早期网络环境中,当多个公司的私网需要相互通信时,为了解决该问题,用户可能需要在每两个公司之间购买专用的线路完成公司与公司之间的点对点连接,导致了整个网络建设成本的非常高。
为了减少网络建设的成本,出现了
VPN(虚拟专用网络)技术,即利用已经存在的互联网(原本是用于上网的线路)线路,在公司与公司之间建立虚拟连接。因此,搭建VPN的前提条件就是保证两个站点的公网地址之间互通。
VPN不仅可以解决私网数据互通的问题,在早期,还可以解决路由黑洞,IPV6穿越IPV4网络等问题,比如有一条线路要传输IPV4组播的数据。
但是由于中间某台设备或者多台设备不支持组播而无法转发组播数据,那么我们可以之间建立一条VPN的线路,当组播数据经过中间那些不支持组播功能的设备的时候,在原始数据的外层重新封装一层单播的基于VPN两端IP地址的IPV4报头,这样数据就会以单播的形式进行在不支持组播功能的设备上面传递。
VPN建立成功后,因为用户的数据包传输实际仍然需要经过公共网络,因此存在极大的安全隐患,所以需要利用加密技术(一般的都使用ISPEC)来保证数据包传输的安全性。
那么IPSEC是怎么确保数据安全的呢?
主要是四点,私密性、完整性、源认证和不可否认性。
1、私密性,可以加密数据包,防止非法用户截获并且获取数据包内容
常用加密算法:aes,des,3des,rc4
2、完整性,通过散列函数判断数据包在传输过程中是否被非法用户篡改
常用hash算法:md5,sha,sha256,sha512
3、源认证,确保数据包发送者的真实身份,是否为合法用户
实现源认证的方法主要有两种:
一是在做hash的时候添加只有只有双方知晓的预共享秘钥,
二是使用数字证书技术
4、不可否认性,发送者不可否认曾经发送过该数据
对于配置来说具体体现在哪里呢?
比如我来一段配置,请看:
crypto isakmp policy 10
encr aes //加密算法
authentication pre-share //认证方式
group 2 //秘钥长度
crypto isakmp key CCIE address 0.0.0.0 //定义秘钥
上面的一段配置就是IPSEC
VPN阶段一的配置,阶段一主要是对协商的消息进行处理,目的就是为了阶段二的协商做准备。阶段二的目的是对实际数据进行处理。
扫一扫
关注微信公众号