GRE VPN

VPN概述

概念:

​ 在传统的企业网络中,进行远程访问的方法是租用DDN专线或帧中继,必然会导致高额的网络通信和维护费用.因此采用VPN技术.VPN称为虚拟专用网络,其实实质是利用加密技术在公网上封装出一个加密数据通信隧道.

​ 总而言之,虚拟专用网络(VPN)属于远程访问技术,简单地说就是利用公网网络架设专用网络,通过加密\身份验证\访问控制列表等技术保证通道安全,通过对数据包目标地址的转换实现远程路由.

分类

  • 功能

    • 远程接入VPN(Remote Access VPN)

    通过拨号或者LAN连接到互联网,然后启动隧道接入公司的内部网络

    • 点对点VPN(Site-to-Site VPN)

    是指一个地区的内部通过隧道与另一个地区的内部相关联,两个内部网络的用户可以相互访问

  • 实现的层次分类

    • L3VPN
    • L2VPN

  • VPN的业务类型

    • 接入VPN

    主机到网络的类型

    • 内联网VPN

    总部与分部之间

    • 外联网VPN

    不同企业之间连接VPN

  • 实现的方法

    • 软件VPN
    • 硬件VPN
    • 集成VPN

GRE VPN

​ 是对某些协议网络层协议的数据包进行封装,使这些被封装的数据报能够在另一个网络层协议中传输.GRE是VPN的第三层隧道协议,即在协议中封装任意一种协议而设计的封装方法.

IPsec VPN

​ 是一种广泛开放的VPN安全协议技术,工作在网络层,为数据传输过程提供了安全保护,其主要手段是对数据进行加密和对数据收发方进行身份验证.有两种模式:隧道模式和传输模式

SSL VPN

​ 是一种Internet上确保信息安全收发的通用协议技术,以TCP(传输协议)为根基.目前被广泛的应用与浏览器中

MPLS VPN

​ 是一种面向连接的技术,是一种快速数据包交换和路由的体系,通过标签交换路径将私有的网络的不同分支联系起来,他的路由工作在三层,核心任务工作在第二层.

VPN的优缺点

优点:

  • 高速
  • 具有模块化和可升级的特点
  • 高水平的安全
  • 完全控制

缺点:

  • 不能直接控制基于互联网的VPN的性能
  • 企业创建和部署并不容易
  • 不同厂商的VPN产品和方案总是不兼容
  • 使用无线设备VPN存在安全风险

GRE基础

​ GRE(Generic Routing Encapsulation,通用路由封装)是一个三层协议,能够将各种不同的数据包封装成IP包,然后通过IP网络进行传输.它能对IP包或非IP包进行再封装,而再封装方式是在原始包头的前面加一个GRE包头和一个新IP包头:采用明文传送,在IP中的协议号为47.

GRE隧道常用命令

配置 命令
创建虚拟Tunnel接口 interface tunnel x
定义Tunnel接口的IP地址 ip address x x
定义Tunnel通道的源地址 tunnel source x
定义Tunnel通道的目的地址 tunnel destination x
定义Tunnel接口报文的封装模式(可选) tunnel mode gre
定义Tunnel接口的密钥(可选) tunnel key x
手动配置静态路由实现隧道可路由 ip route x x x

GRE实验

  1. 需要配置ACL禁止私有网段出现在外网
R2(config)#access-list 1 deny 10.0.0.0 0.255.255.255
R2(config)#access-list 1 deny 172.16.0.0 0.15.255.255
R2(config)#access-list 1 deny 192.168.0.0 0.0.255.255
R2(config)#access-list 1 permit any
R2(config)#interface s0/1/0
R2(config-if)#ip access-group 1 in
R2(config)#interface s0/0/0
R2(config-if)#ip access-group 1 in
  1. 配置nat,实现内网与外网之间的访问
//R0:
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface s 0/3/0 overload
interfce s 0/3/0
ip nat outside
interface fa0/0
ip nat inside//R1:
access-list 1 permit 192.168.2.0 0.0.0.255
ip nat inside source list 1 interface s 0/3/0 overload
interfce s 0/3/0
ip nat outside
interface fa0/0
ip nat inside
  1. 配置GRE
R0:
interface Tunnel2ip address 58.1.2.1 255.255.255.252tunnel source Serial0/3/0tunnel destination 210.28.144.2ip route 192.168.2.0 255.255.255.0 58.1.2.2
------------------------------------------------------------
R1:
interface Tunnel2ip address 58.1.2.2 255.255.255.252tunnel source Serial0/3/0tunnel destination 28.1.1.1ip route 192.168.1.0 255.255.255.0 210.28.144.1
  1. 检验,抓取PC在网关的ping包如下

outbound PDU

inbound PUD

IPsec-VPN

IPsec体系概述

应用场景分为以下三种:

