第一篇:VPN說明書.
VPN 使用說明書 申請/重置賬號密碼:http://self.cczu.edu.cn/index/addvpnwlan(無賬號或忘記密碼時,進行申請或重置密碼)用戶自助修改密碼:http://219.230.159.60:8080/selfservice(有密碼時,進行修改)中國移動、中國電信、聯通、和教育網用戶請分別點擊上面的圖標進行訪問; 在您首次使用的時候,系統將自動下載安裝插件至所在計算機,請您留意頁面提示并安裝; 當插件安裝完畢之后,正常進入登錄窗口,使用用戶名和密碼進行登錄; 6 登錄成功后,即進入用戶使用頁面,此時即可訪問校內和校外指定資源。7 訪問校內資源時請不要關閉本頁;訪問結束后請及時退出。vista系統使用需進行以下操作:通過把“控制面板”--“用戶帳戶”--“打開或關閉?用戶帳戶控制?”中的選項去掉即可,即不要選中“使用用戶帳戶控制(UAC)幫助保護您的計算機”,點“確定”,從新啟動計算機。9 使用GHOST安裝操作系統的用戶,可能會無法使用sslvpn。
注意事項:
一、若成功登錄后,不能正常下載及瀏覽文件,請首先確認您的計算機上是否已經安裝相應的文件瀏覽器或閱讀器;
二、若不能正常安裝請查看以下說明:
1、瀏覽器安全級別太高,請到中或默認級別,或調整以下設置: A、瀏覽器禁止下載ActiveX控件,設設置允許下載控件;
B、瀏覽器禁止運行ActiveX控件,設設置允許運行控件;
C、瀏覽器禁止ActiveX控件執行腳本,設設置允許執行腳本;
2、瀏覽器插件攔截控件下載,如上網安全助手等,請設置允許下載
3、可瀏覽器安全中將本頁為信任站點
4、瀏覽器要求使用IE5以上版本
5、本系統支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系統
四、因帶寬不足,為提高速度,提高訪問效率,請不要在校內使用;不使用時請及時退出系統;10分鐘內如不使用本系統,系統將自動斷線。
五、如果長時間不能建立隧道,或者不能獲取ip地址,請將防火墻和殺毒軟件先行關閉或者卸載,成功連接后,再次把防火墻和殺毒軟件打開或安裝。
六、如有疑問請撥打:86330350
第二篇:VPN定義
VPN
開放分類: 互聯網、網絡、電腦、技術
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或WINDOWS2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。下面我們結合本站有關思科及微軟關于VPN方面的文章為大家介紹這方面的資訊,更多更豐富的相關方面內容我們將在以后日子里進行補充。
針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(Access VPN)、企業內部虛擬網(Intranet VPN)和企業擴展虛擬網(Extranet VPN),這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet(外部擴展)相對應。
======
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。
虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。通過將數據流轉移到低成本的壓網絡上,一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時,這將簡化網絡的設計和管理,加速連接新的用戶和網站。另外,虛擬專用網還可以保護現有的網絡投資。隨著用戶的商業服務不斷發展,企業的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上,而不是網絡上。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
目前很多單位都面臨著這樣的挑戰:分公司、經銷商、合作伙伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包括:公司的內部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連接。
對于很多IPSec VPN用戶來說,IPSec VPN的解決方案的高成本和復雜的結構是很頭疼的。存在如下事實:在部署和使用軟硬件客戶端的時候,需要大量的評價、部署、培訓、升級和支持,對于用戶來說,這些無論是在經濟上和技術上都是個很大的負擔,將遠程解決方案和昂貴的內部應用相集成,對任何IT專業人員來說都是嚴峻的挑戰。由于受到以上IPSec VPN的限制,大量的企業都認為IPSec VPN是一個成本高、復雜程度高,甚至是一個無法實施的方案。為了保持競爭力,消除企業內部信息孤島,很多公司需要在與企業相關的不同的組織和個人之間傳遞信息,所以很多公司需要找一種實施簡便,不需改變現有網絡結構,運營成本低的解決方案。
----從概念上講,IP-VPN是運營商(即服務提供者)支持企業用戶應用的方案。一個通用的方法可以適用于由一個運營商來支持的、涉及其他運營商網絡的情況(如運營商的運營商)。
----圖1給出了實現IP-VPN的一個通用方案。其中,CE路由器是用于將一個用戶站點接入服務提供者網絡的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務提供者的邊緣路由器。
----站點是指這樣一組網絡或子網,它們是用戶網絡的一部分,并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點,一個站點可以同時位于不同的幾個VPN之中。
----圖2顯示了一個服務提供者網絡支持多個VPN的情況。如圖2所示,一個站點可以同時屬于多個VPN。依據一定的策略,屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉發能力,也可以不提供這種能力。當一個站點同時屬于多個VPN時,它必須具有一個在所有VPN中唯一的地址空間。
----MPLS為實現IP-VPN提供了一種靈活的、具有可擴展性的技術基礎,服務提供者可以根據其內部網絡以及用戶的特定需求來決定自己的網絡如何支持IP-VPN。所以,在MPLS/ATM網絡中,有多種支持IP-VPN的方法,本文介紹其中兩種方法。
方案一
----本節介紹一種在公共網中使用MPLS提供IPVPN業務的方法。該方法使用LDP的一般操作方式,即拓撲驅動方式來實現基本的LSP建立過程,同時使用兩級LSP隧道(標記堆棧)來支持VPN的內部路由。
----圖3 給出了在MPLS/ATM核心網絡中提供IPVPN業務的一種由LER和LSR構成的網絡配置。
----LER(標記邊緣路由器)
----LER是MPLS的邊緣路由器,它位于MPLS/ATM服務提供者網絡的邊緣。對于VPN用戶的IP業務量,LER將是VPN隧道的出口與入口節點。如果一個LER同時為多個用戶所共享,它還應當具有執行虛擬路由的能力。這就是說,它應當為自己服務的各個VPN分別建立一個轉發表,這是因為不同VPN的IP地址空間可能是有所重疊的。
