网络安全之IPSec vpn

一、VPN概述

VPN定义

VPN：VirtualPrivateNetwork

虚拟专用网络=虚拟专网

VPN有哪些好处呢？

专线：价格高，安全、稳定、高效率！

VPN：VPN是一种技术，能够实现2家公司之间不在安全的链路上安全的传递信息！就专网！

目前互联网的现况

VPN根据建立VPN隧道，建立“维护”网络实体之间的通信！

VPN怎么做到的安全通信？

1）使用加密技术避免数据被窃听

2）数据完整性验证避免数据被破坏、篡改

3）根据验证体制确认身份，避免被掩藏，数据被截获、回放

VPN实现了什么？

VPN实现了安全三/四要素：

1）机密性

2）完整性

3）身份验证

4）不可否认性

VPN的工作模式

通过学习工作模式，飞哥希望大家除了掌握VPN的安全好处外，能够发觉VPN的此外一个好处！

隧道方式：将整个私有IP包所有加密，并重新封裝新的IP包头！

VPN的种类

种类一、远程访问VPN

情景：出差员工与公司建立VPN隧道

种类二、点到点VPN

情景：两家子公司/2个实体房屋之间的VPN隧道意味着技术：IPsecVPN、GREVPN、MPLSVPN

二、VPN加密技术

对称加密算法

算法：说白了便是公式！如：x+5=yx便是密文数据

y是加密以后的数据（密文）5是密钥

对称加密算法：加密和破译使用同一个密钥（对称密钥）！

常见的对称加密算法：DES、3DES、AES

对称密钥：通信双方协商而成，协商过程是密文传输，容易被窃取！对称加密算法的致命缺陷：对称密钥容易丢失！

对称加密算法的优势：加密速度快！

非对称加密算法

非对称加密算法：双方加密和破译用的并不是同一把钥匙！密钥：需要2把钥匙：公钥和私钥

公钥+私钥怎样造成的？并不是双方协商而成，只是各自独立生成！一般全是成对生成！

一对公钥和私钥的关联：公钥和私钥相互之间加解密关联！公钥加密，私钥破译！私钥加密，公钥破译！公钥公布，私钥不公布！

常见的非对称加密算法：RSA、DH

公钥和私钥不可以互粉！

机密性：使用另一方的公钥加密！

数字签名/身份验证：用自身的私钥加密实现签字！非对称加密算法优势：安全！

非对称加密算法缺陷：速度慢，效率慢！

对称+非对称融合：使用非对称加密算法来加密对称算法使用的对称密钥！

IPsecVPN就选用了这个过程！！！！IPsecVPN选用的非对称加密算法是DH

完整性算法

常见的完整性算法：MD5、SHA

完整性加密算法是不可逆的！并且加密后的数据一般为4字节！完整性算法加密后的值：一般称之为hash值/hash值

三、IPsecVPN定义和基本原理

建立IPSecVPN连接需要3个流程

1、定义流量开启IPSec

2、建立管理连接

3、建立数据连接

定义流量开启IPSec：北京内部：192.168.1.0/24上海分公司內部：172.16.1.0/24192.168.1.0/24---172.16.1.0/24

阶段一：管理连接

双方使用非对称加密算法，安全的同歩对称算法的对称密钥！

阶段二：数据连接

使用阶段一留下的对称密钥，使用对称加密算法+hash算法来传输具体的客户数据！疑惑！信息安全需要达到3因素：机密性、完整性、身份验证

四、IPsecVPN的配备和实现

-----------IPsecVPN是在外网端口上实现的！！-------------

阶段零：定义VPN触发流量：

conf t

acc 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

阶段一：管理连接

conft 

crypto isakmp enable           #启用IKE(默认是启动的)

cryptoisakmppolicy100    #建立IKE策略,优先级为1

encryptiondes/3des/aes       #设置对称算法，（双方必须一致）

hashmd5/sha                  #设置完整性算法，（双方必须一致）

group  1/2/5                  #设置DH算法的长度，1/2/5代表公钥的长度

Authentication   pre-share    #使用预共享的密码进行身份验证 

exit

Crypto    isakmpkey  预共享密码  address 对方的公网IP地址  

--(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址)

阶段二：数据连接

cryptoipsectransform-set加密模式名esp-des/esp-3des/esp-aesesp-md5/esp-sha-hmac

定义map表：

cryptomap map表名1ipsec-isakmp matchaddress101

settransform-set加密模式名setpeer对方的公网IP地址

exit

使IPsecVPN生效！也就是将map表应用到外网端口上！

intf0/1（注意f0/1必须是外网端口） cryptomapmap表名

exit

五、VPN与NAT共存

数据包从内网--外网，先过PAT，再过VPN 解决方法：需要再PAT中豁免掉VPN的流量

假设192-172是需要走VPN的流量，则再PAT地址池中如下豁免！

bj-R(config)#acc 130 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

bj-R(config)#acc 130 permit ip any any

以上就是网络安全之IPSec vpn的介绍，

如果你还有其他问题，欢迎进行咨询探讨，希望我们的专业的解决方案，可以解决你目前遇到的这些问题。