《VPN功能—技术实现》.ppt

我们在售前试用、实施时 如何把VPN部署到用户的网络中，感到无从下手。 出现问题时，怎么回事？ 如果您了解VPN怎么在防火墙中实现，您将在此时游刃有余。 VPN隧道工作原理 VPN虚拟设备，在防火墙中有一个VPN虚拟设备，这个虚拟设备叫ipsec0，它是隧道的入口。 隧道是什么样的形式？怎么对数据进行处理的？ 隧道是如何建立的？ VPN虚拟设备 一般情况下，发送或转发数据包时，将数据交给以太网口对应的设备，如eth0。这个设备就会将数据包转给数据包的目的站或下一跳。 如果启用了VPN，那么系统中会多出一个隧道设备ipsec0。所有VPN局域网数据将不会再通过实际设备发送，他们会被转发给ipsec0设备。这个VPN设备会把数据包加密封装然后发出。 VPN设备和一个具体的设备绑定，当加密封装完数据后使用具体的物理设备将数据发送到网络中。 VPN虚拟设备的绑定 桥模式下， VPN虚拟设备绑定桥设备。它将使用桥设备的主IP提供VPN服务，并加密后封装时源地址采用桥设备的主IP。 路由模式下，VPN虚拟设备绑定eth0设备。它将使用eth0设备的IP提供VPN服务，并加密后封装时源地址采用eth0设备的IP。 ADSL拨号的情况下，VPN虚拟设备绑定拨号设备ppp0。 隧道是什么形式 隧道在防火墙上存在的形式是VPN中的安全联盟数据库SADB与安全策略数据库SPDB。SADB中保存着一个一个密码保险箱，每个密码箱有一个号码，这个号码叫安全参数索引SPI。对本地子网到对方子网使用哪一个密码保险箱，它存在于SPDB中。 隧道是什么形式 建立完隧道将在安全联盟数据库中增加两条记录，一条向外发送时使用的密码保险箱，一条是验证与解密远程发过来的密码保险箱。 建立完隧道将在SPDB数据库中增加一条记录，他将记录对本地保护子网到远程保护子网使用哪一个密码箱。 还会在路由表中增加一条记录，将本地保护子网到远程保护子网的通信路由转发到VPN虚拟设备进行隧道处理。 察看SADB与SPDB的方法 在防火墙命令控制台上执行ipsec spi。将显示SADB数据库的内容。 在防火墙命令控制台上执行ipsec eroute。将显示SPDB数据库的内容。 在防火墙命令控制台上执行route –n，防火墙通过路由表控制将那些数据包交付隧道进行加密封装处理。通过路由表可以看到去往目的子网的数据包的设备是ipsec0。如果没有找到安全联盟，那么数据包不作处理交给防火墙安全策略处理。 隧道对本地子网到远程子网的处理 系统路由表将数据转交给VPN虚拟设备ipsec0上，所以防火墙2.3不能实现VPN的透明接入，防火墙后的路由或三层交换必须将本地子网到远程子网的通信路由到防火墙。防火墙2.5通过防火墙规则将数据交给ipsec0隧道设备，可以实现透明接入。 虚拟设备将查找安全策略数据库SPDB，找到使用SADB中的哪个密码箱（安全联盟）进行处理。 根据安全联盟中的算法、密钥等信息对数据包进行加密封装。也就是放到密码箱中发送给远程VPN。 隧道对远端子网到本地子网的处理 当VPN收到远程VPN发过来的密码箱，根据密码箱的号码，选用SADB中的安全参数验证密码箱的来源可靠，解密其中的信息。 这样就得到了还原后的原始内网数据包，然后数据包重新入栈，就像防火墙又收到一个数据包一样处理。防火墙然后将这个内网数据包交给目的主机，或内网的路由器、三层交换机。 隧道与防火墙安全策略的关系 在本地到对端子网处理时路由到VPN虚拟设备之前，要受到防火墙安全策略的限制。 在对端子网到本地子网处理完重新入栈时将受到防火墙安全策略的限制。 如果在添加隧道时，选择了“自动启用防火墙规则”后，建立隧道时会自动将安全规则放开。 隧道的建立的过程 防火墙加载隧道，向远程VPN发送协商消息。 防火墙每加载一个隧道，系统增加了一个连接，并维护与此连接相关协商状态。 使用IKE协商安全联盟SA。IKE使用UDP的500端口进行密钥交换，如果进行NAT穿越，端口漂移到UDP的4500端口。 连接 连接包括固定IP地址或域名网关之间隧道、固定IP地址或域名网关与任意地址网关隧道、VPN客户端隧道。分别是： 本地子网—本防火墙[证书身份]==远程防火墙[证书身份]—远程保护子网。 本地子网—本防火墙[证书身份]==任意地址防火墙[证书身份]—远程保护子网。 本地子网—本防火墙[证书身份]==VPN客户端[证书身份]—客户端地址所在范围。 如果没有使用证书作为身份认证，证书身份部分就为空。 执行ipsec auto –status可以看到防火强加载连接的情况。 任意地址VPN连接和VPN客户端连接特点 任意地址防火墙连接，可以接受任意防火墙地址的连接。但是需要两个防火墙通过互相认证，并且本地、远端