VPN:virtual privatenetwork虚拟专用网络
VPN:通过公共网络建立私有网络,并提供一定的安全性和服务质量的保证 IETF草案对于基于IP的VPN定义:使用IP机制仿真出一个私有的广域网
虚拟:用户不再需要拥有实际的专用长途数据线路,而是利用Internet的长途数据线路建立自己的私有网络
专用:用户可以为自己定制一个最符合自己的需求的网络
VPN的核心技术:
隧道技术、身份认证、数据认证、加密技术、秘钥管理技术
隧道技术:隧道两端封装、解封装,用以建立数据通道
身份认证:保证接入VPN的操作人员的合法性、有效性
数据认证:数据在网络传输过程中不被非法篡改
加解密技术:保证数据在网络中传输时不被非法获取
秘钥管理技术:在不安全的网络中安全的传递秘钥
VPN=隧道+安全
VPN的优点:
节约成本
提高安全性
扩展性强
VPN分类
(根据建设单位划分):
租用运行商专线搭建VPN网络:MPLS VPN
用户自建企业VPN网络:GRE、L2TP、IPsec、SSL VPN
(根据组网方式划分):
Remote-AccessVPN远程访问VPN:从任何能过接入公网的地方,通过远程拨号接入企业内网,从而访问内网资源。通常拨号方的IP地址是不固定的
Site-to-SiteVPN站点到站点VPN:双方都有固定的IP地址进行互联
(根据应用场景划分)
RemoteAccess VPN:面向出差员工、移动办公
InternetVPN:企业内部虚拟专网:进行企业内部各个分支机构网络的互联
Extranet VPN:将企业网延伸至合作伙伴处,使用不同企业间通过公网来构建VPN
InternetVPN和Extranet VPN区别:访问公司总部走远的权限有区别
(根据实现层、协议划分)
L7 VPN应用层:SSL/SSTP(只要有浏览器就可以登陆账号连接)
L3VPN网络层:GRE、IIPsec
L2VPN数据链路层:PPTP、L2F、L2TP(慢慢取代了PPTP)
因为GRE和L2TP不支持加密,所以结合IPsec
VPN服务器常见形式:服务器、路由器、防火墙
VPN客户端常见形式:系统自带拨号软件、第三方拨号软件、浏览器
GRE VPN
通用路由封装协议GRE(genericrouteing encapsulation)提供了一中协议的报文封装载另一种协议报文中的机制,是一种隧道封装技术。GRE可以封装组播数据,并可以结合IPsec使用,从而保证语音、视频等组播业务的安全
GRE概述:
genericrouteing encapsulation,通用路由封装协议
在任意一种网络协议上传送任意一种其他网络协议的封装方法
RFC2784定义了标准的GRE封装
GREVPN
直接使用GRE封装建立GRE隧道,载一种协议的网络上传送其他协议
虚拟的隧道(tunnel)接口
GRE的优点:
可以使用当前最为普通IP网络作为承载网络
支持多种协议
支持路由IP组播
配置简单,容易布置
GRE的缺点:
点到点隧道
静态配置隧道参数
布置复杂连接关系时代价巨大
缺乏安全性
不能分割地址空间
GRE核心功能:建立隧道,打通私网
GRE封装:Ethernet –IP—GRE—IP/IPX—Payload(载荷)
数据包通过隧道口tunnel0传输
当传输数据时,RTA收到发往10.1.3.0/24网段的数据帧时,会查路由表,配置好的路由表会发现下一跳的IP地址为10.1.2.2,出接口为tunnel0,都是私网接口,不是运行商接口,会对数据进行加封装,在原私网数据包上加公网IP报头和GRE头。到达隧道的另一端路由上时,会做解封装,露出原有的私网数据帧,然后查路由表表转发
GREVPN路由宣告注意事项:使用动态路由协议宣告接口时千万不能宣告公网接口(私网路由AS),当宣告后,每次发包的查路由时发包都会封装查表,会多次匹配到tunnel隧道,会一直封装
GREVPN隧道口虚假状态问题:只要有到达隧道目标的路由,隧道口就可以激活
当链路出现问题,逻辑链路隧道不会down:
开启GRE的keepalive:周期性发送keepalive报文,以此检测链路状态
开启方法: interface Tunnel 0/0/1
Keepaliveperiod 3(设置周期发送,默认3s发送一次,3次后DOWN)
一方开就OK了
注:
写静态:
Ip route-static 172.16.0.0.24 10.0.0.3(tunnel 0/0/1)
静态的出接口和下一跳都要写隧道口
IPsec VPN:
