VPN简介

技术背景

在VPN出现之前，企业分支之间的数据传只能依靠现有物理网络（例如Internet）。由于Internet中存在多种不安全因素，报文容易被网络中的黑客窃取或篡改，最终造成数据泄密，重要数据被破坏等后果。

除了通过Internet，还可以通过搭建一条物理专用连接保证数据的安全传输，但其费用会非常昂贵，且专网搭建和维护十分困难。

介绍

VPN即虚拟专用网，泛指通过VPN技术在公用网络上构建的虚拟专用网络。VPN用户在此虚拟网络中传输私网流量，在不改变网络现状的情况下实现安全、可靠的连接。

VPN分类

根据建设单位不同

根据组网方式不同

根据实现的网络层次

关键技术

隧道技术

VPN技术的基本原理是利用隧道（Tunnel）技术，对传输报文进行封装，利用VPN骨干网建立专用数据传输哦通道，实现报文的安全传输。

位于隧道两端的VPN网关，通过对原始报文的“封装”和“解封装”，建立一个点到点的虚拟通信隧道。

身份认证、数据加密与验证

身份认证、数据加密和认证技术可以有效保证VPN网络与数据的安全性：

身份认证：可以用于部署了远程接入VPN的场景，VPN网关对用户的身份进行认证，保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证。
数据加密：将明文通过加密变成密文，使得数据即使被黑客截获，黑客也无法获取其中的信息。
数据验证：通过数据验证技术对报文的完整性和真伪进行检查，丢弃被伪造和篡改的报文。

GRE

GRE概述

通用路由封装协议（General Routing Encapsulation，GRE）是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、IPv4、IPv6等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。

GRE基本原理

GRE构成要素分为3个部分：乘客协议、封装协议和运输协议。

乘客协议是指用户在传输数据时所使用的原始网络协议。
封装协议的作用就是用来“包装”乘客协议对应的报文，使袁术报文能够在新的网络中传输。
运输协议是指被封装以后的报文在新网络中传输时所使用的网络协议。

实验

接口IP地址配置省略，AR1和AR3需要配置一条缺省的静态路由，用于访问外部网络。

AR1

[AR1]int Tunnel 0/0/0
[AR1-Tunnel0/0/0]tunnel-protocol gre 
[AR1-Tunnel0/0/0]source 64.1.1.1
[AR1-Tunnel0/0/0]destination 202.1.1.1
[AR1-Tunnel0/0/0]ip add 10.0.13.1 24
[AR1-Tunnel0/0/0]quit
[AR1]ip route-static 192.168.2.0 24 tunnel 0/0/0

AR3

[AR3]int Tunnel 0/0/1
[AR3-Tunnel0/0/1]tunnel-protocol gre
[AR3-Tunnel0/0/1]source 202.1.1.1
[AR3-Tunnel0/0/1]destination 64.1.1.1
[AR3-Tunnel0/0/1]ip add 10.0.13.3 24 
[AR3-Tunnel0/0/1]quit
[AR3]ip route-static 192.168.1.0 24 tunnel 0/0/1

总部与分支之间的pc机进行互访

除静态路由外还可以对两个路由器之间建立OSPF邻居关系，需要宣告gre虚拟网段和路由器内网网段。

IPSec

IPSec概述

IPSec（IP Security）VPN一般部署在企业出口设备之间，通过加密与验证等方式，实现了数据来源验证，数据加密，数据完整性保证和抗重放等功能。

IPSec协议体系

IPSec不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议。

IPSec基本原理

IPSec隧道建立过程中需要协商IPSec SA（Security Association，安全联盟），IPSec SA一般通过IKE协商生成。

实验

接口IP地址配置以及静态缺省路由指向外网配置省略。

AR1

#配置ACL定义需要加密的流量
[AR1]acl 3000
[AR1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[AR1-acl-adv-3000]quit
#配置ipsec
#1）ike安全提议
[AR1]ike proposal 1
[AR1-ike-proposal-1]quit
#2）ike的对等体
[AR1]ike peer AR3 v1		//创建对等体，AR3是ike对等体的名称，v1是版本
[AR1-ike-peer-AR3]ike-proposal 1		//调用安全提议
[AR1-ike-peer-AR3]pre-shared-key cipher huawei@123		//配置共享密钥，双端都需要相同
[AR1-ike-peer-AR3]remote-address 202.1.1.1		//指定对等体的IP地址
#3）ipsec安全提议（对数据报文进行加密的提议）
[AR1]ipsec proposal 1
[AR1-ipsec-proposal-1]quit
#4）ipsec安全策略
[AR1]ipsec policy AR1 1 isakmp 		//创建ipsec的安全策略，AR1是策略名称，1是编号，isakmp是自动配置
[AR1-ipsec-policy-isakmp-AR1-1]security acl 3000		//调用ACL，匹配需要加密的流量
[AR1-ipsec-policy-isakmp-AR1-1]proposal 1				//调用ipsec安全提议
[AR1-ipsec-policy-isakmp-AR1-1]ike-peer AR3			//调用ike对等体
#安全策略调用
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ipsec policy AR1

AR3

#配置ACL定义需要加密的流量
[AR3]acl 3000
[AR3-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[AR3-acl-adv-3000]quit

[AR3]ike proposal 1
[AR3-ike-proposal-1]quit

[AR3]ike peer AR1 v1
[AR3-ike-peer-AR1]ike-proposal 1
[AR3-ike-peer-AR1]pre-shared-key cipher huawei@123
[AR3-ike-peer-AR1]remote-address 64.1.1.1
[AR3-ike-peer-AR1]quit

[AR3]ipsec proposal 3
[AR3-ipsec-proposal-3]quit

[AR3]ipsec policy AR3 1 isakmp 
[AR3-ipsec-policy-isakmp-AR3-1]security acl 3000
[AR3-ipsec-policy-isakmp-AR3-1]proposal 3
[AR3-ipsec-policy-isakmp-AR3-1]ike-peer AR1
[AR3-ipsec-policy-isakmp-AR3-1]quit

[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec policy AR3