----LSR(標記交換路由器)
----MPLS/ATM核心網絡是服務提供者的下層網絡,它為用戶的IP-VPN業務所共享。
----建立IP-VPN區域的操作
----希望提供IP-VPN的網絡提供者必須首先對MPLS域進行配置。這里的MPLS域指的就是IPVPN區域。作為一種普通的LDP操作,基本的LSP 建立過程將使用拓撲驅動方法來進行,這一過程被定義為使用基本標記的、基本的或是單級LSP建立。而對于VPN內部路由,則將使用兩級LSP隧道(標記堆棧)。
----VPN成員
----每一個LER都有一個任務,即發現在VPN區域中為同一 IPVPN服務的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道,所以 LER發現對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他 LER的每一條基本網絡LSP,向下游發送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記,以方便這些消息能夠最終到達目的LER。
----LDP Hello消息實際上是一種查詢消息,通過這一消息,發送方可以獲知在目的LER處是否存在與發送方LSR同屬一個VPN的LER(對等實體)。新的Hello消息相鄰實體注冊完成之后,相關的兩個LER之間將開始發起LDP會話。隨后,其中一個LER將初始化與對方的TCP連接。當TCP連接建立完成而且必要的初始化消息交互也完成之后,對等LER之間的會話便建立起來了。此后,雙方各自為對方到自己的LSP 隧道提供一個標記。如果LSP隧道是嵌套隧道,則該標記將被推入標記棧中,并被置于原有的標記之上。
----VPN成員資格和可到達性信息的傳播
----通過路由信息的交換,LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER,還需要找到在一個VPN中哪些LER 是為同一個VPN服務的。LER將與其所屬的VPN區域中其他的LER建立直接的LDP會話。換言之,只有支持相同VPN的LER之間才能成功地建立LDP會話。
----VPN內的可到達性
----最早在嵌套隧道中傳送的數據流是LER之間的路由信息。當一個LER被配置成一個IPVPN的一員時,配置信息將包含它在VPN內部要使用的路由協議。在這一過程中,還可能會配置必要的安全保密特性,以便該LER能夠成為其他LER的相鄰路由器。在VPN內部路由方案中,每一次發現階段結束之后,每一個LER 都將發布通過它可以到達的、VPN用戶的地址前綴。
----IP分組轉發
----LER之間的路由信息交互完成之后,各個LER都將建立起一個轉發表,該轉發表將把VPN用戶的特定地址前綴(FEC轉發等價類)與下一跳聯系起來。當收到的IP分組的下一跳是一個LER時,轉發進程將首先把用于該LER的標記(嵌套隧道標記)推入標記棧,隨后把能夠到達該LER的基本網絡LSP上下一跳的基本標記推入標記分組,接著帶有兩個標記的分組將被轉發到基本網絡LSP中的下一個LSR;當該分組到達目的LER時,最外層的標記可能已經發生許多次的改變,而嵌套在內部的標記始終保持不變;當標記棧彈出后,繼續使用嵌套標記將分組發送至正確的LER。在LER上,每一個VPN使用的嵌套標記空間必須與該LER所支持的其他所有VPN使用的嵌套標記空間不同。
方案二
----本節將對一種在公共網中使用MPLS和多協議邊界網關協議來提供IP-VPN業務的方法進行介紹,其技術細節可以參見RFC 2547。
----圖1 給出了在MPLS/ATM核心網絡中提供IPVPN業務的、由LER和LSR構成的網絡配置,圖4則給出了使用RFC 2547的網絡模型。
----提供者邊緣(PE)路由器
----PE路由器是與用戶路由器相連的服務提供者邊緣路由器。
----實際上,它就是一個邊緣LSR(即MPLS網絡與不使用 MPLS的用戶或服務提供者之間的接口)。
----用戶邊緣(CE)路由器
----CE路由器是用于將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中,CE路由器不使用MPLS,它只是一臺IP路由器。CE不必支持任何VPN的特定路由協議或信令。
----提供者(P)路由器
----P路由器是指網絡中的核心LSR。
----站點(Site)
----站點是指這樣一組網絡或子網:它們是用戶網絡的一部分,通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。
----路徑區別標志
----服務提供者將為每一個VPN分配一個唯一的標志符,該標志符稱為路徑區別標志(RD),它對應于服務提供者網絡中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉發表里將包含一系列唯一的地址,這些地址稱為VPNIP 地址,它們是由RD與用戶的IP地址連接而成的。VPNIP地址對于服務提供者網絡中的每一個端點都是唯一的,對于VPN中的每一個節點(即VPN中的每一個PE路由器),轉發表中都將存儲有一個條目。
----連接模型
----圖4給出了MPLS/BGP VPN的連接模型。
----從圖4中可以看出,P路由器位于MPLS網絡的核心。PE路由器將使用MPLS與核心MPLS網絡通信,同時使用IP路由技術來與CE路由器通信。P與PE路由器將使用IP路由協議(內部網關協議)來建立MPLS核心網絡中的路徑,并且使用LDP實現路由器之間的標記分發。
----PE路由器使用多協議BGP4來實現彼此之間的通信,完成標記交換和每一個VPN策略。除非使用了路徑映射標志(route reflector),否則PE 之間是BGP全網狀連接。特別地,圖4中的PE處于同一自治域中,它們之間使用內部BGP(iBGP)協議。
----P路由器不使用BGP協議而且對VPN一無所知,它們使用普通的MPLS協議與進程。
----PE路由器可以通過IP路由協議與CE路由器交換IP路徑,也可以使用靜態路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現MPLS或對VPN有任何特別了解。
----PE路由器通過iBGP將用戶路徑分發到其他的PE路由器。為了實現路徑分發,BGP使用VPN-IP地址(由RD和IPv4地址構成)。這樣,不同的VPN可以使用重疊的IPv4地址空間而不會發生VPN-IP地址重復的情況。
----PE路由器將BGP計算得到的路徑映射到它們的路由表中,以便把從CE路由器收到的分組轉發到正確的LSP上。
----這一方案使用兩級標記:內部標記用于PE路由器對于各個VPN的識別,外部標記則為MPLS網絡中的LSR所用——它們將使用這些標記把分組轉發給正確的PE。
----建立IP-VPN區域的操作
----希望提供IP-VPN業務的網絡提供者必須按照連接需求對網絡進行設計與配置,這包括:PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進行配置;MPLS網絡或者是一個路徑映射標志中的PE路由器之間必須進行對等關系的配置;為了與CE進行通信,還必須進行普通的路由協議配置;為了與MPLS核心網絡進行通信,還必須進行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能夠支持MPLS之外,還要能夠支持VPN。
