IPsec VPN基本原理与配置流程,干货值得收藏
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,今天就来介绍一下IPSec VPN的原理。IPSec VPN的应用场景https://p6-tt.byteimg.com/origin/pgc-image/cad5fbe43cb4448c9663a1c69725977d?from=pc[*]Site-to-Site(站点到站点或者网关到网关):不同分支机构在互联网的3个不同地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
[*]End-to-End(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。
[*]End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
IPSec是一个框架性架构,具体由两类协议组成:
[*]AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
[*]ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
IPSec封装模式IPSec提供的两种封装模式(传输Transport模式和隧道Tunnel模式)https://p1-tt.byteimg.com/origin/pgc-image/b3a36235e7064f2ea576fcb0d9d9cc81?from=pc
上图是传输模式的封装结构,再来对比一下隧道模式:https://p6-tt.byteimg.com/origin/pgc-image/11ad39a7a2e74cd1918186b1db2df984?from=pc
可以发现传输模式和隧道模式的区别:1. 传输模式在AH、ESP处理前后IP头部保持不变,主要用于End-to-End的应用场景。2. 隧道模式则在AH、ESP处理之后再封装了一个外网IP头,主要用于Site-to-Site的应用场景。以下通过在华为AR系列路由器配置IPsec-vpn站点到多站点的案例,来熟悉一下IPsec-vpn的配置流程。拓扑图https://p1-tt.byteimg.com/origin/pgc-image/a4e61375dfdc413bbeca190241f46d0c?from=pc
实验目的:总部与两个分部之间业务数据要求加密传输,在两个分支机构与总部之间建立ipsec-vpn。在配置ipsec-vpn之前先要确保R3、R4和R2之间的公网互通。这里简单得使用静态路由,把R3、R4和R2的路径打通。分别在R3、R4和R2配置默认路由,执行如下命令
ip route-static 0.0.0.0 0.0.0.0 202.10.10.1 //R3ip route-static 0.0.0.0 0.0.0.0 202.10.30.1 //R2ip route-static 0.0.0.0 0.0.0.0 202.10.20.1 //R4分支机构1配置IPsec-vpn1、定义访问控制列表,匹配需要保护的数据流acl number 3000rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
2、创建安全提议,并选取安全协议ipsec proposal ipsec esp authentication-algorithm sha1 esp encryption-algorithm aes-1283、创建IKE提议,选择aes-cbc-128加密算法ike proposal 1 encryption-algorithm aes-cbc-128 dh group54、配置IKE对等体ike peer peer1 v1 exchange-mode aggressive pre-shared-key simple sbt123456 ike-proposal 1 remote-address 202.10.30.25、创建ip-sec安全策略ipsec policy p1 1 isakmp security acl 3000 ike-peer peer1 proposal ipsec6、在公网接口g0/0/1调用ipsec-policyinterface GigabitEthernet0/0/1 ip address 202.10.10.3 255.255.255.0ipsec policy p1分支机构2配置和分支机构1的配置基本一样,这里就不贴配置脚本了。总部配置IPsec-vpn配置总部的ipsec安全提议和安全策略,总部配置过程中不可以指定的对等体,不要做访问控制列表,否则容易冲突。需要使用ipsec-policy-template 模板 和ipsec-profile 同时把ipsec policy 和模板关联起来。总部机构的配置至关重要,一定要细心。https://p6-tt.byteimg.com/origin/pgc-image/9b1aac4ad975491ea70d7b3c2b3c9f2b?from=pc
在总部的公网接口g0/0/0调用策略interface GigabitEthernet0/0/0 ip address 202.10.30.2 255.255.255.0ipsec policy p2验证结果用分支机构私网用户去访问总部的私网用户,测试数据是否加密,查看封装,能否通讯https://p6-tt.byteimg.com/origin/pgc-image/7a03214807d2414bb8c8e39899bfd838?from=pc
抓包观察https://p6-tt.byteimg.com/origin/pgc-image/110841a6305e47fdb951dc34ae6017b4?from=pc
通过抓包观察数据已经加密 新ip+esp+私网ip+data,因为数据被加密所以在这里我们看不到私网的数据和私网的ip地址。
真是难得给力的帖子啊。 真是难得给力的帖子啊。
占个楼慢慢看,先马克一下
楼主辛苦啦,期待下一篇分享 水贴也要有仪式感,我先来打卡~ 笑不活了,评论区比正文还精彩
已转发给朋友,一起快乐一下 理性围观,感觉大家说的都有道理~ 蹲一波同款,有没有姐妹 / 兄弟推荐? 楼主太会说了,字字句句都在理 谁懂啊!这内容我能循环看十遍
页:
[1]
2