您的位置 首页 php

企业及项目中常用的数据加密VPN技术,IPSec VPN,一分钟了解下


一、VPN

在两个或多个私人网络之间通过 INTERNET 传输数据。这里要考虑数据的机密性和完整性,以及验证用户身份。他是通过公共网络来传输私人数据。

1、用 VPN 的好处:费用低廉,更高的灵活性,简单的控制管理,以及有通道的拓扑

2、VPN 的网络主要包括:虚拟的网络和私有的网络。

虚拟主要是采用通道化的技术。而私有主要是采用加密的方法。

隧道技术:一个隧道就是一个点到点的连接。

隧道内可以承载多种不同的协议。比如 IP 或者 IPX 协议。

加密传输的数据。VPN 有点到点的。点到多点的。移动用户到路由器。

CISCO VPN 有一个完整的系统,解决方案。

VPN 的类型:按照远程介入有:客户初始化的也有 NETWORK ACCESS SERVER 初始化的。

按照站点到站点分有内部的和外部的。

加密:可以在多层加密。

应用层(SSH), 传输层 (SSL), 网络层 IPSEC )。链路层。(主要介绍 IPSEC)

隧道协议:网络层:IPSEC。GRE。L2F。 L2TP (RFC2661)。 PPTP (主要介绍网络层)

L2TP 是一个层 2 的隧道协议,是是 L2F 和 PPTP 的结合。

GRE 是一个通用的路由的封装,不支持加密,只是构成一个隧道而已,可以和另外一些加密结合使用

IPSEC 构建一个加密的 IP 安全。

选择 3 层的 VPN 的隧道协议。

如果仅仅之后 IP 流量和单波就使用 IPSEC

如果有多中协议和广(多)播就使用 GRE 或者 L2TP。

二、认证加密

密钥的管理:人工参与,安全 KEY 交换 算法 IKE ,CA 公共 KEY 交换(证书)。

加密:对称式的加密( DES ,3DES。AES。)和非对称式加密(RSA),分公钥和 私钥

验证:MAC、HMAC

HASH 哈西算法:( SHA 、MD5)

对称加密:加解密钥是一样的。

非对称加密:有共钥和私钥。加密用共钥,解密用私钥。保证了在传输过程中的口令的安全性,

HASHING 算法:

可以保证数据在传输工程中的数据的完整性,但是他不保证加密性。本地的要发送的信息和共享的 KEY 经过 HASHING 算出一个值再传输给远方。如果中间人要修改数据。那么 HASHING 的值会发生变化,这样对方就知道了数据被人改了。

三 IPSec VPN配置

4557251e053c4e71ae5fd3135421567d

路由器A和B之间运行IPSecVPN:

1、RouterA#show running-config

crypto isakmp policy 10

hash md5

authentication per-share

crypto isakmp key nichole address 10.1.2.1

!

!

!

crypto ipsec transform-set nichole esp-des

!

crypto map nichole 20 ipsec-isakmp

set peer 10.1.2.1

set transform-set nichole

match address 101

!

interface ethernet 0/0

ip address 10.1.1.1 255.255.255.0

ip access-group 100 in

crypto map nichole

no shutdown

!

interface ethernet 0/1

ip address 192.168.1.1 255.255.255.0

no shutdown

!

access-list 100 permit ahp host 10.1.2.1 host 10.1.1.1

access-list 100 permit esp host 10.1.2.1 host 10.1.1.1

access-list 100 permit udp host 10.1.2.1 host 10.1.1.1 eq 500 或(isakmp)

access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 101 deny ip any any

!

2、RouterB#show running-config

crypto isakmp policy 10

hash md5

authentication per-share

crypto isakmp key nichole address 10.1.1.1

!

!

!

crypto ipsec transform-set nichole esp-des

!

crypto map nichole 20 ipsec-isakmp

set peer 10.1.2.1

set transform-set nichole

match address 101

!

interface ethernet 0/0

ip address 10.1.2.1 255.255.255.0

ip access-group 100 in

crypto map nichole

no shutdown

!

interface ethernet 0/1

ip address 192.168.2.1 255.255.255.0

no shutdown

!

access-list 100 permit ahp host 10.1.1.1 host 10.1.2.1

access-list 100 permit esp host 10.1.1.1 host 10.1.2.1

access-list 100 permit udp host 10.1.1.1 host 10.1.2.1 eq 500 或(isakmp)

access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 101 deny ip any any

!

return

以下是 华为 数通路由交换方向完整技术分享,欢迎对华为网络技术感兴趣的小伙伴们订阅。【可在专栏中进行查看订阅】

文章来源:智云一二三科技

文章标题:企业及项目中常用的数据加密VPN技术,IPSec VPN,一分钟了解下

文章地址:https://www.zhihuclub.com/35956.shtml

关于作者: 智云科技

热门文章

网站地图