第一篇：VPN技術(shù)的學(xué)習(xí)總結(jié)

VPN技術(shù)的學(xué)習(xí)總結(jié)

在網(wǎng)絡(luò)安全課程的學(xué)習(xí)過程中，我對網(wǎng)絡(luò)安全有了一些了解和認識。特別是它的基礎(chǔ)概念，網(wǎng)絡(luò)安全的具體要求，安全通信模型以及目前廣泛使用的安全技術(shù)等知識。其中VPN技術(shù)是目前安全通信中既能保證一定的安全性又具有經(jīng)濟性的一項技術(shù)，因此它目前的市場應(yīng)用十分廣泛。所以在學(xué)習(xí)完這門課程后，我想對所有學(xué)過的知識做一個梳理，然后把我比較感興趣的VPN技術(shù)做深入一些的學(xué)習(xí)和整理。

1.網(wǎng)絡(luò)安全的基本概念

網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及網(wǎng)絡(luò)上存儲和傳輸?shù)男畔①Y源的安全性。而其安全性包括計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)正常運行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全的威脅包括：計算機病毒，蠕蟲，木馬，拒絕服務(wù)攻擊，邏輯炸彈，后門和隱蔽通道等。

在網(wǎng)絡(luò)信息傳輸?shù)倪^程中，信息的安全特性包括：機密性，完整性，可用性，不可否認性，可控性，可審查性，可恢復(fù)性。只有在滿足了以上特性的信息傳輸才被認為是安全的。因此相對應(yīng)于各個安全特性，網(wǎng)絡(luò)安全服務(wù)需要做到的有：認證服務(wù)，訪問控制服務(wù)，數(shù)據(jù)機密性服務(wù)，數(shù)據(jù)完整性服務(wù)，不可否認服務(wù)。在認證服務(wù)中，需要提供某個實體（人或系統(tǒng)）的身份保證，確保通信實體就是它們所聲稱的實體。使用口令是一種提供認證的熟知方法，數(shù)字證書和簽名也可以提供信息發(fā)送方的身份認證。認證是對付假冒攻擊的有效方法；

訪問控制服務(wù)中，要能夠防止對系統(tǒng)資源（如計算資源、通信資源或信息資源）的非授權(quán)訪問和非授權(quán)使用，確保只有授權(quán)的實體才能訪問授權(quán)的資源。訪問控制直接支持機密性、完整性、可用性以及合法使用等安全目標。訪問控制系統(tǒng)的關(guān)鍵是制定訪問控制策略。它是系統(tǒng)安全防范中應(yīng)用最普遍和最重要的安全機制,可提供機密性和完整性服務(wù)。訪問控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時，根據(jù)每個用戶的任務(wù)特點使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶賦予其工作范圍之外的任何權(quán)力。

數(shù)據(jù)機密性服務(wù)，能夠保護信息不泄漏或不暴露給那些未授權(quán)掌握這一信息的實體（人或組織），確保授權(quán)實體才能理解受保護的信息，防止傳輸?shù)臄?shù)據(jù)遭到竊聽、流量分析等被動攻擊。機密性服務(wù)是通過加密機制來實現(xiàn)的，目前已有多種加密算法來保護數(shù)據(jù)的安全，可以根據(jù)不同的需求在網(wǎng)絡(luò)結(jié)構(gòu)的不同層次來實現(xiàn)。比如：若需保護全部通信業(yè)務(wù)流的機密性，可在物理層加密；若希望對端系統(tǒng)到端系統(tǒng)之間的通信進行保護，可在網(wǎng)絡(luò)層加密。有時也可根據(jù)多個需求，在多個層次上提供加密。

數(shù)據(jù)完整性服務(wù)，是用來維護信息的一致性防止對信息的非授權(quán)篡改和破壞，使消息的接受者能判斷消息是否被修改或被攻擊者用假消息替換。數(shù)據(jù)完整性可以通過安全協(xié)議中的認證頭AH協(xié)議，ESP協(xié)議，MAC算法等來保證。

不可否認服務(wù)，其目的是保護通信用戶免遭來自系統(tǒng)中其他合法用戶的威脅，而不是來自未知攻擊者的威脅。通過公證機制的數(shù)字證書和時間戳可以保證信息發(fā)送方對發(fā)出的消息不能抵賴。

2.虛擬專用網(wǎng)VPN技術(shù)

虛擬專用網(wǎng)VPN（Virtual Private Network）技術(shù)是在公共傳輸網(wǎng)絡(luò)中采用隧道技術(shù)，形成邏輯私有的通訊網(wǎng)絡(luò)的技術(shù)。這樣對通信安全要求高的用戶就不需要向網(wǎng)絡(luò)運營商要求單獨牽一條專線，可以節(jié)省不少成本。VPN可實現(xiàn)數(shù)據(jù)公網(wǎng)傳輸?shù)臋C密性、完整性，對通信雙方的身份進行認證，并可解決異構(gòu)網(wǎng)傳輸問題等。VPN可工作在很多層次，如工作在鏈路層的鏈路密碼技術(shù)，工作在IP層的IPSEC VPN，GRE封裝，工作在傳輸層的SSL VPN等。2.1.VPN系統(tǒng)的組成

VPN系統(tǒng)由以下七個部分組成，VPN服務(wù)器：接受來自VPN客戶機的連接請求。VPN客戶機：終端計算機或者路由器。隧道：數(shù)據(jù)傳輸通道，其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過封裝。隧道協(xié)議：封裝數(shù)據(jù)、管理隧道的通信標準。VPN連接：在VPN連接中，數(shù)據(jù)必須經(jīng)過加密。傳輸數(shù)據(jù)：經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò)：如Internet，也可以是其他共享型網(wǎng)絡(luò)。下圖一直觀的顯示了VPN系統(tǒng)的組成。

圖一 VPN系統(tǒng)的組成

2.2.VPN系統(tǒng)通信流程與功能

首先，需要保護的主機發(fā)送明文信息到其VPN設(shè)備，其VPN設(shè)備根據(jù)管理員設(shè)置的規(guī)則,確定是對數(shù)據(jù)加密還是直接傳送。如果是需要加密的數(shù)據(jù),VPN 設(shè)備將其整個數(shù)據(jù)包進行加密和簽名,加上新的數(shù)據(jù)報頭(包括目的地VPN設(shè)備需要的安全信息和初始化參數(shù))重新封裝;封裝后的數(shù)據(jù)包通過隧道在公網(wǎng)上傳輸;然后數(shù)據(jù)包到達目的VPN設(shè)備,收端VPN設(shè)備將數(shù)據(jù)包解封,核對簽名后,將數(shù)據(jù)包解密。