因为传统的TCP/IP协议缺乏有效的安全认证和保密机制,IPsec(Internet protocol security)作为一种开放标准的安全框架结构,可以用来保证ip数据报文载网络上传输的机密性、完整性和防重放
IP Security:
源于IPv6
IETF指定的一套安全保密性能框架
建立在网络层的安全保障机制
为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制
引入多种加密算法、验证算法和秘钥管理机制
也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点
IPsecVPN是利用IPSec隧道建立的VPN技术
IPsec技术架构:
IPsec不是一个单独的协议,通过AH和ESP这两个安全协议来实现IP数据报的安全传送
IKE协议提供密钥协商,建立和维护安全联盟SA等服务
IKE协商:验证算法、加密算法、密钥管理
IPsec的核心功能:
机密性:对数据进行加密,确保数据在传输过程中不被他人查看
完整性:对数据包的完整性进行验证,确保不被篡改
真实性:验证数据源,以确保数据来自真实的发送者(IP报头的源地址)
防重放:防止恶意用户通过重复发送获取到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包
加密技术的关键术语:
明文:需要被隐藏的消息
密文:明文已经变换形成隐蔽的形式
加密:把明文转化为密文的过程
解密:把密文转换为明文的过程
秘钥:在加密或解密的算法中输入的参数
加密的类型:
对称加密:拥有相同秘钥加解密
速度快,密文紧凑,秘钥管理复杂,用于大量数据传送(DES、3DES、AES)
非对称加密:加密使用不同的秘钥(公钥和私钥)
公钥加密,私钥解密
速度慢,密文不紧凑,秘钥管理简单,通常只用于数字签名(RSA、DSA、DH)
完整性:散列函数-哈希(Hash),给予任意大小的数据,得出一个固定长度的值,类似指纹、dna,特点不可逆,雪崩效应(MD5、SHA1、SHA2)
IPsec的核心协议:
AH:authenticationHeader,报文头验证协议,主要提供完整性、真实性、防止重放功能,但是不加密,协议号51
ESP:encapsulatingsecurity payload封装安全载荷协议,除提供AH协议的所有功能外(但是其完整性校验不包括IP头),还可以提供对数据报文的加密的功能,协议号50
(协议号1ICMP,2IGMP,6TCP,9IGRP,17UDP,47GRP,50ESP,51AH,57SKIP,88EIGRP,89OSPF,115L2TP)
IPsec封装模式:
传输模式:(transportmode)IPsec头被插入到IP头之后但在所有传输层协议之前,或所有其他IPsec协议之前(原IP|IPsec头|IP数据)
隧道模式:(tunnelmode),IPsec头插在原始的IP头之前,另外生成一个新的报文头放到AH或ESP之前(新IP头|IPsec头|原IP|IP数据)
隧道模式更安全,传输模式性能好,解放了更多带宽
传输模式:传输点=加密点
隧道模式:传输点≠加密点
IPsec的工作流程和专业术语:
Negotiate:协商,两个节点开始安全传送发数据之前,必须完成的事情
SA:securityassociation,安全联盟,协商结果,类似合约书
SPI:securityparameter index,安全参数索引,SA内包含,用于区分多个SA
IKE:Internet keyexchange,因特网秘钥交换,SA协商的方法和标准
两个阶段:
阶段一:在网络上建立一个IKE SA,为阶段2协商提供保护,分主模式(mainmode)和野蛮模式(aggressive mode)
阶段二:在阶段一建立的IKE SA的保护模式写完成IPsecSA的协商,快速模式(quick mode)
IKE主模式:
DH秘钥交换,能保证秘钥的安全
IKE野蛮模式:
Peer1:发送本地IKE策略,开始DH交换
1发----发起方策略DH公共值---
Peer2:查找匹配的策略,继续DH交换验证
2发---接收方确认的策略、DH公共值、验证载荷---
Peer1:接收对端确认的策略,秘钥生成,验证
1发---验证载荷—
Peer2:验证
IKE协商生成俩SA
IKE SA:建立隧道
IPsec SA:保护数据
俩SA的协议可以完全不一样
IPsecVPN配置步骤:
配置网络可达——配置ACL识别兴趣流量——创建安全提议——创建安全策略——英语安全策略
GRE over IPsec