WAN技术:广域网技术
专线方式(租用线路):价格高,安全稳定,带宽有保证
拨号:ISDN 带宽低 走电话线
帧中继:比专线便宜,带宽也比较高
VPN技术:(跨互联网),需要公网IP地址,价格低廉,稳定性取决于上网稳定性,不需要经过运营商,设备支持即可
例如:二层VPN技术:L2F、PPTP、L2TP 、MPLS
三层VPN技术:GRE、IPsec
应用层VPN:SSL (SSH HTTPS)
GRE:通用路由封装,对数据不支持加密,存在安全性问题 属于隧道技术 协议号:47
1、首先要保证两边的路由器设备外部公网接口要能通信
2、创建隧道接口
interface Tunnel 1
ip address 10.1.1.2 255.255.255.0
mtu 1476
tunnel source GigabitEthernet0/0
tunnel destination 100.1.1.2
3、配置通往对方内部网络的路由
可以使用静态路由
可以使用动态路由
华为GRE配置:
1、 interface Tunnel0/0/1 创建隧道接口
description connect-to-bj 描述信息
ip address 10.1.1.1 255.255.255.0 隧道的IP地址
tunnel-protocol gre 隧道的协议采用GRE
source 200.1.1.2 隧道的源
destination 100.1.1.2 隧道的目的
2、配置路由
ipsec: 一套IP安全协议,主要的封装协议有2种:AH、ESP。只支持IP单播,支持加密技术
ipsec是隧道技术、加密技术、认证技术、访问控制技术的集成
能够保证数据的机密性、完整性、不可否认性及防止数据重放
加密技术:
对称加密技术:算法相对简单、加密速度快、加密的秘钥和解密的秘钥是同一个,一般用于加密数据部分
DES、3DES、AES
非对称加密技术:算法很复杂,加密速度比对称加密算法慢很多,加密使用的秘钥和解密使用的秘钥不是同一个
RSA、DSA、DH 可以用于加密对称算法使用的密码
是一对秘钥:公钥用于公开,私钥一定要安全的保存好
公钥加密,用私钥解密,保证数据的机密性
私钥加密,用公钥解密,不保证数据机密性,用于验证身份,保证数据的不可否认性,可以实现数字签名
认证算法:哈希算法 MD5 、SHA-1 不可逆运算 用于完整性校验
对任意数据进行哈希计算后,生成的值是固定长度,已知MD5的值,也知道算法,还原原文件,不可以
DH算法:用于生成加密数据的密码
设备验证的方法:
预共享对称密码
预共享非对称密码
数字证书
隧道协议:AH:认证头协议 支持数据完整性,不支持数据的机密性 协议号:51
ESP :安全的封装载荷协议,既可以加密,也可以保证数据完整性 协议号:50
封装方式:隧道方式:更安全 一般用于跨越公网
传输方式:更简便 一般用于私网内部
IKE协议:互联网秘钥交换协议,核心是DH算法,使用UDP,端口号是500
SA(安全联盟):就是保证数据安全的一套算法
ipsec工作过程:
先要有感兴趣流量(就是要通过Ipsec加密的数据,一般使用扩展ACL来控制)通过
第一阶段:会生成IKE的SA
主模式:MM 使用6个报文 前4个报文是明文,后2个是密文
第一个和第二个报文 用来协商Ike策略
第三个和第四个报文 用DH算法交换秘钥,其实就是各自本地生成秘钥,秘钥正好相同
第五个和第六个报文 用来做设备验证,验证通过才会进入到第二阶段,否则终止会话
积极模式:AM 使用3个报文
配置:
crypto isakmp policy 10 全局模式配置
encryption aes 配置第一阶段的加密算法
authentication pre-share 配置第一阶段的设备验证方法
hash sha 配置第一阶段的哈希算法
group 5 配置第一阶段的DH算法
lifetime 10000 配置IKE的SA的生存周期
crypto isakmp key cisco123 address 200.1.1.1 设置使用预共享秘钥方法做设备验证的秘钥
第二阶段:通过IKE的SA保护,生成IPSEC的SA
快速模式:QM,使用3个报文,全是加密的
配置:crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
第二阶段要使用esp来做封装协议,并且使用3DES做加密,SHA做哈希,隧道模式封装
使用ipsec的SA加密数据
配置MAP,然后在外部接口调用MAP
crypto map vpnmap 20 ipsec-isakmp 全局配置
set peer 200.1.1.1 设置peer的地址
set transform-set to-fenzhi 设置调用的transform-set
match address 100 设置调用的ACL
interface ethernet 0/0
crypto map vpnmap 接口调用MAP
如果ipsec VPN要和NAT结合使用:
注意:需要在NAT的ACL中将ipsec的vpn流量拒绝掉
完整Cisco的ipsec VPN配置:
总部:
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 10000
crypto isakmp key cisco123 address 200.1.1.1
!
!
crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 200.1.1.1
set transform-set to-fenzhi
match address 100
!
interface Ethernet0/0
ip address 100.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
crypto map vpnmap
!
interface Ethernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
half-duplex
!
ip route 0.0.0.0 0.0.0.0 100.1.1.2
!
ip nat inside source list 110 interface Ethernet0/0 overload
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 110 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 110 remark for_NAT
!
分支:
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 5000
crypto isakmp key cisco123 address 100.1.1.1
!
!
crypto ipsec transform-set to-zongbu esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 100.1.1.1
set transform-set to-zongbu
match address 100
!
interface Ethernet0/0
ip address 200.1.1.1 255.255.255.0
half-duplex
crypto map vpnmap
!
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
half-duplex
!
ip route 0.0.0.0 0.0.0.0 200.1.1.2
!
!
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
!
如果一个设备有2个或者多个VPN连接,配置如下:
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 10000
crypto isakmp key cisco123 address 200.1.1.1
crypto isakmp key cisco123 address 120.1.1.1
!
!
crypto ipsec transform-set to-fenzhi esp-3des esp-sha-hmac
!
crypto map vpnmap 20 ipsec-isakmp
set peer 200.1.1.1
set transform-set to-fenzhi
match address 100
crypto map vpnmap 30 ipsec-isakmp
set peer 120.1.1.1
set transform-set to-fenzhi
match address 150
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 150 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
interface Ethernet0/0
ip address 100.1.1.1 255.255.255.0
crypto map vpnmap
华为的基本配置方式:
acl number 3000 定义感兴趣的数据流
rule 5 permit ip source 192.168.1.10 0 destination 192.168.2.10 0
ipsec proposal 10 定义第二阶段安全策略
esp encryption-algorithm aes-128
ike proposal 2 定义第一阶段安全策略
encryption-algorithm 3des-cbc
dh group5
sa duration 10000
ike peer shanghai v1 定义对等体信息
pre-shared-key simple huawei123
remote-address 200.1.1.1
ipsec policy my-policy 20 isakmp 定义使用IKE来协商IPSEC
security acl 3000 调用ACL
ike-peer shanghai 调用对等体
proposal 10 调用第二阶段策略
interface GigabitEthernet0/0/1
ip address 100.1.1.1 255.255.255.0
ipsec policy my-policy 在外网接口调用ipsec策略
如果ipsec VPN要和NAT结合使用:
注意:需要在NAT的ACL中将ipsec的vpn流量拒绝掉