VPN即VirtualPrivateNetwork(虛擬專用網(wǎng)絡)。VPN被定義為通過一個公用互聯(lián)網(wǎng)絡建立一個臨時的���、安全的連接���,是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定隧道���,使用這條隧道可以對數(shù)據(jù)進行幾倍加密達到安全使用互聯(lián)網(wǎng)的目的�����,廣泛使用企業(yè)辦公當中����。由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡,用戶可以節(jié)省租用專線的費用���。
按VPN的協(xié)議分類:VPN的隧道協(xié)議主要有三種���,PPTP,L2TP和IPSec����,其中PPTP和L2TP協(xié)議工作在OSI模型的第二層,又稱為二層隧道協(xié)議����;IPSec是第三層隧道協(xié)議,也是最常見的協(xié)議�����。L2TP和IPSec配合使用是目前性能最好��,應用最廣泛的一種�����。今天給小伙伴們帶來ipsecvpn的技術(shù)原理及配置案例解析��。
IPSec(IPSecurity)協(xié)議族是IETF制定的一系列協(xié)議�,它為IP數(shù)據(jù)報提供了高質(zhì)量的、可互操作的���、基于密碼學的安全性�����。特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證等方式�����,來保證數(shù)據(jù)報在網(wǎng)絡上傳輸時的私有性�����、完整性�、真實性�����。
IPSec(IPSecurity)是網(wǎng)絡安全協(xié)議的一個工業(yè)標準,IPSec主要功能是為IP通信提供加密和認證��,為IP網(wǎng)絡通信提供透明的安全服務���,保護TCP/IP通信免遭竊聽和篡改�,可以有效抵御網(wǎng)絡攻擊����,同時保持易用性。
IPSec協(xié)議是一組協(xié)議��,它既可以作為一個完整的VPN方案��,也可以與其他協(xié)議配合使用���,如PPTP���、L2TP。它工作在OSI第3層(網(wǎng)絡層)����,可以為上層應用提供一個安全的網(wǎng)絡連接,提供基于一種端-對-端的安全模式。
(1)AH協(xié)議(AuthenticationHeader)
AH協(xié)議為IP通信提供數(shù)據(jù)源認證和數(shù)據(jù)完整性檢驗��,它能保護通信免受篡改��,但并不加密傳輸內(nèi)容����,不能防止竊聽。AH聯(lián)合數(shù)據(jù)完整性保護并在發(fā)送接收端使用共享密鑰來保證身份的真實性;使用HASH算法在每一個數(shù)據(jù)包上添加一個身份驗證報頭來實現(xiàn)數(shù)據(jù)完整性檢驗�。需要預約好收發(fā)兩端的HASH算法和共享密鑰�����。
(2)ESP協(xié)議(EncapsulatingSecurity Payload)
ESP主要區(qū)別于AH協(xié)議的是它的數(shù)據(jù)安全性保證����,它使用預約好的加密算法和密鑰對IP包進行加密,防止竊聽��。它也提供AH類似的數(shù)據(jù)源認證和數(shù)據(jù)完整性檢驗����。AH協(xié)議與ESP協(xié)議可以聯(lián)合使用,也可以多帶帶使用�����。
(3)Internet密鑰交換協(xié)議IKE(InternetKey Exchange)
無論實現(xiàn)AH或ESP還是兩者的聯(lián)合,收發(fā)端兩臺計算機必須首先建立某種約定��,這種約定���,稱為:“安全關聯(lián)”���,指雙方需要就如何保護信息、交換信息等公用的安全設置達成一致����,更重要的是,必須有一種方法�,使那兩臺計算機安全地交換一套密鑰,以便在它們的連接中使用�。
IKE協(xié)議主要是對密鑰交換進行管理,主要包括對使用的協(xié)議��、加密算法和密鑰進行協(xié)商;建立可靠的密鑰交換機制���。IKE是一個混合協(xié)議���,它使用到了三個不同協(xié)議的相關部分:安全關聯(lián)和密鑰交換協(xié)議ISAKMP,密鑰確定協(xié)議Oakley和SKEME。
隧道模式與傳輸模式下AH和ESP協(xié)議下報文封裝后的結(jié)構(gòu)
需求:目前某公司計劃采用ipsecvpn打通兩地分公司之間網(wǎng)絡�,從而實現(xiàn)業(yè)務之間互通。
1�����、首先配置感興趣流,利用ACL配置源����、目的地址數(shù)據(jù)流向。
可以看到ACL3003已經(jīng)沒有匹配����,說明已經(jīng)沒有業(yè)務流量了��。
2��、配置IKE安全策略所引用的安全提議���,加密算法采用aes-cbc-128
3�����、配置IKE安全密鑰��,密鑰交換ip為對端公網(wǎng)ip���,key值兩端需完全一致����。
4�����、配置IKEprofile���,由于兩邊設備型號不一樣�,選擇野蠻模式兼容性更好�����,本地匹配localaddress如果是做了nat則配置為nat映射的外網(wǎng)地址�,本案例localaddress采用了nat映射,remoteaddress配置為對端外網(wǎng)ip即可����。
5、配置ipsec安全提議及esp加密算法�����。
6、配置ipsecIKE協(xié)商方式安全策略���,acl為前面配置的感興趣流中相關業(yè)務ip的數(shù)據(jù)流向�����,并采用上面配置的IKEprofile��。
7�����、最后在設備接口上啟用ipsec安全策略����。
至此IPSECVPN配置完成���。
8、驗證
驗證主要分為兩個階段:
1階段:當配置完成ipsecIKE協(xié)商方式���,兩端公網(wǎng)ip會建立起ipsec隧道�,利用命令displayipsec sa可以查看,隧道建立是否成功���,相關配置如下所示:
從圖中可以看出已經(jīng)成功生成了兩條ipsecsa��,連接ID為545����、546��,remote為對端公網(wǎng)ip��,此時1階段ipsec隧道已經(jīng)建立成功�����。
2階段:當全部配置完成后可以進行2階段驗證����,此階段驗證是否產(chǎn)生ikesa,利用命令displayike sa可查看ike相關信息�。
從上圖可以看出已經(jīng)成功生成ikesa,從圖中可以看到相關業(yè)務ip流向��、本段遠端ip地址���、加密算法等相關信息�����,表示ipsecvpn已經(jīng)建立成功��。