實現(xiàn)的基本功能有五項，分別是身份鑒別：包括驗證用戶的身份，限制非授權(quán)用戶的時候訪問了什么資源。不同的用戶對不同的資源應(yīng)有不同的訪問權(quán)限；地址管理：為每個客戶分配一個地址，并保證地址對虛擬專用網(wǎng)外的不可見性；數(shù)據(jù)加密：保證通過公共網(wǎng)絡(luò)傳送的信息即使被他人截獲也不會泄密；密鑰管理：能夠為VPN的客戶和服務(wù)器生成和更新加密密鑰；多協(xié)議支持：VPN必需能夠處理公共網(wǎng)絡(luò)常用的各種協(xié)議，包括IP、IPX等等； 2.3.VPN系統(tǒng)的分類

Intranet VPN：用于集團的總部和多個分支機構(gòu)之間；分支機構(gòu)網(wǎng)絡(luò)是集團總部網(wǎng)絡(luò)的可靠延伸；

Extranet VPN：為集團的供貨商、重要客戶和消費者等商業(yè)伙伴提供訪問權(quán)限；電子商務(wù)是Extranet VPN的一種特殊形式；

Access VPN：為移動用戶遠程訪問集團總部網(wǎng)絡(luò)提供服務(wù)； 2.4.關(guān)鍵技術(shù)

隧道技術(shù)：VPN的核心技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道由隧道協(xié)議形成，常用的有2、3層隧道協(xié)議。

密碼技術(shù)（由下面三項技術(shù)組成）

加解密技術(shù)：將認證信息、通信數(shù)據(jù)等轉(zhuǎn)換為密文的相關(guān)技術(shù)，其可靠性主要取決于加解密的算法及強度。

密鑰管理技術(shù)：如何在公用網(wǎng)上安全地傳遞密鑰而不被竊取。身份認證技術(shù)：在正式的隧道連接開始之前需要確認用戶的身份，以便系統(tǒng)進一步實施資源訪問控制或用戶授權(quán)。2.5.身份認證方法

PAP（Password Authentication Protocol）：是一種簡單的明文用戶名/口令認證方式。

CHAP（Challenge Handshake Authentication Protocol詢問握手身份驗證協(xié)議）：是一種挑戰(zhàn)響應(yīng)式協(xié)議。它是PPP(MODEM或ADSL撥號)中普遍使用的認證協(xié)議。MS-CHAP：是微軟針對Windows系統(tǒng)設(shè)計的，采用MPPE加密用戶密碼和數(shù)據(jù)。

RADIUS（Remote Authentication Dial In User Service，遠程用戶撥號認證系統(tǒng)）：最初是由Livingston公司提出的，原先的目的是為撥號用戶進行認證和計費。后來經(jīng)過多次改進，形成了一項通用的認證計費協(xié)議。

2.6.具體通信協(xié)議與方法 2.6.1.點對點隧道協(xié)議（PPTP）

PPTP（point – to – point Tunneling Protocol）是1996年Microsoft 和Ascend等在PPP協(xié)議上開發(fā)的支持Client-to-LAN類型的VPN連接。PPTP 使用 PPP 撥號連接，通過對PPP 分組的封裝傳輸，將PPP 鏈接邏輯地延伸到遠程用戶與企業(yè)總部的PPTP服務(wù)器之間，從而借用PPP 協(xié)議成熟的機制對用戶進行身份鑒別、訪問授權(quán)以及網(wǎng)絡(luò)配置，同時，通過PPTP封裝傳輸，也使得使用企業(yè)內(nèi)部地址的分組，能成功地穿越IP 異構(gòu)網(wǎng)絡(luò)，到達企業(yè)總部，以此達到資源共享。PPTP只能在兩端點間建立單一隧道。

PPTP工作模式分為被動和主動兩種模式。被動模式中，PPTP會話通過一個一般位于ISP 處的前端處理器發(fā)起，客戶端不需安裝任何PPTP軟件，ISP 為用戶提供相應(yīng)的服務(wù)，這種方式降低了對客戶的要求，但限制了客戶對Internet 其他部分的訪問。主動模式中，客戶與網(wǎng)絡(luò)另一端的服務(wù)器直接建立PPTP隧道，不需ISP 的參與，不需位于ISP 處的前端處理器，ISP 只提供透明的傳輸通道。這種方式的優(yōu)點是客戶對PPTP有絕對的控制。

PPTP隧道機制的特點有，PPTP不提供數(shù)據(jù)安全性保證，它必須借助PPP 的加密機制，如MPPE（Window自帶），或者與其它安全協(xié)議如IPsec）結(jié)合使用，才能為隧道通信提供安全保護；由于PPP協(xié)議本身支持多協(xié)議傳輸，PPTP因此支持多協(xié)議傳輸； PPTP不支持多隧道復(fù)用，但通過呼叫ID 能支持對隧道的會話復(fù)用； PPTP通過GRE頭中的序列號支持有限的分組排序功能； PPTP協(xié)議的系統(tǒng)開銷適中；除了有限的流量控制功能，PPTP也基本不能提供QoS 保障。2.6.2.第2層轉(zhuǎn)發(fā)L2F（Layer 2 Forward）協(xié)議

L2F（Layer 2 Forward）協(xié)議由Cisco公司提出，通過對PPP或SLIP分組的封裝傳輸，能使PPP/SLIP分組在多種網(wǎng)絡(luò)（如ATM、幀中繼和IP網(wǎng)絡(luò)）中傳輸。其標準于1998年提交IETF，發(fā)布在RFC 2341。L2F協(xié)議設(shè)計了L2F封裝頭, 形成L2F分組。L2F分組可在任何能提供點到點鏈接的底層媒體上發(fā)送。當L2F分組在IP網(wǎng)絡(luò)上發(fā)送時，L2F分組將作為UDP協(xié)議的上層協(xié)議數(shù)據(jù)單元被封裝成為UDP報文，經(jīng)過IP協(xié)議發(fā)送。

以下是一個典型的L2F協(xié)議的實現(xiàn)：

圖二 L2F協(xié)議的典型實現(xiàn)

遠程用戶通過ISDN/PSTN 網(wǎng)與NAS建立PPP 連接。VPN客戶機通過VPN撥號向NAS服務(wù)器發(fā)送請求，希望建立與遠程HGW的VPN連接。NAS根據(jù)用戶名稱等信息向HGW發(fā)送隧道建立連接請求，實現(xiàn)與HGW之間通過IP 網(wǎng)、幀中繼或其它網(wǎng)絡(luò)建立L2F 隧道，總部局域網(wǎng)通過HGW與外界連接。即遠程用戶與NAS之間建立一條PPP 鏈接。這條鏈接被NAS與HGW之間的L2F 隧道邏輯地延伸到HGW。2.6.3.第2層隧道協(xié)議（L2TP）

因特網(wǎng)工程任務(wù)組（IETF）希望統(tǒng)一虛擬撥號的標準，由此產(chǎn)生了L2TP（Layer 2 Tunneling Protocol）協(xié)議。它由微軟、Ascend、Cisco、3COM等公司參予制定，結(jié)合了PPTP和L2F兩種協(xié)議的優(yōu)點，成為IETF標準RFC 2661。L2TP是典型的被動式隧道協(xié)議，可讓用戶從客戶機或接入服務(wù)器發(fā)起VPN連接。L2TP協(xié)議設(shè)計了L2TP封裝頭，設(shè)計思想類似于L2F頭。封裝形成的L2TP分組可在任何能提供點到點鏈接的媒體上發(fā)送，如IP網(wǎng)、ATM和幀中繼。當L2TP分組在IP網(wǎng)上進行發(fā)送時，L2TP分組被封裝入UDP報文，再遞交給IP協(xié)議進行發(fā)送。

