目录
IPsec
网段特点:
技术优势
技术劣势
相关技术配置:
PPTP
网段特点
技术优势
技术劣势
相关技术配置
VPN和NAT的冲突
情况一:NAT设备和VPN设备不是同一个,nat在VPN之后
情况二:NAT设备和VPN设备为同一个
情况三:PPTP客户端的NAT转换
最近,在学习关于校园网安全接入的项目,其中涉及到IPsec和PPTP的使用和配置情况。顺便介绍下关于其中常用技术。
IPsec
IPsec一般用于以确定的子网间的隧道连接建立,如该种情况(校外教职工家属区子网内(家属网)的人员,需要安全访问校内服务资源),情况拓扑下图所示:
网段特点:
对于这类型的网段有如下的特点:
(1)网段具有固定且已知路由器。
(2)人员相对安全,无太多闲杂人等,不太要求用户自行主认证。
(3)需要更加方便、透明化。
(4)需要保护、加密、安全的数据传输。
(5)该网段内设备众多,为重量化的连接。
技术优势
(1)安全性:IPsec更安全,因为它使用更强大的加密算法和身份验证方法,如AES和SHA-2。
(2)透明性:IPsec对应用程序是透明的,应用程序不需要进行任何更改或配置,因为IPsec可以在网络层实现。
(3)灵活性:IPsec可以通过不同的组合配置来满足不同的安全需求,如只提供加密,只提供认证等。
(4)身份验证:IPsec可以通过各种方式进行身份验证,包括密码、数字证书和双因素认证。
(5)一劳永逸性:IPsec 可能可以使用预共享密钥方式进行认证,密钥是配置在IPsec网关上的,在IPsec协商完成后即建立通道,IPsec网关所保护的主机在进行通信时无需输入帐户名和密码。
(6)高负载性:IPsec可以支持点对点、网对网等多种连接方式,并且可以通过部署IPsec集线器来集中管理和配置连接,从而简化管理和提高效率,高负载的情况连接更稳定,速度更快。
技术劣势
(1)配置复杂:IPsec的配置较为复杂,需要对网络安全和加密等方面有一定的了解和技能,配置过程中容易出现错误,从而导致连接失败或不稳定。
(2)轻量级的时候效率较低。
(3)可能需要在通信双方的路由器或防火墙上进行配置,对网络拓扑和结构有一定的要求。
(4)和NAT共同使用的时候IPsec的协议头中的源和目标地址被更改,这可能导致IPsec连接失败;IPsec隧道中的协商过程需要在双方能够互相访问时才能成功,而NAT可能会导致IPsec设备无法访问对方。
相关技术配置:
以锐捷路由器为例需要进行以下的主要配置:
(1)假如使用IKE的方式进行,配置IKE:
crypto isakmp enable
crypto isakmp policy 1
authentication pre-share
encrytiong 3des(2)配置预共享密钥和变换集合
crypto isakmp key preword address 2.2.2.1
crypto ipsec transform-set myset esp-des esp-md5-hmac(3)定义一个加密映射集合
crypto map mymap 5 ipsec-isakmp
set peer 2.2.2.1
set transform-set myset
match address 101
interface FastEthernet0
ip address 192.168.202.1 255.255.255.0(4)将加密映射应用到接口
interface Serial0
ip address 2.2.2.2 255.255.255.0
encapsulation ppp
crypto map mymap
ip route 0.0.0.0 0.0.0.0 Serial0(5)定义加密访问列表,对 192.168.202.0/24 和 192.168.12.0/24 子网之间的 IP 通
信进行保护
access-list 101 permit ip 192.168.202.0 0.0.0.255 192.168.12.0
0.0.0.255 (6)如果不适用IKE而是用手工的方式进行安全联盟则如下
# 定义变换集合
crypto ipsec transform-set myset esp-des esp-md5-hmac
# 定义一个加密映射集合
crypto map mymap 5 ipsec-manual
set peer 2.2.2.1
set session-key inbound esp 300 cipher abcdef1234567890 authenticator abcdef1234567890abcdef1234567890
set session-key outbound esp 301 cipher abcdef1234567890 authenticator abcdef1234567890abcdef1234567890
set transform-set myset
match address 101
interface FastEthernet0
ip address 192.168.202.1 255.255.255.0PPTP
PPTP一般用于以非确定的子网中终端设备和确定网段之间的隧道连接建立,如该种情况(校外教职工家属区子网以外(陌生网)的其他校外用户,需要访问校内服务资源),情况拓扑下图所示:
