一文带你了解IPsec VPN基本原理与配置流程,干货值得收藏

IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,今天就来介绍一下IPSec VPN的原理。IPSec VPN的应用

IPSec VPN是目前VPN技术中点击率最高的VPN之一,同时提供VPN技术和信息加密技术。今天给大家介绍一下IPSec VPN的原理。

IPSec VPN的应用场景

cad5fbe43cb4448c9663a1c69725977d~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769623&x-signature=en98lE3gezqKGeJ1Kq%2Bajvo4w8M%3D

站点到站点(站点到站点或网关到网关) : 不同的分支机构位于Internet 上的三个不同位置,每个分支机构都使用Business Pilot 网关建立相互之间以及分支机构之间数据的VPN 隧道。企业内网(多台PC)穿过这些,并通过网关建立的IPSec隧道提供安全互连。端到端(端到端或PC 到PC) : 两台PC 之间的通信由两台PC 之间的IPSec 会话(而不是网关)保护。端到站点(或PC 到网关):两台PC 之间的通信通过网关和远程PC 之间的IPSec 进行保护。 IPSec 是一个框架架构,由两类协议组成,具体来说:

AH协议(认证头,很少使用):可以同时提供数据完整性验证、数据源验证、防重放等安全特性。 AH 常用的摘要算法(单向哈希函数)MD5 和SHA1 实现了此功能。 ESP协议(Encapsulated Security Payload,应用广泛):可以同时提供数据完整性验证、数据加密、防重放等安全功能。 ESP 通常使用DES、3DES、AES 和其他加密算法来实现MD5 或SHA1 数据完整性。

IPSec封装模式

IPSec提供的两种封装模式:传输模式和隧道模式

b3a36235e7064f2ea576fcb0d9d9cc81~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769623&x-signature=qlrH4NdxZuuBDc01iLvseJt92LQ%3D

上图显示了传输模式的封装结构。我们来对比一下隧道模式。

11ad39a7a2e74cd1918186b1db2df984~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769623&x-signature=ukKYJ2YpR2bxfLugUL0FYBvZWRw%3D

传输模式和隧道模式的区别如下:

1. 传输模式下,AH和ESP处理前后IP头不变,主要用于端到端的应用场景。

2. 隧道模式封装经过AH和ESP处理后的外层IP头,主要用于站点到站点的应用场景。

下面通过在华为AR系列路由器上将IPsec-VPN站点配置为多站点的案例来了解IPsec-VPN的配置流程。

拓扑图

a4e61375dfdc413bbeca190241f46d0c~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769623&x-signature=dvvZjPW2Uz2JZsfmYr9quxyy5YM%3D

实验目的:总部与两个分支机构之间的业务数据需要加密通信,在两个分支机构与总部之间建立IPsec-VPN。

在配置ipsec-VPN之前,首先需要验证R3、R4和R2之间的公网通信。这里很容易使用静态路由为R3、R4和R2打开路径。在R3、R4、R2上设置默认路由,并执行以下命令:

ip Route-static 0.0.0.0 0.0.0.0 202.10.10.1 //R3ip Route-static 0.0.0.0 0.0.0.0 202.10.30.1 //R2ip Route-static 0.0.0.0 0.0.0.0 202.10.20.1 //R4分支1设置IPsec -VPN

1. 定义与您需要保护的数据流相匹配的访问控制列表。

ACL 编号3000 规则5 允许IP 源192.168.1.0 0.0.0.255 目标192.168.3.0 0.0.0.255

2. 创建安全提案并选择安全协议

ipsec 提议ipsec esp 认证算法sha1 esp 加密算法aes-1283 创建IKE 提议并选择aes-cbc-128 加密算法。

ike提议1加密算法aes-cbc-128 dh group54,配置IKE对等体

ike对等点1 v1交换模式激进预共享密钥简单sbt123456 ike-proposal 1远程地址202.10.30.25,创建ip-sec安全策略

ipsec policy p1 1 isakmp security acl 3000 ike-peerpeer1 suggest ipsec6 在公网接口g0/0/1上调用ipsec-policy。

Interface GigabitEthernet0/0/1 ip address 202.10.10.3 255.255.255.0 ipsec policy p1 分支2的配置与分支1的配置基本相同,这里不再贴出配置脚本。

在总部配置IPsec-VPN

配置总部IPsec安全方案和安全策略。总部配置过程中不能指定对等体,也不能创建访问控制列表。否则,可能会发生冲突。必须同时关联ipsec策略和模板,即ipsec-policy-template模板和ipsec-profile。你的总部组织结构非常重要,必须谨慎行事。

9b1aac4ad975491ea70d7b3c2b3c9f2b~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769623&x-signature=18JJ%2B8wDop%2BlJYxIsIsoOdFBMLk%3D

调用总部公网接口g0/0/0上的策略。

接口GigabitEthernet0/0/0 IP 地址202.10.30.2 255.255.255.0 ipsec 策略p2 验证结果

使用分支机构私网用户访问总部私网用户,检查数据是否加密,检查封装,测试是否可以通信

7a03214807d2414bb8c8e39899bfd838~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769623&x-signature=1mQqnSNoa0nOQ%2FwRkOa9nXQkC5w%3D

捕获和观察数据包

110841a6305e47fdb951dc34ae6017b4~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717769623&x-signature=tUJv1Yrc1S0urc43IoTMP9fICp0%3D

new ip+esp+私网ip+data 这里看不到私网数据和私网IP地址,因为数据是加密的。

如果您的朋友想要获取详细的配置文件和拓扑,请关注、转发、私信回复“VPN”即可获取。

原创文章,作者:小条,如若转载,请注明出处:https://www.sudun.com/ask/83308.html

Like (0)
小条的头像小条
Previous 2024年5月31日 下午10:13
Next 2024年5月31日 下午10:14

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注