>----VPN成員資格和可到達性信息的傳播
----PE路由器使用IP路由協議或者是靜態路徑的配置來交換路由信息,并且通過這一過程獲得與之直接相連的用戶網站IP地址前綴。
----PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。另外,PE路由器還要通過BGP與其PE路由器對等實體交換標記,以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記,P 路由器看不到這些標記。
----PE路由器將為其支持的每一個VPN分別建立路由表和轉發表,與一個PE路由器相連的CE路由器則根據該連接所使用的接口選擇合適的路由表。
----IP分組轉發
----PE之間的路由信息交換完成之后,每一個PE都將為每一個VPN建立一個轉發表,該轉發表將把VPN用戶的特定地址前綴與下一跳PE路由器聯系起來。
----當收到發自CE路由器的IP分組時,PE路由器將在轉發表中查詢該分組對應的VPN。
----如果找到匹配的條目,路由器將執行以下操作:
----如果下一跳是一個PE路由器,轉發進程將首先把從路由表中得到的、該PE路由器所對應的標記(嵌套隧道標記)推入標記棧;PE路由器把基本的標記推入分組,該標記用于把分組轉發到到達目的PE路由器的、基本網絡LSP上的第一跳;帶有兩級標記的分組將被轉發到基本網絡LSP上的下一個LSR。
----P路由器(LSR)使用頂層標記及其路由表對分組繼續進行轉發。當該分組到達目的LER時,最外層的標記可能已發生多次改變,而嵌套在內部的標記保持不變。
----當PE收到分組時,它使用內部標記來識別VPN。此后,PE將檢查與該VPN相關的路由表,以便決定對分組進行轉發所要使用的接口。
----如果在VPN路由表中找不到匹配的條目,PE路由器將檢查Internet路由表(如果網絡提供者具備這一能力)。如果找不到路由,相應分組將被丟棄。
----VPNIP轉發表中包含VPNIP地址所對應的標記,這些標記可以把業務流路由至VPN中的每一個站點。這一過程由于使用的是標記而不是IP 地址,所以在企業網中,用戶可以使用自己的地址體系,這些地址在通過服務提供者網絡進行業務傳輸時無需網絡地址翻譯(NAT)。通過為每一個VPN使用不同的邏輯轉發表,不同的VPN業務將可以被分開。使用BGP協議,交換機可以根據入口選擇一個特定的轉發表,該轉發表可以只列出一個VPN有效目的地址。
----為了建立企業的Extranet,服務提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。
----安全
----在服務提供者網絡中,PE所使用的每一個分組都將與一個RD相關聯,這樣,用戶無法將其業務流或者是分組偷偷送入另一個用戶的VPN。要注意的是,在用戶數據分組中沒有攜帶RD,只有當用戶位于正確的物理端口上或擁有PE路由器中已經配置的、適當的RD時,用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN,從而為用戶提供與幀中繼、租用線或ATM業務相同的安全等級。
第三篇:VPN研究報告
一、前言
互聯網的普及、移動通信技術的進步、信息化程度的提高,使全世界的數字信息高度共
享成為可能。中國高校也越來越重視數字化校園的開發,依托先進的網絡技術開展電化教學、電子教學資源的建設。而作為電子教學資源的重點之一,電子圖書館的建設已經成為當今數字化校園建設的新亮點。國內很多高校近幾年都從網上購置了大量的電子數據供廣大師生開展教學研究。這些資源對于學校學科建設和科學研究工作有很重要的意義,數字圖書館的建設和應用已經成為高校信息化建設和現代教育技術改革工作的一大重點。
二、選題背景
隨著教育信息化的深入,很多學校都建立了校園網,為了實現校內資源優化整合,讓師
生們更好的進行工作和學習,他們需要在校園網內部或在校外的遠程節點上,隨時享受校園網內部的各項服務,然而由于互聯網黑客對各高校的資源虎視眈眈,在沒有經過任何允許的情況下,黑客們很容易就潛入校園網內部進行搗亂,為此,多數校園網都不會將自己的各種應用系統和所有信息資源完全開放,因為這樣讓整個校園網面臨無以估量的破壞性損失,為了網絡安全考慮,將vpn技術應用于基于公共互聯網構架的校園網,可以較好的解決校園網多校區、遠程訪問、遠程管理等問題。
三、vpn簡介
虛擬專用網(vpn)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安
全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
四、vpn功能
vpn可以提供的功能: 防火墻功能、認證、加密、隧道化。
vpn可以通過特殊的加密的通訊協議在連接在internet上的位于不同地方的兩個或多個
企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。vpn技術原是路由器具有的重要技術之一,在交換機,防火墻設備或windows 2000等軟件里也都支持vpn功能,一句話,vpn的核心就是在利用公共網絡建立虛擬私有網。
五、vpn常用的網絡協議
常用的虛擬私人網絡協議有:
ipsec : ipsec(縮寫ip security)是保護ip協議安全通信的標準,它主要對ip協議分組進行加密和認證。ipsec作為一個協議族(即一系列相互關聯的協議)由以下部分組成:(1)保護分組流的協議;(2)用來建立這些安全分組流的密鑰交換協議。前者又分成兩個部分: vpn加密分組流的封裝安全載荷(esp)及較少使用的認證頭(ah),認證頭提供了對分組流的認證并保證其消息完整性,但不提供保密性。目前為止,ike協議是唯一已經制定的密鑰交換協議。
pptp: point to point tunneling protocol--點到點隧道協議。在因特網上建立ip虛擬專用網
(vpn)隧道的協議,主要內容是在因特網上建立多協議安全虛擬專用網的通信方式。l2f: layer 2 forwarding--第二層轉發協議
l2tp: layer 2 tunneling protocol--第二層隧道協議 gre:vpn的第三層隧道協議
六、vpn研究問題
? vpn如何解決校園網安全風險
對于校園網而言,它雖然給師生帶來了資源共享的便捷,但同時也意味著具有安全風險,比如非授權訪問,沒有預先經過授權,就使用校園網絡或計算機資源;信息泄漏或丟失,重要數據在有意或無意中被泄漏出去或丟失;以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息;不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓;利用網絡傳播計算機病毒等。那么,校園網利用vpn技術方案,是否能避免校園網的潛在安全隱患,杜絕上述情況的發生呢?
