【愚公系列】2021年12月 网络工程-虚拟网络

文章目录

• 前言
• 一、虚拟网络NPV（逆着读）

前言

NPV（逆着读）一般指虚拟专用网络。 虚拟专用网络(NPV（逆着读）)的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。NPV（逆着读）网关通过对数据包的加密和数据包目标地址的转换实现远程访问。NPV（逆着读）可通过服务器、硬件、软件等多种方式实现。

提示：以下是本篇文章正文内容，下面案例可供参考

一、虚拟网络NPV（逆着读）

1、NPV（逆着读）（Virtual Private Network） 虚拟专有网络 虚拟专网 2、引入 NPV（逆着读）可以实现在不安全的网络上，安全的传输数据，好像专网！ NPV（逆着读）只是一个技术，使用PKI技术，来保证数据的安全三要素

1. 安全三要素： 1）机密性 2）完整性 3）身份验证

4、加密技术： 1）对称加密：加密与解密使用相同的密钥 密钥是通信双方协商生成，生成过程是明文通信！ 密钥容易泄露！ 速度快！ 对称加密算法：DES、3DES、AES 2）非对称加密算法：使用公私钥加密数据 公私钥成对生成，互为加解密关系！ 公私钥不能互相推算！ 双方交换公钥 使用对方的公钥加密实现机密性 使用自己的私钥进行签名，实现身份验证 速度慢，安全性高 常见算法：RSA、DH 5.完整性算法/hash值算法： MD5 SHA

6.NPV（逆着读）的类型： 1）远程访问NPV（逆着读）：（Remote Access NPV（逆着读）） 一般用在个人到安全连接企业内部！ 一般出差员工/在家办公，安全连接内网时使用！ 一般公司部署NPV（逆着读）服务器，员工在外拨号连接NPV（逆着读）即可！ 常见RA-NPV（逆着读）协议：PPTP NPV（逆着读）、L2TP NPV（逆着读）、SSTP NPV（逆着读） EZNPV（逆着读）/easyNPV（逆着读）、SSL NPV（逆着读） 2）点到点NPV（逆着读） 一般用在企业对企业安全连接！ 一般需要在两个企业总出口设备之间建立NPV（逆着读）通道！ 常见的点到点NPV（逆着读）：IPsecNPV（逆着读）

7.IPsecNPV（逆着读）： 1）属于点到点NPV（逆着读），可以在2家企业之间建立NPV（逆着读）隧道！ 2）NPV（逆着读）隧道优点：安全性！ 合并俩家企业内网！ 3）NPV（逆着读）隧道技术： 1）传输模式：只加密上层数据，不加密私有IP包头，速度快 2）隧道模式：加密整个私有IP包，包括IP包头，更安全，速度慢

4）NPV（逆着读）隧道技术：重新封装技术+加密认证技术

5）IPsecNPV（逆着读）分为2大阶段： 第一阶段：管理连接 目的：通信双方设备通过非对称加密算法加密对称加密算法所使用的对称密钥！ 命令： conf t （ IKE） crypto isakmp policy 1 （传输集/策略集） encryption des/3des/aes hash md5/sha group 1/2/5 authentication pre-share lifetime 秒 （默认86400秒） exit crypto isakmp key 预共享密钥 address 对方的公网IP地址

第二阶段：数据连接 目的：通过对称加密算法加密实际所要传输的私网数据！ 定义NPV（逆着读）触发流量： access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255

定义加密及认证方式： conf t crypto ipsec transform-set 传输模式名 esp-des/3des/aes esp/ah-md5/sha-hmac 例: crypto ipsec teansform-set wentran esp-aes esp-sha-hmac

ESP：支持加密及认证（身份验证+完整性） AH：只支持认证（身份验证+完整性）

创建MAP映射表： conf t crypto map map名 1 ipsec-isakmp match address acl表名 set transform-set 传输模式名 set peer 对方的公网IP exit

crypto map wenmap 1 ipsec-isakmp match address 100 set transform-set wentran set peer 200.1.1.2 exit crypto map wenmap 2 ipsec-isakmp match address 101 set transform-set wentran set peer 150.1.1.2 exit

将map表应用到外网端口： int f0/1（外网端口） crypto map wenmap exit ****注意：一个接口只能应用一个map表！！！！！

1. 查看命令： show crypto isakmp sa 查看第一阶段状态 show crypto ipsec sa 查看第二阶段状态

show crypto isakmp policy 查看第一阶段的策略配置集 show crypto ipsec transform-set 查看第二阶段的传输模式

9.路由器的工作原理： 内网–to–外网： 路由–NAT–NPV（逆着读）–出去

实验1：北京–上海–建立NPV（逆着读）隧道，并验证 实验2：在实验1的基础上，要求2个公司能上网，但不影响NPV（逆着读）隧道 实验3：在实验1和2的基础上，要求北京总部与广州新成立的分公司也建立NPV（逆着读）隧道 可选： 实验4：在1-3的基础上，要求广州和上海之间不建立NPV（逆着读）隧道，但广州和上海可以互相安全的通信！

10.远程访问NPV（逆着读）：（扩展知识点） 在公司需要搭建NPV（逆着读）服务器 NPV（逆着读）服务器需要对NPV（逆着读）客户端进行身份验证 NPV（逆着读）服务器需要给NPV（逆着读）客户端下发权限及IP地址