VPN即VirtualPrivateNetwork(虛擬專用網(wǎng)絡(luò))。VPN被定義為通過一個公用互聯(lián)網(wǎng)絡(luò)建立一個臨時的���、安全的連接���,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道�����,使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的����,廣泛使用企業(yè)辦公當(dāng)中�����。由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)�,用戶可以節(jié)省租用專線的費用���。
按VPN的協(xié)議分類:VPN的隧道協(xié)議主要有三種�,PPTP���,L2TP和IPSec���,其中PPTP和L2TP協(xié)議工作在OSI模型的第二層,又稱為二層隧道協(xié)議����;IPSec是第三層隧道協(xié)議,也是最常見的協(xié)議���。L2TP和IPSec配合使用是目前性能最好��,應(yīng)用最廣泛的一種��。今天給小伙伴們帶來ipsecvpn的技術(shù)原理及配置案例解析��。
IPSec(IPSecurity)協(xié)議族是IETF制定的一系列協(xié)議��,它為IP數(shù)據(jù)報提供了高質(zhì)量的�、可互操作的、基于密碼學(xué)的安全性��。特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證等方式�,來保證數(shù)據(jù)報在網(wǎng)絡(luò)上傳輸時的私有性、完整性��、真實性�。
IPSec(IPSecurity)是網(wǎng)絡(luò)安全協(xié)議的一個工業(yè)標(biāo)準(zhǔn),IPSec主要功能是為IP通信提供加密和認(rèn)證�����,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)��,保護(hù)TCP/IP通信免遭竊聽和篡改�����,可以有效抵御網(wǎng)絡(luò)攻擊�,同時保持易用性。
IPSec協(xié)議是一組協(xié)議���,它既可以作為一個完整的VPN方案�,也可以與其他協(xié)議配合使用��,如PPTP����、L2TP。它工作在OSI第3層(網(wǎng)絡(luò)層)��,可以為上層應(yīng)用提供一個安全的網(wǎng)絡(luò)連接���,提供基于一種端-對-端的安全模式�。
(1)AH協(xié)議(AuthenticationHeader)
AH協(xié)議為IP通信提供數(shù)據(jù)源認(rèn)證和數(shù)據(jù)完整性檢驗����,它能保護(hù)通信免受篡改,但并不加密傳輸內(nèi)容�,不能防止竊聽。AH聯(lián)合數(shù)據(jù)完整性保護(hù)并在發(fā)送接收端使用共享密鑰來保證身份的真實性;使用HASH算法在每一個數(shù)據(jù)包上添加一個身份驗證報頭來實現(xiàn)數(shù)據(jù)完整性檢驗��。需要預(yù)約好收發(fā)兩端的HASH算法和共享密鑰��。
(2)ESP協(xié)議(EncapsulatingSecurity Payload)
ESP主要區(qū)別于AH協(xié)議的是它的數(shù)據(jù)安全性保證,它使用預(yù)約好的加密算法和密鑰對IP包進(jìn)行加密����,防止竊聽。它也提供AH類似的數(shù)據(jù)源認(rèn)證和數(shù)據(jù)完整性檢驗��。AH協(xié)議與ESP協(xié)議可以聯(lián)合使用����,也可以多帶帶使用。
(3)Internet密鑰交換協(xié)議IKE(InternetKey Exchange)
無論實現(xiàn)AH或ESP還是兩者的聯(lián)合��,收發(fā)端兩臺計算機(jī)必須首先建立某種約定�,這種約定,稱為:“安全關(guān)聯(lián)”����,指雙方需要就如何保護(hù)信息、交換信息等公用的安全設(shè)置達(dá)成一致����,更重要的是�����,必須有一種方法,使那兩臺計算機(jī)安全地交換一套密鑰��,以便在它們的連接中使用�。
IKE協(xié)議主要是對密鑰交換進(jìn)行管理,主要包括對使用的協(xié)議��、加密算法和密鑰進(jìn)行協(xié)商;建立可靠的密鑰交換機(jī)制����。IKE是一個混合協(xié)議,它使用到了三個不同協(xié)議的相關(guān)部分:安全關(guān)聯(lián)和密鑰交換協(xié)議ISAKMP��,密鑰確定協(xié)議Oakley和SKEME�����。
隧道模式與傳輸模式下AH和ESP協(xié)議下報文封裝后的結(jié)構(gòu)
需求:目前某公司計劃采用ipsecvpn打通兩地分公司之間網(wǎng)絡(luò)��,從而實現(xiàn)業(yè)務(wù)之間互通���。
1��、首先配置感興趣流,利用ACL配置源��、目的地址數(shù)據(jù)流向��。
可以看到ACL3003已經(jīng)沒有匹配�����,說明已經(jīng)沒有業(yè)務(wù)流量了��。
2�、配置IKE安全策略所引用的安全提議,加密算法采用aes-cbc-128
3���、配置IKE安全密鑰�,密鑰交換ip為對端公網(wǎng)ip�,key值兩端需完全一致。
4���、配置IKEprofile�����,由于兩邊設(shè)備型號不一樣�,選擇野蠻模式兼容性更好�,本地匹配localaddress如果是做了nat則配置為nat映射的外網(wǎng)地址���,本案例localaddress采用了nat映射����,remoteaddress配置為對端外網(wǎng)ip即可。
5����、配置ipsec安全提議及esp加密算法。
6�、配置ipsecIKE協(xié)商方式安全策略,acl為前面配置的感興趣流中相關(guān)業(yè)務(wù)ip的數(shù)據(jù)流向����,并采用上面配置的IKEprofile。
7�、最后在設(shè)備接口上啟用ipsec安全策略。
至此IPSECVPN配置完成����。
8、驗證
驗證主要分為兩個階段:
1階段:當(dāng)配置完成ipsecIKE協(xié)商方式�,兩端公網(wǎng)ip會建立起ipsec隧道,利用命令displayipsec sa可以查看�,隧道建立是否成功,相關(guān)配置如下所示:
從圖中可以看出已經(jīng)成功生成了兩條ipsecsa����,連接ID為545�、546��,remote為對端公網(wǎng)ip�,此時1階段ipsec隧道已經(jīng)建立成功。
2階段:當(dāng)全部配置完成后可以進(jìn)行2階段驗證�,此階段驗證是否產(chǎn)生ikesa�����,利用命令displayike sa可查看ike相關(guān)信息����。
從上圖可以看出已經(jīng)成功生成ikesa�����,從圖中可以看到相關(guān)業(yè)務(wù)ip流向���、本段遠(yuǎn)端ip地址����、加密算法等相關(guān)信息�,表示ipsecvpn已經(jīng)建立成功��。
