我們先和海翎光電的小編一起了解一下什么是VPN,VPN的分類。對基礎知識有一定的了解后，我們再來講一下VPN的盲點。

VPN(全稱：Virtual Private Network)虛擬專用網絡，是依靠ISP和其他的NSP，在公共網絡中建立專用的數據通信的網絡技術，可以為企業之間或者個人與企業之間提供安全的數據傳輸隧道服務。在VPN中任意兩點之間的鏈接并沒有傳統專網所需的端到端的物理鏈路，而是利用公共網絡資源動態組成的，可以理解為通過私有的隧道技術在公共數據網絡上模擬出來的和專網有同樣功能的點到點的專線技術，所謂虛擬是指不需要去拉實際的長途物理線路，而是借用了公共Internet網絡實現的。

VPN意義介紹

⑴使用VPN可降低成本——通過公用網來建立VPN，就可以節省大量的通信費用，而不必投入大量的人力和物力去安裝和維護WAN（廣域網）設備和遠程訪問設備。⑵傳輸數據安全可靠——虛擬專用網產品均采用加密及身份驗證等安全技術，保證連接用戶的可靠性及傳輸數據的安全和保密性。⑶連接方便靈活——用戶如果想與合作伙伴聯網，如果沒有虛擬專用網，雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網之后，只需雙方配置安全連接信息即可。⑷完全控制——虛擬專用網使用戶可以利用ISP的設施和服務，同時又完全掌握著自己網絡的控制權。用戶只利用ISP提供的網絡資源，對于其它的安全設置、網絡管理變化可由自己管理。在企業內部也可以自己建立虛擬專用網。

VPN的分類

根據不同的劃分標準，VPN可以按幾個標準進行分類劃分：

1、按VPN的協議分類

VPN的隧道協議主要有三種， PPTP，L2TP和IPSec。其中PPTP和L2TP協議工作在OSI模型的第二層，又稱為二層隧道協議；IPSec是第三層隧道協議，也是最常見的協議。L2TP和IPSec配合使用是目前性能最好，應用最廣泛的一種。

2、按VPN的應用分類

Access VPN (遠程接入VPN)：客戶端到網關,使用公網作為骨干網在設備之間傳輸VPN的數據流量

Intranet VPN (內聯網VPN)：網關到網關,通過公司的網絡架構連接來自同公司的資源

Extranet VPN (外聯網VPN)：與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接

3、按所用的設備類型進行分類：

路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可；

交換機式VPN：主要應用于連接用戶較少的VPN網絡；

防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現方式，許多廠商都提供這種配置類型

常見的隧道協議

PPTP(點對點協議)

PPTP屬于點對點應用，比較適合遠程的企業用戶撥號到企業進行辦公等應用，工作在OSI模型的第二層，只適合windows系統。

L2TP(第2等隧道協議)

第2等隧道協議(L2TP)是IETF基于L2F開發的PPTP的后續版本，工作在OSI模型的第二層。

IPSec(三層隧道協議)

第三層隧道協議，也是最常見的協議。當隧道模式使用IPSEC時，其只為通訊提供封裝。使用IPSec隧道模式主要是為了與其他不支持IPSec上的L2TP或者PPTP VPN隧道技術的路由器、網關或終端系統之間的互相操作。

SSL VPN

SSL協議提供了數據私密性、端點驗證、信息完整性等特性。SSL協議由許多子協議組成，其中兩個主要的子協議是握手協議和記錄協議（對稱加密和非對稱加密向結合的方式進行數據的交換）。

典型的SSL VPN應用：Open VPN，這是一個比較好的開源軟件。Open VPN允許參與建立VPN的單點使用預設的私鑰，第三方證書，或者用戶名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫，以及SSLv3/TLSv1協議。OpenVPN能在Linux、xBSD、MacOS上運行。它并不是一個基于Web的VPN軟件，也不能與IPSec及其他VPN軟件包兼容。

