日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網為廣大站長提供免費收錄網站服務,提交前請做好本站友鏈:【 網站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

一文帶你了解IPsec VPN基本原理與配置流程,干貨值得收藏IPSec VPN的應用場景IPSec封裝模式拓撲圖

發布時間:2023-07-03 14:24:19 作者:網友整理

IPSec VPN是目前VPN技術中點擊率非常高的一種技術,同時提供VPN和信息加密兩項技術,今天就來介紹一下IPSec VPN的原理。

IPSec VPN的應用場景

一文帶你了解IPsec VPN基本原理與配置流程,干貨值得收藏

 

  1. Site-to-Site(站點到站點或者網關到網關):不同分支機構在互聯網的3個不同地方,各使用一個商務領航網關相互建立VPN隧道,企業內網(若干PC)之間的數據通過這些網關建立的IPSec隧道實現安全互聯。
  2. End-to-End(端到端或者PC到PC):兩個PC之間的通信由兩個PC之間的IPSec會話保護,而不是網關。
  3. End-to-Site(端到站點或者PC到網關):兩個PC之間的通信由網關和異地PC之間的IPSec進行保護。

IPSec是一個框架性架構,具體由兩類協議組成:

  1. AH協議(Authentication Header,使用較少):可以同時提供數據完整性確認、數據來源確認、防重放等安全特性;AH常用摘要算法(單向Hash函數)MD5和SHA1實現該特性。
  2. ESP協議(Encapsulated Security Payload,使用較廣):可以同時提供數據完整性確認、數據加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法實現數據加密,使用MD5或SHA1來實現數據完整性。

IPSec封裝模式

IPSec提供的兩種封裝模式(傳輸Transport模式和隧道Tunnel模式

一文帶你了解IPsec VPN基本原理與配置流程,干貨值得收藏

 

上圖是傳輸模式的封裝結構,再來對比一下隧道模式:

一文帶你了解IPsec VPN基本原理與配置流程,干貨值得收藏

 

可以發現傳輸模式和隧道模式的區別:

1. 傳輸模式在AH、ESP處理前后IP頭部保持不變,主要用于End-to-End的應用場景。

2. 隧道模式則在AH、ESP處理之后再封裝了一個外網IP頭,主要用于Site-to-Site的應用場景。

以下通過在華為AR系列路由器配置IPsec-vpn站點到多站點的案例,來熟悉一下IPsec-vpn的配置流程。

拓撲圖

一文帶你了解IPsec VPN基本原理與配置流程,干貨值得收藏

 

實驗目的:總部與兩個分部之間業務數據要求加密傳輸,在兩個分支機構與總部之間建立ipsec-vpn。

在配置ipsec-vpn之前先要確保R3、R4和R2之間的公網互通。這里簡單得使用靜態路由,把R3、R4和R2的路徑打通。分別在R3、R4和R2配置默認路由,執行如下命令

 

ip route-static 0.0.0.0 0.0.0.0 202.10.10.1 //R3
ip route-static 0.0.0.0 0.0.0.0 202.10.30.1 //R2
ip route-static 0.0.0.0 0.0.0.0 202.10.20.1 //R4

分支機構1配置IPsec-vpn

1、定義訪問控制列表,匹配需要保護的數據流

acl number 3000 
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

 

2、創建安全提議,并選取安全協議

ipsec proposal ipsec
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128

3、創建IKE提議,選擇aes-cbc-128加密算法

ike proposal 1
 encryption-algorithm aes-cbc-128
 dh group5

4、配置IKE對等體

ike peer peer1 v1
 exchange-mode aggressive
 pre-shared-key simple sbt123456
 ike-proposal 1
 remote-address 202.10.30.2

5、創建ip-sec安全策略

ipsec policy p1 1 isakmp
 security acl 3000
 ike-peer peer1
 proposal ipsec

6、在公網接口g0/0/1調用ipsec-policy

interface GigabitEthernet0/0/1
 ip address 202.10.10.3 255.255.255.0 
 ipsec policy p1

分支機構2配置和分支機構1的配置基本一樣,這里就不貼配置腳本了。

總部配置IPsec-vpn

配置總部的ipsec安全提議和安全策略,總部配置過程中不可以指定的對等體,不要做訪問控制列表,否則容易沖突。需要使用ipsec-policy-template 模板 和ipsec-profile 同時把ipsec policy 和模板關聯起來。總部機構的配置至關重要,一定要細心。

一文帶你了解IPsec VPN基本原理與配置流程,干貨值得收藏

 

在總部的公網接口g0/0/0調用策略

interface GigabitEthernet0/0/0
 ip address 202.10.30.2 255.255.255.0 
 ipsec policy p2

驗證結果

用分支機構私網用戶去訪問總部的私網用戶,測試數據是否加密,查看封裝,能否通訊

一文帶你了解IPsec VPN基本原理與配置流程,干貨值得收藏

 

抓包觀察

一文帶你了解IPsec VPN基本原理與配置流程,干貨值得收藏

 

通過抓包觀察數據已經加密 新ip+esp+私網ip+data,因為數據被加密所以在這里我們看不到私網的數據和私網的ip地址。

分享到:
標簽:VPN
用戶無頭像

網友整理

注冊時間:

網站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網站吧!
最新入駐小程序

數獨大挑戰2018-06-03

數獨一種數學游戲,玩家需要根據9

答題星2018-06-03

您可以通過答題星輕松地創建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學四六

運動步數有氧達人2018-06-03

記錄運動步數,積累氧氣值。還可偷

每日養生app2018-06-03

每日養生,天天健康

體育訓練成績評定2018-06-03

通用課目體育訓練成績評定