×××的简介
×××(Virtual Private Network,虚拟私有网)是近年来随着Internet 的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。“虚拟”主要
指这种网络是一种逻辑上的网络。
1. ×××的特点
×××有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。×××只为特定的企业或用户群体所专用。从×××用户角度看来,使用×××与传统专网没有区别。×××作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,×××资源不会被承载网络中的其它×××或非该×××用户的网络成员所使用;另一方面,×××提供足够安全性,确保 ×××内部信息不受外部的侵扰。
×××不是一种简单的高层业务。该业务建立专网用户之间的网络互联,包括建立×××内部的网络拓扑、路由计算、成员的加入与退出等,因此×××技术就比各种普通的点对点的应用机制要复杂得多。
2. ×××的优势
在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。
利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利用率,有助于增加ISP (Internet Service Provider ,Internet 服务提供商)的收益。只需要通过软件配置就可以增加、删除×××用户,无需改动硬件设施。这使
得×××的应用具有很大灵活性。
3.×××的分类
1. 按运营模式划分
2. 按隧道所属的层次划分
(1) 第二层隧道协议 pptp l2F L2TP
(2) 第三层隧道协议
现有的第三层隧道协议主要有:
GRE(Generic Routing Encapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。
IPSec (IP Security )协议:IPSec 协议不是一个单独的协议,它给出了 IP 网络上数据安全的一整套体系结构。包括AH(Authentication Header)、ESP
(Encapsulating Security Payload )、IKE (Internet Key Exchange )等协议。
GRE和IPSec 主要用于实现专线 ×××业务。
说明:第二、三层隧道协议之间的异同
第三层隧道与第二层隧道相比,优势在于它的安全性、可扩展性与可靠性。从安全
性的角度看,由于第二层隧道一般终止在用户侧设备上,对用户网的安全及防火墙
技术提出十分严峻的挑战;而第三层隧道一般终止在ISP 网关上,因此不会对用户
网的安全构成威胁。
从扩展性的角度看,第二层IP 隧道内封装了整个 PPP帧,这可能产生传输效率问
题。其次,PPP会话贯穿整个隧道并终止在用户侧设备上,导致用户侧网关必须要
保存大量PPP 会话状态与信息,这将对系统负荷产生较大的影响,也会影响到系统
的扩展性。此外,由于PPP的LCP 及NCP协商都对时间非常敏感,这样IP 隧道
的效率会造成PPP 对话超时等等一系列问题。相反,第三层隧道终止在ISP 的网关
内,PPP会话终止在 NAS处,用户侧网关无需管理和维护每个 PPP 对话的状态,
从而减轻了系统负荷。
一般地,第二层隧道协议和第三层隧道协议都是独立使用的,如果合理地将这两层
协议结合起来使用,将可能为用户提供更好的安全性(如将L2TP 和IPSec 协议配
合使用)和更佳的性能。
3. 按业务用途划分
(1) Intranet ×××(企业内部虚拟专网)
(2) Access ××× (远程访问虚拟专网)
(3) Extranet ××× (扩展的企业内部虚拟专网)
4. 按组网模型划分
(1) 虚拟租用线(VLL )
(2) 虚拟专用拨号网络(VPDN )
(3) 虚拟专用LAN 网段(VPLS)业务
(4) 虚拟专用路由网(VPRN )业务
ipsec的简介
IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。
◆IPsec提供的安全服务
机密性:DES、3DES、AES
完整性:MD5 HMAC 、SHA HMAC (HMAC:散列算法)
源认证:带外域共享密钥、域共享非对称加密、数字证书(CA)
防重放:AH、ESP 网络层的加密协议
◆IPsec隧道模式和传输模式的区别:
1.隧道模式中,整个IP数据包被用来计算附加包头,且被加密,附加包头和被加密的数据被封装在一个新的IP数据中。在传输模式中只是传输层(如TCP、UDP、ICMP)数据被用来计算附加包头,附加包头和加密的数据被放置在原IP报头后面。
2.传输模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。而在隧道模式中,真正的IP源地址和目的地址都可以被隐藏为因特网发送的普通数据。
◆AH协议
一个用于提供用户数据完整性和认证的机制,通过在整个IP数据包中实施一个散列计算来提供完整性和认证服务。
在隧道模式中,AH报头被插入在原始的包头和新包头之间
◆ESP协议
封装安全载荷(Encapsulating Security Payload)协议通过加密算法提供了身份验证和数据机密性。
最主要的ESP标准是数据加密标准(DES),最高支持56位密钥。3DES使用三倍密钥加密,相当于使用最高到168位的密钥。AES支持128、 192 、256位密钥长度,是IPsec×××中最常使用的加密算法,也是对称加密中最安全的算法。
◆安全联盟SA
在IPsec中使用AH和ESP时,协议将与一组安全信息和服务发生关联,称为安全联盟
SA定义了各种类型的安全措施,这些安全措施的内容包含了IP包加密解密和认证的相关信息。具体为:提供的服务、算法、密钥。
可以通过手动配置,也可以通过密钥管理协议自动协商。
◆Internet密钥交换IKE
IKE基于Internet安全联盟和密钥管理协议(ISAKAMP)定义的框架。
IKE在隧道建立过程中将完成以下任务:
协商协议参数
交换公共密钥
对双方进行认证
在交换后对密钥进行管理
案例一
拓扑图:
需求分析:
通过建立ipsec的隧道,实现北京总部和上海分公司以及郑州分公司的内网的互相访问,并对传输的数据进行加密,保证通信的安全性。
实验步骤
一:北京总部的配置
F1
[F1]dis cu
ike local-name f1
#
firewall packet-filter enable 开启包过滤的功能
firewall packet-filter default permit 默认的为允许
#
ike peer peer1 指定peer的 对等体
exchange-mode aggressive 配置ipsec 为野蛮模式
pre-shared-key 123456 配置预共享的密钥
id-type name 配置为名字的方式
remote-name f2
#
ike peer peer2指定peer的 对等体
exchange-mode aggressive配置ipsec 为野蛮模式
pre-shared-key 654321 配置预共享的密
id-type name配置为名字的方式
remote-name f3
#
ipsec proposal tran1 安全提议tran1
#
ipsec proposal tran2 安全提议tran2
#
ipsec policy policy1 10 isakmp 安全策略
security acl 3000 引用acl规则
