地址不是固定的,可以用 IP 地址或者域名进行建立连接
阶段 2:建立数据连接,配置 IPSec VPN 条件:
1) 建立 VPN 的两个对等体公网要能够通信
2) VPN 的流量要做 NAT 分离
ESP 支持加密和认证
AH 只支持认证
06、配置 IPSec VPN:
阶段 1:定义管理连接,crypto isakmp policy 10——设置 IKE 策略,policy 后面跟 1-10000 的数字,这些数字代表策略的优先级。
encr 3des—–加密算法使用 3des
hash md5—- hash 算法使用 MD5
authentication pre-share—-采用欲共享密钥认证方式
group 2—–采用第二个组的长度【共有 1、2、6 三个组可以选择】
crypto isakmp key CCIE address 23.1.1.2—- 设置 IKE 交换的密钥,CCIE 表示密钥组成,23.1.1.2 表示对方的 IP 地址
验证命令:
R2#show crypto isakmp policy 查看阶段 1 的 IKE 策略
R2# show crypto isakmp key
R1#show crypto isakmp sa 查看阶段 1 是否协商成功
IPv4 Crypto ISAKMP SA
| dst | src | state | conn-id slot status |
| 23.1.1.2 | 13.1.1.1 | QM_IDLE | 1001 0 ACTIVE |
阶段 2 的配置命令
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255! crypto ipsec transform-set SPOTO esp-aes esp-md5-hmac crypto map MAP 10 ipsec-isakmp set peer 23.1.1.2 set transform-set SPOTO match address 101! interface Serial1/0 crypto map MAP
验证命令:
R1#show crypto ipsec transform-set R1#show crypto map R1#show crypto ipsec sa
本文由 @武汉海翎光电 发布于弱电智能网 。
题图来自Unsplash,基于CC0协议
内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
文章名称:《虚拟专用网络-那些年你错过的“VPN 盲点”》
文章链接:https://www.ruodian360.com/tech/networking/43397.html
添加微信ydian188免费入群,记得备注“弱电智能网”。