而L2TP協(xié)議的工作流程如下：遠程用戶通過PSTN或ISDN網(wǎng)，向ISP發(fā)起PPP鏈接請求。在ISP的呈現(xiàn)點 POP處，LAC接受此連接，建立遠程用戶到LAC的PPP鏈接。遠程用戶與LAC互換LCP配置信息，并可能實現(xiàn)如CHAP身份鑒別信息的局部交換；

ISP的LAC依據(jù)CHAP應(yīng)答中的名字信息，確定是否對此遠程用戶提供虛擬的撥號訪問服務(wù)。若需要，則由名字信息確定該用戶的總部所在地，即目的LNS；

如果LAC與該LNS之間沒有建立隧道，或者因為保證QoS服務(wù)的需要，由LAC向LNS發(fā)起隧道的建立，并為該隧道分配一個隧道號，即Tunnel ID；并在隧道中為該用戶呼叫分配一個ID號，稱Call ID。LAC隨后向LNS發(fā)出入站呼叫請求。該請求中可能包括LAC對遠程用戶收集的鑒別信息以及其它配置信息；如果LNS接受此入站呼叫，則在LNS為此呼叫產(chǎn)生一個“虛擬接口”，該虛擬接口為L2TP隧道的終點，其另一終點是建立于LAC上的一個L2TP虛擬接口；

LNS為遠程用戶分配IP地址。LNS分配給遠程用戶的IP地址由管理員設(shè)置，一般使用私有地址，但LAC和LNS需使用公共IP地址。從遠程用戶發(fā)送的PPP幀到達LAC后，LAC上的L2TP虛擬接口將PPP幀封裝為L2TP分組之中，在特定的傳輸媒體上發(fā)送。當L2TP分組到達LNS端后，L2TP頭被剝?nèi)?，剩余的PPP或SLIP分組將與正常進入的分組一樣被送入相應(yīng)的接口進行處理。

從LNS發(fā)送到遠程用戶的數(shù)據(jù)的處理過程與此完全相似。2.6.4.IP安全協(xié)議（IPSec）與SSL VPN VPN技術(shù)雖然種類眾多，但IETF下的IPSec工作組推出的IPSec協(xié)議是目前工業(yè)界IP VPN標準，安全性明顯優(yōu)于其它隧道協(xié)議,以IPSec協(xié)議構(gòu)建虛擬專用網(wǎng)已成為主流。

基于IPSec構(gòu)建IP VPN是指利用實現(xiàn)IPsec協(xié)議的安全網(wǎng)關(guān)（Security Gateway）充當邊界路由器，完成安全的遠程接入和在廣域網(wǎng)上內(nèi)部網(wǎng)絡(luò)的“虛擬”專線互聯(lián)等。

IPSec VPN的建立方式包括：Host 對Host，Host 對VPN 網(wǎng)關(guān)，VPN 對VPN 網(wǎng)關(guān)，Remote User 對VPN 網(wǎng)關(guān)，Host 對Host，Host 對VPN 網(wǎng)關(guān)，VPN 對VPN 網(wǎng)關(guān)，Remote User 對VPN 網(wǎng)關(guān)。SSL VPN主要供遠程用戶訪問內(nèi)部網(wǎng)絡(luò)資源時使用，包括Web服務(wù)、文件服務(wù)（包括FTP 服務(wù)、Windows網(wǎng)上鄰居服務(wù)）、可轉(zhuǎn)化為Web方式的應(yīng)用（如Webmail)以及基于C/S的各類應(yīng)用等。SSL 應(yīng)用模式基本分為三類：Web瀏覽器模式、專門的SSL VPN客戶端模式和LAN 到LAN 模式。

在Web瀏覽器模式中，SSL VPN服務(wù)器使用https和socks 協(xié)議（實現(xiàn)代理功能，負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)）。SSL VPN客戶端與SSL VPN服務(wù)器間使用https協(xié)議；而SSL VPN服務(wù)器與單位內(nèi)部服務(wù)器間使用http 協(xié)議。當客戶端需要訪問內(nèi)部網(wǎng)絡(luò)中的C/S應(yīng)用時，它從SSL VPN服務(wù)器下載控件。該控件是一個服務(wù)監(jiān)聽程序，用于將客戶端的C/S數(shù)據(jù)包轉(zhuǎn)換為Http 協(xié)議支持的連接方法，并通知SSL VPN服務(wù)器它所采用的通信協(xié)議（TCP/UDP）及訪問的目的服務(wù)地址和端口。客戶端控件與SSL VPN服務(wù)器建立安全通道后，在本機接收客戶端數(shù)據(jù)包后，通過SSL 通道轉(zhuǎn)發(fā)給SSL VPN服務(wù)器。SSL VPN服務(wù)器解密數(shù)據(jù)后轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)的目的服務(wù)器。SSL VPN服務(wù)器接收到內(nèi)部網(wǎng)絡(luò)的服務(wù)器的響應(yīng)數(shù)據(jù)包后，通過SSL 通道發(fā)給客戶端控件?？蛻舳丝丶饷芎筠D(zhuǎn)發(fā)給客戶端應(yīng)用程序。

3.學(xué)習(xí)總結(jié)

網(wǎng)絡(luò)安全技術(shù)是保證網(wǎng)絡(luò)通信過程中，傳遞信息的機密性，完整性，可用性，不可否認性等。硬件層面的設(shè)備，線纜等安全性可以通過加強設(shè)計和提高生產(chǎn)技術(shù)來保證。軟件層面的通信安全就需要靠安全通信協(xié)議和對明文內(nèi)容的加密算法來實現(xiàn)。在通信網(wǎng)絡(luò)的OSI分層中，軟件層面的通信安全主要體現(xiàn)在網(wǎng)絡(luò)層，傳輸層，會話層，表示層。在每個層中，根據(jù)網(wǎng)絡(luò)通信類型和服務(wù)不同，使用的安全協(xié)議也有區(qū)別。密鑰技術(shù)，數(shù)字證書技術(shù)等保證信息機密性，完整性，可用性，不可否認性的技術(shù)主要工作在表示層。而VPN技術(shù)是從鏈路層到表示層都有一整套協(xié)議和通信方式的技術(shù)，在各個層都能夠保證信息不被篡改，閱讀，抵賴。所以幾乎能夠相當于在用戶之間建立了一條專線進行通信。

第二篇：vpn學(xué)習(xí)小結(jié)

VPN學(xué)習(xí)小結(jié)

