***
1、***
(Virtual Private Network)
虚拟专有网络
虚拟专网
2、引入
***可以实现在不安全的网络上,安全的传输数据,好像专网!
***只是一个技术,使用PKI技术,来保证数据的安全三要素
3、安全三要素
机密性
完整性
身份验证性
4、加密技术
1)对称加密
加密与解密使用相同的秘钥
秘钥是通信双方协商生成,生成过程是明文通信!
秘钥容易泄露!
速度快!
常见的对称加密算法:DES、3DES、AES
2)非对称加密算法
使用公私钥加密数据
公私钥成对生成,互为加解密关系!
公私钥不能互相推算!
对方交换公钥
使用对方的公钥加密实现机密性
使用自己的私钥进行签名,实现身份验证
速度慢,安全性高
常见算法:RSA、DH
3)完整性算法/hash值算法
MD5
SHA
5、***的类型
1)远程访问***
(Remote Access ***)
一般用在个人到安全连接企业内部!
一般出差员工/在家办公。安全连接内网时使用!
一般公司部署***服务器,员工在外拨号连接***即可!
常见RA-***协议:PPTP ***、L2TP***、SSTP***、EZ***/easy***、SSL***
2)点到点***
一般用在企业对企业安全连接!
一般需要在两个企业总出口设备间建立***通道!
常见的点到点***:IPsec***
6、IPsec***概述
1)属于点到点***,可以在两家企业间建立***隧道!
2)***隧道优点:1)安全性!
2)合并两家企业内网!
3)***隧道技术:
1)传输模式:只加密上层数据,不加密私有IP包头,速度快
2)隧道模式tunnel/一般是默认的:加密整个私有IP包,包括IP包头,更安全、速度慢
4)***隧道技术:重新封装技术+加密认证技术
7、IPsec***原理
也称为IPsec***工作流程:
IPsec***分为两大阶段
第一阶段:管理连接
目的:通信双方设备通过非对称加密算法加密对称加密算法所使用的对称秘钥!
命令:
conf t ( IKE)
> > crypto isakmp policy 1 (创建IKE策略集,集名为1)
encryption des/3des/aes
hash md5/sha
group 1/2/5
authentication pre-share
lifetime 秒 (默认86400秒)
exit
crypto isakmp key 预共享密钥 address 对方的公网IP地址
第二阶段:数据连接
目的:通过对称加密算法加密实际所要传输的私网数据!
1)定义***触发流量:
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
2)定义加密及认证方式:
conf t
crypto ipsec transform-set 传输集名 esp-des/3des/aes esp/ah-md5/sha-hmac
例:
crypto ipsec teansform-set wentran esp-aes esp-sha-hmac
ESP:支持加密及认证(身份验证+完整性)
AH:只支持认证(身份验证+完整性)
将阶段1和阶段2的重要配置引用到一张map映射表中,然后将map表应用到外网端口上
创建MAP映射表 conf t
crypto map map名 1 ipsec-isakmp
match address acl表名
set transform-set 传输集名
set peer 对方的公网IP
exit
例如:
crypto map wenmap 1 ipsec-isakmp
match address 100
set transform-set wentran
set peer 200.1.1.2
exit
将map表应用到外网端口
int f0/1(外网端口)
crypto map map名 exit
查看命令:
show crypto isakmp sa 查看第一阶段状态 active成功 active(delete)失败
show crypto ipsec sa 查看第二阶段状态
show crypto isakmp policy 查看第一阶段的策略配置集
show crypto ipsec transform-set 查看第二阶段的传输模式