1.虚拟专用网概述虚拟专用网技术起初是为了解决明文数据在网络上传输所带来安全隐患而产生的,2.虚拟专用网的定义虚拟专用网就是在两个实体之间建立的一种受保护的连接,这两个可以通过点到点的链路直接相连,但通常情况下它们会相隔较远的距离3.虚拟专用网的模式与类型(1)虚拟专用网的连接模式
有两种基本的连接模式:分为传输模式和隧道模式,传输模式一个最显著的特点就是,在整个虚拟专用网的过程中,IP包头并没有被封装进去,这就意味着从源端到目的端数据始终使用原有IP地址进行通信。隧道模式与传输模式的区别明显,隧道模式保护IP包头与数据,传输模式只保护数据4.虚拟专用网的类型站点到站点虚拟专用网就是通过隧道模式在虚拟专用网网关之间保护两个或多个站点之间的流量,站点的流量通常是指局域网之间(L2L)的通信流量。
如图:远程访问虚拟专用网通常用于单用户设备与虚拟专用网的网关之间的通信连接,单用户设备一般为一台PC或小型办公网络等5.加密算法加密就是一种将数据转化成另一种形式的过程,如果不了解加密算法,解密是不可能得数据加密过程如下:
1.发送方和接收方共享密钥“k”
2.发送方得虚拟专用网网关通过加密函数E将明文数据M加密为密文数据
3.接收方通过解密函数D将数据还原文明文数据“M”免费云主机域名DES算法DES算法曾经在虚拟专用网领域应用很广,属于IBM公司的研发产品,其密钥长度为64位,其中8位用于奇偶校验,所以实际有效长度为56位。虽然该算法目前没有找到更好的方法破解,但是通过一些技术手段已经可以在较短的时间内破解DES算法,所以在实际工程实施过程中已经不建议使用该种算法3DES算法理论上将3DES算法就是DES算法的增强版本,因为3DES使用了三个阶段的DES,即同时使用三个不同的56位密钥,所以相当于产生了一个168位的有效密钥长度,这种级别的密钥目前还没有计算机有能力在较短时间内破解,而且其执行效率虽然在软件环境中比较慢,但是在硬件环境中并不明显AES算法3DES算法虽然目前为止是安全的,但随着计算机硬件的更新,总有一天也会变的不安全。AES算法比3DES算法更安全,它支持128、192和256为密钥程度,有效的密钥长度可达千位。更重要的是,AES算法那采用更为高效的编写方法,对CPU的占有lv较少,所以诸如IPSec 虚拟专用网等实际工程的实施过程中趋向于使用AES来提供更好的加密功能1)算法原理非对称算法使用公钥和私钥两个不同的密钥进行加密和解密。用一个密钥加密的数据仅能被另一个密钥解密,且不能从一个密钥推算出另一个密钥。非对称加密算法数据加密、解密过程如图:算法的优、缺点非对称加密算法最大的优势就在于其安全性。目前为止,还没有任何一种方式可以在合理的时间范围内破解该算法。非对称加密的算法也不是完美的,由于其计算过程复杂,它的计算效率要比对称加密算法低很多。DH算法常用的非对称算法有RSA、DSA、DH。前两种算法常用于验证功能,而DH算法一般被用来实现IPSec中的internet密钥交换(IKE)协议。6.数据报文验证数据报文验证包括两个方面:数据库来源验证(身份验证)和报文完整性验证。MD5和SHAMD5(信息——摘要算法)在REC 1321中有明确规定,它创建了一个128位的数字签名,是目前HMAC功能中最为广泛的一种算法7.IPSec 虚拟专用网1)流量触发IPSec
一般来说,IPSec建立过程是由对等体之间发送的流量触发的,一旦有虚拟专用网流量经过虚拟专用网网关,连接过程便开始建立,当然,手动配置也可以实现这一过程,在配置设备实现此步骤前,网络工程师需要明确哪些流量需要被“保护”。2)建立管理连接(阶段1)
IPSec使用ISAKMP/IKE阶段1来构建一个安全的管理连接,这里需要注意的是,这个管理连接只是一个准备工作,它不被用来传输实际的数据。在配置设备实现此步骤前,网络工程师需要明确设备如何实现验证,使用何种加密机认证算法,使用哪种DH组等问题。3)建立数据连接(阶段2)PSec基于安全的管理连接协商建立安全的数据连接,而ISAKMP/IKE阶段2就是用来完成这个任务的,数据连接用于传输真正的用户数据。在配置设备实现此步骤前,网络工程师需要明确使用何种安全协议,针对具体的安全协议应使用加密或验证算法,以及数据的传输模式(隧道模式或传输模式)等问题。经过IPSec建立的三部曲后,虚拟专用网流量便可以按照协商的结果被加密/解密了,但是虚拟专用网连接并不是一次性的,无论是管理连接还是数据库连接都有一个生存周期与之关联,一旦到期连接便会被中止。如果需要继续传输虚拟专用网数据,连接还需要重新被构建,这种设计主要是处于安全性的考虑。ISAKMP/IKE阶段1ISAKMP/IKE阶段1建立过程配置安全策略
ISAKMP/IKE策略包含以下参数:策略的序列号、加密算法、散列算法、验证方法、DH组、生存周期等配置预共享密钥ISAKMP/IKE阶段2IPSec对等体一般是通过ACL来匹配那些需要加密传输的虚拟专用网流量。ISAKMP/IKE阶段2建立过程ISAKMP/IKE阶段2的传输集ISAKMP/IKE阶段2的安全协议IPSec的数据连接可以通过安全协议实现对数据连接的保护:AH协议和ESP协议,可以通过其中的一个协议来实现数据的加密和验证,如使用ESP协议;也可以使用两个协议一起来实现。AH使用IP协议号51,ESP使用IP协议号50。8.配置实现IPSec 虚拟专用网要求:
(1)如上图所示,配置相关的地址,使用路由器充当PC机。除了ISP不用配置默认路由,其他都需要配置默认路由。
(2)分别在R2和R4上配置Ipsec虚拟专用网,注意配置相关的参数需要一致。
(3)在R1上ping R5 测试是否能通信。
(4)使用NAT实现,内部主机能访问ISP。先配置IP,r1,r2,r4,r5都做下一跳
如r1:ip route 0.0.0.0 0.0.0.0 192.168.1.1在r2上配置管理连接crypto isakmp key benet.123 address 201.0.0.2 配置“预先共享密钥”在r4上配置做完上面 r1与r5可以通过虚拟专用网互通解决内部主机访问internet这时r1就能访问r3了r5访问r3配置如下
完成!!!!!!!!!!
相关推荐: IDEA 分享项目到 Git@OSC/GitHub
前提:新开项目,需要在Git@OSC 建立版本库管理。 1.当然是先在Git@OSC上创建仓库,拿到Git@OSC仓库的HTTP连接https://git.oschina.net/*****/***.git 2.如果我们的本地项目是非git项目,那我们要先把它…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
