V** 概述

V** 定義

V** ：Virtual Private Network

虛拟專用網絡=虛拟專網

V** 有什麼好處？

專線：價格高，安全、穩定、高效！

V** ：V** 是一種技術，可以實作2家公司之間在不安全的鍊路上安全的傳遞資訊！好像專網！

目前網際網路的現狀

V** 通過建立V** 隧道，建立“保護”網絡實體之間的通信！

V** 怎麼做到的安全通信？

V** 采用了PKI技術

V** 也實作了資訊安全三要素：

1. 機密性：使用加密技術防止資料被竊聽
2. 完整性：資料完整性驗證防止資料被破壞、篡改
3. 身份驗證/不可否認性：通過認證機制确認身份，防止被僞裝，資料被截獲、回放

V** 實作了什麼？

V** 實作了安全三/四要素：

1）機密性·

2）完整性

3）身份驗證

4）不可否認性

V** 的工作模式

通過學習工作模式，除了了解V** 的安全好處外，還能夠發現V** 的另外一個好處！

V** 的工作模式有2種：傳輸模式 和 隧道模式

隧道模式：将整個私有IP包全部加密，并重新封裝新的公網IP標頭！

V** 的類型

類型一、遠端通路V**

場景：出差員工或在家辦公人員與公司建立V** 隧道

技術：SSL V** 、PPTP V** 、L2TP V** 、SSTP V** 等等

類型二、點到點V**

場景：兩家分公司/兩個實體樓宇之間的V** 隧道

代表技術：IPsecV** 、GRE V** 、MPLS V**

V** 加密技術

對稱加密算法 DES 3DES AES

算法：說白了就是數學公式！如：x+5=y

x就是明文資料

y是加密之後的資料（密文）

5是密鑰

對稱加密算法：加密和解密使用同一個密鑰（對稱密鑰）

常見的對稱加密算法：DES、3DES、AES

對稱密鑰：通信雙方協商而成，協商過程是明文傳輸，容易被竊取！

**對稱加密算法的緻命缺點：對稱密鑰容易丢失！

對稱加密算法的優點：加密速度快！**

非對稱加密算法 RSA ECC DH

非對稱加密算法：雙方加密和解密用的不是同一把鑰匙！

密鑰：需要2把鑰匙：公鑰和私鑰

公鑰+私鑰如何産生的？不是雙方協商而成，而是各自獨立生成！一般都是成對生成！

一對公鑰和私鑰的關系：公鑰和私鑰互為加解密關系！公鑰加密，私鑰解密！私鑰加密，公鑰解密！

公鑰公開，私鑰不公開！

常見的非對稱加密算法：RSA、DH（迪菲.赫爾曼）

公鑰和私鑰不能互推！

機密性：使用對方的公鑰加密！

數字簽名/身份驗證：用自己的私鑰加密實作簽名！

**非對稱加密算法優點：安全！

非對稱加密算法缺點：速度慢，效率低！**

對稱+非對稱結合

完整性算法

常見的完整性算法：MD5、SHA-1、SHA-256

完整性加密算法是不可逆的！而且加密後的資料一般為N個位元組！

完整性算法加密後的值：一般稱為hash值/哈希值

IPsecV** 原理

建立IPSec V** 連接配接需要3個步驟

1. 定義流量觸發IPSec (不能算是正式得步驟)
2. 建立管理連接配接

3. 建立資料連接配接

   問：IPsecV** 得原理

   答：IPsecV** 一般由2個階段構成

   定義流量觸發IPSecV** ：

   北京内部：192.168.1.0/24 上海分公司内部：172.16.1.0/24

   階段一：管理連接配接

   雙方使用非對稱加密算法，安全的同步對稱算法的對稱密鑰！

   階段二：資料連接配接

   https領域常用的非對稱加密算法：RSA，ECC RSA1024=ECC160 RSA2048=ECC256

   V** 領域常用的非對稱加密算法：DH

   對稱+非對稱結合：使用非對稱加密算法來加密對稱算法使用的對稱密鑰！

   IPsecV** 就采用了這個過程！！！！

   IPsecV** 采用的非對稱加密算法是DH

   使用階段一留下來的對稱密鑰，使用對稱加密算法+hash算法(HMAC技術)來傳輸實際的使用者資料！

   HMAC完成身份驗證+完整性（識别碼）

   疑問！資訊安全需要達到3要素：機密性、完整性、身份驗證

IPsecV** 的配置與指令

-----------IPsecV** 是在外網端口上實作的！！-------------

定義V** 觸發流量：

conf t
acc 101 permit ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255           

複制

階段一：管理連接配接

conf t
crypto isakmp policy 1     # 建立密鑰交換政策集 集名為1
encryption des/3des/aes # 設定對稱算法，（雙方必須一緻）
hash md5/sha # 設定完整性算法，（雙方必須一緻）
group 1/2/5 # 設定DH算法及DH算法公私鑰的長度，1/2/5代表公鑰的長度
authentication pre-share # 設定身份驗證為預共享驗證！（雙方必須一緻）
exit
crypto isakmp key 預共享密碼 address 對方的公網IP位址           

複制

階段二：資料連接配接

crypto ipsec transform-set 加密模式名 esp-des/3des/aes esp-md5/sha-hmac（雙方必須一緻）           

複制

定義map表（映射表）：

crypto map map表名 1 ipsec-isakmp
set peer 對方的公網IP位址
match address 101
set transform-set 加密模式名
exit           

複制

使IPsecV** 生效！也就是将map表應用到外網端口上！

int f0/1（注意f0/1必須是外網端口）
crypto map map表名 # 一個接口上，隻能應用一張map表
exit           

複制

檢視階段一的狀态

show crypto isakmp sa           

複制

檢視階段二的狀态

show crypto isakmp sa           

複制

V** 與NAT共存

資料包從内網--外網，先過PAT，再過V**

解決方法：需要再PAT中豁免掉V** 的流量

假設192-172是需要走V** 的流量，則再PAT位址池中如下豁免！

int f0/0
ip nat inside       #指定為内部nat端口
int f0/1
ip nat outside    #指定為外部nat端口
exit
acc 130 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
acc 130 permit ip any any
ip nat inside source list 130 int f0/1 overload           

複制