VPN及其配置示例.docx
- 文档编号:6658305
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:26
- 大小:22.48KB
VPN及其配置示例.docx
《VPN及其配置示例.docx》由会员分享,可在线阅读,更多相关《VPN及其配置示例.docx(26页珍藏版)》请在冰豆网上搜索。
VPN及其配置示例
VPN及其配置示例
VPN的定义
虚拟专网(VPN-VIRTUALPRIVATENETWORK)指的是在公用网络上建立专用网络的技术。
之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如INTERNET,ATM,FRAMERELAY等)之上的逻辑网络,用户数据在逻辑链路中传输。
VPN的功能
1、通过隧道(TUNNEL)或虚电路(VIRTUALCIRCUIT)实现网络互联
2、支持用户安全管理
3、能够进行网络监控、故障诊断
VPN解决方案的优点
1、省钱:
它可以节省长途电话费和长途专线电话费和长途专线网络费可以为用户节省30-25%的网络应用的开销。
2、选择灵活、速度快:
通过vpn网关,用户可以选择多种internet连通技术,而且对于INTERNET的容量可以实现按需定制;
3、安全性好:
VPN的认证机制将更好地保证用户的隐私权和收发数据的完整性;
4、实现投资的保护:
VPN技术的应用可以建立在用户现有的防火墙的基础上,用户正在使用的应用软件也不受影响。
VPN技术原理
1、VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。
2、VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。
3、对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
4、VPN设备加上新的收据包头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
5、VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
6、当数据包到达目标VPN设备时,数据包被解封装,数据包被解封装,数字签名,数字签名被核对无误后,收据包被解密。
VPN配置实例
Intranet内联网配置:
Figure3-8:
IntranetVPNScenarioPhysicalElements
HeadquartersRouter配置
hq-sanjose#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
version12.0
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamehq-sanjose
!
bootsystemflashbootflash:
bootbootldrbootflash:
c7100-boot-mz.120-1.1.T
bootconfigslot0:
hq-sanjose-cfg-small
nologgingbuffered
!
cryptoisakmppolicy1
authenticationpre-share
lifetime84600
cryptoisakmpkeytest12345address172.24.2.5
!
cryptoipsectransform-setproposal1ah-sha-hmacesp-desesp-sha-hmac
modetransport
!
!
cryptomaps1firstlocal-addressSerial1/0
cryptomaps1first1ipsec-isakmp
setpeer172.24.2.5
settransform-setproposal1
matchaddress101
!
interfaceTunnel0
bandwidth180
ipaddress172.17.3.3255.255.255.0
noipdirected-broadcast
tunnelsource172.17.2.4
tunneldestination172.24.2.5
cryptomaps1first
!
interfaceFastEthernet0/0
ipaddress10.1.3.3255.255.255.0
noipdirected-broadcast
nokeepalive
full-duplex
nocdpenable
!
interfaceFastEthernet0/1
ipaddress10.1.6.4255.255.255.0
noipdirected-broadcast
nokeepalive
full-duplex
nocdpenable
!
interfaceSerial1/0
ipaddress172.17.2.4255.255.255.0
noipdirected-broadcast
noipmroute-cache
nokeepalive
fair-queue642560
framingc-bit
cablelength10
dsubandwidth44210
clocksourceinternal
nocdpenable
cryptomaps1first
!
iproute10.1.4.0255.255.255.0Tunnel0
!
access-list101permitgrehost172.17.2.4host172.24.2.5
!
linecon0
transportinputnone
lineaux0
linevty04
login
!
end
RemoteOfficeRouter配置:
ro-rtp#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
version12.0
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamero-rtp
!
bootsystemflashbootflash:
bootbootldrbootflash:
c7100-boot-mz.120-1.1.T
bootconfigslot0:
ro-rtp-cfg-small
nologgingbuffered
!
cryptoisakmppolicy1
authenticationpre-share
lifetime84600
cryptoisakmpkeytest12345address172.17.2.4
!
cryptoipsectransform-setproposal1ah-sha-hmacesp-desesp-sha-hmac
modetransport
!
