一、VPN
在兩個或多個私人網絡之間通過 INTERNET 傳輸數據。這裡要考慮數據的機密性和完整性,以及驗證用戶身份。他是通過公共網絡來傳輸私人數據。
1、用 VPN 的好處:費用低廉,更高的靈活性,簡單的控制管理,以及有通道的拓撲
2、VPN 的網絡主要包括:虛擬的網絡和私有的網絡。
虛擬主要是採用通道化的技術。而私有主要是採用加密的方法。
隧道技術:一個隧道就是一個點到點的連接。
隧道內可以承載多種不同的協議。比如 IP 或者 IPX 協議。
加密傳輸的數據。VPN 有點到點的。點到多點的。移動用戶到路由器。
CISCO VPN 有一個完整的系統,解決方案。
VPN 的類型:按照遠程介入有:客戶初始化的也有 NETWORK ACCESS SERVER 初始化的。
按照站點到站點分有內部的和外部的。
加密:可以在多層加密。
應用層(SSH),傳輸層(SSL),網絡層(IPSEC)。鏈路層。(主要介紹 IPSEC)
隧道協議:網絡層:IPSEC。GRE。L2F。L2TP(RFC2661)。PPTP(主要介紹網絡層)
L2TP 是一個層 2 的隧道協議,是是 L2F 和 PPTP 的結合。
GRE 是一個通用的路由的封裝,不支持加密,只是構成一個隧道而已,可以和另外一些加密結合使用
IPSEC 構建一個加密的 IP 安全。
選擇 3 層的 VPN 的隧道協議。
如果僅僅之後 IP 流量和單波就使用 IPSEC
如果有多中協議和廣(多)播就使用 GRE 或者 L2TP。
二、認證加密
密鑰的管理:人工參與,安全 KEY 交換算法 IKE,CA 公共 KEY 交換(證書)。
加密:對稱式的加密(DES,3DES。AES。)和非對稱式加密(RSA),分公鑰和私鑰。
驗證:MAC、HMAC
HASH 哈西算法:(SHA、MD5)
對稱加密:加解密鑰是一樣的。
非對稱加密:有共鑰和私鑰。加密用共鑰,解密用私鑰。保證了在傳輸過程中的口令的安全性,
HASHING 算法:
可以保證數據在傳輸工程中的數據的完整性,但是他不保證加密性。本地的要發送的信息和共享的 KEY 經過 HASHING 算出一個值再傳輸給遠方。如果中間人要修改數據。那麼 HASHING 的值會發生變化,這樣對方就知道了數據被人改了。
三 IPSec VPN配置
路由器A和B之間運行IPSecVPN:
1、RouterA#show running-config
crypto isakmp policy 10
hash md5
authentication per-share
crypto isakmp key nichole address 10.1.2.1
!
!
!
crypto ipsec transform-set nichole esp-des
!
crypto map nichole 20 ipsec-isakmp
set peer 10.1.2.1
set transform-set nichole
match address 101
!
interface ethernet 0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 100 in
crypto map nichole
no shutdown
!
interface ethernet 0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
!
access-list 100 permit ahp host 10.1.2.1 host 10.1.1.1
access-list 100 permit esp host 10.1.2.1 host 10.1.1.1
access-list 100 permit udp host 10.1.2.1 host 10.1.1.1 eq 500 或(isakmp)
access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip any any
!
2、RouterB#show running-config
crypto isakmp policy 10
hash md5
authentication per-share
crypto isakmp key nichole address 10.1.1.1
!
!
!
crypto ipsec transform-set nichole esp-des
!
crypto map nichole 20 ipsec-isakmp
set peer 10.1.2.1
set transform-set nichole
match address 101
!
interface ethernet 0/0
ip address 10.1.2.1 255.255.255.0
ip access-group 100 in
crypto map nichole
no shutdown
!
interface ethernet 0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
!
access-list 100 permit ahp host 10.1.1.1 host 10.1.2.1
access-list 100 permit esp host 10.1.1.1 host 10.1.2.1
access-list 100 permit udp host 10.1.1.1 host 10.1.2.1 eq 500 或(isakmp)
access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip any any
!
return
以下是華為數通路由交換方向完整技術分享,歡迎對華為網絡技術感興趣的小夥伴們訂閱。【可在專欄中進行查看訂閱】
閱讀更多 專注分享網絡技術 的文章