企业VPN数据传输流量走向解密

企业VPN应用场景

1. 场景介绍：如图为一企业vpn应用场景，总部出口为一台AD交付设备，分支结构出口为一台AC（上网行为管理设备），现用一数据包分析分支PC2访问HTTP服务器，数据包的走向及数据包地址的变换，看懂了这个VPN工作流程就弄明白了。
2. 发包过程------PC2发出数据包1-1sip：172.172.10.10，dip：172.172.3.100，sport：50000，dport：80，protocol：tcp，data：数据；默认情况下次数据包会直接发送到AC设备，AC没有去往172.172.3.100的路由，AC此时将不知道将数据包发往何处。由于总部和分支要走VPN，所以应该在AC中添加去往172.172.3.100的路由，下一跳转发给VPN即172.172.10.3.此时数据包1-1将被转发给VPN。
3. vpn设备将数据包1-1封装，变成数据包1-2，sip：172.172.10.3，dip：202.96.137.88，sport：40000，dport：4009，protocol：tcp，data：加密的原始数据包；封装的数据包1-2中的目标ip和端口，是分支vpn和总部vpn协商的参数，走vpn的流就会按此形式封装。
4. 数据包1-2由vpn设备发送到AC，数据包经过AC，源地址会再次改变，变成数据包1-3，sip：202.96.139.99，dip：202.96.137.88，sport：40000，dport：4009，protocol：tcp，data：加密的原始数据包。此时数据包通过公网传送至总部AD设备出口处。
5. AD上4009端口，为总部vpn映射的端口，此时数据包1-3会被转换为数据包1-4，sip：202.96.139.99，dip：172.172.2.200，sport：40000，dport：4009，protocol：tcp，data：加密的原始数据包。并将数据包1-4转发到vpn设备。
6. vpn收到数据包1-4后，对其进行解封装，得到原来的数据包1-1，sip：172.172.10.10，dip：172.172.3.100，sport：50000，dport：80，protocol：tcp，data：数据；vpn根据数据包1-1地址转发给相应设备即HTTP服务器，至此数据包发送成功。
7. 回包过程-------服务器发出数据包2-1sip：172.172.3.100，dip：172.172.10.10，sport：80，dport：50000，protocol：tcp，data：数据；服务器将数据包发送至防火墙，默认情况下防火墙不会把数据包发送给VPN，所以在防火墙添加去往172.172.10.0网段的路由，下一跳为172.172.2.200，此时数据包2-1转发到vpn设备。
8. vpn收到数据包2-1后将其进行封装成数据包2-2，sip：172.172.2.200，dip：202.96.139.99，sport：4009，dport：40000，protocol：tcp，data：加密的原始数据包；并将数据包2-2发送到总部出口设备，数据包2-2经过出口设备后，源地址会改变，变为数据包2-3，sip：202.96.137.88，dip：202.96.139.99，sport：4009，dport：40000，protocol：tcp，data：加密的原始数据包；数据包2-3从公网传送到分支出口设备AC。
9. AC根据内部地址转换表，将数据包2-3转换成数据包2-4，sip：202.96.137.88，dip：172.172.10.3，sport：4009，dport：40000，protocol：tcp，data：加密的原始数据包；转发给vpn设备。
10. VPN对数据包2-4进行解封装，得到数据包2-1，ip：172.172.3.100，dip：172.172.10.10，sport：80，dport：50000，protocol：tcp，data：数据；到此回包成功。
11. 总结：VPN成功的关键之处，处于内网的VPN设备，应做端口映射；与终端相连的三层设备，默认不会把数据转发给VPN设备，一定要做引流到VPN设备。