VPN技术
VPN是干啥的
==官方解释==:
VPN(Virtual Private Network,虚拟专用网络)技术是一种可以在公共网络上建立安全的、加密的连接,使用户可以通过网络访问私有网络资源的技术。VPN技术通过在用户和目标网络之间建立加密隧道来确保数据传输的安全性和私密性,避免了数据在互联网上传输时被非法获取或篡改的风险。
VPN技术的主要作用包括:提供加密保护的网络连接、绕过地理位置限制、保护隐私和匿名性、保护数据传输的安全性。在实际应用中,VPN技术广泛应用于企业内部网络、远程办公、跨国公司的分支机构连接、绕过地域限制的访问等场景。==我的理解==:
首先,先明白ipv4地址是有限的,并且从ipv4过渡到ipv6的过程是漫长的,所以就出现了NAT技术(地址转换),所以也就有了公网地址和私网地址之分,公网地址就是可以在公共的Internet上传数据的IP地址,私网地址就是只能在本地进行数据传输的ip地址。
但是,当你想要提供安全的传输,数据不被篡改,就可以建立VPN隧道来保障。
两个公司一个总部,一个分部,他们之间可以建立VPN隧道,这样他们就可以看作在同一个网段通信了
VPN的分类
GRE
最大的优点:兼容性强,不管是单播、广播都可以打通,第二个优点就是简单,利于学习
缺点:不安全
给数据包加上一个新头部来实现隧道传输
举个例子:
总部和分公司,源地址192.168.1.x(私网地址),目标地址172.16.1.x(私网地址)
加一个新头部,源地址64.1.1.1(出口路由器公网地址),目标地址202.1.1.1(出口路由器公网地址)
数据包送到分公司的出口路由器,路由器将外层报头拆掉,露出真实目标地址
配置实战
实验拓扑图:
出口路由器AR1上作配置:
1 | [Huawei]int Tunnel 0/0/0 //创建隧道接口 |
出口路由器AR2上作相对应配置:
1 | [Huawei]int Tunnel 0/0/0 //创建隧道接口 |
出口路由器配置静态路由:
AR1:
1 | [Huawei]ip route-static 172.16.1.0 24 10.1.1.2 //下一跳写隧道对端的虚拟ip |
AR2:
1 | [Huawei]ip route-static 192.168.1.0 24 10.1.1.1 //下一跳写隧道对端的虚拟ip |
抓包分析:
安全隐患
- 明文传输,数据未加密,容易被窃取
- 没有完整性验证,没有防篡改功能
- 没有身份验证
进而可以用IPSec
IPSec
防火墙有安全域(信任,不信任)
优点:
数据加密,即使被截胡,也看不懂
哈希,防篡改
身份验证
配置实战
实验拓扑图:
防火墙默认账号:admin,密码:admin@123
配置防火墙接口地址……
配置FW1默认路由:
1 | [USG6000V1]ip route-static 0.0.0.0 0 64.1.1.2 |
配置FW2默认路由:
1 | [USG6000V1]ip route-static 0.0.0.0 0 202.1.1.2 |
配置FW1与FW2安全域
1 | [USG6000V1]firewall zone trust //配置信任域 |
配置FW1与FW2安全策略
1 | [USG6000V1]security-policy //进入安全策略 |