企業(yè)VPN應(yīng)用場景
- 場景介紹:如圖為一企業(yè)vpn應(yīng)用場景,總部出口為一臺(tái)AD交付設(shè)備,分支結(jié)構(gòu)出口為一臺(tái)AC(上網(wǎng)行為管理設(shè)備),現(xiàn)用一數(shù)據(jù)包分析分支PC2訪問HTTP服務(wù)器,數(shù)據(jù)包的走向及數(shù)據(jù)包地址的變換,看懂了這個(gè)VPN工作流程就弄明白了。
- 發(fā)包過程------PC2發(fā)出數(shù)據(jù)包1-1sip:172.172.10.10,dip:172.172.3.100,sport:50000,dport:80,protocol:tcp,data:數(shù)據(jù);默認(rèn)情況下次數(shù)據(jù)包會(huì)直接發(fā)送到AC設(shè)備,AC沒有去往172.172.3.100的路由,AC此時(shí)將不知道將數(shù)據(jù)包發(fā)往何處。由于總部和分支要走VPN,所以應(yīng)該在AC中添加去往172.172.3.100的路由,下一跳轉(zhuǎn)發(fā)給VPN即172.172.10.3.此時(shí)數(shù)據(jù)包1-1將被轉(zhuǎn)發(fā)給VPN。
- vpn設(shè)備將數(shù)據(jù)包1-1封裝,變成數(shù)據(jù)包1-2,sip:172.172.10.3,dip:202.96.137.88,sport:40000,dport:4009,protocol:tcp,data:加密的原始數(shù)據(jù)包;封裝的數(shù)據(jù)包1-2中的目標(biāo)ip和端口,是分支vpn和總部vpn協(xié)商的參數(shù),走vpn的流就會(huì)按此形式封裝。
- 數(shù)據(jù)包1-2由vpn設(shè)備發(fā)送到AC,數(shù)據(jù)包經(jīng)過AC,源地址會(huì)再次改變,變成數(shù)據(jù)包1-3,sip:202.96.139.99,dip:202.96.137.88,sport:40000,dport:4009,protocol:tcp,data:加密的原始數(shù)據(jù)包。此時(shí)數(shù)據(jù)包通過公網(wǎng)傳送至總部AD設(shè)備出口處。
- AD上4009端口,為總部vpn映射的端口,此時(shí)數(shù)據(jù)包1-3會(huì)被轉(zhuǎn)換為數(shù)據(jù)包1-4,sip:202.96.139.99,dip:172.172.2.200,sport:40000,dport:4009,protocol:tcp,data:加密的原始數(shù)據(jù)包。并將數(shù)據(jù)包1-4轉(zhuǎn)發(fā)到vpn設(shè)備。
- vpn收到數(shù)據(jù)包1-4后,對(duì)其進(jìn)行解封裝,得到原來的數(shù)據(jù)包1-1,sip:172.172.10.10,dip:172.172.3.100,sport:50000,dport:80,protocol:tcp,data:數(shù)據(jù);vpn根據(jù)數(shù)據(jù)包1-1地址轉(zhuǎn)發(fā)給相應(yīng)設(shè)備即HTTP服務(wù)器,至此數(shù)據(jù)包發(fā)送成功。
- 回包過程-------服務(wù)器發(fā)出數(shù)據(jù)包2-1sip:172.172.3.100,dip:172.172.10.10,sport:80,dport:50000,protocol:tcp,data:數(shù)據(jù);服務(wù)器將數(shù)據(jù)包發(fā)送至防火墻,默認(rèn)情況下防火墻不會(huì)把數(shù)據(jù)包發(fā)送給VPN,所以在防火墻添加去往172.172.10.0網(wǎng)段的路由,下一跳為172.172.2.200,此時(shí)數(shù)據(jù)包2-1轉(zhuǎn)發(fā)到vpn設(shè)備。
- vpn收到數(shù)據(jù)包2-1后將其進(jìn)行封裝成數(shù)據(jù)包2-2,sip:172.172.2.200,dip:202.96.139.99,sport:4009,dport:40000,protocol:tcp,data:加密的原始數(shù)據(jù)包;并將數(shù)據(jù)包2-2發(fā)送到總部出口設(shè)備,數(shù)據(jù)包2-2經(jīng)過出口設(shè)備后,源地址會(huì)改變,變?yōu)?strong>數(shù)據(jù)包2-3,sip:202.96.137.88,dip:202.96.139.99,sport:4009,dport:40000,protocol:tcp,data:加密的原始數(shù)據(jù)包;數(shù)據(jù)包2-3從公網(wǎng)傳送到分支出口設(shè)備AC。
- AC根據(jù)內(nèi)部地址轉(zhuǎn)換表,將數(shù)據(jù)包2-3轉(zhuǎn)換成數(shù)據(jù)包2-4,sip:202.96.137.88,dip:172.172.10.3,sport:4009,dport:40000,protocol:tcp,data:加密的原始數(shù)據(jù)包;轉(zhuǎn)發(fā)給vpn設(shè)備。
- VPN對(duì)數(shù)據(jù)包2-4進(jìn)行解封裝,得到數(shù)據(jù)包2-1,ip:172.172.3.100,dip:172.172.10.10,sport:80,dport:50000,protocol:tcp,data:數(shù)據(jù);到此回包成功。
- 總結(jié):VPN成功的關(guān)鍵之處,處于內(nèi)網(wǎng)的VPN設(shè)備,應(yīng)做端口映射;與終端相連的三層設(shè)備,默認(rèn)不會(huì)把數(shù)據(jù)轉(zhuǎn)發(fā)給VPN設(shè)備,一定要做引流到VPN設(shè)備。