1.VPN概述

隨著通信基礎(chǔ)設(shè)施建設(shè)和互聯(lián)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，各行各業(yè)紛紛借助互聯(lián)網(wǎng)絡(luò)技術(shù)來加快信息的流動速度，提升企業(yè)的綜合競爭力。VPN 技術(shù)，就是一種目前業(yè)界主流的解決異地網(wǎng)絡(luò)安全互連的加密通信協(xié)議。

VPN是Virtual Private Network（虛擬專用網(wǎng)絡(luò)）的簡稱，指綜合利用封裝技術(shù)、加密技術(shù)，密鑰交換技術(shù)、PKI技術(shù)，可以在公用的互聯(lián)網(wǎng)絡(luò)上，建立安全虛擬專用網(wǎng)絡(luò)。

VPN 是一個被加密或封裝的通信過程，該過程把數(shù)據(jù)安全地從一端傳送到另一端，這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來保障，而數(shù)據(jù)是在一個開放的、有安全保障的互聯(lián)網(wǎng)上傳輸?shù)?。VPN 技術(shù)能夠有效保證信息安全傳輸中的性”、“完整性”和“不可抵賴性”。

實際上，VPN是一種依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在VPN服務(wù)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。用戶不再需要擁有成本極高的長途數(shù)據(jù)線路，用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路，為自己制定一個最符合自己需求的網(wǎng)絡(luò)，從而實現(xiàn)企業(yè)內(nèi)部多個分支機構(gòu)之間的數(shù)據(jù)通信、Voip電話、視頻會議等多種業(yè)務(wù)。

包沒“機密而是使

2.VPN主要技術(shù)

目前市場上多種 VPN技術(shù)并存，主要有以下幾種：

PPTP/L2TP：屬于上世紀末的技術(shù)，實現(xiàn)比較便捷，集成在 Windows 操作系統(tǒng)之中，使用方便。但技術(shù)過于簡單，加密算法和協(xié)議的安全性以及性能吞吐率都很低，并發(fā)接入數(shù)目較低，屬于非主流的VPN 技術(shù)，基本已被淘汰。

MPLS VPN：在IP路由和控制協(xié)議的基礎(chǔ)上提供面向連接（基于標記）的交換。MPLS VPN需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由器都能夠支持 MPLS，所以這種技術(shù)對網(wǎng)絡(luò)有較為特殊的要求。特別需要強調(diào)的是MPLS VPN的實施必須由運營商進行。MPLS VPN適用于對于網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。MPLS VPN的用戶，需要通過光纖或者以太網(wǎng)接口FR（EDSL）專線接入電信骨干網(wǎng)絡(luò)，MPLS VPN服務(wù)給企業(yè)提供高帶寬的二層透明通路，企業(yè)可以自定義規(guī)劃其網(wǎng)絡(luò)結(jié)構(gòu)和地址。

IPSec VPN：目前市場主流 VPN技術(shù)，由于 IPSec是在 IP 層進行加密和封裝，所以在性能表現(xiàn)強勁的同時，又能支持各種基于 IP 協(xié)議的網(wǎng)絡(luò)應(yīng)用，是國際上公認的 IP 層 VPN技術(shù)標準。IPSec VPN 安全性好，對 IP 應(yīng)用透明，性能高，靈活穩(wěn)定，易于擴展，互通性強；適合網(wǎng)間互連（Site To Site）和客戶端接入互連（Client To Site）。但是，局限性主要在于在Client To Site的通訊模式下，移動用戶需要安裝專門的VPN客戶端軟件，增添了使用和維護的復(fù)雜程度。

SSL VPN：專用于解決客戶端接入互連（Client To Site）的傳輸層VPN技術(shù)。移動用戶不需要安裝VPN客戶端軟件，而使用WEB瀏覽器作為登陸方式。SSL VPN安全性好，使用靈活，不受網(wǎng)絡(luò)接入環(huán)境的限制，對應(yīng)用的控制粒度更細。但其局限性是：對許多 C/S應(yīng)用的支持能力較差，性能相對較低；并且不能滿足網(wǎng)間互連（Site To Site）的VPN連接需求，設(shè)備價格高昂，且SSL VPN 網(wǎng)關(guān)自身抗攻擊能力差，需要額外的防火墻或安全網(wǎng)關(guān)等防護設(shè)備的保護。

3.VPN產(chǎn)品分類

根據(jù)產(chǎn)品應(yīng)用對象，VPN產(chǎn)品分為：

? 中小型企業(yè)VPN：百兆接口、嵌入式處理器 ? 大中型企業(yè)VPN：百兆接口、嵌入式處理器

? 大型企業(yè)VPN：千兆接口、X86架構(gòu)處理器、集成加密卡

? 面向骨干網(wǎng)絡(luò)和超大型企業(yè)VPN：千兆+光纖接口、至強處理器、集成加密卡

根據(jù)產(chǎn)品采用的技術(shù)，VPN產(chǎn)品分為： ? MPLS VPN ? IPSec VPN ? SSL VPN ? IPSec/SSL VPN

4.VPN產(chǎn)品主要功能

4.1.VPN產(chǎn)品通用功能

SSL VPN的關(guān)鍵技術(shù)包括：Web代理、端口轉(zhuǎn)發(fā)、應(yīng)用轉(zhuǎn)換、網(wǎng)絡(luò)連接(Network Connection, NC)，目前大部分的SSL VPN產(chǎn)品，都是以這幾項技術(shù)的一項或幾項為基礎(chǔ)研發(fā)實現(xiàn)的。那么，對國產(chǎn)SSL VPN產(chǎn)品而言，哪些技術(shù)尤其重要呢? 首先是Web代理技術(shù)。由于用戶需要訪問內(nèi)網(wǎng)的Web應(yīng)用，而且希望訪問方式盡量簡便，而只有具備Web代理技術(shù)，SSL VPN產(chǎn)品才能做到100%零客戶端，才能為用戶提供最簡便的接入方式，因此，Web代理技術(shù)對國產(chǎn)SSL VPN產(chǎn)品而言是一項必須技術(shù)，也是SSL VPN產(chǎn)品是否專業(yè)的重要標準之一。

除了Web代理技術(shù)，端口轉(zhuǎn)發(fā)技術(shù)的重要性也不容小覷。除了要訪問除Web應(yīng)用外，用戶還需要經(jīng)常訪問組織內(nèi)部的C/S架構(gòu)應(yīng)用，例如郵件、FTP、文件共享、數(shù)據(jù)庫、ERP等，這時，SSL VPN產(chǎn)品采用端口轉(zhuǎn)發(fā)技術(shù)實現(xiàn)對C/S應(yīng)用的處理，是再合適不過的了。

