IPSec虚拟专用网原理及基础配置实例

一、虚拟专用网相关概念。
1.虚拟专用网的定义
虚拟专用网：英文全称是“(Virtual Private Network)”，翻译过来就是“虚拟专用网络”。虚拟专用网通常拿来做，是可以让世界上任意2台机器进入一个虚拟的局域网中（当然这个局域网的数据通讯是加密的，很安全，用起来和一个家庭局域网没有区别），虚拟专用网的作用
（1）通过使用加密技术防止数据被窃听
（2）通过数据完整性验证防止数据被破坏、篡改
（3）通过认证机制实现通信方身份确认，来防止通信数据被截获和回放
3.虚拟专用网的模式
（1）传输模式（纯公有网络或私有网络）
在整个虚拟专用网的传输过程中，IP包头并没有被封装进去，这就意味着从源端的数据始终使用原有的IP地址进行通信。而传输的实际数据载荷被封装在虚拟专用网报文中，对大多数虚拟专用网传输而言，虚拟专用网的报文封装过程就是数据的加密过程，因此，第三者无法破解数据内容，但却可以清晰的知道通信双方的地址信息。

（2）隧道模式（公有地址和私有地址混合模式）
隧道模式下，虚拟专用网设备将整个三层数据报文封装在虚拟专用网数据内，再为封装后的数据报文添加新的IP包头。由于在新IP包头中封装的是虚拟专用网设备的IP地址信息，所以当第三者截获数据后，不但无法了解实际载荷数据的内容，同时也无法知道实际通信双方的地址信息。数据包封装后如下：

4.虚拟专用网的类型
（1）站点到站点虚拟专用网：
站点到站点虚拟专用网就是通过隧道模式在虚拟专用网网关之间保护两个或更多的站点之间的流量，站点间的流量通常是指局域网之间（L2L）的通信流量。L2L虚拟专用网多用于总公司与分公司、分公司之间在公网上传输重要的业务数据，主要针对某个网段的流量可以使用虚拟专用网。
（2）远程访问虚拟专用网：
远程访问虚拟专用网通常用于单用户设备与虚拟专用网网关之间的通信连接，单用户设备一般为一台PC或小型办公网络等。远程访问虚拟专用网对安全性的要求较高，更适用于隧道模式。

5.虚拟专用网技术
（1）对称加密算法
对称加密算法使用同一密钥对信息提供安全的保护。目前常见的加密算法有DES、3DES、AES.

1.发送方和接收方共享密钥“k”
2.发送方的虚拟专用网网关通过加密函数E将明文数据“m”加密成为密文数据“c‘
3.接收方的虚拟专用网网关通过解密函数D将数据还原为明文数据”m“

(2)非对称加密算法
非对称加密算法使用公钥和私钥两个不同的密钥进行加密和解密，用一个密钥加密的数据仅能被另一个密钥解密，且不能从一个密钥推导出另一个密钥。常用的非对称加密算法有RSA、DSA、DH.

1.通信双方交换公钥（图中只显示了一个方向的通信）
2.发送方虚拟专用网网关通过公钥将明文数据”m“加密成为密文数据”c“
3.接收方的虚拟专用网网关通关自己的私钥解密数据。整个过程私钥始终没有在网络中传输

IPSec 虚拟专用网的基本概念
（1）流量触发IPSec

简而言之，言而简之就是通过ACL来明确哪些流量需要被“保护”。详细来说，就是IPSec建立过程是由对等体之间发送的流量触发的。一旦有虚拟专用网的流量经过虚拟专用网网关，连接过程便开始建立了，当然，手动配置也可以实现这一过程。在配置设备实现此步骤前，需要明确哪些流量需要被“保护”。

（2）建立管理连接

IPSec使用ISAKMP/IKE阶段1来构建一个安全的管理连接。这里需要注意的是，这个管理连接只是一个准备工作，它不被用来传输实际的数据。在配置设备实现此步骤前，需要明确设备如何实现验证，使用何种加密及认证算法，使用哪种DH组等问题。

（3）建立数据连接

IPSec基于安全的管理连接协商建立安全的数据连接，而ISAKMP/IKE阶段2就是来完成这个任务的，数据连接用于传输真正的用户数据。在配置设备实现此步骤前，需要明确使用何种安全协议，针对具体的安全协议应使用加密或验证算法，以及数据传输的模式（隧道模式或传输模式）等问题。

经过IPSec建立的三部曲后，虚拟专用网流量就可以按照协商的结果被加密/解密了。但是虚拟专用网并不是一次性的，无论是管理连接还是数据连接都有一个生存周期与之关联，一旦到期连接会被中止，如果需要继续传输虚拟专用网数据，连接需要重新被构建，这种设计主要是处于安全考虑。

