我們先和海翎光電的小編一起了解一下什么是VPN,VPN的分類(lèi)。對(duì)基礎(chǔ)知識(shí)有一定的了解后，我們?cè)賮?lái)講一下VPN的盲點(diǎn)。

VPN(全稱(chēng)：Virtual Private Network)虛擬專(zhuān)用網(wǎng)絡(luò)，是依靠ISP和其他的NSP，在公共網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信的網(wǎng)絡(luò)技術(shù)，可以為企業(yè)之間或者個(gè)人與企業(yè)之間提供安全的數(shù)據(jù)傳輸隧道服務(wù)。在VPN中任意兩點(diǎn)之間的鏈接并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路，而是利用公共網(wǎng)絡(luò)資源動(dòng)態(tài)組成的，可以理解為通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上模擬出來(lái)的和專(zhuān)網(wǎng)有同樣功能的點(diǎn)到點(diǎn)的專(zhuān)線技術(shù)，所謂虛擬是指不需要去拉實(shí)際的長(zhǎng)途物理線路，而是借用了公共Internet網(wǎng)絡(luò)實(shí)現(xiàn)的。

VPN意義介紹

⑴使用VPN可降低成本——通過(guò)公用網(wǎng)來(lái)建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)WAN（廣域網(wǎng)）設(shè)備和遠(yuǎn)程訪問(wèn)設(shè)備。⑵傳輸數(shù)據(jù)安全可靠——虛擬專(zhuān)用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。⑶連接方便靈活——用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒(méi)有虛擬專(zhuān)用網(wǎng)，雙方的信息技術(shù)部門(mén)就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專(zhuān)用網(wǎng)之后，只需雙方配置安全連接信息即可。⑷完全控制——虛擬專(zhuān)用網(wǎng)使用戶可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對(duì)于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專(zhuān)用網(wǎng)。

VPN的分類(lèi)

根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按幾個(gè)標(biāo)準(zhǔn)進(jìn)行分類(lèi)劃分：

1、按VPN的協(xié)議分類(lèi)

VPN的隧道協(xié)議主要有三種， PPTP，L2TP和IPSec。其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱(chēng)為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見(jiàn)的協(xié)議。L2TP和IPSec配合使用是目前性能最好，應(yīng)用最廣泛的一種。

2、按VPN的應(yīng)用分類(lèi)

Access VPN (遠(yuǎn)程接入VPN)：客戶端到網(wǎng)關(guān),使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量

Intranet VPN (內(nèi)聯(lián)網(wǎng)VPN)：網(wǎng)關(guān)到網(wǎng)關(guān),通過(guò)公司的網(wǎng)絡(luò)架構(gòu)連接來(lái)自同公司的資源

Extranet VPN (外聯(lián)網(wǎng)VPN)：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet,將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接

3、按所用的設(shè)備類(lèi)型進(jìn)行分類(lèi)：

路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可；

交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)；

防火墻式VPN：防火墻式VPN是最常見(jiàn)的一種VPN的實(shí)現(xiàn)方式，許多廠商都提供這種配置類(lèi)型

常見(jiàn)的隧道協(xié)議

PPTP(點(diǎn)對(duì)點(diǎn)協(xié)議)

PPTP屬于點(diǎn)對(duì)點(diǎn)應(yīng)用，比較適合遠(yuǎn)程的企業(yè)用戶撥號(hào)到企業(yè)進(jìn)行辦公等應(yīng)用，工作在OSI模型的第二層，只適合windows系統(tǒng)。

L2TP(第2等隧道協(xié)議)

第2等隧道協(xié)議(L2TP)是IETF基于L2F開(kāi)發(fā)的PPTP的后續(xù)版本，工作在OSI模型的第二層。

IPSec(三層隧道協(xié)議)

第三層隧道協(xié)議，也是最常見(jiàn)的協(xié)議。當(dāng)隧道模式使用IPSEC時(shí)，其只為通訊提供封裝。使用IPSec隧道模式主要是為了與其他不支持IPSec上的L2TP或者PPTP VPN隧道技術(shù)的路由器、網(wǎng)關(guān)或終端系統(tǒng)之間的互相操作。