  • Site-to-Site(VPN网关到VPN网关)
  • End-to-End(端到端或者PC到PC)
  • End-to-Site(端到端或者PC到VPN网关)

IPsec是一个框架性结构,VPN只是IPsec的一种应用方式

AH协议

可以同时提供数据完整性确认\数据来源确认\防冲放等安全特性,使用较少;AH常用摘要算法(单向Hash函数)MD5和SHAI实现该特性.

ESP协议

可以提供数据完整性确认\数据加密等常用DES\3DES\AES等加密算法实现数据加密

传输模式

用于保护端到端的安全性

隧道模式

用于保护站点到站点的安全性.

IPsec-VPN实验

  1. 全网各设备IP地址已设置完毕,网络已经收敛,可全网互通。

  2. PC0 ping PC3PC0 tracert PC3,观察显示信息并记录。

     `ping 192.168.2.1_______[ok]``ping 192.168.1.1________[ok]`

  3. 在R2上配置ACL,禁止来自内网地址的主机访问Internet信息,应配置那种ACL,应用哪些接口、方向?

R2(config)#access-list 1 deny 10.0.0.0 0.255.255.255
R2(config)#access-list 1 deny 172.16.0.0 0.15.255.255
R2(config)#access-list 1 deny 192.168.0.0 0.0.255.255
R2(config)#access-list 1 permit any
R2(config)#interface s0/1/0
R2(config-if)#ip access-group 1 in
R2(config)#interface s0/0/0
R2(config-if)#ip access-group 1 in

  1. PC0 ping PC3,正确结果应是不能ping通,为什么?

     `ping 192.168.2.1__________[no]`ACL禁止了。

  2. 在R0上配置PAT。

  • 配置地址池(可选)
  • 指定PAT内部接口
  • 指定PAT外部接口
  • 指定允许进行地址转换的内部地址
  • 指定需要转换的内部地址和关联的外部地址
  • 相同方式配置R1上的配置PAT,
R0:
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface s 0/3/0 overload
interfce s 0/3/0
ip nat outside
interface fa0/0
ip nat insideR1:
access-list 1 permit 192.168.2.0 0.0.0.255
ip nat inside source list 1 interface s 0/3/0 overload
interfce s 0/3/0
ip nat outside
interface fa0/0
ip nat inside
  1. R0上PAT完毕后,PC0 ping PC3,正确结果应是不能ping通,为什么?配置完毕。PC0 ping PC3,正确结果应是能ping通,为什么?

