×××的简介
×××(Virtual Private Network,虚拟私有网)是近年来随着Internet 的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。“虚拟”主要
指这种网络是一种逻辑上的网络。
1. ×××的特点
×××有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。
×××只为特定的企业或用户群体所专用。从×××用户角度看来,使用×××与传统专网没有区别。×××作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,×××资源不会被承载网络中的其它×××或非该×××用户的网络成员所使用;另一方面,×××提供足够安全性,确保 ×××内部信息不受外部的侵扰。
×××不是一种简单的高层业务。该业务建立专网用户之间的网络互联,包括建立×××内部的网络拓扑、路由计算、成员的加入与退出等,因此×××技术就比各种普通的点对点的应用机制要复杂得多。
2. ×××的优势
在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利用率,有助于增加IS(Internet Service Provider ,Internet 服务提供商)的收益。只需要通过软件配置就可以增加、删除×××用户,无需改动硬件设施。这使
得×××的应用具有很大灵活性。
3.×××的分类
1. 按运营模式划分
2. 按隧道所属的层次划分
(1) 第二层隧道协议 pptp l2F L2TP
(2) 第三层隧道协议
现有的第三层隧道协议主要有:
GRE(Generic Routing Encapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。
IPSec (IP Security )协议:IPSec 协议不是一个单独的协议,它给出了 IP 网络上数据安全的一整套体系结构。包括AH(Authentication Header)、ESP(EncapsulatingSecurity Payload )、IKE (Internet Key Exchange )等协议。
GRE和IPSec 主要用于实现专线 ×××业务。
说明:第二、三层隧道协议之间的异同
第三层隧道与第二层隧道相比,优势在于它的安全性、可扩展性与可靠性。从安全性的角度看,由于第二层隧道一般终止在用户侧设备上,对用户网的安全及防火墙技术提出十分严峻的挑战;而第三层隧道一般终止在ISP 网关上,因此不会对用户网的安全构成威胁。从扩展性的角度看,第二层IP 隧道内封装了整个 PPP帧,这可能产生传输效率问题。其次,PPP会话贯穿整个隧道并终止在用户侧设备上,导致用户侧网关必须要保存大量PPP 会话状态与信息,这将对系统负荷产生较大的影响,也会影响到系统的扩展性。此外,由于PPP的LCP 及NCP协商都对时间非常敏感,这样IP 隧道的效率会造成PPP 对话超时等等一系列问题。相反,第三层隧道终止在ISP 的网关内,PPP会话终止在 NAS处,用户侧网关无需管理和维护每个 PPP 对话的状态,从而减轻了系统负荷。
一般地,第二层隧道协议和第三层隧道协议都是独立使用的,如果合理地将这两层
协议结合起来使用,将可能为用户提供更好的安全性(如将L2TP 和IPSec 协议配
合使用)和更佳的性能。
3. 按业务用途划分
(1) Intranet ×××(企业内部虚拟专网)
(2) Access ××× (远程访问虚拟专网)
(3) Extranet ××× (扩展的企业内部虚拟专网)
4. 按组网模型划分
(1) 虚拟租用线(VLL )
(2) 虚拟专用拨号网络(VPDN )
(3) 虚拟专用LAN 网段(VPLS)业务
(4) 虚拟专用路由网(VPRN )业务
ipsec的简介
◆IPsec提供的安全服务
机密性:DES、3DES、AES
完整性:MD5 HMAC 、SHA HMAC (HMAC:散列算法)
源认证:带外域共享密钥、域共享非对称加密、数字证书(CA)
防重放:AH、ESP 网络层的加密协议
◆IPsec隧道模式和传输模式的区别:
1.隧道模式中,整个IP数据包被用来计算附加包头,且被加密,附加包头和被加密的数据被封装在一个新的IP数据中。在传输模式中只是传输层(如TCP、UDP、ICMP)数据被用来计算附加包头,附加包头和加密的数据被放置在原IP报头后面。
2.传输模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。而在隧道模式中,真正的IP源地址和目的地址都可以被隐藏为因特网发送的普通数据。
◆AH协议
一个用于提供用户数据完整性和认证的机制,通过在整个IP数据包中实施一个散列计算来提供完整性和认证服务。
在隧道模式中,AH报头被插入在原始的包头和新包头之间
◆ESP协议
封装安全载荷(Encapsulating Security Payload)协议通过加密算法提供了身份验证和数据机密性。
最主要的ESP标准是数据加密标准(DES),最高支持56位密钥。3DES使用三倍密钥加密,相当于使用最高到168位的密钥。AES支持128、 192 、256位密钥长度,是IPsec×××中最常使用的加密算法,也是对称加密中最安全的算法。
◆安全联盟SA
在IPsec中使用AH和ESP时,协议将与一组安全信息和服务发生关联,称为安全联盟
SA定义了各种类型的安全措施,这些安全措施的内容包含了IP包加密解密和认证的相关信息。具体为:提供的服务、算法、密钥。
可以通过手动配置,也可以通过密钥管理协议自动协商。
◆Internet密钥交换IKE
IKE基于Internet安全联盟和密钥管理协议(ISAKAMP)定义的框架。
IKE在隧道建立过程中将完成以下任务:
协商协议参数
交换公共密钥
对双方进行认证
在交换后对密钥进行管理
案例一
拓扑图:
需求分析:
通过建立ipsec的隧道,实现北京总部和上海分公司以及郑州分公司的内网的互相访问,并对传输的数据进行加密,保证通信的安全性。
实验步骤
一:北京总部的配置
int e1
ip add 202.196.10.100 24
quit
int e0
ip add 192.168.1.254 24
quit