!
cryptomaps1firstlocal-addressSerial1/0
cryptomaps1first1ipsec-isakmp
setpeer172.17.2.4
settransform-setproposal1
matchaddress101
!
interfaceTunnel1
bandwidth180
ipaddress172.24.3.6255.255.255.0
noipdirected-broadcast
tunnelsource172.24.2.5
tunneldestination172.17.2.4
cryptomaps1first
!
interfaceFastEthernet0/0
ipaddress10.1.4.2255.255.255.0
noipdirected-broadcast
nokeepalive
full-duplex
nocdpenable
!
interfaceSerial1/0
ipaddress172.24.2.5255.255.255.0
noipdirected-broadcast
noipmroute-cache
nokeepalive
fair-queue642560
framingc-bit
cablelength10
dsubandwidth44210
clocksourceinternal
nocdpenable
cryptomaps1first
!
iproute10.1.3.0255.255.255.0Tunnel1
iproute10.1.6.0255.255.255.0Tunnel1
!
access-list101permitgrehost172.24.2.5host172.17.2.4
!
linecon0
transportinputnone
lineaux0
linevty04
login
!
end
Extranet外联网配置:
Figure3-9:
ExtranetVPNScenarioPhysicalElements
HeadquartersRouter配置:
hq-sanjose#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
version12.0
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamehq-sanjose
!
bootsystemflashbootflash:
bootbootldrbootflash:
c7100-boot-mz.120-1.1.T
bootconfigslot0:
hq-sanjose-cfg-small
nologgingbuffered
!
cryptoisakmppolicy1
authenticationpre-share
lifetime84600
cryptoisakmpkeytest12345address172.24.2.5
cryptoisakmpkeytest67890address172.23.2.7
!
cryptoipsectransform-setproposal1ah-sha-hmacesp-desesp-sha-hmac
odetransport
!
cryptoipsectransform-setproposal4ah-sha-hmacesp-desesp-sha-hmac
!
!
cryptomaps1firstlocal-addressSerial1/0
cryptomaps1first1ipsec-isakmp
setpeer172.24.2.5
settransform-setproposal1
matchaddress101
!
cryptomaps4secondlocal-addressSerial2/0
cryptomaps4second2ipsec-isakmp
setpeer172.23.2.7
settransform-setproposal4
matchaddress111
!
interfaceTunnel0
bandwidth180
ipaddress172.17.3.3255.255.255.0
noipdirected-broadcast
tunnelsource172.17.2.4
tunneldestination172.24.2.5
cryptomaps1first
!
interfaceFastEthernet0/0
ipaddress10.1.3.3255.255.255.0
noipdirected-broadcast
nokeepalive
full-duplex
nocdpenable
!
interfaceFastEthernet0/1
ipaddress10.1.6.4255.255.255.0
noipdirected-broadcast
ipnatinside
nokeepalive
full-duplex
nocdpenable
!
interfaceSerial1/0
实验18配置Linux下的VPN
1.选择使用CIPE
CIPE,CryptoIPEncapsulation:
是一种应用Linux中的VPN实现,使用UDP报文封闭加密的IP包.CIPE数据包给出目标报头信息并使用CIPE默认的加密机制进行加密,然后这些数据包作为UDP报文通过CIPE虚拟网络设备(cipcbx)在承载网络中传输,送往指定的远程节点
2.CIPE的优点:
CIPE可以在很多Linux发行版上工作
CIPE使用标准的Blowfish或IDEA算法进行加密
CIPE是软件实现的,配置陈旧的Linux主机就可以运行CIPE
CIPE正在积极开发和iptables、ipchains等基于规则的防火墙协同工作
管理员可以进行远程配置
3.CIPE的帮助资源
1).CIPE的info帮助
#infocipe
2).登录CIPE主站点获得帮助
4.CIPE的获取与安装
1).获取CIPE软件包,RedHatLinux9的第2张光盘中集成了CIPE的RPM安装包
2).安装CIPE软件包
#rpm-qcipe
#mount/mnt/cdrom
#cd/mnt/cdrom/RedHat/RPMS
#rpm-ivhcipe-1.4.5-16.i386.rpm
#cd;eject
二.CIPE的服务器端配置
