1、vpn:虚拟专用网络
2、作用:通过不安全的网络实现私有网络间安全通信。
3、原理:
通过加密,认证,ACL,隧道(封装)四个技术来实现。
vpn连接模式:
隧道模式:适用于公有地址和私有地址混合环境。
传输模式:适用于纯公有网络或纯私有网络。
加密和认证的比较:
加密:是双向过程,有加密必有解密,主要用于实现数据的机密性。常 用的加密算法DES,3DES,AES,RSA,GPG,DH
认证:是一个单向过程,主要用于报文的完整性验证和身份确认。常用 的算法有MD5,SHA
非对称算法:安全性高,速度慢。一般用于加密少量的敏感信息。
对称算法:安全性差,速度快。一般用于大量的数据传输,通过经常更换密码以增加安全性。
加密算法的应用:
通过非对称加密算法加密对称加密算法的密钥。
然后再用对称加密算法加密实际要传输的数据。
ipsec VPN的配置:
1、管理连接配置:
crypto isakmp policy 1
encr aes 加密算法
hash sha 认证算法
authentication pre-share 声明设备认证方式为“预先共享密钥”
group 2 采用DH算法的强度为group2
lifetime 10000 管理连接生存周期
crypto isakmp key benet.123 address 201.0.0.2 配置“预先共享密钥”
2、数据连接配置
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (vpn保护的流量)
crypto ipsec transform-set test-set ah-sha-hmac esp-aes (数据连接协商参数)
crypto map test-map 1 ipsec-isakmp 将数据连接相关配置设定为MAP
set peer 201.0.0.2 vpn对端地址
set transform-set test-set 数据传输采用的传输集
match address 101 匹配的ACL
3、将MAP在外部接口应用:
int F1/0
crypto map test-map
4、PAT(解决内部主机访问internet)
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255(拒绝VPN的流量)
access-list 102 permit ip any any (放行所有流量)
注明:当有NAT和VPN时,先匹配NAT,后匹配VPN。所有要拒绝VPN的流量。
ip nat inside source list 102 interface FastEthernet1/0 overload
接口上启用nat功能:
int f0/0
ip nat inside
int f1/0
ip nat outside