第一周第七天学习总结[VPN]

本周计划

学习路由部分的知识
1、学习每个路由协议的原理，需要学习的路由协议有默认路由、静态路由、直连路由、rip、ospf ，bgp、isis（已完成）
2、掌握每个路由协议之间的区别
3、掌握每个路由协议的优先级、 学会路由之间的重分发（实验）（已完成）
4、掌握bgp选路原则
5、掌握路由策略和策略路由
6、学策略ACL（基本acl+扩展acl(选学)）、NAT、VPN【底层原理，规则，实验】(今日完成)

本日计划

学习并学会配置VPN

VPN

VPN学习依据 【千锋】网络安全300集全套视频教程

VPN虚拟专用网络

虚拟专网

VPN的使用场景

想在不安全的网络上，安全的传输数据因此需要使用：虚拟专网VPN
既不是专网，但又能使用专网的功能

VPN需要实现以下功能：

数据机密性
数据完整性
数据的身份验证

---

VPN的配置只能在三层及以上的设备进行

VPN的加密方式

1. 对称加密技术：加密与解密使用相同的密钥

密钥的生成是明文通信，因此易泄露
DES.3DES.AES都属于常见的对称加密算法

DES：数据加密标准
3DES：三重数据加密算法
AES：高级加密标准

速度快

---

2. 非对称加密算法：

使用公钥加的密，只能用私钥解开
使用私钥加的密只能用公钥解开
两者无法互相推算，因此安全
私钥的生成由对方的公钥加密得出
即使公钥泄露私钥也无法被破解

RSA:公开密钥密码体制
D-H：密钥交换协议/算法

VPN完整性算法/hash值算法

hash值：哈希算法，杂凑算法，是一种从任意文件中创造小的数字「指纹」的方法，哈希算法将数据重新打乱混合，重新创建一个哈希值
MD5：信息摘要算法
SHA

VPN的类型

远程访问VPN

个人安全连接到企业内
公司需要部署VPN服务器，员工拨号连接VPN即可

常见远程访问VPN协议

PPTP VPN （常用） ：违法（不利于团结的事情不要做）
L2TP VPN （常用）
SSTP VPN
都不常用↑

---

思科私有VPN协议：EZ /EASY

---

目前流行的协议：SSL VPN

点到点VPN

企业对企业的安全连接

需要在两端总出口设备之间建立VPN通道

常见点到点VPN：
IPsecVPN 协议 ：最常见/常用

IPsecVPN

属于点到点VPN可以在两家企业之间建立VPN隧道

隧道技术的优点：
安全
合并俩家企业内网

VPN隧道技术模式
1.传输模式
只加密上层数据，不加密私有IP包头，速度快
（可能有不法分子做不利于团结的事情：篡改IP包头）
2.隧道模式（默认模式：很安全）
加密整个私有IP包，包括IP包头，更安全但速度慢
思科模拟器只支持隧道模式
VPN隧道技术：重新封装技术+加密认证技术

IPsecVPN的两大阶段

第一阶段：管理连接
双方通过非对称加密算法加密对称加密算法所使用的对称密钥

先使用对称加密算法，再用非对称加密算法加密对称加密算法

crypto isakmp policy 1 （传输集/策略集）
	encryption des/3des/aes				（指定加密算法）//必须一致
	hash md5/sha							(指定完整性算法)//必须一致
	group 1/2/5					（指定非对称加密算法（D-H）的长度，越长越慢）//必须一致
	authentication pre-share		（声明：身份验证方式不使用非对称加密算法，而使用预
	共享密钥最身份验证）	//必须一致
	lifetime 秒				（默认值，可以不配：默认86400秒（24小时））//无所谓
	//每24（设置的默认值）小时修改一次对称密钥，防止泄露
	exit
crypto isakmp key [预共享加密算法（不要少于6位，否则可能会失败）]address [对方的公网IP地址] //密钥必须一致

第二阶段：数据连接
通过对称加密算法加密实际所要传输的私网数据

1.access-list 100 permit ip  192.168.0.0  0.0.255.255  172.16.0.0  0.0.255.255
//设置只有（设置的）该流量才能走VPN隧道访问对方公司的网络，定义VPN触发流量

2.crypto ipsec transform-set [传输模式名] esp-（des/3des/asp）	|	esp-（sh-md5/sha-hmac）
例：
crypto ipsec transform-set wentran esp-aes esp-sha-hmac

//定义加密方式	和	完整性/身份验证
ESP：支持加密及认证（身份验证+完整性）
SH：只支持认证（身份验证+完整性）不支持加密

3.创建map映射表
crypto map [map名] 1 ipsec-isakmp
match address [ACL名]
set transform-set [传输模式名]
set peer [对方的公网IP]

4.将map表应用到外网端口
int [外网端口]
crypto map wenmap
//注意：一个接口只能应用一个map表