vpn即虛擬私有網絡技術,它的安全功能包括:通道協議、身份驗證和數據加密,實際工作時,遠程外網客戶機向校園網內的vpn服務器發出請求,vpn服務器響應請求并向客戶機發出身份質詢,客戶機將加密的響應信息發送到vpn服務端,vpn服務器根據用戶數據庫檢查該響應,如果賬戶有效,vpn服務器將檢查該用戶是否具有遠程訪問的權限,如果該用戶擁有遠程訪問的權限,vpn服務器接受此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。簡單來說,vpn可以通過對校園網內的數據進行封包和加密傳輸,在互聯網公網上傳輸私有數據、達到私有網絡的安全級別。? 選擇ipsec vpn還是ssl vpn 校園網vpn方案可以通過公眾ip網絡建立了私有數據傳輸通道,將遠程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來,減輕了校園網的遠程訪問費用負擔,節省電話費用開支,不過對于端到端的安全數據通訊,還需要根據實際情況采取不同的架構。一般而言,ipsec vpn和ssl vpn是目前校園網vpn方案采用最為廣泛的安全技術,但它們之間有很大的區別,總體來說,ipsec vpn是提供站點與站點之間的連接,比較適合校園網內分校與分校的連接;而ssl vpn則提供遠程接入校園網服務,比如適合校園網與外網的連接。
從vpn技術架構來看,ipsec vpn是比較理想的校園網接入方案,由于它工作在網絡層,可以對終端站點間所有傳輸數據進行保護,可以實現internet多專用網安全連接,而不管是哪類網絡應用,它將遠程客戶端置于校園內部網,使遠程客戶端擁有內部網用戶一樣的權限和操作功能。ipsec vpn還要求在遠程接入客戶端適當安裝和配置ipsec客戶端軟件和接入設備,這大大提高了安全級別,因為訪問受到特定的接入設備、軟件客戶端、用戶認證機制和預定義安全規則的限制。而且這些ipsec客戶端軟件能實現自動安裝,不需要用戶參與,因而無論對網管還是終端用戶,都可以減輕安裝和維護上的負擔。? vpn為校園網帶來哪些應用
在校園網中,通過vpn給校外住戶、分校區用戶、出差遠程辦公用戶、遠程工作者等提供一種直接連接到校園局域網的服務。那么,vpn能為校園網帶來哪些具體應用優勢呢?首先就是辦公自動化,比如校園辦公樓共有40個信息點,此時可以通過校園網連至internet用戶,實現100m甚至1000m到桌面的帶寬,并對財務科、人事科等科室進行單獨子網管理。還可以利用vpn在校園網內建立考試監控系統、綜合多媒體教室等,比如學校具有兩個多媒體教室,每個教室60臺pc,通過校園網上連至internet,實現遠程多媒體教學的目的。也可以將學生、教職工宿舍區的pc通過校園網上連至internet,而不進行任何布置。
校園網采用vpn技術可以降低使用費,遠程用戶可以通過向當地的isp申請賬戶登錄到internet,以internet作為通道與企業內部專用網絡相連,通信費用大幅度降低;學校可以節省購買和維護通信設備的費用。現在很多大學都有多個分校,各個分校和培訓場所網絡整合使學校的信息化管理成本必然的增加,比如學校的數據存儲,許多學校都采用了分布式存儲方式,其具有較低的投資花費和軟件部署的靈活性,然而其管理難度高,后期維護成本高,如果采取vpn服務器,可以對各分校進行web通訊控制,同時又可以實現分校訪問互通。為了讓師生共享圖書資源,與國外高校合作交換圖書館數據,以及向國外商業圖書館交納版權費,獲得更多電子文獻資料的瀏覽權,很多高校都建立了數字圖書館,但在應用上也會產生相應的約束性,比如說為了保證數據信息的知識產權,瀏覽者必須是已繳納版權費的本校內網地址,或則被校方授權過的內部合法師生,此時采用vpn加密技術,數據在internet中傳輸時,internet上的用戶只看到公共的ip地址,看不到數據包內包含的專用網絡地址。不僅可以實現將校園網的連續性擴展到校外;在校外可以訪問校內未向互聯網開放的資源。同時又確保了校園數字圖書館的易用性和安全性。? vpn支持哪種校園網接入方式
在教育機構的校園網,由于不同地區、不同學校的條件不同,它們選擇的網絡接入方式也有差異,比如條件不大好的中小學校,可能還在采取模擬電話、isdn、adsl撥號上網,而對于條件好的高校,則采取了光纖或ddn、幀中繼等專線連接,那么,vpn方案到底支持哪種接入方式呢?實際上,vpn可以支持最常用的網絡協議,因為在internet上組建vpn,用戶計算機或網絡需要建立到isp連接,與用戶上網接入方式相似,比如基于ip、ipx和netbui協議的網絡中的客戶機都能使用vpn方案。
七、vpn在校園圖書館系統中的調查分析
數字圖書館的版權問題不容忽視,不管什么類型的圖書,都要遵循數字版權保護(digital rights management,drm)的規定,通過安全和加密技術控制數字內容及其分發途徑,從而防止對數字產品非授權使用。
正是在這樣一種保護知識產權的背景下,高校圖書館所購買的電子資源大部分都有限制訪問的ip地址范圍。即:
1、采購的這些數據庫不是存放在圖書館服務器上,而是存儲在提供商的服務器上,圖書館支付費用以后,數據庫服務商是根據訪問者的ip地址來判斷是否是經過授權的用戶。
2、只要是從校園網出去的ip地址都是認可的,因為校園網出口ip和部分公網ip地址是屬于這個有限范圍的,所以校園網上的所有上網計算機都可以使用。
3、如果教師、學生在家里上網或者一個老師到外地出差需要訪問這些電子資源,無論采用pstn撥號、adsl、小區寬帶,使用的都是社會網絡運營商提供的ip地址,不是校園網的ip地址范圍,因此數據庫服務商認為是非授權用戶,拒絕訪問。當然,我們也可以要求服務商進一步開放更多的ip地址為合法用戶,但是這要求訪問者的ip地址是固定的、靜態的,而實際上,絕大多數校外用戶使用的都是動態ip地址,是不確定的,所以數據庫服務商無法確定訪問者的合法身份,因而自動屏蔽。
因此,就需要一套可管理、可認證、安全的遠程訪問電子圖書館的解決方案,將校園網當作校外用戶的中轉站,使校外用戶通過鑒權后擁有校內地址再訪問資源數據庫。到底有沒有這樣一種方案呢?虛擬專用網即vpn技術,給了我們很好的答案。vpn是虛擬專用網的簡稱,虛擬專用網不是真的專用網絡,但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠isp(internet service provider 服務提供商)和其它nsp(networkservice provider網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的物理鏈路資源動態組成的。