1.主菜单\系统设置\网络
#redhat-config-network-gui
在网络配置程序窗口的工具栏中单击新建按钮,选择设备类型为CIPE(vpn)连接
配置隧道
2.激活与解除CIPE设备
3.编辑CIPE设备属性:
编辑按钮配置已建立的CIPE设备属性,在CIPE配置窗口的常规页中设置"当计算机启动时激活设备"
4.CEPE的配置文件
建立虚拟的网络接口cipcb0
/etc/sysconfig/network-scripts/ifcfg-cipcb0
/etc/cipe/options.cipcb0
5.CIPE的客户配置
6.手工配置CIPE客户端
#cd/etc/cipe/
7.使用CIPE网络接口连接CIPE服务器
1.CIPE服务器的配置
/etc/sysconfig/network-scripts/ifcfg-cipcb0
USERCTL=no普通用户是否有特权激活或停止该网络接口
FEEDDNS=noCIPE连接远端的DNS地址
TYPE=CIPE
DEVICE=cipcb0
IPADDR=10.0.0.1
MYPORT=7777
PTPADDR=10.0.0.2远程虚拟网络接口的IP地址,即对端cipcb0的IP地址
PEER=0.0.0.0CIPE连接远端的IP地址和端口,0.0.0.0表示监听端口等待连接请求
ME=192.168.1.29本地用于建立CIPE连接的IP地址
TUNNELDEV=eth0CIPE使用物理网络接口eth0连接建立CIPE连接
/etc/cipe/options.cipcb0cipcb0的选项配置文件
cctl64CarrierTimeLive
maxerr-1CIPE允许的最大错误数,超过此值时CIPE进程将停止,“-1”表示错误数无限大,应用于CIPE服务器
key设置密钥。
CIPE的密钥要求是128位,使用权32个16进制数字的字符串表示,CIPE服务器和客户机的密钥必须完全一致的密钥.也可以使用md5sum命令生成。
通常可以把当前系统进程显示为通过管道送到md5sum密令生成密钥,例ps-auxww|md5sum
2.CIPE客户端
#cd/etc/cipe
#scproot@192.168.1.29:
/etc/cipe/options.cipcb0options.cipcb0使用scp命令复制CIPE服务器的options.cipcb0文件到当前目录
#cd/etc/sysconfig/network-scripts
#scproot@192.168.1.29:
/etc/sysconfig/network-scipts/ifcfg-cipcb0
#viifcfg-eth0
#viifcfg-cipcb0
BOOTPROTO=none
GATEWAY=""
PEERDNS=no
PTPADDR=10.0.0.1
TYPE=CIPE
DEVICE=cipcb0
MYPORT=7777
MTU=""
NETMASK=""
ME=192.168.1.19本机的真实IP地址
BROADCAST=""
IPADDR=10.0.0.2本机的虚拟IP地址
NETWORK=""
PEER=192.168.1.29:
7777
USRCTL=no
ONBOOT=no
TUNNELDEV=eth0虚拟连接所跨越物理设备
使用CIPE网络接口连接CIPE服务器
#ifconfigcipcb0
#ifupcipcb0
∙一个简单的VPN配置实例
(一)
对于VPN,微软在Windows2000帮助文件中是这样描述的:
虚拟专用网络(VPN)是专用网络的延伸,它包含了类似Internet的共享或公共网络链接。
通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。
虚拟专用联网是创建和配置虚拟专用网络的行为。
要模拟点对点链路,应压缩或包装数据,并加上一个提供路由信息的报头,该报头使数据能够通过共享或公用网络到达其终点。
要模拟专用链路,为保密起见应加密数据。
不用密钥,从共享或者公共网络截取的数据包是很难解密的。
封装和加密专用数据之处的链接是虚拟专用网络(VPN)连接。
在家里或者旅途中工作的用户可以使用VPN连接建立到组织服务器的远程访问连接,方法是使用公共网络(例如Internet)提供的基础结构。
从用户的角度来讲,VPN是一种在计算机(VPN用户)与团体服务器(VPN服务器)之间的点对点连接。
共享或公共网络的确切基础结构是不相关的,因为从逻辑上看数据应当是通过专门的专用链接发送的。
单位也能够使用VPN连接来为地理位置分开的办公室建立路由连接,或者在保持安全通讯的同时通过公共网络,例如Internet,连接到其他单位。
通过Internet被路由的VPN连接逻辑上作为专用的WAN链接来操作。
通过远程访问和路由连接,组织可以使用VPN连接将长途拨号或租用线路换成本地拨号或者到Internet服务提供者(ISP)的租用线路。
在Windows2000中有两种类型的VPN技术:
1.点对点隧道协议(PPTP)
对于数据加密,PPTP使用用户级的点到点协议(PPP)身份验证方法及Microsoft点到点加密(MPPE)。
2.带有IP协议安全(IPSec)的第二层隧道协议(L2TP)
L2TP使用用户级PPP身份验证方法和带有IPSec数据加密的机器级证书。
我们现在要配置的实例是一个远程客户端(Windows2000操作系统)与一个公司总部VPNserver之间的连接.需要三个步骤:
1.配置VPN服务器,使之能够接受VPN接入;
2.配置客户端的拨号网络,使之能够访问internet;
3.配置客户端的VPN连接.
思科PIX防火墙VPN的配置实例
(1)(页1)-思科技术-51CTO技术论坛:
:
51CTO技术论坛51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水.
一、Pix-Pix
PIXCentral
Buildingconfiguration...
:
Saved
:
PIXVersion6.3(3)
interfaceethernet0auto
interfaceethernet1auto
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 及其 配置 示例