IPSec 虚拟专用网属于安全技术，并非所有的Cisco设备都支持该功能，需要IOS名称中的功能集中涵盖K8或K9，如下：

三、ISAKMP/IKE阶段1及阶段2的建立过程
1、ISAKMP/IKE阶段1
（1）阶段1（是双向的）的相关概念：
阶段1的交换过程有两个模式：主模式和积极模式。积极模式比主模式快，主模式比积极模式安全，我下面的配置是基于主模式进行的。

在主模式中，这三个任务是通过六个数据报文完成的：前两个数据包用于协商对等体间的管理连接使用何种安全策略（交换ISAKMP/IKE传输集）；中间两个数据包通过DH算法产生并交换加密算法和HMAC功能所需的密钥；最后两个数据包使用预共享密钥等方式执行对等体间的身份验证。需要注意的是，前四个报文是明文传输的，后面两个报文才是密文传输，前四个数据包通过各种算法最终产生的密钥用于第5、和第6个数据包及后续数据的加密。

（2）ISAKMP/IKE阶段1建立过程：

1）交换ISAKMP/IKE传输集

ISAKMP/IKE传输集就是一组用来保护管理连接的安全策略，也有人将它称之为IKE策略或ISAKMP策略。
ISAKMP/IKE传输集主要包括以下几个方面：

加密算法：DES、3DES或AES（一般用AES，安全性更高些）。

HMAC功能：MD5或SHA-1（一般使用SHA-1，同样，因为安全性高）。

设备验证的类型：预共享密钥或使用RSA签名

DH密钥组：Cisco支持1、2、5、7（Cisco的路由器不支持密钥组7）。

管理连接的生存周期。

2）通过DH算法实现密钥交换

上一步只是协商管理连接的安全策略，而共享密钥的产生与交换就要通过DH算法来实现。

3）实现设备间的身份验证

设备身份验证时最常用的方法就是预共享密钥，即在对等体之间通过带外的方式共享密钥，并存储在设备的本地。设备验证的过程可以通过加密算法或HMAC功能两种方法实现，而加密算法很少用于身份验证，多数情况都会通过HMAC功能实现。

2、ISAKMP/IKE阶段2
（1）阶段2（是单向的）的相关概念：

（2）ISAKMP/IKE阶段1建立过程：

1）安全关联

IPSec需要在两个对等体之间建立一条逻辑连接，这就要使用一个被称为安全关联的信令协议，这是因为IPSec需要无连接的IP协议在安全运行之前就要称为面向连接的协议。SA的连接是在源点和终点之间的单向连接，如果需要双向连接，就需要两个SA连接，每个方向一个。

ISAKMP/IKE阶段2具有上面这种特性，也就是说ISAKMP/IKE的数据连接实际是通过两个单向连接建立的。而两个连接采用的加密或认证方式都是相同的，这就使ISAKMP/IKE阶段2这个特征不易被发现。

2）ISAKMP/IKE阶段2的传输集：

数据连接的传输集定义了数据连接是如何被保护的。与管理连接的传输集类似，对等体设备可以保存一个或多个传输集，但其内容完全不同。

数据连接的传输集内容如下：

安全协议： AH 协议、ESP协议。
连接模式：隧道模式，传输模式。
加密方式：对于ESP而言，有DES、3DES、AES-128、AES-192、AES-256或不使用加密算法。
验证方式：MD5或SHA-1。
上述相关加密/验证方式自己查阅其他资料吧，说起来太多了。关于连接模式就是文章开头说的那两种。

3）ISAKMP/IKE阶段2的安全协议

IPSec的数据连接可以通过安全协议实现对数据连接的保护：AH协议和ESP协议。可以通过其中一个协议来实现数据的加密和验证，如使用ESP协议；也可以使用两个协议一起来实现。AH使用IP协议号51，ESP使用IP协议号50。

AH协议保护整个数据报文，但易变的字段除外，如IP包头中的TTL值等。

AH协议只是实现验证功能，而并未提供任何形式的数据加密；而且正因为其对于整个IP数据报文实现验证功能，所以它与NAT或PAT不能一起使用。

ESP在RFC 2402中有明确的定义，它与AH的区别如下：

ESP对用户数据实现加密功能。
ESP只对IP数据的有效载荷进行验证，不包括外部的IP包头。
因此，如果有第三者对IP包头内容进行更改，ESP是无法检测到的。而NAT也会修改外层的IP信息，所以ESP可以和NAT共用，所以，AH无论如何也不能和NAT共用，而ESP却可以，再配置NAT-T技术，ESP甚至还可以和PAT共用（ESP默认情况下不能穿越PAT设备，因为PAT会修改传输层头部的端口信息，而传输层的头部在ESP的封装中是被加密的，所以PAT无法修改端口信息。而NAT-T技术就是通过额外增加一个传输层头部让PAT可以工作）。

四、IPSec 虚拟专用网的配置实现

环境分析：

1、总公司内网使用192.168.1.0/24网段地址，分公司使用192.168.2.0/24网段地址。R2路由器为公网上的路由器。R1及R3分别为总公司及分公司的网关服务器，所以一定会存在默认路由指向公网的路由器。
2、总公司的内网及分公司的内网之间要建立虚拟专用网，但如果不配置别的东西，是会影响内网访问Internet的，一般都是既可以建立虚拟专用网，也可以访问Internet，所以这个问题也要解决。