至于應(yīng)用轉(zhuǎn)換技術(shù)，目前國內(nèi)用戶需求并不迫切。由于SSL VPN產(chǎn)品需要把FTP、Email，SSH等應(yīng)用以Web的形式重新實現(xiàn)，實現(xiàn)起來比較復(fù)雜，還可能存在提供的功能不夠完整，界面不夠友好，不太符合用戶的操作習(xí)慣以及控件引用是不合法等一系列問題。從另一個角度來看，用戶在沒有使用SSL VPN之前，都已經(jīng)習(xí)慣通過相應(yīng)的客戶端軟件對C/S應(yīng)用進行訪問，在使用SSL VPN后，仍然希望通過使用原來的客戶端軟件訪問內(nèi)部的各種C/S應(yīng)用。由此看來，應(yīng)用轉(zhuǎn)換技術(shù)并不十分適應(yīng)于國內(nèi)的用戶，也并非是國產(chǎn)SSL VPN產(chǎn)品的必須功能。

最后再看NC技術(shù)，由于NC技術(shù)可以實現(xiàn)SSL VPN與應(yīng)用無關(guān)的特性，因此客戶端通過SSL VPN訪問內(nèi)部整個子網(wǎng)的需求仍然存在。然而，在使用該功能時，需要給客戶端配置虛擬IP地址，這樣一來，就會遇到地址規(guī)劃上的一些問題，在配置和使用上也比較復(fù)雜。目前，國內(nèi)已經(jīng)有SSL VPN廠商注意到這個問題，為了更好地滿足用戶對易用性的要求，采用了一種“網(wǎng)絡(luò)層代理”技術(shù)，客戶端通過SSL VPN產(chǎn)品訪問內(nèi)部整個子網(wǎng)時，不需要借助虛擬IP地址，也不需要改變內(nèi)網(wǎng)服務(wù)器網(wǎng)關(guān)指向，有效地解決了NC功能配置和使用復(fù)雜的難題。但目前，“網(wǎng)絡(luò)層代理”技術(shù)還存在一個問題，即無法處理TCP連接由內(nèi)向外發(fā)起的應(yīng)用，無法做到“與應(yīng)用無關(guān)”。如果有SSL VPN產(chǎn)品能夠同時具備NC和網(wǎng)絡(luò)代理功能，將會受到更多國內(nèi)用戶的青睞。

以上列舉的只是SSL VPN產(chǎn)品的幾項主要技術(shù)，為了更好地滿足國內(nèi)用戶的需求，SSL VPN產(chǎn)品還必須在功能上進一步貼近需求，不斷豐富，主要包括：

豐富的認證方式：國內(nèi)用戶類型眾多，對認證方式和安全性要求也不盡相同。除了基本的本地口令外，動態(tài)口令、短信口令、口令+動態(tài)附加密、證書+USBKEY、口令+證書+USBKEY等多因素認證方式也越來越常見，成為對SSL VPN產(chǎn)品的基本要求。此外，隨著CA體系在中國不斷健全，越來越多的用戶從專業(yè)的CA企業(yè)購買服務(wù)，因此國產(chǎn)SSL VPN產(chǎn)品能否很好地與標準第三方CA系統(tǒng)兼容，能否提供標準OSCP、CRL等證書校驗接口，在一定程度上決定了該產(chǎn)品能否應(yīng)用到用戶現(xiàn)有環(huán)境中。

線路優(yōu)化：國內(nèi)用戶常常向不同的ISP申請了多個公網(wǎng)IP提供服務(wù)。如果SSL VPN產(chǎn)品能夠利用多個網(wǎng)口通過多個公網(wǎng)IP對外提供接入訪問，并可以根據(jù)接入客戶端的ISP來源選擇最佳路徑，那么將可以大大提高訪問效率，更好地適應(yīng)國內(nèi)的網(wǎng)絡(luò)環(huán)境。

單點登錄：在用戶的內(nèi)網(wǎng)中，OA系統(tǒng)通常都帶認證功能，使用者需要提交用戶名及口令才可登錄。加上SSL VPN后，用戶就首先要登錄SSL VPN，然后再次提交認證信息登錄OA，導(dǎo)致重復(fù)認證過程。為了簡化登陸程序，SSL VPN產(chǎn)品應(yīng)該能記錄用戶登錄SSL VPN時的認證信息，在用戶訪問OA時，代替用戶提交認證，用戶不需要再次輸入用戶名和口令就可打開登錄成功后的頁面。

端點安全：安裝SSL VPN產(chǎn)品后，端點安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN，在連接SSL VPN隧道后是否允許訪問互聯(lián)網(wǎng)，在SSL VPN客戶端注銷后，訪問痕跡是否應(yīng)該清理，都是SSL VPN需要重點考慮的幾個安全問題。目前，國內(nèi)很多SSL VPN產(chǎn)品也都有應(yīng)對措施。在客戶端主機接入之前，先檢測終端主機上是否具備管理員要求的某些特征，如操作系統(tǒng)版本、IE瀏覽器版本、是否運行了殺毒軟件等等，如果不滿足安全策略，則拒絕連接。在建立隧道后，SSL VPN產(chǎn)品還可以禁止客戶端主機訪問隧道以外的網(wǎng)絡(luò)以確保隧道安全;在終端用戶注銷后，還會自動清除此次的訪問痕跡，確保信息不被泄漏。此外，如果產(chǎn)品能實現(xiàn)帳號和客戶端主機特征綁定以及防偽造功能等，將可以進一步提高客戶端的端點安全性。

應(yīng)用層防御：SSL VPN產(chǎn)品是以應(yīng)用為核心的安全接入產(chǎn)品，因此應(yīng)用層的安全防御必不可少。目前，防SQL注入，防跨站腳本和防非法URL訪問等功能已經(jīng)出現(xiàn)在一些國內(nèi)品牌發(fā)上限控制功能，保障了應(yīng)用服務(wù)系統(tǒng)。安全審計：而言，SSL VPN哪個用戶、在什么時間，在什么地理位置通過哪個什么服務(wù)，訪問了哪些條件(如時間范圍、瀏覽和下載。4.2.安達通4.2.1.特色功能? IPSec over HTTPS/HTTP ? 隧道接力技術(shù)? 虛地址互聯(lián)技術(shù)? 自動路由技術(shù)? 多播隧道技術(shù)? 準入控制技術(shù)? 動態(tài)口令短信認證技術(shù)4.2.2.負載均衡功能? 智能均衡上網(wǎng)技術(shù)SSL VPN產(chǎn)品上。甚至有廠商還提供了基于賬號的最大并有效防止了一個賬號惡意產(chǎn)生大量連接的DoS攻擊行為，有效

SSL VPN產(chǎn)品相對傳統(tǒng)VPN的優(yōu)勢之一就是審計更加詳細。相比IP地址。在日志中應(yīng)該可以記錄ISP登錄了SSL VPN，訪問了Web頁面等等。另外，SSL VPN產(chǎn)品還應(yīng)該提供基于各種關(guān)鍵字等)的查詢功能，甚至可以根據(jù)時間范圍生成報表提供VPN產(chǎn)品主要功能

技術(shù)

產(chǎn)品更關(guān)注賬號而不僅僅只是 ? VPN多點接入和均衡技術(shù) ? VPN鏈路備份技術(shù)