SSL VPN

SSL協(xié)議提供了數(shù)據(jù)私密性、端點(diǎn)驗(yàn)證、信息完整性等特性。SSL協(xié)議由許多子協(xié)議組成，其中兩個(gè)主要的子協(xié)議是握手協(xié)議和記錄協(xié)議（對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密向結(jié)合的方式進(jìn)行數(shù)據(jù)的交換）。

典型的SSL VPN應(yīng)用：Open VPN，這是一個(gè)比較好的開(kāi)源軟件。Open VPN允許參與建立VPN的單點(diǎn)使用預(yù)設(shè)的私鑰，第三方證書(shū)，或者用戶名/密碼來(lái)進(jìn)行身份驗(yàn)證。它大量使用了OpenSSL加密庫(kù)，以及SSLv3/TLSv1協(xié)議。OpenVPN能在Linux、xBSD、MacOS上運(yùn)行。它并不是一個(gè)基于Web的VPN軟件，也不能與IPSec及其他VPN軟件包兼容。

VPN特點(diǎn)

折疊⑴安全保障

VPN通過(guò)建立一個(gè)隧道，利用加密技術(shù)對(duì)傳輸數(shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性，（但不要過(guò)于相信那些免費(fèi)連接VPN的軟件，有時(shí)可能是一個(gè)捆綁式的病毒軟件。）

折疊⑵服務(wù)質(zhì)量保證

VPN可以為不同要求用戶提供不同等級(jí)的服務(wù)質(zhì)量保證。

折疊⑶可擴(kuò)充、靈活性

VPN支持通過(guò)Internet和Extranet的任何類(lèi)型的數(shù)據(jù)流。

折疊⑷可管理性

VPN可以從用戶和運(yùn)營(yíng)商角度方便進(jìn)行管理。

上面海翎光電的小編講了一些VPN的基礎(chǔ)知識(shí)，接下來(lái)咱們來(lái)看看VPN 盲點(diǎn)。

01 VPN 的連接模式：

① 傳輸模式：

只保護(hù)數(shù)據(jù)，加密傳輸?shù)膬?nèi)容

優(yōu)點(diǎn)：

效率高

缺點(diǎn)：

不安全

應(yīng)用場(chǎng)景：

適用于在企業(yè)內(nèi)網(wǎng)中部署 IPsec vpn，不需要封裝新的 IP 包頭。結(jié)合 GRE VPN 使用

② 隧道模式：

保護(hù)數(shù)據(jù)和 IP 包頭，重新封裝一個(gè) IP 包頭可以直接在公網(wǎng)上搭建 VPN

優(yōu)點(diǎn)：

安全性更高

缺點(diǎn)：

效率低

02 VPN 的類(lèi)型：① 主模式

-----站點(diǎn)到站點(diǎn) VPN：SITE-to-SITE對(duì)方的 IP 地址是固定的。

②積極模式

----遠(yuǎn)程訪問(wèn) VPN：remote-access 遠(yuǎn)程用戶 IP 地址是不固定的。對(duì)方的 IP 地址不是固定的，可以用 IP 地址或者域名進(jìn)行建立連接。

03 VPN 技術(shù)：

IPsec vpn 優(yōu)勢(shì)在于能對(duì)數(shù)據(jù)進(jìn)行保護(hù)。

主要用到下面兩種技術(shù)：加密算法：① 對(duì)稱(chēng)加密算法：

公鑰加密 公鑰解密DES 數(shù)據(jù)加密標(biāo)準(zhǔn) 64bit=56bit+8bit3DES 3*（56bit+8bit）AES 高級(jí)加密標(biāo)準(zhǔn) 128bit~256bit【最高達(dá)到 256bit】