ip route 0.0.0.0 0 202.196.10.1
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255 dest 192.168.3.0 0.0.0.255
rule deny ip source any dest any
quit
acl 3001
rule permit ip source 192.168.1.0 0.0.0.255 dest 192.168.2.0 0.0.0.255
rule deny ip source any dest any
quit
(1)到郑州分公司网的隧道配置
ipsec proposal tran1 #创建名为tran1 的安全提议
enca tunnel #报文封装形式采用隧道模式
transform esp #安全协议采用ESP 协议
esp enc des
esp auth md5 #选择认证算法和加密算法
ipsec policy policy1 10 isakmp #创建一条安全提议(名字为policy1 序号为10),协商方式为自动方式
sec acl 3000 #引用访问列表
proposal tran1 #引用tran1安全提议
tunnel remote 202.196.30.100 远程的ip地址
quit
ike pre-shared-key 654321 remote 202.196.30.100 #设置到郑州分公司网段的隧道的预共享密钥
(2)到上海分公司 的隧道配置
ipsec proposal tran2 #创建名为tran2的安全提议
enca tunnel #报文封装形式采用隧道模式
transform esp #安全协议采用ESP 协议
esp enc des
esp auth md5 #选择认证算法和加密算法
ipsec policy policy1 20 isakmp #创建一条安全策略(名字为policy1 序号为10),协商方式为自动方式
sec acl 3001 #引用访问列表
proposal tran2 #引用安全提议
tunnel remote 202.196.20.100 远程的ip地址
quit
ike pre-shared-key 123456 remote 202.196.20.100 #设置到2.0网段的隧道的预共享密钥
(3)将policy1的策略应用到接口e1上
int e1
ipsec policy policy1
补充:下面是基于静态的ipsec的配置
##################################
以下是手工配置模式
设置本端与对端地址
sa outbound esp spi 123456
sa inbound esp spi 654321
设置SPI
sa inbound esp string-key hgfdsa
设置密钥
sa outbound esp string-key asdfgh
int e1
ipsec policy policy1
ike pre-shared-key 654321 remote 202.196.30.100
##################################
二:上海分公司的配置
int e1
ip add 202.196.20.100 24
quit
int e0
ip add 192.168.2.254 24
quit
acl 3001
rule permit ip source 192.168.2.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
rule deny ip source any dest any
quit
到北京总部的隧道的配置
ipsec proposal tran2 #创建名为tran2的安全提议
enca tunnel #报文封装形式采用隧道模式
transform esp #安全协议采用ESP 协议
esp enc des
esp auth md5 #选择认证算法和加密算法
ipsec policy policy1 20 isakmp #创建一条安全策略,协商方式为自动方式
sec acl 3001 #引用访问列表
proposal tran2 #引用安全提议
tunnel remote 202.196.10.100
quit
ike pre-shared-key 123456 remote 202.196.10.100
应用到e1端口上
int e1
ipsec policy policy1
三:郑州分公司的配置
int e1
ip add 202.196.30.100 24
quit
int e0
ip add 192.168.3.254 24
quit
ip route 0.0.0.0 0 202.196.30.1
quit
acl 3000
rule permit ip source 192.168.3.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
rule deny ip source any dest any
quit
到北京总部的隧道的配置
ipsec proposal tran1 #创建名为tran1 的安全提议
enca tunnel #报文封装形式采用隧道模式
transform esp #安全协议采用ESP 协议
esp enc des
esp auth md5 #选择认证算法和加密算法
ipsec policy policy1 10 isakmp #创建一条安全策略,协商方式为自动方式
sec acl 3000 #引用访问列表
proposal tran1 #引用安全提议
tunnel remote 202.196.10.100
quit
ike pre-shared-key 654321 remote 202.196.10.100
应用到端口上
int e1
ipsec policy policy1
四:网络中的3层SW的配置
测试结果
上海到郑州
本机ip地址:192.168.1.5 ,所ping地址:192.168.3.55
上海到北京
本机ip地址:192.168.1.5 ,所ping地址:192.168.2.55.
欢迎加入郑州阳仔的网络工程师自由交流群--132444800(请注明自己的身份,就说是51cto的博友)