企业VPN数据传输流量走向解密 _VPN

文章插图
企业VPN应用场景

场景介绍：如图为一企业vpn应用场景，总部出口为一台AD交付设备，分支结构出口为一台AC（上网行为管理设备），现用一数据包分析分支PC2访问HTTP服务器，数据包的走向及数据包地址的变换，看懂了这个VPN工作流程就弄明白了。
发包过程------PC2发出数据包1-1sip：172.172.10.10 ， dip：172.172.3.100 ， sport：50000 ， dport：80 ， protocol：tcp ， data：数据；默认情况下次数据包会直接发送到AC设备， AC没有去往172.172.3.100的路由， AC此时将不知道将数据包发往何处。由于总部和分支要走VPN ，所以应该在AC中添加去往172.172.3.100的路由，下一跳转发给VPN即172.172.10.3.此时数据包1-1将被转发给VPN 。
vpn设备将数据包1-1封装，变成数据包1-2 ， sip：172.172.10.3 ， dip：202.96.137.88 ， sport：40000 ， dport：4009 ， protocol：tcp ， data：加密的原始数据包；封装的数据包1-2中的目标ip和端口，是分支vpn和总部vpn协商的参数，走vpn的流就会按此形式封装。
数据包1-2由vpn设备发送到AC ，数据包经过AC ，源地址会再次改变，变成数据包1-3 ， sip：202.96.139.99 ， dip：202.96.137.88 ， sport：40000 ， dport：4009 ， protocol：tcp ， data：加密的原始数据包。此时数据包通过公网传送至总部AD设备出口处。
AD上4009端口，为总部vpn映射的端口，此时数据包1-3会被转换为数据包1-4 ， sip：202.96.139.99 ， dip：172.172.2.200 ， sport：40000 ， dport：4009 ， protocol：tcp ， data：加密的原始数据包。并将数据包1-4转发到vpn设备。
vpn收到数据包1-4后，对其进行解封装，得到原来的数据包1-1 ， sip：172.172.10.10 ， dip：172.172.3.100 ， sport：50000 ， dport：80 ， protocol：tcp ， data：数据；vpn根据数据包1-1地址转发给相应设备即HTTP服务器，至此数据包发送成功。
回包过程-------服务器发出数据包2-1sip：172.172.3.100 ， dip：172.172.10.10 ， sport：80 ， dport：50000 ， protocol：tcp ， data：数据；服务器将数据包发送至防火墙，默认情况下防火墙不会把数据包发送给VPN ，所以在防火墙添加去往172.172.10.0网段的路由，下一跳为172.172.2.200 ，此时数据包2-1转发到vpn设备。
vpn收到数据包2-1后将其进行封装成数据包2-2 ， sip：172.172.2.200 ， dip：202.96.139.99 ， sport：4009 ， dport：40000 ， protocol：tcp ， data：加密的原始数据包；并将数据包2-2发送到总部出口设备，数据包2-2经过出口设备后，源地址会改变，变为数据包2-3 ， sip：202.96.137.88 ， dip：202.96.139.99 ， sport：4009 ， dport：40000 ， protocol：tcp ， data：加密的原始数据包；数据包2-3从公网传送到分支出口设备AC 。
AC根据内部地址转换表，将数据包2-3转换成数据包2-4 ， sip：202.96.137.88 ， dip：172.172.10.3 ， sport：4009 ， dport：40000 ， protocol：tcp ， data：加密的原始数据包；转发给vpn设备。
VPN对数据包2-4进行解封装，得到数据包2-1 ， ip：172.172.3.100 ， dip：172.172.10.10 ， sport：80 ， dport：50000 ， protocol：tcp ， data：数据；到此回包成功。
总结：VPN成功的关键之处，处于内网的VPN设备，应做端口映射；与终端相连的三层设备，默认不会把数据转发给VPN设备，一定要做引流到VPN设备。