首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册

正在浏览:   1 名游客





VPN及其配置示例
网站管理员
注册日期:
1970/1/1 8:00
所属群组:
网站管理员
注册会员
帖子: 56
等级: 6; EXP: 34
HP : 0 / 133
MP : 18 / 19608
离线
VPN的定义
虚拟专网(VPN-VIRTUAL PRIVATE NETWORK)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如INTERNET,ATM,FRAME RELAY等)之上的逻辑网络,用户数据在逻辑链路中传输。


VPN的功能
1、通过隧道(TUNNEL)或虚电路(VIRTUAL CIRCUIT)实现网络互联
2、支持用户安全管理
3、能够进行网络监控、故障诊断


VPN解决方案的优点
1、省钱:它可以节省长途电话费和长途专线电话费和长途专线网络费可以为用户节省30-25%的 网络应用的开销。
2、选择灵活、速度快:通过vpn网关,用户可以选择多种internet连通技术,而且对于 INTERNET的容量可以实现按需定制;
3、安全性好:VPN的认证机制将更好地保证用户的隐私权和收发数据的完整性;
4、实现投资的保护:VPN技术的应用可以建立在用户现有的防火墙的基础上,用户正在使用的 应用软件也不受影响。


VPN技术原理
1、 VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。
2、 VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。
3、 对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
4、 VPN设备加上新的收据包头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
5、 VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
6、 当数据包到达目标VPN设备时,数据包被解封装,数据包被解封装,数字签名,数字签名被 核对无误后,收据包被解密。


VPN配置实例

Intranet 内联网配置:
Figure 3-8: Intranet VPN Scenario Physical Elements
Headquarters Router 配置
hq-sanjose# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname hq-sanjose
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:hq-sanjose-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.24.2.5
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.24.2.5
set transform-set proposal1
match address 101
!
interface Tunnel0
bandwidth 180
ip address 172.17.3.3 255.255.255.0
no ip directed-broadcast
tunnel source 172.17.2.4
tunnel destination 172.24.2.5
crypto map s1first
!
interface FastEthernet0/0
ip address 10.1.3.3 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface FastEthernet0/1
ip address 10.1.6.4 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.17.2.4 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
ip route 10.1.4.0 255.255.255.0 Tunnel0
!
access-list 101 permit gre host 172.17.2.4 host 172.24.2.5
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end

Remote Office Router 配置:
ro-rtp# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname ro-rtp
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:ro-rtp-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.17.2.4
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.17.2.4
set transform-set proposal1
match address 101
!
interface Tunnel1
bandwidth 180
ip address 172.24.3.6 255.255.255.0
no ip directed-broadcast
tunnel source 172.24.2.5
tunnel destination 172.17.2.4
crypto map s1first
!
interface FastEthernet0/0
ip address 10.1.4.2 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.24.2.5 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
ip route 10.1.3.0 255.255.255.0 Tunnel1
ip route 10.1.6.0 255.255.255.0 Tunnel1
!
access-list 101 permit gre host 172.24.2.5 host 172.17.2.4
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
Extranet外联网配置:
Figure 3-9: Extranet VPN Scenario Physical Elements


Headquarters Router配置:
hq-sanjose# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname hq-sanjose
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:hq-sanjose-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.24.2.5
crypto isakmp key test67890 address 172.23.2.7
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
ode transport
!
crypto ipsec transform-set proposal4 ah-sha-hmac esp-des esp-sha-hmac
!
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.24.2.5
set transform-set proposal1
match address 101
!
crypto map s4second local-address Serial2/0
crypto map s4second 2 ipsec-isakmp
set peer 172.23.2.7
set transform-set proposal4
match address 111
!
interface Tunnel0
bandwidth 180
ip address 172.17.3.3 255.255.255.0
no ip directed-broadcast
tunnel source 172.17.2.4
tunnel destination 172.24.2.5
crypto map s1first
!
interface FastEthernet0/0
ip address 10.1.3.3 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface FastEthernet0/1
ip address 10.1.6.4 255.255.255.0
no ip directed-broadcast
ip nat inside
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.17.2.4 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
interface Serial2/0
ip address 172.16.2.2 255.255.255.0
no ip directed-broadcast
ip nat outside
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s4second
!
router bgp 10
network 10.2.2.2 mask 255.255.255.0
network 172.16.2.0 mask 255.255.255.0
!
ip route 10.1.4.0 255.255.255.0 Tunnel0
!
ip nat inside source static 10.1.6.5 10.2.2.2
!
access-list 101 permit gre host 172.17.2.4 host 172.24.2.5
access-list 111 permit ip host 10.2.2.2 host 10.1.5.3
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end