网段特点
(1)陌生网用户不具有固定统一路由器。
(2)陌生网用户不一定安全,需用户自行主认证。
(3)可能用户端的终端设备不同、操作系统不同。
(4)需要保护、加密、安全的数据传输。
(5)一般为临时性,为轻量化连接。
技术优势
(1)易于部署:PPTP协议是一种基于PPP协议的虚拟隧道技术,使用较为简单,部署起来比较容易,服务端路由器进行配置后,用户端只需要拨号连接即可。其实SSL 虚拟隧道也可以不过需要远程用户安装支持ssl的浏览器并且安装指定插件,较为繁琐。
(2)高效性:PPTP协议在数据传输中使用了基于GRE(Generic Routing Encapsulation)协议的封装技术,能够实现较高的传输速度和较低的延迟。
(3)支持多种认证方式:PPTP协议支持多种认证方式,包括本地用户、域用户、RADIUS认证和Windows NT Challenge/Response认证等。
(4)支持多种加密算法:PPTP协议支持多种加密算法,包括MPPE、DES和3DES等。
(5)兼容性好:PPTP协议可以在多种平台上使用,包括Windows、Linux、Mac OS等。
技术劣势
(1)安全性较低:PPTP协议的加密算法较为简单,易受到攻击,容易被黑客破解。因此,在对安全性要求较高的网络中,不建议使用PPTP协议。
(2)可扩展性较差:PPTP协议是基于点对点连接的,对于大规模的网络环境,其可扩展性较差,无法满足高性能、高可靠性的需求。
(3)NAT穿越问题:PPTP协议在NAT设备后面的网络中使用时,可能会遇到无法穿越NAT设备的问题,从而导致连接失败。
(4)可管理性较差:PPTP协议的配置比较繁琐,需要手动配置,对于管理人员来说,操作起来比较困难,管理起来比较复杂。
相关技术配置
以锐捷路由器为例需要进行以下的主要配置:
(1)VPDN开启
vpdn enable(2)创建VPDN组
vpdn-group pptp(3)VPDN组的参数配置
accept-dialin //允许拨号
protocol pptp //支持pptp
virtual-template 1 //虚拟接口(4)配置PPTP用户名和密码
username pc password 0 1111(5)pptp本地地址池(不能和内网冲突)
ip local pool pptp 1.1.1.2 1.1.1.254(6)配置虚拟接口
interface Virtual-Template 1
ppp authentication pap
ip unnumbered FastEthernet 0/1
peer default ip address pool pptp远程客户端进行如下配置:
在“网络和拨号连接”中新建连接,“网络连接类型”选择“通过 Internet连接到专用网络”,“公用网络”选择“不拨初始连接”,填入目标地址为192.168.201.123,命名此连接名称为 Vpdnconnect。在 Vpdnconnect 的属性中,指定 VPDN 服务器的类型为 PPTP,并在安全设置中定义使用 PAP 认证及可选加密。在点击呼叫时,输入路由器所配置的用户名 PC 和密码 1111。
VPN和NAT的冲突
情况一:NAT设备和VPN设备不是同一个,nat在VPN之后
对于这种情况,nat会将vpn封装的外层ip地址进行修改从而导致无法正常转发到目的地,这种时候需要利用NAT穿透技术进行处理,介于网上很多方法进行介绍就不再阐述。
情况二:NAT设备和VPN设备为同一个
对于这种情况,一般的设备发送报文的时候,会先判断进行nat再判断进行vpn封装,而内层ip不能进行nat地址转换,因此我们可以利用nat策略(华为路由器)或者是acl控制列表(锐捷路由器)等的方式,控制当源地址或者目的地址为私网网段内地址的时候不进行nat地址转换,即可避免冲突。
情况三:PPTP客户端的NAT转换
了解pptp的读者们应该知道,pptp隧道建立在终端设备和对端网关之间,当远程终端设备发送信息的时候,会先进行GRE封装,随后发送出去,如果当终端设备所在网段网关开启了NAPT服务的时候,此时由于GRE封装,无法获取其TCP或者UDP的端口号,从而无法正常发送。
此时就需要该网关开启pptp的nat服务(一般默认开启),该服务可以利用GRE包头中的call id 和peer call id(两者对隧道进行唯一标识)作为端口号,从而实现NAPT,将外层IP中的私网地址转成公网地址,在广域网中进行传输。
开启服务命令如下:
Ruijie(config)# ip nat translation pptp假如隧道建立如下所示,且非家属去网关具有NAPT功能,则在非家属区的网关上开启该服务功能即可。
文章来源:https://www.toymoban.com/news/detail-736313.html
如果觉得我的回答对您有帮助,可以帮忙点个赞,支持一下,QWQ。文章来源地址https://www.toymoban.com/news/detail-736313.html
到了这里,关于IPsec和PPTP技术介绍和对应配置 以及 NAT和PPTP以及IPsec冲突解决的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
