VPN即VirtualPrivateNetwork(虛擬專用網絡)。VPN被定義為通過一個公用互聯網絡建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定隧道,使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的,廣泛使用企業辦公當中。由于VPN是在Internet上臨時建立的安全專用虛擬網絡,用戶可以節省租用專線的費用。
按VPN的協議分類:VPN的隧道協議主要有三種,PPTP,L2TP和IPSec,其中PPTP和L2TP協議工作在OSI模型的第二層,又稱為二層隧道協議;IPSec是第三層隧道協議,也是最常見的協議。L2TP和IPSec配合使用是目前性能最好,應用最廣泛的一種。今天給小伙伴們帶來ipsecvpn的技術原理及配置案例解析。
IPSec(IPSecurity)協議族是IETF制定的一系列協議,它為IP數據報提供了高質量的、可互操作的、基于密碼學的安全性。特定的通信方之間在IP層通過加密與數據源驗證等方式,來保證數據報在網絡上傳輸時的私有性、完整性、真實性。
IPSec(IPSecurity)是網絡安全協議的一個工業標準,IPSec主要功能是為IP通信提供加密和認證,為IP網絡通信提供透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,可以有效抵御網絡攻擊,同時保持易用性。
IPSec協議是一組協議,它既可以作為一個完整的VPN方案,也可以與其他協議配合使用,如PPTP、L2TP。它工作在OSI第3層(網絡層),可以為上層應用提供一個安全的網絡連接,提供基于一種端-對-端的安全模式。
(1)AH協議(AuthenticationHeader)
AH協議為IP通信提供數據源認證和數據完整性檢驗,它能保護通信免受篡改,但并不加密傳輸內容,不能防止竊聽。AH聯合數據完整性保護并在發送接收端使用共享密鑰來保證身份的真實性;使用HASH算法在每一個數據包上添加一個身份驗證報頭來實現數據完整性檢驗。需要預約好收發兩端的HASH算法和共享密鑰。
(2)ESP協議(EncapsulatingSecurity Payload)
ESP主要區別于AH協議的是它的數據安全性保證,它使用預約好的加密算法和密鑰對IP包進行加密,防止竊聽。它也提供AH類似的數據源認證和數據完整性檢驗。AH協議與ESP協議可以聯合使用,也可以多帶帶使用。
(3)Internet密鑰交換協議IKE(InternetKey Exchange)
無論實現AH或ESP還是兩者的聯合,收發端兩臺計算機必須首先建立某種約定,這種約定,稱為:“安全關聯”,指雙方需要就如何保護信息、交換信息等公用的安全設置達成一致,更重要的是,必須有一種方法,使那兩臺計算機安全地交換一套密鑰,以便在它們的連接中使用。
IKE協議主要是對密鑰交換進行管理,主要包括對使用的協議、加密算法和密鑰進行協商;建立可靠的密鑰交換機制。IKE是一個混合協議,它使用到了三個不同協議的相關部分:安全關聯和密鑰交換協議ISAKMP,密鑰確定協議Oakley和SKEME。
隧道模式與傳輸模式下AH和ESP協議下報文封裝后的結構
1、首先配置感興趣流,利用ACL配置源、目的地址數據流向。
可以看到ACL3003已經沒有匹配,說明已經沒有業務流量了。
2、配置IKE安全策略所引用的安全提議,加密算法采用aes-cbc-128
3、配置IKE安全密鑰,密鑰交換ip為對端公網ip,key值兩端需完全一致。
4、配置IKEprofile,由于兩邊設備型號不一樣,選擇野蠻模式兼容性更好,本地匹配localaddress如果是做了nat則配置為nat映射的外網地址,本案例localaddress采用了nat映射,remoteaddress配置為對端外網ip即可。
5、配置ipsec安全提議及esp加密算法。
6、配置ipsecIKE協商方式安全策略,acl為前面配置的感興趣流中相關業務ip的數據流向,并采用上面配置的IKEprofile。
7、最后在設備接口上啟用ipsec安全策略。
至此IPSECVPN配置完成。
8、驗證
驗證主要分為兩個階段:
1階段:當配置完成ipsecIKE協商方式,兩端公網ip會建立起ipsec隧道,利用命令displayipsec sa可以查看,隧道建立是否成功,相關配置如下所示:
從圖中可以看出已經成功生成了兩條ipsecsa,連接ID為545、546,remote為對端公網ip,此時1階段ipsec隧道已經建立成功。
2階段:當全部配置完成后可以進行2階段驗證,此階段驗證是否產生ikesa,利用命令displayike sa可查看ike相關信息。
從上圖可以看出已經成功生成ikesa,從圖中可以看到相關業務ip流向、本段遠端ip地址、加密算法等相關信息,表示ipsecvpn已經建立成功。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/130172.html
摘要:通過服務,用戶可將本地數據中心企業分支機構與私有云平臺的私有網絡通過加密通道進行連接,也可將用于不同之間的加密連接。標準建立的方式有手工配置和自動協商兩種,私有云平臺網關服務使用協議來建立。本端標識網關的標識,用于第一階段協商。4.8.1 背景用戶在使用云平臺部署并管理應用服務時,會有部分業務部署于 IDC 數據中心環境的內網或第三方公/私有云平臺上,如 Web 服務部署于公有云平臺,應用和...
摘要:產品簡介網關服務,提供可容災的高可用服務,需要配合用戶在的用戶的本地網關及公網服務三者共同使用。隧道是建立在公網中的,網絡質量受公網影響。客戶網關代表客戶在本地網絡中的網關,在控制臺上需要客戶設置客戶網關的,名稱等信息。產品簡介VPN網關服務,提供可容災的高可用VPN服務,需要配合用戶在UCloud的VPC、用戶的本地網關及公網服務三者共同使用。用戶可選用多種加密及認證算法,保證隧道的可靠性...
摘要:使用指南創建網關創建網關時,您需要填寫的內容主要分兩部分網關信息與設置。支持的可配項如下配置項支持類型與描述加密算法配置協商過程中使用的報文加密算法,支持和四種加密算法,默認為。本端網段是指您在創建時,在下創建的子網。使用指南創建VPN網關創建VPN網關時,您需要填寫的內容主要分兩部分:網關信息與IP設置。網關信息中,除了網關名稱,備注,業務組等基本信息,還需要選擇此網關所在的VPC網絡,V...
摘要:網關快速上手創建網關進入網關頁面后,可點擊創建網關按鈕進行網關的創建。依次填寫客戶網關名稱,與備注信息等,創建客戶網關。創建隧道進入創建隧道頁面后,填寫隧道的基本配置完成基本配置后,填寫配置最后填寫配置,完成創建。VPN網關 IPSecVPN快速上手Step 1 創建VPN網關進入VPN網關頁面后,可點擊創建網關按鈕進行VPN網關的創建。進入創建VPN網關頁面后,依次填寫信息,選擇付費模式,...
閱讀 1346·2023-01-11 13:20
閱讀 1684·2023-01-11 13:20
閱讀 1132·2023-01-11 13:20
閱讀 1858·2023-01-11 13:20
閱讀 4100·2023-01-11 13:20
閱讀 2704·2023-01-11 13:20
閱讀 1385·2023-01-11 13:20
閱讀 3597·2023-01-11 13:20