4.2.3.VPN 移動接入加速系統(tǒng)功能 4.2.4.防火墻功能

? 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù) ? 狀態(tài)檢測防火墻技術(shù) ? HTTP 檢測技術(shù) ? IP-MAC地址綁定技術(shù) ? 內(nèi)網(wǎng)用戶認證技術(shù) ? IDS聯(lián)動技術(shù)

4.2.5.其他功能

? 雙機熱備 ? 流量控制 ? 路由支持 ? 配置和升級管理 ? 日志管理

5.VPN典型應(yīng)用

5.1.單臂連接模式

“單臂連接”模式是用戶已有防火墻等設(shè)備時安達通首推的部署方式?！皢伪圻B接”模式指的是安全網(wǎng)關(guān)只接一個口到內(nèi)網(wǎng)交換機中，另外一個口不接線，即把安全網(wǎng)關(guān)設(shè)備當作一臺服務(wù)器或主機，專門處理 VPN 報文的加解密。從實現(xiàn)技術(shù)上而言，單臂連接結(jié)合了串行連接和并行連接兩者的優(yōu)勢，實現(xiàn)了部署和性能的最優(yōu)化。在實施時，需要在防火墻（路由器）上為安全網(wǎng)關(guān)做靜態(tài)端口映射（靜態(tài) NAPT），同時也需要在防火墻（路由器）上添加靜態(tài)路由來解決要通過VPN的數(shù)據(jù)包正確流向的問題。

結(jié)合”自動路由”技術(shù)，單臂連接方式能在對用戶環(huán)境最小改動的前提下部署 VPN，大大增加了VPN設(shè)備對網(wǎng)絡(luò)環(huán)境的適應(yīng)能力。

單臂連接實際案例配置示意圖如下所示：

上圖示例中總部局域網(wǎng)利用一臺防火墻通過光纖接入互聯(lián)網(wǎng)，防火墻外口 IP 地址為218.1.1.1，內(nèi)口IP 地址為192.168.1.1，現(xiàn)僅將安全網(wǎng)關(guān)的LAN 口接到內(nèi)網(wǎng)交換機。安全網(wǎng)關(guān)工作在路由模式下，LAN口IP 地址 192.168.1.254，WAN口任意設(shè)置一個 IP 地址，比如為 1.1.1.1，總部內(nèi)網(wǎng)只有一個子網(wǎng) 192.168.1.0/24。該單位有一異地分部，采用 ADSL 接入互聯(lián)網(wǎng)，并使用 SJW74A 安全網(wǎng)關(guān)作為接入設(shè)備，內(nèi)網(wǎng)也只有一個子網(wǎng)為 192.168.2.0/24。通過這樣的部署，可實現(xiàn)該分部與總部子網(wǎng)的 VPN 互連。同時還可實現(xiàn)移動客戶端的遠程接入（如上圖），客戶端的私有 IP 地址為172.16.1.1-10。

5.2.路由模式

“路由模式”是指VPN網(wǎng)關(guān)內(nèi)外網(wǎng)接口路由不同，網(wǎng)關(guān)本身要作為路由器或NAT 轉(zhuǎn)換設(shè)備，實現(xiàn)路由轉(zhuǎn)發(fā)以及對內(nèi)提供上網(wǎng)和對外提供服務(wù)等工作。一般用于新建的網(wǎng)絡(luò)中或者用戶準備用VPN網(wǎng)關(guān)替代原有路由器/防火墻的地方。通過使用安達通自帶的初始化向?qū)Чぞ呖梢苑浅：啽愕牟渴稹奥酚赡Ｊ健本W(wǎng)關(guān)，典型部署示意如下圖：

上圖示例中，VPN 安全網(wǎng)關(guān)作為總部局域網(wǎng)的出口，對內(nèi)提供上網(wǎng)服務(wù)，對外提供 VPN接入服務(wù)。內(nèi)部 192.168.1.X 的 PC 用戶默認網(wǎng)關(guān)指向 VPN 內(nèi)網(wǎng)口 192.168.1.1，通過 NAT 映射訪問公網(wǎng)和其他VPN子網(wǎng)。

5.3.透明模式

“透明模式”又稱為“網(wǎng)橋模式”，是指安全網(wǎng)關(guān)接入在防火墻（路由器）與內(nèi)網(wǎng)之間，透明轉(zhuǎn)發(fā)除VPN報文之外所有數(shù)據(jù)的一種連接方式。

安達通 VPN 安全網(wǎng)關(guān)的“透明模式”主要分成鏈路層協(xié)議的學(xué)習(xí)功能，報文的接收和轉(zhuǎn)發(fā)功能。對于透明模式下收到的報文，根據(jù)其目的 MAC地址可以分為,發(fā)往網(wǎng)關(guān)自身的報文、廣播報文和發(fā)往其他的報文，由于透明模式僅僅對 VPN 報文進行加密，其他報文在出入端口上進行完整復(fù)制，所以保證了鏈路的透明性和 VPN的安全性。

以某商業(yè)銀行網(wǎng)絡(luò)的 VPN安全網(wǎng)關(guān)部署為例。所有的安達通安全網(wǎng)關(guān)均部署在防火墻/路由器之后，工作在“透明”模式下。安裝這些安全網(wǎng)關(guān)設(shè)備的前后，原有網(wǎng)絡(luò)系統(tǒng)：路由器、PC、Server 等沒有調(diào)整過任何配置，就實現(xiàn)了各分行和總行之間數(shù)據(jù)傳輸加密。“透明模式”部署的安達通 VPN 安全網(wǎng)關(guān)的 WAN 和 LAN 口 IP 是和本地內(nèi)網(wǎng)同一網(wǎng)段的未被使用的IP 地址。如下圖示意： 6.VPN與TPN是，可信專用網(wǎng)防護、VPN接入、全網(wǎng)行為管理、主機安全管理等組成?？尚艑Ｓ镁W(wǎng)威脅”、“邊界威脅”、“主機威脅”和“接入威脅”的統(tǒng)一管理。企業(yè)對VPN分布在異地的局域網(wǎng)絡(luò)進行互聯(lián)。隨著網(wǎng)絡(luò)互聯(lián)的進行，的基礎(chǔ)設(shè)施。

這些基礎(chǔ)設(shè)施，安全可信是最重要的?？尚牌脚_建設(shè)包括了邊界、內(nèi)網(wǎng)、主機、接入等部分。目前來看，企業(yè)可以用各種技術(shù)來確保這四部分成為有機整體。網(wǎng)技術(shù)TPN.TPN互聯(lián)以后全網(wǎng)的可信任安全平臺。目前來看，能：包括虛擬專網(wǎng)、防火墻、入侵檢測、漏洞掃描、病毒防護、網(wǎng)絡(luò)審計、身份認證、桌面安全等。網(wǎng)絡(luò)邊界防護力度不夠、分支機構(gòu)的統(tǒng)一、垃圾郵件和病毒、越權(quán)訪問密、非法接入TPN（Trusted 系統(tǒng)通過對“用戶—角色—資源”的集中描述，因為信息的共享有網(wǎng)絡(luò)互聯(lián)的需求，整個網(wǎng)絡(luò)平臺已經(jīng)越來越成為企業(yè)以及政府單位運行VPN的主要區(qū)別，TPN模型需要實現(xiàn)所有傳統(tǒng)安全設(shè)備所提供的安全功而TPN應(yīng)對的問題則包括了：實現(xiàn)“內(nèi)網(wǎng)

