首先先說一些關於VPN基本的知識,然後再實驗演示點對點的vpn配置
先用通俗易懂的語言來說:就是藉助公網做隧道,在兩端路由器上進行虛擬連接,從而傳遞私網路由。私網路由當然不會在公網上被路由,但這些私網包是封裝在公網ip包裏的。或者說:把私網報文作爲載荷封裝在公網ip包中,通過公網到達目的路由器,再進行拆掉公網包,進而得到私網,分析私網報文。
VPN關鍵技術:
1、隧道技術
2、加/解密技術
3、密鑰管理技術
4、身份認證
5、訪問控制
隧道封裝不等於鏈路加密
IPSec協議:在IPv6的制定過程中產生,用於提供IP層的安全性
IPSec是一種端到端的確保IP層通信安全的機制,它不是一個單獨的協議,而是一組協議。是IPv6的組成部分,也是IPv4的可選擴展協議。目前IPSec最主要的應用是構造虛擬專用網(VPN),它作爲一個第三層隧道協議實現了VPN通信,可以爲IP網絡通信提供透明的安全服務,保證數據的完整性和機密性,有效抵禦網絡攻擊。它所使用的加密算法和完整性驗證算法從目前看來是不可能被破解的
它包含了三個最重要的協議:認證頭AH(Authentication Header),封裝安全載荷ESP(Encapsulating Security Payload),密鑰交換協議IKE(Internet Key Exchange),注意這些協議的使用均可獨立於具體的加密算法:
(1)AH爲IP數據包提供3種服務(統稱驗證):數據完整性驗證,通過使用Hash函數(如MD5)產生的驗證碼來實現;數據完整性時加入一個共享的會話密鑰來實現;防重放攻擊,在AH報頭中加入序列號可以防止重放攻擊。
(2)ESP除了爲IP數據包提供AH上述的3種服務外,還能夠提供數據加密。
AH和ESP的最大區別有兩個:一個是AH不提供加密服務,另一個是它們驗證的範圍不同,ESP不驗證IP報頭,而AH同時驗證部分報頭,所以需要結合使用AH和ESP才能保證IP報頭的機密性和完整性。AH爲IP報頭提供儘可能多的驗證保護,驗證失敗的包將被丟棄,不交給上層協議解密,這種操作模式可以減少拒絕服務攻擊成功的機會。
SA:兩個IPSEc實體(主機、安全網關)之間經過協商建立起來的一種協定。
SAD:將所有的SA以某種數據結構集中存儲的一個列表
SP:指示對IP數據包提供何種保護,並以何種方式的保護
SPD:SPD是將所有的SP以某種數據結構集中存儲的列表
DOl:IKE(Internet密鑰交換協議)定義了安全參數如何協商,以及共享密鑰如何建立;但未定義協商內容及格式,由“解釋域”完成。
IPSec無論是加密還是認證,都有兩種工作模式:傳輸模式和隧道模式
傳輸模式:是IPSec的默認模式,又稱端到端模式,用於主機之間進行IPsec通信。只對IP負載進行保護。
隧道模式:使用在兩臺網關之間,站點到站點之間的通信。對整個IP包提供保護。
實驗部分:
實驗環境(gns3)
實驗拓撲:
設備:五臺路由器,其中R1和R2關閉路由功能,充當主機(Host1、Host2),R5爲ISP(Internet Service Provider)即“互聯網服務提供商”R3和R4分別是兩端LAN的出口路由器。
路由模擬主機命令:no ip routing
Host1具體配置:
Host2同Host1
接口ip配好之後,在R3和R4上配置默認路由:
此時R3、R4、R5之間是互通的,主機不能參加通信,因爲主機Host1不能通告內網的網段,Host2上也不能通過內外的網段。
R3配置:
1、出口路由R3上配置isakmp (作用:自動管理祕鑰)
2.IPSec轉換集+高級ACL
3.配置加密映射集
4、應用在出接口
R4的配置與R3的配置過程一樣,需要改動的地方:
1配置isakmp時
設置預共享密鑰的配置,將200.0.0.1換成100.0.0.1,即R3的公網入口地址
2、修改acl順序,即R3的acl配置相反,將192.168.1.0與192.168.2.0交換位置。
驗證:
配置完成後分別在R3和R4上:
在Host1中跟蹤一下到Host2的路由路徑:
通過路徑可以看到IPsec VPN lan-to-lan基本配置已經實現。