« Back
in 安全 VPN 思科 read.

VPN理论8

VPN封装流程:

VPN封装流程

 

VPN协商过程:

 

VPN协商流程

 

1,路由

2,列表

3,策略

4,调用

 

路由问题:

通讯点:需要知道对端通讯点路由

加密点:需要知道对端加密点及两端通讯点路由

 

列表问题:

如果被列表匹配,只有两种解决方案:

1,加密出去,

2,没有完成加密丢弃

 

调用问题:

应该选择在所有可能的路由出接口调用。

 

Ipsec vpn 协商及封装过程:

1,从R1去往R6发起vpn流量   ping 6.6.6.6 so 1.1.1.1

2,查看路由表,经由2到3

3,R3收到包,查路由,发现是穿越流量,并选择出接口

4,R3转发流量时,选择的出接口挂了map,出向流量需要做流量检查

5,如果没有被acl匹配,流量正常转发

6,如果被列表匹配,就必须协商ipsec vpn,并加密封装出去。

7,要求加密时,检查是否有匹配的ipsec sa,如果有,就是用匹配的出向sa信息加密,然后转发

8,如果没有ipsec sa,就检查是否存在匹配的isakmp sa,然后在isakmp sa的基础上协商ipsec sa

9,如果连isakmp sa都没有,就检查add及pre-share key,协商isakmp sa ,有了isakmp sa 再协商ipsec sa 然后加密,转发。

10,如果是加密点等于通讯点,则建议选择传输模式(默认通道模式),

11,传输模式包结构:由于加密点等于通讯点,通讯点为全局可路由地址,所以,可以保留原ip头部,在原头部后面直接插入esp头,如下:

传输模式

 

传输模式ESP头

12 ,如果是加密点不等于通讯点,由于通讯点路由为私网路由,非全局可路由。所以只能选择通道模式,将原有ip头整个封装,产生新的全局可路由ip头和esp头。

通道模式

 

通道模式ESP头

 

13, ipsec vpn的隧道协商是由udp 500(isakmp)协议进行协商的

14,在互联网上他只是一个源自于3,去往4的esp包

15,当4收到这个包时,首先检查ip头和路由,判定为抵达流量,检查高级协议头为esp(50) 交由上层协议处理。

16,上层协议首先检查spi在本端数据库内是否有匹配,如果没有,丢弃,如果有在检查sn号码及窗口大小,判定是否是需要的包,如果sn码符合,且在窗口大小范围内,判定为合法包,且窗口开始扩大。

17,验证hash,如果匹配,再根据入向spi内容及包头携带的IV字段进行解密。

18,如果是传输模式,那么解密以后直接交由上层协议处理。

19,如果是隧道模式,那么包结构为ip in ip 解密后检查包头,然后正常路由。

 

vpn配置的4大块:

1.路由 清楚加密点和通信点需要什么的路由

通信点需要知道对方通信点路由。加密点需要知道对方加密点路由,以及两端通信点路由。

2.感兴趣流量 对什么样的流量进行加密

3.策略

4.调用

 

路由器上面会自动开启isakmp

防火墙上面必须手动开启isakmp