《计算机网络安全防护技术（第二版）》课件 （秦燊）第4章 虚拟专用网技术.pptx

第4章虚拟专用网技术;随着A公司的发展壮大，在多地开设了分公司，总公司和各分公司之间的网络需要互连；在家办工的员工以及出差的员工需要连接到公司内网；供货商、销售商也需要连接到公司的外联网。传统的专线连接，虽然可以确保总公司与分公司间网络连接的安全性，但布署成本高、变更不灵活。出差的员工虽然可以通过远程拨号接入公司内网，但速度慢、费用高。而虚拟专用网（VirtualPrivateNetwork，VPN）技术，能利用因特网或其他公共互联网络的基础设施，创建一条安全的虚拟专用网络通道，是公司建立自己的内联网（Intrannet）和外联网（Extranet）的最好选择。

虚拟专用网络，一方面是虚拟的，它的传输通道可以是因特网这样的共享资源，因为共享，所以费用低。另一方面，它又是专用的，利用加密技术和隧道技术，可以为分处各地的公司节点构建出一条安全的专用隧道，确保数据的私密性（Confidentiality）、完整性（Integrity）和源认证（Authentication）等得到保障。再一方面，它是灵活的，只需通过软件配置，就可以方便的增删用户，扩充分支接入点。;加密技术是虚拟专用网络的基础，安全隧道技术是虚拟专用网络的核心。安全隧道技术实质上是一个加密、封装、传输和拆封、解密的过程。虚拟专用网络传输数据的过程形式多样，为便于理解，抽取一种典型的情况举例说明：公司分部与公司总部分处两地，运用VPN技术，通过因特网，将它们连接成一个专用网络。现从公司分部，以私网IP地址访问公司总部的网络。

首先，发送端的明文流量进入VPN设备，根据访问控制列表和安全策略决定该流量是直接明文转发，还是加密封装后进入安全隧道转发，还是将该流量丢弃。

若需进入安全隧道，先把包括私网IP地址在内的数据报文进行加密，以确保数据的私密性；再将安全协议头部、加密后的数据报文和预共享密钥与一起进行HASH运算提取指纹，即进行HMAC，以确保数据的完整性和源认证；再封装上新的公网IP地址，转发进入公网。

数据在公网传输的过程，即是在安全隧道中传输的过程，除了公网IP地址是明文的，其它部分都被加密封装保护起来了。

数据到达隧道的另一端，即到达公司总部后，先由VPN设备对数据包进行装配、还原，经过认证、解密，获取、查看其私网目的IP地址，转发到公司总部的目的地。;任务4.1IPSECVPN;隧道模式中，用户的整个IP数据包被加密后封装在一个新的IP数据包中，新的源和目的IP地址是隧道两端的两个安全网关的IP地址，原来的IP地址被加密封装起来了。攻击者截获数据后，不但无法破解数据内容，而且也无法了解通信双方的地址信息。隧道模式适用于站点到站点间建立隧道，保护站点间的通信数据，如跨越公网的总公司和分公司、移动用户通过公网访问公司内网等场景。

IPSECVPN的传输分为两个阶段，协商阶段和数据传输阶段。

如图4-1-1所示，打开EVE-NG，搭建实验拓扑。;一、基础配置：

1.IP地址配置：

VPCS1ip54

R1(config)#intg0/1

R1(config-if)#ipadd54

R1(config-if)#noshu

R1(config-if)#intg0/0

R1(config-if)#ipadd

R1(config-if)#noshu

R2(config)#intg0/0

R2(config-if)#ipadd

R2(config-if)#noshu

R2(config-if)#intg0/1

R2(config-if)#ipadd

R2(config-if)#noshu;R3(config)#intg0/1

R3(config-if)#ipadd

R3(config-if)#noshu

R3(config-if)#intg0/0

R3(config-if)#ipadd

R3(config-if)#noshu

R4(config)#intg0/0

R4(config-if)#ipadd

R4(config-if)#noshu

R4(config-if)#intg0/1

R4(config-if)#ipadd54

R4(config-if)#noshu

VPCS2ip54;2.配置内网路由

（1）总公司网络内部互通，配置如下：

R2(config)#iproute

（2）为总公司内部路由器R1配置默认路由：

R1(config)#iproute

（3）分公司网络内部已互通，不需要配置。

3.配置外网路由，使Internet公网互通：

R2(config)#iprout