優(yōu)點(diǎn)：

傳輸效率高

缺點(diǎn)：

安全性較低

② 非對(duì)稱(chēng)加密算法：

公鑰加密 私鑰解密【私鑰始終沒(méi)有在公網(wǎng)上傳輸】DH

優(yōu)點(diǎn)：

安全性更高

缺點(diǎn)：

傳輸效率低

問(wèn)題：

使用對(duì)稱(chēng)加密算法密鑰可能被竊聽(tīng)，使用非對(duì)稱(chēng)加密算法，計(jì)算復(fù)雜，效率太低，影響傳輸速度。

解決方案：

通過(guò)非對(duì)稱(chēng)加密算法加密對(duì)稱(chēng)加密算法的密鑰，然后再用對(duì)稱(chēng)加密算法加密實(shí)際要傳輸?shù)臄?shù)據(jù)。

04 IPSec VPN 使用的協(xié)議：① 階段一：

使用 ISKMAPIKE 因特網(wǎng)密鑰交換協(xié)議【統(tǒng)稱(chēng)】

ISKMAP：

安全關(guān)聯(lián)和密鑰管理協(xié)議【具體實(shí)現(xiàn)協(xié)議】

② 階段二：

使用 ESP AH

ESP：

封裝安全載荷協(xié)議

ESP 對(duì)用戶數(shù)據(jù)實(shí)現(xiàn)加密功能

ESP 只對(duì) IP 數(shù)據(jù)的有效載荷進(jìn)行驗(yàn)證，不包括外部的 IP 包頭

AH：

認(rèn)證頭協(xié)議

數(shù)據(jù)完整性服務(wù)

數(shù)據(jù)驗(yàn)證

防止數(shù)據(jù)回放攻擊

05 IPSec VPN 建立的兩個(gè)階段：階段 1：建立管理連接，

建立一個(gè)安全的 VPN 通道，定義密鑰與及加密算法參數(shù)【非對(duì)稱(chēng)加密算法，對(duì)稱(chēng)加密算法】

階段一建立過(guò)程中：① 主模式-

----站點(diǎn)到站點(diǎn) VPN：SITE-to-SITE對(duì)方的 IP 地址是固定的，主模式協(xié)商階段一的時(shí)候，使用到 6 個(gè)數(shù)據(jù)包。注：前 4 個(gè)報(bào)文為明文傳輸，從第 5 個(gè)數(shù)據(jù)報(bào)文開(kāi)始為密文傳輸。

② 積極模式

----遠(yuǎn)程訪問(wèn) VPN：對(duì)方的 IP 地址不是固定的，可以用 IP 地址或者域名進(jìn)行建立連接

階段 2：建立數(shù)據(jù)連接，

配置 IPSec VPN 條件：1） 建立 VPN 的兩個(gè)對(duì)等體公網(wǎng)要能夠通信2） VPN 的流量要做 NAT 分離ESP 支持加密和認(rèn)證AH 只支持認(rèn)證

06 配置 IPSec VPN：階段 1：定義管理連接，

crypto isakmp policy 10------設(shè)置 IKE 策略，policy 后面跟 1-10000 的數(shù)字，這些數(shù)字代表策略的優(yōu)先級(jí)。encr 3des-----加密算法使用 3deshash md5---- hash 算法使用 MD5authentication pre-share----采用欲共享密鑰認(rèn)證方式group 2-----采用第二個(gè)組的長(zhǎng)度【共有 1、2、6 三個(gè)組可以選擇】crypto isakmp key CCIE address 23.1.1.2----設(shè)置 IKE 交換的密鑰，CCIE 表示密鑰組成，23.1.1.2 表示對(duì)方的 IP 地址

驗(yàn)證命令：

R2#show crypto isakmp policy 查看階段 1 的 IKE 策略R2# show crypto isakmp keyR1#show crypto isakmp sa 查看階段 1 是否協(xié)商成功IPv4 Crypto ISAKMP SA

階段 2 的配置命令

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255！crypto ipsec transform-set SPOTO esp-aes esp-md5-hmaccrypto map MAP 10 ipsec-isakmpset peer 23.1.1.2set transform-set SPOTOmatch address 101！interface Serial1/0crypto map MAP

驗(yàn)證命令：

R1#show crypto ipsec transform-setR1#show crypto mapR1#show crypto ipsec sa

審核編輯黃宇