VPN!--特殊的传送门
IPSec原理说明:
IPSec是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。
IPSec是一个框架性架构,具体由两类协议组成:
1、AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
2、ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
IPSec VPN的应用场景分为3种:
1、Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
2、End-to-End(端到端或者PC到PC): 两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。
3、End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
VPN协议分类:
二层隧道协议:pptp l2tp l2f ;属于用户vpn【单机----网络】
三层隧道协议:gre ipsec;属于企业网vpn【网络----网络】
VPN的优势:
1、费用低,能够节省30%到70%的开销;
2、安全性高,能实现加密通信;
3、简化网络设计;
4、容易扩展;
5、支持新兴应用
VPN的缺点:
1、转发延迟比较大;
2、硬件vpn成本高
配置访问控制列表的目的:
1、用于挑选符合某一特征的数据流;
2、来确定什么样的ip用户来通过隧道;
3、需要使用扩展的ACL ;
报文封装形式有什么?
1、传输方式;无隧道服务器,单机----单机;
2、隧道方式;至少有一个隧道服务器;
本端与对端是什么?
安全隧道是建立在本端和对端网关之间,所以必须正确设置本端地址和对端地址才能成功地建立起一条安全隧道。手工创建的安全策略只能具备一个对端地址,若已经指定了对端地址,必须要先删除原先的地址后才能指定新的对端地址。双方只有在正确指定了本端与对端地址后,才能够创建安全隧道。
案例1:
案例说明:
在总部路由器R1和分支结构1路由器R2之间和总部路由器R1和分支结构2路由器R3之间各建立一个安全隧道;
实现 PC1代表的子网(192.168.1.x)与PC2代表的子网(192.168.2.x)之间VPN通信;
实现 PC1代表的子网(192.168.1.x)与PC3代表的子网(192.168.3.x)之间VPN通信;
安全协议采用 ESP 协议,加密算法采用 DES,认证算法采用 sha1-hmac-96,协商方式采用手工方式;