[no]-----因为nat禁止访问内网,可以ping通R3

  1. 在R0、R1上使用show ip nat translation查看地址转换表信息

    show ip nat tr

  2. 配置IPSEC VPN

  • 在R0、R1上设置IKE参数,策略优先级为1(双方一致,预共享验证、DES加密、MD5验证,预共享验证密钥为wxit)
  • 在R0、R1上开启IPSEC隧道模式(隧道名为wxitvpn,esp封装,DES加密、MD5验证)
  • 在R0、R1外网接口上应用VPN映射
R0:
R0(config)#crypto isakmp enable
R0(config)#crypto isakmp policy 100
R0(config-isakmp)#authentication pre-share
R0(config-isakmp)#encryption des
R0(config-isakmp)#hash md5
R0(config)#crypto isakmp key wxit address 210.28.144.2
R0(config)#crypto ipsec transform-set wxitvpn esp-des esp-md5-hmac
R0(config)#access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255R0(config)#crypto map mymap 100 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.
R0(config-crypto-map)#match address 110
R0(config-crypto-map)#set peer 210.28.144.2
R0(config-crypto-map)#set transform-set wxitvpn
R0(config)#interface s 0/3/0
R0(config-if)#crypto map mymap
-----------------------------------------------------------------------------------------------------------
R1:
R1(config)#crypto isakmp ena
R1(config)#crypto isakmp policy 100
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption des
R1(config-isakmp)#hash md5
R1(config-isakmp)#exit
R1(config)#crypto isakmp key wxit address 58.1.1.1
R1(config)#crypto ipsec transform-set wxitvpn esp-des esp-md5-hmac
R1(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R1(config)#crypto map mymap 100 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.
R1(config-crypto-map)#match address 110
R1(config-crypto-map)#set peer 58.1.1.1
R1(config-crypto-map)#set transform-set wxitvpn
R1(config-crypto-map)#exit
R1(config)#interface serial 0/3/0
R1(config-if)#crypto map mymap
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#exit
R1(config)#interface s 0/3/0
R1(config-if)#no ip nat
% Incomplete command.
R1(config-if)#no ip nat out
R1(config-if)#no ip nat outside
R1(config-if)#exit
R1(config)#interface fa 0/0
R1(config-if)#no ip nat isn
R1(config-if)#no ip nat ins
R1(config-if)#no ip nat inside
  1. 在R0、R1上设置VPN感兴趣数据

因为nat修改了数据包,但是VPN的验证不允许修改数据包所以会产生冲突,ping不通。

  1. 设置结束后PC0 ping PC3、PC0 tracert PC3,观察显示信息并记录,思考IPSEC VPN与NAT业务并存后数据是如何封装及传输的?
Tracing route to 192.168.2.1 over a maximum of 30 hops:   1   0 ms      0 ms      0 ms      192.168.1.254  2   13 ms     2 ms      0 ms      210.28.144.2  3   14 ms     10 ms     10 ms     192.168.2.1
  1. 在R0、R1上使用show crypto isakmp sa查看VPN建立情况,state什么状态(QM_IDLE表示已建立连接)?
R0(config)#do show crypto isakmp saIPv4 Crypto ISAKMP SAdst             src             state          conn-id slot status210.28.144.2    58.1.1.1        QM_IDLE           1009    0 ACTIVE_______________________________________________R1#show crypto isakmp saIPv4 Crypto ISAKMP SAdst             src             state          conn-id slot status58.1.1.1        210.28.144.2    QM_IDLE           1048    0 ACTIVE

思考:nat和IPsec-vpn的冲突?

》内网到内网走VPN
》内网到外网走nat
配置ACL:指定明确的目的,排除私有的地址
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.0.0 0.15.255.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

禁止去往192.168.2.0网段的数据包nat转换就行了,这样就不会改变数据包,vpn可以正常封装。允许去往其他网段的数据包进行地址转换。

共存可以ping通!

C:\>ping 192.168.2.1Pinging 192.168.2.1 with 32 bytes of data:Request timed out.Request timed out.Reply from 192.168.2.1: bytes=32 time=11ms TTL=126Reply from 192.168.2.1: bytes=32 time=10ms TTL=126

验证查看网关上的ping包:

网络信息安全:五、GRE和IPSEC相关推荐

  1. 小学计算机网络信息安全教案,黑教版信息技术五年级上册第十五课《网络信息安全》教案.doc...

    黑教版信息技术五年级上册第十五课<网络信息安全>教案.doc 文档编号:535180 文档页数:2 上传时间: 2019-01-10 文档级别: 文档类型:doc 文档大小:33.00KB ...

  2. 计算机安全使用宣传,国家网络信息安全宣传周活动方案五篇

    网络安全是便民利民的工程,那么怎样来策划网络安全宣传周活动呢?下面是小编为大家准备关于国家网络信息安全宣传周活动方案五篇,欢迎参阅. 国家网络信息安全宣传周活动方案一 各乡镇党委.县直各部门单位: 根 ...

  3. 《NJUPT》网络信息安全_期末PPT整理笔记

    零.基础知识 信息安全包括:信息安全管理.物理场所安全.设备的硬件安全.软件安全(操作系统/其他系统软件应用软件).网络信息安全(TCP/IP ).密码学的应用.信息隐藏.其他不常见技术 不同的研究方 ...

