企业及项目中常用的数据加密VPN技术(企业及项目中常用的数据加密VPN技术)
企业及项目中常用的数据加密VPN技术(企业及项目中常用的数据加密VPN技术)VPN 的类型:按照远程介入有:客户初始化的也有 NETWORK ACCESS SERVER 初始化的。CISCO VPN 有一个完整的系统,解决方案。隧道技术:一个隧道就是一个点到点的连接。隧道内可以承载多种不同的协议。比如 IP 或者 IPX 协议。加密传输的数据。VPN 有点到点的。点到多点的。移动用户到路由器。
一、VPN在两个或多个私人网络之间通过 INTERNET 传输数据。这里要考虑数据的机密性和完整性,以及验证用户身份。他是通过公共网络来传输私人数据。
1、用 VPN 的好处:费用低廉,更高的灵活性,简单的控制管理,以及有通道的拓扑
2、VPN 的网络主要包括:虚拟的网络和私有的网络。
虚拟主要是采用通道化的技术。而私有主要是采用加密的方法。
隧道技术:一个隧道就是一个点到点的连接。
隧道内可以承载多种不同的协议。比如 IP 或者 IPX 协议。
加密传输的数据。VPN 有点到点的。点到多点的。移动用户到路由器。
CISCO VPN 有一个完整的系统,解决方案。
VPN 的类型:按照远程介入有:客户初始化的也有 NETWORK ACCESS SERVER 初始化的。
按照站点到站点分有内部的和外部的。
加密:可以在多层加密。
应用层(SSH),传输层(SSL),网络层(IPSEC)。链路层。(主要介绍 IPSEC)
隧道协议:网络层:IPSEC。GRE。L2F。L2TP(RFC2661)。PPTP(主要介绍网络层)
L2TP 是一个层 2 的隧道协议,是是 L2F 和 PPTP 的结合。
GRE 是一个通用的路由的封装,不支持加密,只是构成一个隧道而已,可以和另外一些加密结合使用
IPSEC 构建一个加密的 IP 安全。
选择 3 层的 VPN 的隧道协议。
如果仅仅之后 IP 流量和单波就使用 IPSEC
如果有多中协议和广(多)播就使用 GRE 或者 L2TP。
二、认证加密密钥的管理:人工参与,安全 KEY 交换算法 IKE,CA 公共 KEY 交换(证书)。
加密:对称式的加密(DES,3DES。AES。)和非对称式加密(RSA),分公钥和私钥。
验证:MAC、HMAC
HASH 哈西算法:(SHA、MD5)
对称加密:加解密钥是一样的。
非对称加密:有共钥和私钥。加密用共钥,解密用私钥。保证了在传输过程中的口令的安全性,
HASHING 算法:
可以保证数据在传输工程中的数据的完整性,但是他不保证加密性。本地的要发送的信息和共享的 KEY 经过 HASHING 算出一个值再传输给远方。如果中间人要修改数据。那么 HASHING 的值会发生变化,这样对方就知道了数据被人改了。
三 IPSec VPN配置
路由器A和B之间运行IPSecVPN:
1、RouterA#show running-config
crypto isakmp policy 10
hash md5
authentication per-share
crypto isakmp key nichole address 10.1.2.1
!
!
!
crypto ipsec transform-set nichole esp-des
!
crypto map nichole 20 ipsec-isakmp
set peer 10.1.2.1
set transform-set nichole
match address 101
!
interface ethernet 0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 100 in
crypto map nichole
no shutdown
!
interface ethernet 0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
!
access-list 100 permit ahp host 10.1.2.1 host 10.1.1.1
access-list 100 permit esp host 10.1.2.1 host 10.1.1.1
access-list 100 permit udp host 10.1.2.1 host 10.1.1.1 eq 500 或(isakmp)
access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip any any
!
2、RouterB#show running-config
crypto isakmp policy 10
hash md5
authentication per-share
crypto isakmp key nichole address 10.1.1.1
!
!
!
crypto ipsec transform-set nichole esp-des
!
crypto map nichole 20 ipsec-isakmp
set peer 10.1.2.1
set transform-set nichole
match address 101
!
interface ethernet 0/0
ip address 10.1.2.1 255.255.255.0
ip access-group 100 in
crypto map nichole
no shutdown
!
interface ethernet 0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
!
access-list 100 permit ahp host 10.1.1.1 host 10.1.2.1
access-list 100 permit esp host 10.1.1.1 host 10.1.2.1
access-list 100 permit udp host 10.1.1.1 host 10.1.2.1 eq 500 或(isakmp)
access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip any any
!
return
以下是华为数通路由交换方向完整技术分享,欢迎对华为网络技术感兴趣的小伙伴们订阅。【可在专栏中进行查看订阅】华为新版HCIA数通路由交换
华为新版HCIP数通路由交换
华为新版HCIE数通路由交换