需求如下：

1、要求实现总公司192.168.1.0/24和分公司的192.168.2.0/24网段通过虚拟专用网实现互通，并且不要影响这两个网段访问公网，也就是R2路由器（访问公网路由器，通过端口复用的PAT技术实现，不要在R2路由器上配置任何路由）。

开始配置：

1、自己配置相关的接口地址，并且开启接口，这里不详细写出来了，配置接口IP地址格式如下：

路由器配置接口IP地址

GNS3模拟器中PC机配置IP地址

2、配置R1路由器：

注：由于当有NAT和虚拟专用网流量时，优先匹配NAT，后匹配虚拟专用网，所以要在上面做PAT时，拒绝虚拟专用网的流量。

3、配置R3路由器：

由于R3和R1路由器的配置大同小异（甚至很多配置必须一样，比如共享密钥、采用的算法，否则无法建立虚拟专用网），以下就不注释了

配置至此，就可以实现PC1及PC2互通了（虚拟专用网的作用），并且两台PC机都可以ping通R2路由器，要知道，虽然R1和R3路由器有默认路由指向R2路由器，但是R2路由器是没有到192.168.1.0和2.0网段的路由的，这就是PAT的作用。可以自己进行ping测试。

4、附带一些查看配置的命令：

五、总结
1.由于涉及的技术、算法等- 系列技术太多，所以进行故障排错可能没那么简单，可以使用"show run”命令，查看所有配置，对照两台路由器上有哪些配置是不匹配的，然后进行重新配置。
2.一定要注意当NAT和虚拟专用网流量同时存在时，会优先匹配NAT.后匹配虚拟专用网，所以要在做PAT映射时，通过扩展ACL拒绝去往分公司内网的虚拟专用网的流量，否则会直接进行PAT，然后转发，最后会导致因为R1路由器没有去往192168 2.0/24的路由而丢弃数据包。

IPSec虚拟专用网原理及基础配置实例相关推荐

Nginx基础配置实例需求分析
前面我们已经对Nginx服务器默认配置文件的结构和涉及的基本指令做了详细的阐述.通过这些指令的合理配置,我们就可以让一台Nginx服务器正常工作,并且提供基本的web服务器功能. 接下来我们将通过一个 ...
nginx ---- Nginx服务器基础配置实例
前面我们已经对Nginx服务器默认配置文件的结构和涉及的基本指令做了详细的阐述.通过这些指令的合理配置,我们就可以让一台Nginx服务器正常工作,并且提供基本的web服务器功能. 接下来我们将通过一个 ...
交换机的原理以及基础配置命令（eNSP）
文章目录 1.交换机原理 1.1 交换机简介 1.2 交换机原理 2.交换机基础配置命令 1.交换机原理 1.1 交换机简介交换机是一种用于电(光)信号转发的网络设备.它可以为接入交换机的任意两个网 ...
静态路由和默认路由的原理与基础配置命令
目录一.路由概述 1.路由 :从源主机到目标主机的转发过程 2.路由器的工作原理二.路由器转发数据包的封装过程三.交换与路由对比 1.路由工作在网络层 2.交换工作在数据链路层四.静态 ...
Nginx基础配置实例配置实现
配置的内容如下: ##全局块 begin## #配置允许运行Nginx工作进程的用户和用户组 user www; #配置运行Nginx进程生成的worker进程数 worker_processes 2 ...
Puppet原理及基础配置应用
1.概述名称概述 Puppet:集中式的配置管理工具,通过自有配置语言对节点进行目标状态定义,并能够基于网络实现目标状态的维护. master:中心配置库 agent:读取并应用配置的节点 mani ...
Cisco ASA防火墙实现IPSec 虚拟专用网，可跟做！！！
通过博文CIsco路由器实现IPSec 虚拟专用网原理及配置详解已经初步了解IPSec 虚拟专用网的原理以及如何在Cisco的路由器上实现IPSec 虚拟专用网技术.千万不要以为在CIsco路由器可以 ...
Windows Server 2012 R2 NAP服务器安装与配置02之 NAP的原理与基础安装 2014-02-25 20:45:53
Windows Server 2012 R2 NAP服务器安装与配置02之 NAP的原理与基础安装 2014-02-25 20:45:53 标签: windows server 2012 r2 W ...
Windows Server 2012 R2 NAP服务器安装与配置02之 NAP的原理与基础安装 2014-02-25 20:45:53 标签：windows server 2012 r2 Win
Windows Server 2012 R2 NAP服务器安装与配置02之 NAP的原理与基础安装 2014-02-25 20:45:53 标签: windows server 2012 r2 W ...

IPSec虚拟专用网原理及基础配置实例

IPSec虚拟专用网原理及基础配置实例相关推荐

最新文章

热门文章