VPN理论很实用

VPN（隧道+安全）隧道技术：（tunnel）-在目标IP为私有IP的数据包外面封装公网IP,实现远程网络之间私有IP通信的技术--：在隧道中传递的数据至少有两个IP包头隧道协议：GRE;IPsec;SSL/TLS;PPTP;L2TP;协议分类：PPTPVPN;L2TPVPN;IPsecVPN;应用分类；远程访问VPN;SiteToSiteVPN;实现方式：VPN服务器；硬件VPN;集成VPN;GRE-:GenericRoutingEncapsulation通用路由封装---：在两个远程网络之间模拟出直连链路，从而使网络间达到直连的效果1，原始IP数据包包头的IP地址为私有IP地址2，将原始IP数据包封装进GRE协议，封装的包头IP地址为虚拟直连链路两端的IP地址3，将整个GRE数据包当做数据，在外层封装IP包头私有IP地址包头：SA:10.1.1.2DA:192.168.1.4GRE包头：SA:1.1.1.1DA:1.1.1.2真实的IP包头：SA:100.1.1.1DA:200.1.1.1GRETunnel:要求至少一端有固定IP地址；只支持路由器，不支持ASA和PIX;分三步；1，创建虚拟链路（隧道）接口，号码任意；2，配置GRE包头地址；3，定义隧道的源和目标，就是在公网中指导路由器转发数据包的公网IP地址GREKeepalive使得双方隧道接口状态保存一致：-隧道之间定期向对端发送Keepalive默认10S发送一个，一次发送三次Inttunnel1Keepalive53(每隔5秒发一次，连续发送3个包)一，加密--:DES密钥长度：64位3DES密钥长度：168位AES1.对称加密加密和解密都使用一个密钥如果密钥被盗取，则数据不安全A---BB把公钥给A，A用公钥加密=G--B再用公钥解密2.非对称加密--:DH(Diffie-Hellman)RSADSA对公钥进行加密，用私钥进行解密；公钥对外公开私钥仅自己拥有公钥和私钥成对使用A--BB把公钥给A，A用公钥加密=G--B再用私有解密公钥速度快，但不安全，私钥安全，但是速度慢----解决办法：用对称加密数据，用非对称加密密钥！！！二，HMAC--:数据完整性，实现数据报文（身份）验证Hash-BaseMessageAuthenticationCodes散列消息验证码——Hash的一个子集！！A—BA在发送加密的数据G之前进行Hash得到一个数字签名--一起发送给BB也是一样进行Hash也得到一个数字签名与A的进行比较（一致的华就可以）特点；固定大小：MD5--128bitSHA-1--160bit雪崩效应：数据微小改动，结果巨大变化单向计算：无法逆向运算冲突避免：几乎找不到一个数据与当期数据计算的数字签名相同三，Ipsec(IPSecurity):保证数据安全，让数据加密传输--定义了一些方法和策略，不是一个协议作用：数据源认证-保证数据是真正的发送者发过来的，不会被伪造保护数据完整性-不被攻击者改动保证数据私密性别人得到了看不懂，只有接受者才能看懂；防止中间人攻击-被第三放修改，截获防止数据被重放;为IPSec服务的协议IKE(InternetKeyExchange)-互联网密钥交换协议主要是对密钥进行保护，并不保护实际的数据IKE会在VPN对等体之间采用认证机制认证方式：预共享密钥（Pre-Share-Keys）PKI证书(PublicKeyInfrastructure)RSAencryptednonceESP（EncapsulatingSecurityProtocol）-封装安全协议--数据AH(AuthenticationHeader)-认证头-数据密钥算法：使用DH算法在VPN对等体之间建立安全的密钥用来加密数据Group1:--密钥的长度：768bitGroup2:-密钥长度为：1024bitGroup5:-密钥长度为：1536bit四，SA(安全会话)-SecurityAssociationIPsec的所有会话都是在SA通道中传输的，包括协商密钥，传递用户数据SA是一组规则，是需要会话的对等体之间必须遵守的一份合同SA中的规则能够保证所有数据的安全传递密钥安全--IKE负责-ISAKMPSecurityAssociation(IKESA)-lifetime:默认为一天，没有流量限制数据安全-IPSec负责-IPsecSecurityAssociation(IPsecSA)Lifetime:默认时间为一小时，流量为4.608G每个SA都有lifetime(生存时间)，使用时间或者流量来衡量由于SA有两个，所有IKE的整个过程也分为两个阶段ISAKMP/IKE阶段1：--协商采用何种方式建立管理连接--对等体A-B之间协商（签一份合同）（1）加密算法：3DES,AES（2）HMAC：MD5，SHA-1（3）验证类型：预共享密钥，PKI证书（4）DH密钥组：Group1,Group2,Group5（5）管理连接的生存时间:默认时间，或者自行更改通过DH算法共享密钥信息（6）使用非对称加密算法加密密钥对等体彼此进行身份验证-A--B之间彼此合法（安全）（7）使用密钥加密用户身份信息（8）使用密钥和用户信息通过HASH算法计算数字签名（9）对方比对数字签名确认身份ISAKMP/IKE阶段2：-保护数据（1）定义A--B之间需要保护何种流量-扩展ACL（2）定义用来保护数据的安全协议AH:ah-md5-hmac；ESP验证:esp-md5-hmac;ESP加密:esp-nullesp-aes128ah-sha-hmac;esp-sha-hmac;esp-desesp-aes192esp-aesesp-aes256(3)定义传输模式：tunnelmode;Transportmode;Transportmode;封装模式简单，传输效率高；IP包头未被保护；-只封装有效载荷不适合在Internet使用；lan网使用Tunnelmode;IP包头被保护(4)定义数据连接的生存周期及密钥刷新的方式NAT-T(nat穿越)VPN+NAT（VPN；上网；）路由器开启，ASA没开启；IPsecVPN的连接端口号；管理连接：UDP500;数据连接：UDP4500;R:ipnatinsidesourcestaticlocal_ip500intf0/1500Ipnatinsidesourcestaticlocal_ip4500intf0/14500Easy-vpnAAA定义：Authentication:认证-对用户的合法性进行验证，包括用户名，密码Authorization：授权-当用户验证后，为用户制定相应权限Accounting:统计-在用户验证，授权成功后，记录用户的操作信息，以便于记账，审计和报告AAA服务使用的协议RADIUS(远程验证拨入用户服务)-基于UDP协议；是一个全开放的标准协议厂商或用户可以灵活修改RADIUS，只加密用户名和密码,。端口号：1812/1813认证和授权---1812;统计---1813TACACS+（终端访问控制器访问控制系统）--cisco私有：基于TCP协议，对整个数据包进行加密，端口号：49