實際上,目前國內已經有不少高校采用了或者正常嘗試使用vpn技術來解決這個問題,而且大多是采用的ipsec vpn技術。利用ipsec技術,校外用戶在本機安裝一個vpn客戶端軟件后經過配置連入圖書館網絡,ipsec vpn中心端會給每個遠程用戶分配一個校園網ip地址,從而實現遠程用戶以校園網用戶身份訪問電子資源。
雖說ipsec vpn是目前vpn的主流技術之一,但ipsec協議最初是為了解決site to site的安全問題而制定的,因此在此基礎上建立的遠程接入方案在面臨越來越多的end to site應用情況下已經力不從心。
首先是客戶端配置問題:在每個遠程接入的終端都需要安裝相應的ipsec客戶端,并且需要做復雜的配置,隨著這種遠程接入客戶端安裝數量的增多將給網絡管理員帶來巨大的挑戰。雖然一些領先的公司已經解決了ipsec 客戶端難以配置和維護的問題,但是還是無法避免在每個終端上安裝客戶端的麻煩,而且即使這些客戶端很少出問題,但隨著用戶數量的增多,每天需要維護的客戶端絕對數量也不少。
其次是ipsec vpn自身安全問題:往往傳統的ipsec 解決方案都沒有很好的解決移動用戶接入到私有網絡的安全控制問題,這樣就為病毒傳播和黑客入侵提供了很多可能的途徑,并且在如何針對不同用戶身份設定對不同資源的訪問權限上也存在不少缺陷(隨著技術的發展,新興的vpn廠商已經著手改進這些問題并取得了相應的成績)。
然后是對網絡的支持問題:傳統的ipsec vpn在網絡適應性上都存在一些問題,雖然一些領導廠商已經或正在解決網絡兼容性問題,但由于ipsec vpn對防火墻的安全策略的配置較為復雜(往往要開放一些非常用端口),因此客戶端的網絡適應性還是不能做到百分之百完美。
最后是移動設備支持問題:隨著未來通訊技術的發展,移動終端的種類將會越來越多,ipsec 客戶端需要有更多的版本來適應這些終端,但隨著終端種類的爆炸性增長,這幾乎是不可能的。
因此,ssl vpn技術應運而生。ssl vpn的突出優勢在于web安全和移動接入,它可以提供遠程的安全接入,而無需安裝或設定客戶端軟件。ssl在web的易用性和安全性方面架起了一座橋梁。目前,對ssl vpn公認的三大好處是:首先來自于它的簡單性,它不需要配置,可以立即安裝、立即生效;第二個好處是客戶端不需要安裝,直接利用瀏覽器中內嵌的ssl協議就行;第三個好處是兼容性好,可以適用于任何的終端及操作系統。所有的校外用戶只需要打開ie瀏覽器訪問圖書館的internet ip即可成功接入圖書館,ssl vpn技術采用了一種類似代理性質的技術,所有的訪問都是以ssl vpn設備的lan口的名義發起的,所以只要ssl vpn設備的lan口ip是一個合法的校園網ip,所有成功接入ssl的校外用戶都可以成功訪問這個ssl vpn設備lan口所能訪問的資源。
但ssl vpn并不能取代ipsec vpn。因為,這兩種技術目前應用在不同的領域。ssl vpn考慮的是應用軟件的安全性,更多應用在web的遠程安全接入方面;而ipsec vpn是在兩個局域網之間通過internet建立的安全連接,保護的是點對點之間的通信,并且,ipsec工作于網絡層,不局限于web應用。它構建了局域網之間的虛擬專用網絡,對終端站點間所有傳輸數據進行保護,而不管是哪類網絡應用,安全和應用的擴展性更強。從高校應用來看,由于ssl接入方式下所有用戶的訪問請求都是從ssl vpn設備的lan口發起的,對于那些對單個用戶流量有嚴格限制的資源商來說,這些ssl用戶的訪問會被當成一個用戶對待,很快就會因為達到資源商的流量限制而造成該ip被禁用,也就導致所有ssl用戶無法繼續訪問圖書館資源。
那么,高校圖書館應該選擇何種vpn技術以解決目前校外用戶合理訪問圖書館各類資源的需求呢?從目前圖書館使用的情況來看,比較合理的應用方式應該是ipsec和ssl共同使用。
正如我們前面所分析的,上游資源商對于資源的應用是有限制的,除了限制發起請求的ip地址外,還會限制單個ip地址所產生的流量,因此在圖書館大量的校外用戶群中,我們將用戶分為兩個類型,一類是使用圖書館資源較為頻繁、訪問數據量較大的用戶(以教師為主,數量較少),另一類則是使用次數較少、訪問數據不多的用戶(以學生為主,數量較多),通過用戶劃分,我們給訪問量大但數量少的教師用戶分配ipsec接入方式,這樣就可以把大量的用戶流量分配到不同的ip地址上,避免單個ip流量過大造成的問題,而那些數量眾多但訪問量小的學生用戶分配ssl接入方式,利用ssl vpn無需部署客戶端的特性大大降低客戶端的維護工作量,從而實現vpn在圖書館應用的快速部署。經過長時間的測試,華師圖書館選擇使用國內專業vpn廠商深信服科技推出了ipsec/ssl 一體化vpn平臺:sinfor m5100-s。該產品在一臺網關上同時集成了ipsec和ssl vpn功能,利用兩種技術的集成很好解決了圖書館應用的需求,同時一體化的設計能夠大幅度的降低整個vpn產品的投入,滿足教育行業低成本高效率it建設的需求。
八、結論
vpn技術代表了當今網絡發展的最新趨勢,它綜合了傳統數據網絡性能的優點(安全和qos)和共享數據網絡結構的優點(簡單和低成本),能夠提供遠程訪問,外部網和內部網的安全連接,建設與維護費用比專線網絡要低得多.而且,vpn在降低成本的同時滿足了對網絡帶寬,接入和服務不斷增加的需求.根據調查數據表明,用vpn替代租用線路來連接遠程站點可節約20%~47%的開支,這么一種經濟,安全和靈活的技術,在國外圖書館已經逐步普及.在國內,一些高校圖書館也開始應用vpn技術實現多校區圖書館互聯和開展一些遠程文獻信息服務.vpn技術在高校圖書館的應用,必將提高圖書館利用效率,為圖書館的遠程文獻信息服務打開新局面,尤其為多校區圖書館之間資源的共享提供安全,高效,經濟的網絡傳輸和數據訪問途徑.隨著vpn技術的日益成熟,它將在圖書館得到更為廣泛的應用。
第四篇:VPN 實驗心得
VPN 實驗心得
(一)vpn access server的配置
實驗網絡拓撲:
pc(vpn client 4.01)---switch---router1720
