您当前的位置:首页 > 电脑百科 > 网络技术 > 网络知识

一文带你了解IPsec VPN基本原理与配置流程,干货值得收藏

时间:2020-03-10 11:45:49  来源:  作者:

IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,今天就来介绍一下IPSec VPN的原理。

IPSec VPN的应用场景

一文带你了解IPsec VPN基本原理与配置流程,干货值得收藏

 

  1. Site-to-Site(站点到站点或者网关到网关):不同分支机构在互联网的3个不同地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
  2. End-to-End(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。
  3. End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

IPSec是一个框架架构,具体由两类协议组成:

  1. AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
  2. ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。

IPSec封装模式

IPSec提供的两种封装模式(传输Transport模式和隧道Tunnel模式

一文带你了解IPsec VPN基本原理与配置流程,干货值得收藏

 

上图是传输模式的封装结构,再来对比一下隧道模式:

一文带你了解IPsec VPN基本原理与配置流程,干货值得收藏

 

可以发现传输模式和隧道模式的区别:

1. 传输模式在AH、ESP处理前后IP头部保持不变,主要用于End-to-End的应用场景。

2. 隧道模式则在AH、ESP处理之后再封装了一个外网IP头,主要用于Site-to-Site的应用场景。

以下通过在华为AR系列路由器配置IPsec-vpn站点到多站点的案例,来熟悉一下IPsec-vpn的配置流程。

拓扑图

一文带你了解IPsec VPN基本原理与配置流程,干货值得收藏

 

实验目的:总部与两个分部之间业务数据要求加密传输,在两个分支机构与总部之间建立ipsec-vpn。

在配置ipsec-vpn之前先要确保R3、R4和R2之间的公网互通。这里简单得使用静态路由,把R3、R4和R2的路径打通。分别在R3、R4和R2配置默认路由,执行如下命令

 

ip route-static 0.0.0.0 0.0.0.0 202.10.10.1 //R3
ip route-static 0.0.0.0 0.0.0.0 202.10.30.1 //R2
ip route-static 0.0.0.0 0.0.0.0 202.10.20.1 //R4

分支机构1配置IPsec-vpn

1、定义访问控制列表,匹配需要保护的数据流

acl number 3000 
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

 

2、创建安全提议,并选取安全协议

ipsec proposal ipsec
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128

3、创建IKE提议,选择aes-cbc-128加密算法

ike proposal 1
 encryption-algorithm aes-cbc-128
 dh group5

4、配置IKE对等体

ike peer peer1 v1
 exchange-mode aggressive
 pre-shared-key simple sbt123456
 ike-proposal 1
 remote-address 202.10.30.2

5、创建ip-sec安全策略

ipsec policy p1 1 isakmp
 security acl 3000
 ike-peer peer1
 proposal ipsec

6、在公网接口g0/0/1调用ipsec-policy

interface GigabitEthernet0/0/1
 ip address 202.10.10.3 255.255.255.0 
 ipsec policy p1

分支机构2配置和分支机构1的配置基本一样,这里就不贴配置脚本了。

总部配置IPsec-vpn

配置总部的ipsec安全提议和安全策略,总部配置过程中不可以指定的对等体,不要做访问控制列表,否则容易冲突。需要使用ipsec-policy-template 模板 和ipsec-profile 同时把ipsec policy 和模板关联起来。总部机构的配置至关重要,一定要细心。

一文带你了解IPsec VPN基本原理与配置流程,干货值得收藏

 

在总部的公网接口g0/0/0调用策略

interface GigabitEthernet0/0/0
 ip address 202.10.30.2 255.255.255.0 
 ipsec policy p2

验证结果

用分支机构私网用户去访问总部的私网用户,测试数据是否加密,查看封装,能否通讯

一文带你了解IPsec VPN基本原理与配置流程,干货值得收藏

 

抓包观察

一文带你了解IPsec VPN基本原理与配置流程,干货值得收藏

 