ike-peer peer1 指定ike的对等体
proposal tran1引用协商
#
ipsec policy policy1 20 isakmp安全策略
security acl 3001引用acl规则
ike-peer peer2指定ike的对等体
proposal tran2引用协商
#
acl number 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 1 deny ip
acl number 3001
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 1 deny ip
#
interface Ethernet0/0
ip address 192.168.1.254 255.255.255.0
#
interface Ethernet0/3
ip address 202.196.10.100 255.255.255.0
ipsec policy policy1 在接口上应用相应的规则
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/3
add interface Ethernet0/4
set priority 85
ip route-static 0.0.0.0 0.0.0.0 202.196.10.1 preference 60 默认的路由
[F1]dis ipsec proposal 查看安全提议
IPsec proposal name: tran2
encapsulation mode: tunnel
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption des
IPsec proposal name: tran1
encapsulation mode: tunnel
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption des
[F1]dis ipsec tunnel 查看隧道的信息
------------------------------------------------
Connection ID : 3
Perfect forward secrecy: None
SA's SPI :
Inbound : 855708328 (0x330112a8) [ESP]
Outbound : 3269242184 (0xc2dcad48) [ESP]
Tunnel :
Local Address: 202.196.10.100 Remote Address : 202.196.20.2
Flow : (26 times matched)
Sour Addr : 192.168.1.0/255.255.255.0 Port: 0 Protocol : IP
Dest Addr : 192.168.2.0/255.255.255.0 Port: 0 Protocol : IP
------------------------------------------------
Connection ID : 4
Perfect forward secrecy: None
SA's SPI :
Inbound : 796132552 (0x2f7404c8) [ESP]
Outbound : 2229133607 (0x84dde127) [ESP]
Tunnel :
Local Address: 202.196.10.100 Remote Address : 202.196.30.2
Flow : (22 times matched)
Sour Addr : 192.168.1.0/255.255.255.0 Port: 0 Protocol : IP
Dest Addr : 192.168.3.0/255.255.255.0 Port: 0 Protocol : IP
##################################
二:上海分公司的配置
FR2
[F2]dis cu
#
sysname F2
#
ike local-name f2
#
firewall packet-filter enable
firewall packet-filter default permit
#
domain system
#
ike peer peer1
exchange-mode aggressive
pre-shared-key 123456
id-type name
remote-name f1
remote-address 202.196.10.100 需要指定远程的ip地址
#
ipsec proposal tran1
#
ipsec policy policy1 10 isakmp
security acl 3000
ike-peer peer1
proposal tran1
#
acl number 3000
rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 deny ip
#
interface Ethernet0/0
ip address 192.168.2.254 255.255.255.0
#
interface Ethernet0/3
ip address dhcp-alloc
ipsec policy policy1
#
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/3
add interface Ethernet0/4
set priority 85
ip route-static 0.0.0.0 0.0.0.0 202.196.20.1 preference 60
[F2] dis ip
[F2] dis ipsec proposal
IPsec安全提议名称: tran1
封装模式: 隧道模式
转换方式: esp-new
ESP协议: 验证 md5-hmac-96, des算法加密
[F2] dis ipsec policy
===========================================
安全策略组: "policy1"
接口: {Ethernet0/3}
===========================================
-----------------------------
安全策略库: "policy1"
序列号: 10
模式: isakmp
-----------------------------
保护的数据流: 3000
数据流保护方式: 标准
IKE网关: peer1
完善的前向安全性(PFS) : None
安全提议名称: tran1
安全联盟的生存周期: 3600 秒
安全联盟的生存周期: 1843200 千字节
[F2] dis ipsec tunnel
------------------------------------------------
Ipsec 隧道的连接号 : 3
前向安全特性: None
SA的SPI :
入方向 : 3269242184 (0xc2dcad48) [ESP]
出方向 : 855708328 (0x330112a8) [ESP]
隧道 :
本地地址: 202.196.20.2 对端地址 : 202.196.10.100
传输流 : (匹配了22次)
源端地址: 192.168.2.0/255.255.255.0 源端端口号: 0 协议: IP