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios為c1700-k93sy7-mz.122-8.T5.bin
步驟:
1、配置isakmp policy:
crypto isakmp policy 1
encr 3des
authen pre-share
group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192
ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有關參數
vpn access server)(cry isa client conf group vclient-group
####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。
key vclient-key
####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。
pool pool192 ####client的ip地址從這里選取
####以上兩個參數必須配置,其他參數還包括domain、dns、wins等,根據情況進行配置。
4、配置ipsec transform-set
cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1
set transform-set vclient-tfs ####和第四步對應
6、配置vpnmap
cry map vpnmap 1 ipsec-isakmp dynamic template-map
#### 使用第?*腳渲玫?map 模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數authorization
cry map vpnmap client conf address respond ####響應client分配地址的請求
7、配置靜態路由
ip route 192.168.1.0 255.255.255.0 fastethernet0
說明幾點:
(1)因為1720只有一個fastethernet口,所以用router1720上的lo0地址來模擬router內部網絡。
(2)vpn client使用的ip pool地址不能與router內部網絡ip地址重疊。
(3)10.130.23.0網段模擬公網地址,172.16.1.0網段用于1720內部地址,192.168.1.0網段用于vpn通道。
(4)沒有找到設置vpn client獲取的子網掩碼的辦法。看來是ios還不支持這個功能。
(5)關于split tunnel。配置方法:首先,設置access 133 permit ip 172.16.1.0 0.0.0.255 any,允許1720本地網絡數據通過tunnel,然后在第三步驟中添加一個參數:acl 133。
1720的完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1321 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
no ip domain-lookup!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool192!
crypto isakmp client configuration group vclient-group
key vclient-key
domain test.com
pool pool192!
!
crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!
crypto dynamic-map template-map 1
set transform-set vclient-tfs!
!
crypto map vpnmap isakmp authorization list vclient-group
crypto map vpnmap client configuration address respond
crypto map vpnmap 1 ipsec-isakmp dynamic template-map!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.240!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpnmap!
interface Serial0
no ip address
shutdown!
ip local pool pool192 192.168.1.1 192.168.1.254
ip classless
ip route 192.168.1.0 255.255.255.0 FastEthernet0
no ip http server
ip pim bidir-enable!
!
!
line con 0
line aux 0
line vty 0 4!
no scheduler allocate
end
VPN Client 4.01的配置:
新建一個connection entry,參數中name任意起一個,host填入vpn access server的f0地址10.130.23.246,group auahentication中name填vclient-group,password填vclient-key.測試:
(1)在pc上運行VPN client,連接vpn access server。
(2)ipconfig/all,查看獲取到的ip地址與其他參數。
(3)在router,show cry isa sa,看連接是否成功。
(4)從router,ping client已經獲取到的ip地址,通過。
(5)從client,ping router的lo0配置的地址172.16.1.1,通過。
(6)查看vpn client軟件的status--statistics,可以看到加密與解密的數據量。
(7)1720上show cry ip sa, 也可以查看加密與解密的數據量。
常用調試睿?
