WAN技術:廣域網技術
專線方式(租用線路):價格高,安全穩定,帶寬有保證
撥號:ISDN 帶寬低 走電話線
幀中繼:比專線便宜,帶寬也比較高
VPN技術:(跨互聯網),需要公網IP地址,價格低廉,穩定性取決於上網穩定性,不需要經過運營商,設備支持即可
例如:二層VPN技術:L2F、PPTP、L2TP 、MPLS
三層VPN技術:GRE、IPsec
應用層VPN:SSL (SSH HTTPS)
GRE:通用路由封裝,對數據不支持加密,存在安全性問題 屬於隧道技術 協議號:47
1、首先要保證兩邊的路由器設備外部公網接口要能通信
2、創建隧道接口
interface Tunnel 1
ip address 10.1.1.2 255.255.255.0
mtu 1476
tunnel source GigabitEthernet0/0
tunnel destination 100.1.1.2
3、配置通往對方內部網絡的路由
可以使用靜態路由
可以使用動態路由
華爲GRE配置:
1、 interface Tunnel0/0/1 創建隧道接口
description connect-to-bj 描述信息
ip address 10.1.1.1 255.255.255.0 隧道的IP地址
tunnel-protocol gre 隧道的協議採用GRE
source 200.1.1.2 隧道的源
destination 100.1.1.2 隧道的目的
2、配置路由
ipsec: 一套IP安全協議,主要的封裝協議有2種:AH、ESP。只支持IP單播,支持加密技術
ipsec是隧道技術、加密技術、認證技術、訪問控制技術的集成
能夠保證數據的機密性、完整性、不可否認性及防止數據重放
加密技術:
對稱加密技術:算法相對簡單、加密速度快、加密的祕鑰和解密的祕鑰是同一個,一般用於加密數據部分
DES、3DES、AES
非對稱加密技術:算法很複雜,加密速度比對稱加密算法慢很多,加密使用的祕鑰和解密使用的祕鑰不是同一個
RSA、DSA、DH 可以用於加密對稱算法使用的密碼
是一對祕鑰:公鑰用於公開,私鑰一定要安全的保存好
公鑰加密,用私鑰解密,保證數據的機密性
私鑰加密,用公鑰解密,不保證數據機密性,用於驗證身份,保證數據的不可否認性,可以實現數字簽名
認證算法:哈希算法 MD5 、SHA-1 不可逆運算 用於完整性校驗
對任意數據進行哈希計算後,生成的值是固定長度,已知MD5的值,也知道算法,還原原文件,不可以
DH算法:用於生成加密數據的密碼
設備驗證的方法:
預共享對稱密碼
預共享非對稱密碼
數字證書
隧道協議:AH:認證頭協議 支持數據完整性,不支持數據的機密性 協議號:51
ESP :安全的封裝載荷協議,既可以加密,也可以保證數據完整性 協議號:50
封裝方式:隧道方式:更安全 一般用於跨越公網
傳輸方式:更簡便 一般用於私網內部
IKE協議:互聯網祕鑰交換協議,核心是DH算法,使用UDP,端口號是500
SA(安全聯盟):就是保證數據安全的一套算法
ipsec工作過程:
先要有感興趣流量(就是要通過Ipsec加密的數據,一般使用擴展ACL來控制)通過
第一階段:會生成IKE的SA
主模式:MM 使用6個報文 前4個報文是明文,後2個是密文
第一個和第二個報文 用來協商Ike策略
第三個和第四個報文 用DH算法交換祕鑰,其實就是各自本地生成祕鑰,祕鑰正好相同
第五個和第六個報文 用來做設備驗證,驗證通過纔會進入到第二階段,否則終止會話
積極模式:AM 使用3個報文
配置:
crypto isakmp policy 10 全局模式配置
encryption aes 配置第一階段的加密算法
authentication pre-share 配置第一階段的設備驗證方法
hash sha 配置第一階段的哈希算法
group 5 配置第一階段的DH算法
lifetime 10000 配置IKE的SA的生存週期
crypto isakmp key cisco123 address 200.1.1.1 設置使用預共享祕鑰方法做設備驗證的祕鑰
第二階段:通過IKE的SA保護,生成IPSEC的SA
快速模式:QM,使用3個報文,全是加密的
配置:crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
第二階段要使用esp來做封裝協議,並且使用3DES做加密,SHA做哈希,隧道模式封裝
使用ipsec的SA加密數據
配置MAP,然後在外部接口調用MAP
crypto map vpnmap 20 ipsec-isakmp 全局配置
set peer 200.1.1.1 設置peer的地址
set transform-set to-fenzhi 設置調用的transform-set
match address 100 設置調用的ACL
interface ethernet 0/0
crypto map vpnmap 接口調用MAP
如果ipsec VPN要和NAT結合使用:
注意:需要在NAT的ACL中將ipsec的vpn流量拒絕掉
完整Cisco的ipsec VPN配置:
總部:
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 10000
crypto isakmp key cisco123 address 200.1.1.1
!
!
crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 200.1.1.1
set transform-set to-fenzhi
match address 100
!
interface Ethernet0/0
ip address 100.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
crypto map vpnmap
!
interface Ethernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
half-duplex
!
ip route 0.0.0.0 0.0.0.0 100.1.1.2
!
ip nat inside source list 110 interface Ethernet0/0 overload
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 110 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 110 remark for_NAT
!
分支:
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 5000
crypto isakmp key cisco123 address 100.1.1.1
!
!
crypto ipsec transform-set to-zongbu esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 100.1.1.1
set transform-set to-zongbu
match address 100
!
interface Ethernet0/0
ip address 200.1.1.1 255.255.255.0
half-duplex
crypto map vpnmap
!
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
half-duplex
!
ip route 0.0.0.0 0.0.0.0 200.1.1.2
!
!
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
!
如果一個設備有2個或者多個VPN連接,配置如下:
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 10000
crypto isakmp key cisco123 address 200.1.1.1
crypto isakmp key cisco123 address 120.1.1.1
!
!
crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 200.1.1.1
set transform-set to-fenzhi
match address 100
crypto map vpnmap 30 ipsec-isakmp
set peer 120.1.1.1
set transform-set to-fenzhi
match address 150
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 150 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
interface Ethernet0/0
ip address 100.1.1.1 255.255.255.0
crypto map vpnmap
華爲的基本配置方式:
acl number 3000 定義感興趣的數據流
rule 5 permit ip source 192.168.1.10 0 destination 192.168.2.10 0
ipsec proposal 10 定義第二階段安全策略
esp encryption-algorithm aes-128
ike proposal 2 定義第一階段安全策略
encryption-algorithm 3des-cbc
dh group5
sa duration 10000
ike peer shanghai v1 定義對等體信息
pre-shared-key simple huawei123
remote-address 200.1.1.1
ipsec policy my-policy 20 isakmp 定義使用IKE來協商IPSEC
security acl 3000 調用ACL
ike-peer shanghai 調用對等體
proposal 10 調用第二階段策略
interface GigabitEthernet0/0/1
ip address 100.1.1.1 255.255.255.0
ipsec policy my-policy 在外網接口調用ipsec策略
如果ipsec VPN要和NAT結合使用:
注意:需要在NAT的ACL中將ipsec的vpn流量拒絕掉