<返回更多

企业VPN数据传输流量走向解密

2020-04-16    
加入收藏

企业VPN数据传输流量走向解密

企业VPN应用场景

  1. 场景介绍:如图为一企业vpn应用场景,总部出口为一台AD交付设备,分支结构出口为一台AC(上网行为管理设备),现用一数据包分析分支PC2访问HTTP服务器,数据包的走向及数据包地址的变换,看懂了这个VPN工作流程就弄明白了。
  2. 发包过程------PC2发出数据包1-1sip:172.172.10.10,dip:172.172.3.100,sport:50000,dport:80,protocol:tcp,data:数据;默认情况下次数据包会直接发送到AC设备,AC没有去往172.172.3.100的路由,AC此时将不知道将数据包发往何处。由于总部和分支要走VPN,所以应该在AC中添加去往172.172.3.100的路由,下一跳转发给VPN即172.172.10.3.此时数据包1-1将被转发给VPN。
  3. vpn设备将数据包1-1封装,变成数据包1-2,sip:172.172.10.3,dip:202.96.137.88,sport:40000,dport:4009,protocol:tcp,data:加密的原始数据包;封装的数据包1-2中的目标ip和端口,是分支vpn和总部vpn协商的参数,走vpn的流就会按此形式封装。
  4. 数据包1-2由vpn设备发送到AC,数据包经过AC,源地址会再次改变,变成数据包1-3,sip:202.96.139.99,dip:202.96.137.88,sport:40000,dport:4009,protocol:tcp,data:加密的原始数据包。此时数据包通过公网传送至总部AD设备出口处。
  5. AD上4009端口,为总部vpn映射的端口,此时数据包1-3会被转换为数据包1-4,sip:202.96.139.99,dip:172.172.2.200,sport:40000,dport:4009,protocol:tcp,data:加密的原始数据包。并将数据包1-4转发到vpn设备。
  6. vpn收到数据包1-4后,对其进行解封装,得到原来的数据包1-1,sip:172.172.10.10,dip:172.172.3.100,sport:50000,dport:80,protocol:tcp,data:数据;vpn根据数据包1-1地址转发给相应设备即HTTP服务器,至此数据包发送成功。
  7. 回包过程-------服务器发出数据包2-1sip:172.172.3.100,dip:172.172.10.10,sport:80,dport:50000,protocol:tcp,data:数据;服务器将数据包发送至防火墙,默认情况下防火墙不会把数据包发送给VPN,所以在防火墙添加去往172.172.10.0网段的路由,下一跳为172.172.2.200,此时数据包2-1转发到vpn设备。
  8. vpn收到数据包2-1后将其进行封装成数据包2-2,sip:172.172.2.200,dip:202.96.139.99,sport:4009,dport:40000,protocol:tcp,data:加密的原始数据包;并将数据包2-2发送到总部出口设备,数据包2-2经过出口设备后,源地址会改变,变为数据包2-3,sip:202.96.137.88,dip:202.96.139.99,sport:4009,dport:40000,protocol:tcp,data:加密的原始数据包数据包2-3从公网传送到分支出口设备AC。
  9. AC根据内部地址转换表,将数据包2-3转换成数据包2-4,sip:202.96.137.88,dip:172.172.10.3,sport:4009,dport:40000,protocol:tcp,data:加密的原始数据包;转发给vpn设备。
  10. VPN对数据包2-4进行解封装,得到数据包2-1,ip:172.172.3.100,dip:172.172.10.10,sport:80,dport:50000,protocol:tcp,data:数据到此回包成功。
  11. 总结:VPN成功的关键之处,处于内网的VPN设备,应做端口映射;与终端相连的三层设备,默认不会把数据转发给VPN设备,一定要做引流到VPN设备。
声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>