show cry isakmp sa
show cry ipsec sa
clear cry sa
clear cry isakmp
debug cry isakmp #####這是最常用的debug命令,vpn連接的基本錯誤都可以用它來找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
實驗網絡拓撲:
router3662(vpn client)---switch---router1720(vpn access server)
pc(vpn client 4.01)------|
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720的ios為c1700-k93sy7-mz.122-8.T5.bin
3662的ios為c3660-jk9o3s-mz.123-1a.bin
步驟:
1、配置1720路由器,參照實驗一,設置為vpn server。
2、配置3662路由器,設置vpn client參數
cry ip client ezvpn vclient ####定義crypto-ezvpn name
mode network-extension ####設置為網絡擴展模式
group vclient-group key vclient-key ####設置登錄vpn server的組名與組口令
peer 10.130.23.246 ####設置vpn server的ip地址,如果啟用dns,則可以用hostname
connect auto ####設置為自動連接。如果設為手動,則必須使用cry ip client ezvpn connect vclient命令來啟動vpn通道。
local-address F0/0 ####設置vpn通道本地地址,選用f0/0,可以保證vpn server找到它
3、定義加密數據入口,這里為f0/1
inter f0/1
cry ip client ezvpn vclient inside
4、定義加密數據出口,這里為連接vpn server的f0/0
inter f0/0
cry ip client ezvpn vclient outside
5、在1720上設置靜態路由,地址范圍為3662路由本地網絡的地址
ip route 172.16.2.0 255.255.255.0 f0
6、設置ip dhcp服務 ####cisco推薦使用dhcp來進行本地網絡ip的分配。此步驟可選。
service dhcp ####啟動dhcp 服務
ip dhcp pool dhcppool ####定義dhcp pool name
network 172.16.2.0 /24 ####定義可分配的IP地址段
default-router 172.16.2.1 ####定義dhcp client的默認網關
lease 1 0 0 ####設置ip保留時間
import all ####如果配置了上級dhcp,server,則接受其所有參數
ip dhcp excluded-address 172.16.2.1 ####將router上的地址排除
測試:
(1)配置好3662上的vpn client后,自動進行vpn連接。可以通過debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結果。
(2)在1720上擴展ping,source 10.130.23.246 destination 172.16.2.1,通過。查看show cry ip sa,可以發現數據沒有進行加密。
(3)在1720上擴展ping,source 172.16.1.1 destination 172.16.2.1,通過。查看show cry ip sa,可以發現數據通過加密進行傳輸。
(4)在3660上擴展ping,source 172.16.2.1 destination 172.16.1.1,通過。查看show cry ip sa,可以發現數據通過加密進行傳輸。
(5)在3660上擴展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以發現數據不通過加密。
(6)啟動pc vpn client,ping 172.16.1.1,通過。在1720上查看show cry ip sa,可以看到數據通過加密進行傳輸。
(7)在pc vpn client,ping 172.16.2.1,通過。在1720和3662上查看show cry ip sa,可以看到數據通過加密進行傳輸。在1720上show cry isa sa,可以看到兩個vpn連接。
(8)在3660上擴展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client獲得的ip),通過。查看show cry ip sa,可以發現數據通過加密進行傳輸。
說明:
(1)不同平臺,不同ios版本,easy vpn client的配置有所不同。特別是加密數據入出接口的配置,配置接口前后,用show cry ip client ezvpn來查看與驗證。
(2)network-extension模式,vpn server和vpn client兩端的內部網絡之間可以通過ip地址互相訪問。
(3)以上配置均沒有啟用split tunnel。設置split tunnel的方法:首先參考實驗
(一),設置acl 133和cry isa client conf group中的參數,完成后,可以實現測試(1)-(5)。要實現Pc vpn client和3662 vpn client 互通,即測試(6)-(8),還要在1720 的acl 133中添加兩條,分別是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要復位vpn通道,才可以起作用。在pc端,是通過disconnect再connect來實現;在3662上,通過clear cry ip client ezvpn來復位。
常用調試命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
(三)easy vpn client的配置(client mode)
實驗網絡拓撲同實驗
(二)實驗步驟參考實驗
(二),其中第二步,將mode network-extension改為mode client。
測試:
(1)配置好3662上的vpn client后,自動進行vpn連接。可以通過debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結果。
(2)在1720上擴展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上擴展ping,source 172.16.1.1 destination 172.16.2.1,不通。這是因為3662端ip數據流是通過nat進行傳輸。
(4)在3660上擴展ping,source 172.16.2.1 destination 172.16.1.1,通過。查看show cry ip sa,可以發現數據通過加密進行傳輸。在1720上打開deb ip icmp,可以看到echo reply信息的dst地址為192.168.1.19(vpn client 從vpn server獲取的ip地址)。
(5)在3660上擴展ping,source 10.130.23.244 destination 172.16.1.1,不通。
說明:
(1)client 模式,vpn client端內部網絡采用nat方式與vpn server進行通信,vpn client端網絡可以訪問server端網絡資源,server端網絡不能訪問client端內部網絡資源。
(2)client與network-extension兩種模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置與數據流量。
(4)關于split tunnel,client模式的easy vpn client,與pc的vpn client類似,配置split tunnel的方法也相同。
常用調試命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
實驗網絡拓撲:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios為c1700-k93sy7-mz.122-8.T5.bin
3662的ios為c3660-jk9o3s-mz.123-1a.bin
步驟:
以1720為例進行配置
(1)配置靜態路由 ####在配置vpn之前,需要保證兩方的網絡可以互相訪問。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定義加密數據的acl
access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)定義isakmp policy
cry isa policy 1
authentication pre-share ####采用pre-share key進行驗證
####authentication參數必須配置,其他參數如group、hash、encr、lifetime等,如果進行配置,需要注意兩個路由器上的對應參數配置必須相同。
(4)定義pre-share key
cry isa key pre-share-key address 10.130.23.244
####其中pre-share-key 為key,兩個路由器上要一樣
####其中10.130.23.244為peer路由器的ip地址。
(5)定義transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs為transform-set name,后面兩項為加密傳輸的算法
mode transport/tunnel #####tunnel為默認值,此配置可選
(6)定義crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map為map name,10 是entry 號碼,ipsec-isakmp表示采用isakmp進行密鑰管理
match address 144 ####定義進行加密傳輸的數據,與第二步對應
set peer 10.130.23.244 ####定義peer路由器的ip
set transform-set vpn-tfs ####與第?*蕉雜?br /> ####如果一個接口上要對應多個vpn peer,可以定義多個entry,每個entry對應一個peer
(7)將crypto map應用到接諫?br /> inter f0 #####vpn通道入口
cry map vpn-map
(8)同樣方法配置3662路由器。
1720的完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1217 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
logging buffered 4096 debugging
no logging rate-limit
enable password CISCO!
username vclient1 password 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
ip domain-name fjbf.com!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key pre-share-key address 10.130.23.244!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match address 144!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map!
interface Serial0
no ip address
encapsulation ppp
no keepalive
no fair-queue!
ip classless
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable!