客觀上需要將從而產(chǎn)生/盜取機

TPN

Private Network）系統(tǒng)的簡稱，由邊界

TPN都不會陌生，而安達通在其中提供的就是可信專用與就在于融合了可信任的內(nèi)網(wǎng)技術(shù)，一套完整的遠程接入用戶帶進木馬和病毒、/非法外聯(lián)、補丁和病毒庫的統(tǒng)一升級、以及聊天、游戲、下載等網(wǎng)絡(luò)濫用。

第三篇：VPN實驗總結(jié)

網(wǎng)絡(luò)上關(guān)于vpn的原理的文章很多，這里就不再羅嗦了。下面是我最近做vpn實驗的小結(jié)：

（一）vpn access server的配置 實驗網(wǎng)絡(luò)拓撲：

pc（vpn client 4.01）－－－switch－－－router1720（vpn access server）pc配置: ip：10.130.23.242/28
gw：10.130.23.246 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 步驟：

1、配置isakmp policy： crypto isakmp policy 1 encr 3des authen pre-share group 2

2、配置vpn client地址池

cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254

3、配置vpn client有關(guān)參數(shù)

cry isa client conf group vclient-group ####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。key vclient-key ####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。

pool pool192 ####client的ip地址從這里選取

####以上兩個參數(shù)必須配置，其他參數(shù)還包括domain、dns、wins等，根據(jù)情況進行配置。

4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac

5、配置map模板

cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步對應(yīng)

6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板

cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數(shù)authorization cry map vpnmap client conf address respond ####響應(yīng)client分配地址的請求

7、配置靜態(tài)路由

ip route 192.168.1.0 255.255.255.0 fastethernet0 說明幾點：（1）因為1720只有一個fastethernet口，所以用router1720上的lo0地址來模擬router內(nèi)部網(wǎng)絡(luò)。

（2）vpn client使用的ip pool地址不能與router內(nèi)部網(wǎng)絡(luò)ip地址重疊。（3）10.130.23.0網(wǎng)段模擬公網(wǎng)地址，172.16.1.0網(wǎng)段用于1720內(nèi)部地址，192.168.1.0網(wǎng)段用于vpn通道。（4）沒有找到設(shè)置vpn client獲取的子網(wǎng)掩碼的辦法?？磥硎莍os還不支持這個功能。（5）關(guān)于split tunnel。配置方法：首先，設(shè)置access 133 permit ip 172.16.1.0 0.0.0.255 any，允許1720本地網(wǎng)絡(luò)數(shù)據(jù)通過tunnel，然后在第三步驟中添加一個參數(shù)：acl 133。1720的完整配置：

VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192！crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs！crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map??！interface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable?。ine con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置：

新建一個connection entry，參數(shù)中name任意起一個，host填入vpn access server的f0地址

10.130.23.246，group auahentication中name填vclient-group，password填vclient-key.測試：

（1）在pc上運行VPN client，連接vpn access server。（2）ipconfig/all，查看獲取到的ip地址與其他參數(shù)。（3）在router，show cry isa sa,看連接是否成功。

（4）從router，ping client已經(jīng)獲取到的ip地址，通過。

（5）從client，ping router的lo0配置的地址172.16.1.1，通過。

（6）查看vpn client軟件的status--statistics,可以看到加密與解密的數(shù)據(jù)量。

（7）1720上show cry ip sa, 也可以查看加密與解密的數(shù)據(jù)量。

常用調(diào)試命令： show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####這是最常用的debug命令，vpn連接的基本錯誤都可以用它來找到

debug cry ipsec

（二）easy vpn client的配置（network-extension mode）

實驗網(wǎng)絡(luò)拓撲：

router3662（vpn client）－－－switch－－－router1720（vpn access server）pc(vpn client 4.01)－－－－－－| 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 pc配置: ip：10.130.23.242/28 gw：10.130.23.246 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步驟：

1、配置1720路由器，參照實驗一，設(shè)置為vpn server。

2、配置3662路由器，設(shè)置vpn client參數(shù)

cry ip client ezvpn vclient ####定義crypto-ezvpn name mode network-extension ####設(shè)置為網(wǎng)絡(luò)擴展模式

group vclient-group key vclient-key ####設(shè)置登錄vpn server的組名與組口令

peer 10.130.23.246 ####設(shè)置vpn server的ip地址，如果啟用dns，則可以用hostname connect auto ####設(shè)置為自動連接。如果設(shè)為手動，則必須使用cry ip client ezvpn connect vclient命令來啟動vpn通道。

local-address F0/0 ####設(shè)置vpn通道本地地址，選用f0/0，可以保證vpn server找到它

3、定義加密數(shù)據(jù)入口，這里為f0/1 inter f0/1 cry ip client ezvpn vclient inside

4、定義加密數(shù)據(jù)出口，這里為連接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside

5、在1720上設(shè)置靜態(tài)路由，地址范圍為3662路由本地網(wǎng)絡(luò)的地址 ip route 172.16.2.0 255.255.255.0 f0

6、設(shè)置ip dhcp服務(wù) ####cisco推薦使用dhcp來進行本地網(wǎng)絡(luò)ip的分配。此步驟可選。

service dhcp ####啟動dhcp 服務(wù)

ip dhcp pool dhcppool ####定義dhcp pool name network 172.16.2.0 /24 ####定義可分配的IP地址段

default-router 172.16.2.1 ####定義dhcp client的默認網(wǎng)關(guān) lease 1 0 0 ####設(shè)置ip保留時間

import all ####如果配置了上級dhcp，server，則接受其所有參數(shù) ip dhcp excluded-address 172.16.2.1 ####將router上的地址排除

測試：

（1）配置好3662上的vpn client后，自動進行vpn連接?？梢酝ㄟ^debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結(jié)果。

（2）在1720上擴展ping，source 10.130.23.246 destination 172.16.2.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)沒有進行加密。

（3）在1720上擴展ping，source 172.16.1.1 destination 172.16.2.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進行傳輸。

（4）在3660上擴展ping，source 172.16.2.1 destination 172.16.1.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進行傳輸。

（5）在3660上擴展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)不通過加密。（6）啟動pc vpn client，ping 172.16.1.1，通過。在1720上查看show cry ip sa，可以看到數(shù)據(jù)通過加密進行傳輸。

（7）在pc vpn client，ping 172.16.2.1，通過。在1720和3662上查看show cry ip sa，可以看到數(shù)據(jù)通過加密進行傳輸。在1720上show cry isa sa，可以看到兩個vpn連接。

（8）在3660上擴展ping，source 172.16.2.1 destination 192.168.1.10（pc vpn client獲得的ip），通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進行傳輸。