VPN特點

折疊⑴安全保障

VPN通過建立一個隧道，利用加密技術對傳輸數據進行加密，以保證數據的私有性和安全性，（但不要過于相信那些免費連接VPN的軟件，有時可能是一個捆綁式的病毒軟件。）

折疊⑵服務質量保證

VPN可以為不同要求用戶提供不同等級的服務質量保證。

折疊⑶可擴充、靈活性

VPN支持通過Internet和Extranet的任何類型的數據流。

折疊⑷可管理性

VPN可以從用戶和運營商角度方便進行管理。

上面海翎光電的小編講了一些VPN的基礎知識，接下來咱們來看看VPN 盲點。

01 VPN 的連接模式：

① 傳輸模式：

只保護數據，加密傳輸的內容

優點：

效率高

缺點：

不安全

應用場景：

適用于在企業內網中部署 IPsec vpn，不需要封裝新的 IP 包頭。結合 GRE VPN 使用

② 隧道模式：

保護數據和 IP 包頭，重新封裝一個 IP 包頭可以直接在公網上搭建 VPN

優點：

安全性更高

缺點：

效率低

02 VPN 的類型：① 主模式

-----站點到站點 VPN：SITE-to-SITE對方的 IP 地址是固定的。

②積極模式

----遠程訪問 VPN：remote-access 遠程用戶 IP 地址是不固定的。對方的 IP 地址不是固定的，可以用 IP 地址或者域名進行建立連接。

03 VPN 技術：

IPsec vpn 優勢在于能對數據進行保護。

主要用到下面兩種技術：加密算法：① 對稱加密算法：

公鑰加密 公鑰解密DES 數據加密標準 64bit=56bit+8bit3DES 3*（56bit+8bit）AES 高級加密標準 128bit~256bit【最高達到 256bit】

優點：

傳輸效率高

缺點：

安全性較低

② 非對稱加密算法：

公鑰加密 私鑰解密【私鑰始終沒有在公網上傳輸】DH

優點：

安全性更高

缺點：

傳輸效率低

問題：

使用對稱加密算法密鑰可能被竊聽，使用非對稱加密算法，計算復雜，效率太低，影響傳輸速度。

解決方案：

通過非對稱加密算法加密對稱加密算法的密鑰，然后再用對稱加密算法加密實際要傳輸的數據。

04 IPSec VPN 使用的協議：① 階段一：

使用 ISKMAPIKE 因特網密鑰交換協議【統稱】

ISKMAP：

安全關聯和密鑰管理協議【具體實現協議】

② 階段二：

使用 ESP AH

ESP：

封裝安全載荷協議

ESP 對用戶數據實現加密功能

ESP 只對 IP 數據的有效載荷進行驗證，不包括外部的 IP 包頭

AH：

認證頭協議

數據完整性服務

數據驗證

防止數據回放攻擊

05 IPSec VPN 建立的兩個階段：階段 1：建立管理連接，

建立一個安全的 VPN 通道，定義密鑰與及加密算法參數【非對稱加密算法，對稱加密算法】

階段一建立過程中：① 主模式-

----站點到站點 VPN：SITE-to-SITE對方的 IP 地址是固定的，主模式協商階段一的時候，使用到 6 個數據包。注：前 4 個報文為明文傳輸，從第 5 個數據報文開始為密文傳輸。

② 積極模式

----遠程訪問 VPN：對方的 IP 地址不是固定的，可以用 IP 地址或者域名進行建立連接

階段 2：建立數據連接，

配置 IPSec VPN 條件：1） 建立 VPN 的兩個對等體公網要能夠通信2） VPN 的流量要做 NAT 分離ESP 支持加密和認證AH 只支持認證

06 配置 IPSec VPN：階段 1：定義管理連接，

crypto isakmp policy 10------設置 IKE 策略，policy 后面跟 1-10000 的數字，這些數字代表策略的優先級。encr 3des-----加密算法使用 3deshash md5---- hash 算法使用 MD5authentication pre-share----采用欲共享密鑰認證方式group 2-----采用第二個組的長度【共有 1、2、6 三個組可以選擇】crypto isakmp key CCIE address 23.1.1.2----設置 IKE 交換的密鑰，CCIE 表示密鑰組成，23.1.1.2 表示對方的 IP 地址

驗證命令：

R2#show crypto isakmp policy 查看階段 1 的 IKE 策略R2# show crypto isakmp keyR1#show crypto isakmp sa 查看階段 1 是否協商成功IPv4 Crypto ISAKMP SA

階段 2 的配置命令

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255！crypto ipsec transform-set SPOTO esp-aes esp-md5-hmaccrypto map MAP 10 ipsec-isakmpset peer 23.1.1.2set transform-set SPOTOmatch address 101！interface Serial1/0crypto map MAP

驗證命令：

R1#show crypto ipsec transform-setR1#show crypto mapR1#show crypto ipsec sa

審核編輯黃宇