VPN -- Virtual Private Network,虚拟专用网络 1.优点: 1)成本低 2)可以实现通信的:机密性,完整性,身份验证
2.VPN的类型: 1)点到点VPN:IPsecVPN 2)远程访问VPN:PPTP,L2TP,SSTP,SSLVPN(webVPN) Remote Access 最主流
3.VPN隧道类型: 1)传输模式:不对私有包头进行加密,传输效率高 2)隧道模式:对私有包头进行加密,传输效率低
4.VPN加密技术: 1)对称加密算法: -1.加密和解密的方法是相同的 -2.密钥容易丢失 -3.效率高 -4.算法:DES,3DES,AES
2)非对称加密算法: -1.加密和解密用的方法是不一样的 -2.利用一把密钥不可反推出另一把密钥 -3.双方各自生成一对密钥:公钥和私钥 -4.公钥和私钥互为加解密 -5.效率低 -6.算法:DSA,RSA,DH
3)IPsecVPN解决方案: 1)用非对称加密算法加密传输对称加密算法的对称密钥。 2)用对称加密算法加密实际要传输的数据
5.HASH值算法:MD5,SHA 作用:保证完整性,不可逆
6.HMAC-MD5,HMAC-SHA 作用:可以在完整的基础上,实现身份验证 方法:将原数据及共享密钥一同放在HASH算法中,来计算HASH值
7.IPsecVPN原理及配置 1)IPsecVPN分为2个阶段: 阶段一:管理连接(也就是双方共享传输对称密钥) 也就是密钥交换阶段 重点:配置IKE密钥交换策略表/集,配置预共享密钥 阶段二:数据连接(也就是要开始实际传输数据了) 重点:配置ACL触发VPN流量 配置传输集:加密算法、HASH值算法、及隧道模式 (传输集就是加密方案,此时要想做NAT转换时, 需要进行NAT豁免,把VPN的专用数据进行豁免,不做转换)
2)命令配置: 阶段一:管理连接 crypto isakmp policy 1 encryption des/3des/aes hash md5/sha group 1/2/5 authentication pre-share lifetime 秒 (默认时间为86400) exit
crypto isakmp key 0/6 预共享密钥 address 对方公有IP地址 阶段二:数据连接 conf t acc 100 premit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
crypto ipsec transform-set 传输集名 esp-des/3des/aes esp/ah-md5/sha-hmac exit (ESP框架都支持,AH不支持加密)
建立MAP映射表: conf t crypto map map名称 1 ipsec-isakmp match address 100 set transform-set 传输集名 set peer 对方的公网IP exit
应用到接口上 conf t int f0/0 crypto map map名称 //一个接口只能应用一张map表 exit
查看阶段1的状态信息: show crypto isakmp sa |