IPSECVPN技術淺談

虛擬專用網（vpn）被定義為通過一個公用網路（通常是因特網）建立一個臨時的、安全的連線，是一條穿過混亂的公用網路的安全、穩定的隧道。使用這條隧道可以對資料進行幾倍加密達到安全使用網際網路的目的。虛擬專用網是對企業內部網的擴充套件。虛擬專用網可以幫助遠端使用者、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連線，並保證資料的安全傳輸。虛擬專用網可用於不斷增長的移動使用者的全球因特網接入，以實現安全連線；可用於實現企業網站之間安全通訊的虛擬專用線路，用於經濟有效地連線到商業夥伴和使用者的安全外聯網虛擬專用網。摘自——百度百科

我們今天主要說的是ipsec vpn建立的過程極其如何工作的，理解這點對以後我們配置極其維護vpn有著不小的幫助。雖然cisco提供不少工具如（SDM ASDM）可以簡化我們的配置工作，而這些工具不是我們每次配置完畢就是可以完好的完成我們的工作的，在構建ipsec回話的時候有兩種事情發生這取決於是lan to lan還是遠端訪問的ipsec會話，下面我們分開說

lan to lan

1.首先vpn閘道器peer發起到另一端peer的回話

2.isakmp/ike階段1開始商討如何保護管理連線

3.D-H用於在管理連線上對於加密演算法和HMAC功能安全的的共享金鑰

4.執行裝置驗證一階段結束

我們看下命令：

crypto isakmp policy 10

encryption {des/3des/aes} 指定加密演算法

hash{md5/sha} 完整性驗證演算法

authentication｛rsa-sig/rsa-encr/pre-share} 裝置認證

group{1/2/5} D-H金鑰組號

lifetime{86400s} 生存時間

我們在實際用於中一般指定裝置認證為pre-share lifetime我們一般是預設就好，在我們指定裝置驗證時 crypto isakmp identity ｛address/hostname}我們選ip add認證但如果我們選擇hostname 必須加上ip hostname ｛hostname ip add1……8｝指定ip地址

第二階段：1.peer協商金鑰和引數保護資料連線，如保護怎麼樣的資料，如何保護，加密資料發給誰

2.開始傳輸資料結束傳輸重新建立就回話

命令如下：crypto map mymap 10 ipsec-isakmp 建立靜態對映條目

set peer 設定acl指定的流量極其和誰建立連線

set transform-set 指定傳輸集加密保護的流量

match-address 指定保護的ACL

set pfs (group1/2/5) 可選指定資料連線轉發金鑰

set security-association level peer-host 可選

set security-association lifetime {seconds/kilobytes} 生存週期

set security-association idle-time 空閒超時

遠端訪問連線：我們知道一般遠端的端ip不固定，我們可以使用動態vpn或者easyvpn連線回話

1.遠端客戶發起vpn閘道器回話

2.協商管理連線階段1開始

3.D-H用於在管理連線上對於加密演算法和HMAC功能安全的的共享金鑰

4.執行裝置認證

5.可選性，執行使用者驗證，vpn閘道器需要使用者和密碼

6.推模式也就是vpn閘道器把策略資訊pull到客戶端，cisco有兩種模式客戶模式和L-TO-L模式，遠端訪問一般是客戶模式

7.可選性反向路由注入

8.階段2開始

我們在這說下cisco兩種模式區別

客戶模式，vpn閘道器直接分配一個內部ip add給分部網路，分部通過pat轉換ip與總部通訊

而L-TO-L是直接分配ip給分支客戶無需轉換

關於反向路由注入（RRI）主要是解決路由有去無回的情況，

1. 在客戶端模式下，客戶會得到VPN閘道器分配的一個內部地址，vpn閘道器會在本地路由注入一個靜態路由，保證流量回去分支。

2. 處於網路擴充套件模式（L-TO-L）客戶會將他的內部介面網路號通過isakmp/ike階段1發給vpn閘道器，執行pat轉換。

本文轉自q狼的誘惑 51CTO部落格，原文連結：http://blog.51cto.com/liangrui/504209，如需轉載請自行聯絡原作者

IPSECVPN技術淺談

相關文章