!
access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login!
end
測試:
(1)未將map應用到接口之前,在1720,擴展ping,source 10.130.23.246 destination 172.16.2.1,通過。擴展ping,source 172.16.1.1 destination 172.16.2.1,通過。
(2)map應用到接口之后,在1720,擴展ping,source 10.130.23.246 destination 172.16.2.1,通過。查看show cry ip sa,可以看到數據沒有通過vpn 通道進行傳輸,因為不符合acl 144。
(3)map應用到接口之后,在1720,擴展ping,source 172.16.1.1 destination 172.16.2.1,通過。查看show cry ip sa,可以看到數據通過vpn 通道進行傳輸。
(4)在3662上同樣進行測試。
說明:
(1)采用pre-share方式加密數據,配置簡單,數據傳輸效率較高,但是安全性不高。
(2)加密數據前后,通過ping大包的方式測試,可以發現這種利用軟件進行數據加密的方式,延時較大。如果需要開展voip、ip 視訊會議等業務,建議選配vpn模塊進行硬件加密。
常用調試命令:
show cry isa sa
show cry ip sa
show cry engine configuration
show cry engine connections active
show cry engine connections flow
deb cry isa
deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
實驗網絡拓撲:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios為c1700-k93sy7-mz.122-8.T5.bin
3662的ios為c3660-jk9o3s-mz.123-1a.bin
步驟:
以1720為例進行配置
(1)配置靜態路由 ####在配置vpn之前,需要保證兩方的網絡可以互相訪問。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定義加密數據的acl
access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)生成rsa key
cry key generate rsa general-keys ####生成General Purpose rsa Key
或者 cry key generate rsa usage-keys ####分別生成rsa signing key和rsa encryption key
這里 統一用general purpose key
(4)復制peer router的public key到本地router中
(A)在3662上生成general purpose key
(B)在3662上show cry key mypubkey rsa,復制其中的General Purpose Key
(C)在1720上,cry key pubkey-chain rsa ####設置public key
addressed-key 10.130.23.244 ####設置關聯10.130.23.244ip地址的key
key-string ####定義key串
粘貼從3662上復制的General Purpose Key
#####如果第三步生成了兩種key,則這里復制粘貼的,應該是Encryption Key(三個key中的第二個)
(5)定義isakmp policy
cry isa policy 1
authentication rsa-encr ####采用rsa Encryption key進行驗證
####authentication參數必須配置,其他參數如group、hash、encr、lifetime等,如果進行配置,需要注意兩個路由器上的對應參數配置必須相同。
(6)定義transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs為transform-set name,后面兩項為加密傳輸的算法
mode transport/tunnel #####tunnel為默認值,此配置可選
(7)定義crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map為map name,10 是entry 號碼,ipsec-isakmp表示采用isakmp進行密鑰管理
match address 144 ####定義進行加密傳輸的數據,與第二步對應
set peer 10.130.23.244 ####定義peer路由器的ip
set transform-set vpn-tfs ####與第?*蕉雜?br /> ####如果一個接口上要對應多個vpn peer,可以定義多個entry,每個entry對應一個peer;同樣,pubkey也要對應進行設置。
(7)將crypto map應用到接口上
inter f0 #####vpn通道入口
cry map vpn-map
(8)同樣方法配置3662路由器。
1720完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1490 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
logging buffered 4096 debugging
no logging rate-limit
enable password CISCO!
username vclient1 password 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
ip domain-name fjbf.com!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication rsa-encr
group 2!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!
crypto key pubkey-chain rsa
addressed-key 10.130.23.244
address 10.130.23.244
key-string
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF
D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102
DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001
quit!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match address 144!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map!
interface Serial0
no ip address
encapsulation ppp
no keepalive
no fair-queue!
ip classless
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable!
!
access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login!
end
說明:
(1)采用rsa encrypted方式加密傳輸數據,默認key長度為512字節,最高可設為2048字節。安全性能較高。
(2)100M雙工交換網絡中,在雙向同時ping 15000字節的大包進行測試時,1720的cpu使用率一度高達90%左右,3662的使用率約為25%,兩臺路由器內存使用率則變化不大。可見用rsa encrypted方式加密,對低端路由器的cpu性能影響很大。
常用調試命令:
show cry ip sa
show cry isa sa
deb cry isa
deb cry ip
clear cry isa
clear cry sa
第五篇:VPN管理制度
VPN管理制度
(一)湖南華潤電力鯉魚江有限公司VPN系統主要為湖南華潤電力鯉魚江有限公司正式員工提供公司內網專線接入服務。
(二)湖南華潤電力鯉魚江有限公司VPN系統由VPN接入系統和防火墻系統構成。VPN接入系統提供公司內網的接入服務。
(三)湖南華潤電力鯉魚江有限公司VPN系統用戶不得利用此系統從事危害國家安全、泄露國家秘密等犯罪活動,不得查閱、復制和傳播有礙社會治安和有傷風化的信息。
第二條 VPN系統管理
(一)湖南華潤電力鯉魚江有限公司VPN系統是由湖南華潤電力鯉魚江有限公司信息中心進行管理和維護。
(二)湖南華潤電力鯉魚江有限公司VPN系統地址:https://61.187.187.246 /。
第三條 VPN賬戶申請
對于正式員工,申請VPN賬戶需要以下步驟:
(一)填寫《VPN賬戶申請表》,經由部門主管同意后,提交信息中心辦理。
(二)送交申請表起一個工作日內,由信信息中心工作人員通知VPN賬戶申請者最終審定的VPN賬戶名稱和初始密碼,之后用戶即可正常使用。
(四)VPN新用戶須登錄修改個人登錄密碼。
第四條 VPN賬戶注銷
具有VPN帳戶的員工在調離湖南華潤電力鯉魚江有限公司前,需通知信信息中心,VPN帳戶保留一個月后由信息中心注銷。
本管理規章制度自發布之日起執行,解釋權歸湖南華潤電力鯉魚江有限公司信息中心所有。
湖南華潤電力鯉魚江有限公司信息中心
2010年10月22日
點擊咨詢 