通过抓包观察数据已经加密 新ip+esp+私网ip+data,因为数据被加密所以在这里我们看不到私网的数据和私网的ip地址。



Tags:VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
实验拓扑 图 1-1注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地...【详细内容】
2021-11-24  Tags: VPN  点击:(39)  评论:(0)  加入收藏
在昨天的微信《远程办公危机四伏,到底该pick谁给你保驾护航?》中介绍了远程员工应该具备的四大安全工具,今天继续分享干货:05 双因子令牌在理想的情况下,每个人都会对所有的关键...【详细内容】
2021-10-26  Tags: VPN  点击:(32)  评论:(0)  加入收藏
本报记者 裴昱 北京报道在中国加入WTO 20周年之际,多项领域的对外开放正在持续深入,这其中,普遍被外界认为是敏感领域的电信增值业务,也迎来了更大力度的开放措施,而且,此次开放进...【详细内容】
2021-10-21  Tags: VPN  点击:(47)  评论:(0)  加入收藏
据ExpressVPN 9月16日报道,ExpressVPN 9月16日宣布加入伦敦证券交易所上市公司Kape Technologies的计划,以提升其推进数字版权的能力及加速成为数字隐私领域的全球领导者。两...【详细内容】
2021-09-17  Tags: VPN  点击:(79)  评论:(0)  加入收藏
VPN英文全称是“Virtual Private Network”,也就是“虚拟专用网络”。虚拟专用网络就是一种虚拟出来的企业内部专用线路、这条隧道可以对数据进行几倍加密达到安全使用互联网...【详细内容】
2021-09-14  Tags: VPN  点击:(45)  评论:(0)  加入收藏
养成良好习惯,在安装前先更新一下软件包,多数软件包更新主要是修补漏洞。 更新 CentOS 软件包yum -y update虽然也是可以不进行更新直接安装。安装 OpenVPN 和...【详细内容】
2021-09-02  Tags: VPN  点击:(105)  评论:(0)  加入收藏
VPN详解一、VPN介绍 什么是vpn?# VPN是虚拟专用网络的缩写,它是两个或多个物理网络(或设备)之间沟通互联网/公共网络创建的虚拟网络,可以为企业之间或者个人与企业之间提供安...【详细内容】
2021-09-02  Tags: VPN  点击:(65)  评论:(0)  加入收藏
IPSEC VPN 和SSL VPN是目前远程用户访问内网的两种主要vpn隧道加密技术。那么二者有什么区别,企业如何根据自己的业务场景来选择使用哪种vpn呢?封装位置:IPSEC和SSL是两个不同...【详细内容】
2021-07-29  Tags: VPN  点击:(508)  评论:(0)  加入收藏
Virtual Private Network翻译为虚拟专用网络,简称VPN,多用于企业网络,还用于网络游戏加速。VPN通过在公用网络(因特网或其他专用网络)上建立专用网络,进行加密通讯,常用协议有PPT...【详细内容】
2021-06-09  Tags: VPN  点击:(401)  评论:(0)  加入收藏
如今,大家对于VPN的使用已是家常便饭,各种类型的VPN的技术也是五花八门。但哪种VPN协议适合我?面对层出不穷的新技术,我该如何进行选择?下面要介绍的这个案例或许可以为我们提供...【详细内容】
2021-06-01  Tags: VPN  点击:(170)  评论:(0)  加入收藏
▌简易百科推荐
以京训钉开发平台接口文档为例,使用HttpClient类请求调用其接口,对数据进行增删改查等操作。 文档地址: https://www.yuque.com/bjjnts/jxd/bo1oszusing System;using System.C...【详细内容】
2021-12-28  Wednes    Tags:HttpClient   点击:(1)  评论:(0)  加入收藏
阿里云与爱快路由安装组网教程一、开通好阿里云轻量服务器之后在服务器运维-远程连接处进行远程 二、进入控制台后在root权限下根据需要安装的固件位数复制下面命令。32位:wg...【详细内容】
2021-12-28  ikuai    Tags:组网   点击:(1)  评论:(0)  加入收藏
HTTP 报文是在应用程序之间发送的数据块,这些数据块将通过以文本形式的元信息开头,用于 HTTP 协议交互。请求端(客户端)的 HTTP 报文叫做请求报文,响应端(服务器端)的叫做响应...【详细内容】
2021-12-27  程序员蛋蛋    Tags:HTTP 报文   点击:(5)  评论:(0)  加入收藏
一 网络概念:1.带宽: 标识网卡的最大传输速率,单位为 b/s,比如 1Gbps,10Gbps,相当于马路多宽2.吞吐量: 单位时间内传输数据量大小单位为 b/s 或 B/s ,吞吐量/带宽,就是网络的使用率...【详细内容】
2021-12-27  码农世界    Tags:网络   点击:(3)  评论:(0)  加入收藏
1.TCP/IP 网络模型有几层?分别有什么用? TCP/IP网络模型总共有五层 1.应用层:我们能接触到的就是应用层了,手机,电脑这些这些设备都属于应用层。 2.传输层:就是为应用层提供网络...【详细内容】
2021-12-22  憨猪哥08    Tags:TCP/IP   点击:(35)  评论:(0)  加入收藏
TCP握手的时候维护的队列 半连接队列(SYN队列) 全连接队列(accepted队列)半连接队列是什么?服务器收到客户端SYN数据包后,Linux内核会把该连接存储到半连接队列中,并响应SYN+ACK报...【详细内容】
2021-12-21  DifferentJava    Tags:TCP   点击:(10)  评论:(0)  加入收藏
你好,这里是科技前哨。 随着“元宇宙”概念的爆火,下一代互联网即将到来,也成了互联网前沿热议的话题,12月9日美国众议院的听证会上,共和党议员Patrick McHenry甚至宣称,要调整现...【详细内容】
2021-12-17  王煜全    Tags:Web3   点击:(14)  评论:(0)  加入收藏
一、demopublic static void main(String[] args) throws Exception { RetryPolicy retryPolicy = new ExponentialBackoffRetry( 1000, 3);...【详细内容】
2021-12-15  程序员阿龙    Tags:Curator   点击:(22)  评论:(0)  加入收藏
一、计算机网络概述 1.1 计算机网络的分类按照网络的作用范围:广域网(WAN)、城域网(MAN)、局域网(LAN);按照网络使用者:公用网络、专用网络。1.2 计算机网络的层次结构 TCP/IP四层模...【详细内容】
2021-12-14  一口Linux    Tags:网络知识   点击:(31)  评论:(0)  加入收藏
无论是在外面还是在家里,许多人都习惯了用手机连接 WiFi 进行上网。不知道大家有没有遇到过这样一种情况, 明明已经显示成功连接 WiFi,却仍然提示“网络不可用”或“不可上网”...【详细内容】
2021-12-14  UGREEN绿联    Tags:WiFi   点击:(25)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条