目的地址: 192.168.1.0/255.255.255.0 目的端口号: 0 协议: IP
[F2]
三:郑州分公司的配置
Fr3
[F3]dis cu
#
sysname F3
#
ike local-name f3
#
firewall packet-filter enable
firewall packet-filter default permit
#
ike peer peer2
exchange-mode aggressive
pre-shared-key 654321
id-type name
remote-name f1
remote-address 202.196.10.100 需要指定远端的ip地址
#
ipsec proposal tran2
#
ipsec policy policy1 20 isakmp
security acl 3001
ike-peer peer2
proposal tran2
#
acl number 3001
rule 0 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 deny ip
interface Ethernet0/0
ip address 192.168.3.254 255.255.255.0
#
interface Ethernet0/3
ip address dhcp-alloc
ipsec policy policy1
#
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/3
add interface Ethernet0/4
set priority 85
#
ip route-static 0.0.0.0 0.0.0.0 202.196.30.1 preference 60
#
[F3]dis ipsec policy
===========================================
IPsec Policy Group: "policy1"
Using interface: {Ethernet0/3}
===========================================
-----------------------------
IPsec policy name: "policy1"
sequence number: 20
mode: isakmp
-----------------------------
security data flow : 3001
selector mode: standard
ike-peer name: peer2
perfect forward secrecy: None
proposal name: tran2
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
[F3]dis ipsec proposal
IPsec proposal name: tran2
encapsulation mode: tunnel
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption des
[F3]dis ipsec tunnel
------------------------------------------------
Connection ID : 3
Perfect forward secrecy: None
SA's SPI :
Inbound : 2229133607 (0x84dde127) [ESP]
Outbound : 796132552 (0x2f7404c8) [ESP]
Tunnel :
Local Address: 202.196.30.2 Remote Address : 202.196.10.100
Flow : (14 times matched)
Sour Addr : 192.168.3.0/255.255.255.0 Port: 0 Protocol : IP
Dest Addr : 192.168.1.0/255.255.255.0 Port: 0 Protocol : IP
[F3]dis ipsec tunnel
------------------------------------------------
Connection ID : 3
Perfect forward secrecy: None
SA's SPI :
Inbound : 2229133607 (0x84dde127) [ESP]
Outbound : 796132552 (0x2f7404c8) [ESP]
Tunnel :
Local Address: 202.196.30.2 Remote Address : 202.196.10.100
Flow : (14 times matched)
Sour Addr : 192.168.3.0/255.255.255.0 Port: 0 Protocol : IP
Dest Addr : 192.168.1.0/255.255.255.0 Port: 0 Protocol : IP
[F3]
四:网络中的3层SW的配置
[SW13]dis cu
sysname SW13
dhcp server ip-pool shanghai
network 202.196.20.0 mask 255.255.255.0
#
dhcp server ip-pool zhengzhou
network 202.196.30.0 mask 255.255.255.0
#
vlan 1
#
vlan 10
#
vlan 20
#
vlan 30
#
interface Vlan-interface1
ip address 192.168.100.33 255.255.255.0
#
interface Vlan-interface10
ip address 202.196.10.1 255.255.255.0
#
interface Vlan-interface20
ip address 202.196.20.1 255.255.255.0
#
interface Vlan-interface30
ip address 202.196.30.1 255.255.255.0
interface Ethernet0/6
port access vlan 10
interface Ethernet0/12
port access vlan 20
#
interface Ethernet0/18
port access vlan 30
#
i
#
dhcp server forbidden-ip 202.196.20.1
dhcp server forbidden-ip 202.196.30.1
#
[SW13]dis dhcp server ip-in-use all 查看dhcp服务器的状态
Global pool:
IP address Hardware address Lease expiration Type
202.196.20.2 3ce5-a67f-374b Mar 29 2012 18:31:43 PM Auto:COMMITTED
202.196.30.2 3ce5-a6ce-1895 Mar 29 2012 19:52:32 PM Auto:COMMITTED
五:测试:
北京到上海分公司
北京到郑州分公司
欢迎加入郑州阳仔的网络工程师自由交流群--132444800(请注明自己的身份,就说是51cto的博友)
