IPsec VPN
概述:
广域网的安全隐患:被窃听、被篡改、被冒充
VPN(虚拟专用网络)的作用:保证数据的保密性(加密)、完整性(hash)、身份认证(签名)
类型:
PTP:点到点的PVN(IPsec VPN)
个体到点:远程访问VPN
2层:L2TP VPN
2层:PPTP VPN
2层:SSTP VPN
3层: Easy VPN
3~4层: SSL VPN
连接模式:
传输模式:封装模式简单,传输效率高,不保护IP包头
隧道模式:保护IP包头
加密:
对称加密:DES,3DES,AES
非对称加密:RSA,DSA,DH
秘钥交换:利用非对称加密技术加密对称加密的秘钥,利用对称加密技术加密数据。
密钥交换协议:AKE
数据报文验证:
HMAC:实现数据完整性和身份认证[Hash(MD5,SHA)],MD5-HMAC|SHA-MAC
数据+K--HASH算法--得到数字签名(K值不在网络中传输)
建立IPsec VPN:
阶段一:建立安全连接(交换密钥)
阶段二:建立数据链接(传输数据)
配置命令
配置加密方案(传输集):
crypto isakmp policy 1 --开始配置VPN,1越大优先值越大
encryption des/3des/aes --对称加密
hash mad5/sha --hash加密
group 1/2/5 --非对称加密算法
authentication per-share --身份认证
lifetime 秒(默认:86400) --生存周期
exit
crypto isakmp key 0/6 预共享密钥 address 对方的公网IP --0/6决定共享密钥在设备上以明/密文存储
控制流量/流量触发/匹配VPN隧道流量:
acc 101 per ip sIP 反掩码 dIP 反掩码
数据传输模式:
crypto ipaec transform-set 传输名 (ah-sha|md5-hmac) (esp-sha|md5-hmac) (esp-des|3des|aes) --任选1-3个
mode transport/tunnel --默认是tunnel
exit
建立MAP映射表:
crypto map 映射表名 1 ipsec-isakmp
match address 101
set transform-set 传输名
set peer 对方的公网IP
exit
将MAP表应用到外网接口
int f0/0
crypto map 映射表名
exit
查看第一阶段的连接状态:
sh crypto isakmp sa
NAT豁免
NAT:
101 deny ip 192.168.0.0 10.1.1.0
101 per ip any any
VPN:
101 per ip 192.168.0.0 10.1.1.0