Business Partner Router 配置:
bus-ptnr# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname bus-ptnr
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:bus-ptnr-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test67890 address 172.16.2.2
!
crypto ipsec transform-set proposal4 ah-sha-hmac esp-des esp-sha-hmac
!
!
crypto map s4second local-address Serial1/0
crypto map s4second 2 ipsec-isakmp
set peer 172.16.2.2
set transform-set proposal4
match address 111
!
interface FastEthernet0/0
ip address 10.1.5.2 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.23.2.7 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s4second
!
router bgp 10
network 10.1.5.0 mask 255.255.255.0
network 172.16.2.0 mask 255.255.255.0
!
access-list 111 permit ip host 10.1.5.3 host 10.2.2.2
!
line con 0
transport input none
line aux 0
line vty 0 4


详细配置说明请访问: http://www.cisco.com/univercd/cc/td...42gre.htm#29735

2005/3/23 1:25
应用扩展 工具箱


Re: VPN及其配置示例
网站管理员
注册日期:
1970/1/1 8:00
所属群组:
网站管理员
注册会员
帖子: 56
等级: 6; EXP: 34
HP : 0 / 133
MP : 18 / 19608
离线
浅析VPN的分类


2002-06-26・ ・编辑:stone・・天极商务应用



  面向连接VPN技术

  帧中继(FR)、ATM采用通过在两节点间建立PVC,在物理网络中划分出独立的点对点带宽资源,在协议层次上更靠近低层,有严格的流量和服务质量等级。由于FR、ATM业务均有专用数据网络支持,所以安全性比较好,但是由于面向连接的存在,在全网状网络中的扩容问题工程量比较浩大,同时面向连接的VPN技术需要网络服务供应商的全程支持,所以必定是基于网络服务商的VPN模式。以上的阐述中,扩展的灵活性和再次巨大的投资经常被用来恐吓企业网络的IT主管,其实在良好的VPN设计的前提下,可以完全避免以上恐慌。首先网络结构的合理化,可以采用核心节点网状或部分网状结构,然后在各节点形成小型区域网络,这样一来新节点的增加可以通过两条不同的物理路由的PVC完成接入VPN的任务。同时由于目前大部分企业网络还是基于IP的应用,所以在屏蔽掉VPN的同时,对网络内部的IP路由系统、IP地址分配原则进行优化,可以在更高的网络层次上弥补下层网络投资的不足。在安全性方面,许多用户和NSP认为FR、ATM技术天生安全,这其实有片面性。首先FR、ATM的安全性是和暴露在大庭广众下的Internet相比较的,认为逻辑上的PVC和专用的数据网络不存在信息泄露情况。其实,笔者从一名一直从事运营维护工作的工程技术人员的角度出发,认为主要是由于FR、ATM的协议相对复杂,需要专用的协议分析仪表连接在专用数据网络上处于监听状态,才可能针对DLCI或VP/VC监听用户数据,而不象Internet中,Sniffer类的工具比比皆是,一个网络新手就可以轻易地通过小工具监听某台IP主机的数据。其实在同样的监听状态下,由于FR、ATM数据基本上不再加密,而Internet VPN中的数据流还有加密机制,所以这时候FR、ATM技术下的VPN安全性倒不如IPSec VPN。

  非面向连接VPN技术

  该类VPN技术目前大体统称为IP VPN,其中比较重要有L2TP技术、IPSec技术。用户数据在公用网络中进行传输,虽然有VPN-ID等机制保证VPN业务间的非混淆性,但是就IP层的存储转发过程中还会存在错误转发的情况。笔者认为目前的非面向连接VPN技术的关键不足还是QoS部分。首先目前的IP网络的QoS保障不是非常完善,其次在用户侧不同业务的QoS对应到骨干网络的时候出现问题。由于L2TP可以采用ATM、FR技术也可以采用IP技术,所以在这里提到的L2TP主要为利用UDP的IP Tunnel技术。在L2TP过程中没有加密机制进行保障,所以还需要通过IP Sec进行加密。从真实的VPN配置中可以看出L2TP只是在用户业务的出口和入口加入L2TP标识,在骨干网络中没有一点处理。在理论分析协议封装中,如果HTTP业务通过L2TP建立隧道,利用IPSec进行加密,那么堆栈结构为HTTP/TCP/IP/L2TP/UDP/ESP/IP /HDLC,如果HTTP业务直接进行IPSec加密,那么堆栈结构为HTTP/TCP/IP/ESP/IP/HDLC,两种封装中在骨干网络中起到寻址和QoS保证的应该为后一个IP封装的内容,由于该IP和网络中的其他用户的IP分配、处理过程没有什么区别,所以不会有特殊的QoS保障。其实如果可能,可以进行前一个IP的QoS与后一个IP的QoS的对应,但是首先要求运营商有全网规划,其次运营商路由设备必须完全信任用户设备,因为第一个IP头里的内容可以由用户控制。另外隧道的起点和加密的起点需要配合,当传输流被加密后,由于第一个IP标记QoS的比特不能为网络路由器所读取,因此,QoS很难得到保证。同样的问题也出现在不同运营商间提供业务的时候。

vpn现在有几种方式
先说隧道,有PPTP,L2TP,IPSEC,MPLS
前面3种只要有端对端设备就可以自己构建,后面那种需要营运商的局端设备支持,所以采用前面3种,自己做好了以后就不用在交费,而MPLS因为需要营运商支持,所以以后还要交月租。
可以实现VPN的设备很多,专线路由器,宽带路由器,防火墙,软件VPN网关(包括Microsoft)。
一般防火墙、专线路由器是走IPSEC,宽带路由器是走PPTP、L2TP,有些也能走IPSEC,Microsoft的只能走PPTP、L2TP。
这方面的资料可以上http://www.chinatelecom.com.cn/20020923/00003789.html