  4. 【期末复习】带着问题看网络信息安全

    网络信息安全需求包含哪六个基本方面?分别简单说明它们的含义. 机密性:防止未授权用户非法获得保密信息. 完整性:在未经许可的情况下,保证数据不会被他人删除或修改(至少能发现被修改过). 身份认证:用户 ...

  5. 《网络信息安全》作业题和考试复习题

    开卷必备! 网络信息安全需求包含哪六个基本方面?分别简单说明它们的含义. 机密性:防止未授权用户非法获得保密信息. 完整性:在未经许可的情况下,保证数据不会被他人删除或修改(至少能发现被修改过). 身 ...

  6. 违反计算机网络安全如何处罚,网络信息安全知识:违反治安管理行为的处罚包括()。...

    相关题目与解析 信息网络安全法律法规体系行政管理方面()A中华人民共和国治安管理处罚法B中华人民共和国计算 反法律.行政法规,有<计算机信息网络国际联网安全保护管理办法>第五条.第六条所列 ...

  7. GRE OVER IPSEC

    实验五.GRE over IPSec 一.实验拓朴: 二.实验目的: 1.  所有流量通过GRE封装 2.  所有流量被IPSec保护 3.  实现路由协议数据只被GRE封装,用户业务数据被IPSec ...

  8. GRE over IPSec 隧道配置案例

    我也想要一个美女老师教我学习网络. GRE over IPSec 配置案例 要求 拓扑 配置 基础配置 GRE VPN配置 配置路由 IPSec配置 GRE over IPSec 技术背景 工作流程 ...

  9. 【网络信息安全】密码学入门笔记

    密码学入门 主要内容与重点 一.传统密码学 二.现代密码学 三.理论不可破解和计算不可破解的加密算法 密码系统的基本要求和设计原则 一次一密密码系统 一次一密码系统的算法 一次一密密码系统举例 无法破 ...

  10. 网络安全特训之——网络信息安全攻防学习平台(选择题)

    网络信息安全攻防学习平台(选择题) 文章目录 网络信息安全攻防学习平台(选择题) 第一题 第二题 第三题 第四题 第五题 第六题 第七题 第八题 第九题 第十题 第十一题 第十二题 第十三题 第十四题 ...

最新文章

  1. XML DOM – 导航节点概述
  2. 《Go语言编程》学习笔记 (二)
  3. CodeForces - 1141CPolycarp Restores Permutation搜索+剪枝
  4. [Unity] 定义 Assembly 之后还要定义 Assembly Reference
  5. bootstrap datetimepicker 复选可删除,可规定指定日期不可选
  6. 海报展示样机模板|给你一个现实的环境
  7. fastreport打印ftp图片_FastReport快速打印(.net)
  8. charles抓PC端的包
  9. 国内算法竞赛平台汇总
  10. 付款码支付-微信和支付宝付款码类型标识
  11. 计算机图形学学习笔记(5.1)几何造型与样条
  12. 数据结构与算法碎碎念之运用递归处理问题
  13. 程序员普遍用gmail_使Gmail更好的最佳Chrome扩展程序
  14. Centos 环境配置总结(持续更新)
  15. [ 常用工具篇 ] 还在嫌截图麻烦?快来使用 Win10 原生的截图工具 Snipping Tool 吧
  16. 大学生考华为认证HCIP需要做那些准备?
  17. Delphi中文帮助[1]Delphi7的新特性
  18. 全球程序员薪资调查:硅谷米贵,居大不易
  19. listener不能交给spring进行管理,需要自己new,不能注入其他对象,不能实现数据库操作
  20. 小说体验报告测试用例设计点

热门文章

  1. 戴尔服务器r720矩阵卡无响应,戴尔r720阵列卡驱动
  2. python菱形继承参数问题_菱形继承问题
  3. win7取消计算机开机密码怎么设置,【win7】:当你想关闭开机密码的时候该怎么设置呢?...
  4. ROS2的launch文件如何编写?快来学习一下使用Python编写launch文件~
  5. Facebook账号注册需要注意什么?Facebook养号技巧?
  6. 025_GPIO的读
  7. php 翻译接口,php有道翻译api调用方法
  8. OSChina 周日乱弹 —— 你今天又穿女装上班了
  9. 电脑网络连接怎么设置
  10. web之qq邮箱登录界面