VPN

一、VPN概念

1. 概述

• 虚拟专用网络（VPN）的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网管通过对数据包加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现

2. 特点

• 虚拟：不需要拥有长途线路，使用公共网络资源建立自己的私有网络
• 专用：可以定制最符合自身需求的网络
• 核心技术：隧道技术

二、VPN分类

• 客户端到局域网（client--->LAN）aceess vpn
  • PPTP或L2TP
• 局域网到局域网（LAN--->LAN）
  • IPSec
• PPTP和L2TP是属于网络接口层协议
• IPSec VPN是属于网络层
• SSL VPN是属于应用层

三、VPN常用技术

1. 隧道技术

• 通过在隧道两端进行封装和解封装（新的报文头）

  GRE       不支持身份验证，支持简单的关键字验证和校验（IPv4过度到IPv6时应用）
  L2TP  支持基于PPP的身份验证，加密和验证不支持
  IPSec 预共享密钥或证书认证、支持IKEv2的认证，支持加密和验证
  SSL VPN   支持多种身份认证，支持加密验证

2. 加解密技术

• 对称加密（DES、3DES、AES）
• 非对称加密（RSA、DH）
• 完整性校验算法（MD5、SHA）

3. 身份认证技术

四、IPSec VPN

1. 概述

• 是一组基于网络层的应用密码学的安全通信协议簇，是一个开放的协议簇，也考虑长远的要求（支持IPv4和IPv6）
• 保护的是网络层及上层流量，主要保护TCP、UDP、ICMP等隧道的IP数据包
• 可以提供的安全服务
  • 机密性、完整性、数据源鉴别、不可否认性、访问控制、重传攻击保护

2. IPSec架构

• 两个通信保护协议
  • AH：只支持鉴别算法（完整性校验）
  • ESP：支持加密和鉴别算法
• 两个工作模式：传输模式、隧道模式
• 密钥交换管理协议（IKE）：SA（安全联盟）
  • 阶段一：主模式、野蛮模式（快速模式）
  • 阶段二：配置感兴趣流

3. 传输模式

• 应用场景：用于主机和主机之间端到端通信的数据保护
• 封装方式：不会改变原始IP包头，在原始包头后插入IPSec包头

4. 隧道模式

• 应用场景：私网和私网之间通过公网进行通信，建立VPN通道
• 封装方式：增加新的IP头部，其后是IPSec，接着是原始数据包

5. AH协议

• 完整性校验（通过哈希函数 （MD5、SHA1）产生的校验来保证）
• 不管是传输模式还是隧道模式会验证整个数据包

6. ESP协议

• 加解密，使用对称解密算法，DES、3DES、AES
• 完整性性校验，通过哈希函数（MD5、SHA1）产生的校验来保证
• ESP在传输模式下，只对数据进行加密和完整性校验
• ESP在隧道模式下，是对整个原始报文进行加密和校验

7. AH和ESP对比