关于Microsoft的VPN,一方面不能走IPsec,另外它本身做VPN网关有Bug(这里我就不列出他的Bug了,有心人可以上网找),还有因为他们公司的原因,容易受到攻击,所以,一般是拿来做学习用,如果商业用,最好是买专业厂家的产品。

随着宽带上网的普及,最常用的VPN连接方式一般是采用在各个点购买带VPN功能的宽带路由器来建立公司自己的广域内部网络。一次性的投资及以后持续性投资都比DDN专线要底很多。

建VPN网络需要考虑以下几个问题:
1、固定公网IP地址
因为可以采用DDNS动态域名解析,所以这个问题已经不存在,即使,公司所以分点都没有固定公网IP一样可以建立VPN网络;
2、总部的带宽问题
考虑采用不同的隧道协议,通信带宽的消耗是不一样的,如果有10个分布连接到总部,而且相互间数据流量比较大,如果分布都采用ADSL上网,那么总部可能要接10M带宽才够。
3、VPN信道实时连通性问题
VPN肯定也会断线,断线后重新接通所花费时间长短对不同用户来说,能接受的程度是不一样的,所以对不同类型用户会有不同的方案
4、VPN设备的加密效率问题
举个简单例子,CISCO的PIX501系列防火墙,做VPN时,采用不同加密协议会影响他的数据流量,比如,明文传送,其带宽是10M,采用DES加密,带宽是6M,采用3DES加密,带宽是3M。
这点也是衡量VPN设备性能的一个重要指标。
5、vpn设备的稳定性
是不是经常断线,断线后能否快速自动连接,对隧道协议的支持如何,对路由协议的支持如何等等,是否支持用做VPN Server,对VPN设备都是很重要的指标。

一般的VPN有两种连接方式,一种是LAN-TO-LAN,一种是PC-TO-LAN,现在的VPN产品都支持这2种方式。
只是防火墙,专线路由器的PC-TO-LAN 的拨号客户端是厂家自带的,支持IPsec,宽带路由器等的拨号端是采用通用的如WINDOWS的VPN拨号端,只支持PPTP或者L2TP。

对于中小企业,最好是采用宽带路由器构建自己的VPN网络,如果要加强总部的网络安全,总部最好是采用专业的防火墙,那样投资相对要少很多。

一、采用纯软件方式,总部安装VPN总部网关,分部安装VPN分部网关,移动用户(包括在外的笔记本和远程的单机)安装VPN客户端。

二、总部采用带VPN功能防火墙,分部能上宽带的用带VPN功能的宽带路由器,移动用户(包括在外的笔记本和远程的单机)安装防火墙带的VPN客户端。
       
三、总部采用带VPN功能宽带路由器,分部能上宽带的用带VPN功能的宽带路由器,移动用户(包括在外的笔记本和远程的单机)安装Microsoft带的VPN客户端。

具体采用那种方案,看你们的具体情况而定。

至于IP地址问题,总部最好有固定IP,当然,没有固定IP,利用DDNS解析也可以解决。

2005/3/23 1:29
应用扩展 工具箱


回复: VPN及其配置示例
新进会员
注册日期:
2019/5/27 19:32
所属群组:
注册会员
帖子: 4
等级: 1; EXP: 21
HP : 0 / 5
MP : 1 / 13
离线
可能有许多网络监控工具,但SolarWinds网络性能监视器是最好的,因为它非常简单,可以为工作做好准备。该工具通过自动处理找出网络设备,并在一小时内组织。它监督整个网络的简单方法使其成为全世界最本能的用户界面之一。这是可定制的,界面可用于非常迅速地控制和改变。除此之外,用户还可以轻松自定义基于Web的性能仪表板,图表和视图。为整个网络基础架构设计定制拓扑也非常容易。访问https://appuals.com/the-5-best-storage-resource-monitoring-and-management-software/,了解有关此类监控工具的更多信息。您还可以制作定制的依赖感知智能信号,而不仅仅是人类大脑可能想象的信号。

2019/5/29 6:04
应用扩展 工具箱






可以查看帖子.
不可发帖.
不可回复.
不可编辑自己的帖子.
不可删除自己的帖子.
不可发起投票调查.
不可在投票调查中投票.
不可上传附件.
不可不经审核直接发帖.

[高级搜索]



系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号