說明：

（1）不同平臺，不同ios版本，easy vpn client的配置有所不同。特別是加密數(shù)據(jù)入出接口的配置，配置接口前后，用show cry ip client ezvpn來查看與驗證。

（2）network-extension模式，vpn client端本地ip不通過nat/pat進行數(shù)據(jù)傳輸。

（3）以上配置均沒有啟用split tunnel。設(shè)置split tunnel的方法:首先參考實驗

（一），設(shè)置acl 133和cry isa client conf group中的參數(shù)，完成后，可以實現(xiàn)測試（1）－（5）。要實現(xiàn)Pc vpn client和3662 vpn client 互通，即測試（6）－（8），還要在1720 的acl 133中添加兩條，分別是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

（4）修改1720配置后，需要復(fù)位vpn通道，才可以起作用。在pc端，是通過disconnect再connect來實現(xiàn)；在3662上，通過clear cry ip client ezvpn來復(fù)位。

常用調(diào)試命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa

（三）easy vpn client的配置（client mode）

實驗網(wǎng)絡(luò)拓撲同實驗

（二）實驗步驟參考實驗

（二），其中第二步，將mode network-extension改為mode client。

測試：

（1）配置好3662上的vpn client后，自動進行vpn連接?？梢酝ㄟ^debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結(jié)果。

（2）在1720上擴展ping，source 10.130.23.246 destination 172.16.2.1，不通。

（3）在1720上擴展ping，source 172.16.1.1 destination 172.16.2.1，不通。這是因為3662端ip數(shù)據(jù)流是通過nat進行傳輸。

（4）在3660上擴展ping，source 172.16.2.1 destination 172.16.1.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進行傳輸。在1720上打開deb ip icmp，可以看到echo reply信息的dst地址為192.168.1.19（vpn client 從vpn server獲取的ip地址）。

（5）在3660上擴展ping，source 10.130.23.244 destination 172.16.1.1，不通。

說明：

（1）client 模式，vpn client端內(nèi)部網(wǎng)絡(luò)采用nat方式與vpn server進行通信，vpn client端網(wǎng)絡(luò)可以訪問server端網(wǎng)絡(luò)資源，server端網(wǎng)絡(luò)不能訪問client端內(nèi)部網(wǎng)絡(luò)資源。

（2）client與network-extension兩種模式，show cry ip sa，可以看到local ident是不同的。

（3）client模式下，用show ip nat statistics，可以看到nat的配置與數(shù)據(jù)流量。

（4）關(guān)于split tunnel，client模式的easy vpn client，與pc的vpn client類似，配置split tunnel的方法也相同。常用調(diào)試命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics

（四）site to site vpn的配置（采用pre-share）

實驗網(wǎng)絡(luò)拓撲： router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟：

以1720為例進行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定義加密數(shù)據(jù)的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）定義isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key進行驗證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進行配置，需要注意兩個路由器上的對應(yīng)參數(shù)配置必須相同。（4）定義pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 為key，兩個路由器上要一樣 ####其中10.130.23.244為peer路由器的ip地址。（5）定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name，后面兩項為加密傳輸?shù)乃惴?mode transport/tunnel #####tunnel為默認值，此配置可選（6）定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name，10 是entry 號碼，ipsec-isakmp表示采用isakmp進行密鑰管理

match address 144 ####定義進行加密傳輸?shù)臄?shù)據(jù)，與第二步對應(yīng) set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對應(yīng)

####如果一個接口上要對應(yīng)多個vpn peer，可以定義多個entry，每個entry對應(yīng)一個peer（7）將crypto map應(yīng)用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同樣方法配置3662路由器。1720的完整配置： VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144??！interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 測試：

（1）未將map應(yīng)用到接口之前，在1720，擴展ping，source 10.130.23.246 destination 172.16.2.1，通過。擴展ping，source 172.16.1.1 destination 172.16.2.1，通過。

（2）map應(yīng)用到接口之后，在1720，擴展ping，source 10.130.23.246 destination 172.16.2.1，通過。

查看show cry ip sa，可以看到數(shù)據(jù)沒有通過vpn 通道進行傳輸，因為不符合acl 144。（3）map應(yīng)用到接口之后，在1720，擴展ping，source 172.16.1.1 destination 172.16.2.1，通過。查看show cry ip sa，可以看到數(shù)據(jù)通過vpn 通道進行傳輸。

（4）在3662上同樣進行測試。

說明：

（1）采用pre-share方式加密數(shù)據(jù)，配置簡單，數(shù)據(jù)傳輸效率較高，但是安全性不高。

（2）加密數(shù)據(jù)前后，通過ping大包的方式測試，可以發(fā)現(xiàn)這種利用軟件進行數(shù)據(jù)加密的方式，延時較大。如果需要開展voip、ip 視訊會議等業(yè)務(wù)，建議選配vpn模塊進行硬件加密。

常用調(diào)試命令： show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip

（五）site to site vpn的配置（采用rsa-encrypted）

實驗網(wǎng)絡(luò)拓撲：

router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟：

以1720為例進行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定義加密數(shù)據(jù)的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分別生成rsa signing key和rsa encryption key 這里 統(tǒng)一用general purpose key（4）復(fù)制peer router的public key到本地router中（A）在3662上生成general purpose key（B）在3662上show cry key mypubkey rsa，復(fù)制其中的General Purpose Key（C）在1720上，cry key pubkey-chain rsa ####設(shè)置public key addressed-key 10.130.23.244 ####設(shè)置關(guān)聯(lián)10.130.23.244ip地址的key key-string ####定義key串

粘貼從3662上復(fù)制的General Purpose Key #####如果第三步生成了兩種key，則這里復(fù)制粘貼的，應(yīng)該是Encryption Key（三個key中的第二個）（5）定義isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key進行驗證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進行配置，需要注意兩個路由器上的對應(yīng)參數(shù)配置必須相同。（6）定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name，后面兩項為加密傳輸?shù)乃惴?mode transport/tunnel #####tunnel為默認值，此配置可選（7）定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name，10 是entry 號碼，ipsec-isakmp表示采用isakmp進行密鑰管理

match address 144 ####定義進行加密傳輸?shù)臄?shù)據(jù)，與第二步對應(yīng) set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對應(yīng)

####如果一個接口上要對應(yīng)多個vpn peer，可以定義多個entry，每個entry對應(yīng)一個peer；同樣，pubkey 也要對應(yīng)進行設(shè)置。

（7）將crypto map應(yīng)用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同樣方法配置3662路由器。

1720完整配置：

VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144?。nterface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end

說明：

（1）采用rsa encrypted方式加密傳輸數(shù)據(jù)，默認key長度為512字節(jié)，最高可設(shè)為2048字節(jié)。安全性能較高。

（2）100M雙工交換網(wǎng)絡(luò)中，在雙向同時ping 15000字節(jié)的大包進行測試時，1720的cpu使用率一度高達90％左右，3662的使用率約為25％，兩臺路由器內(nèi)存使用率則變化不大?？梢娪胷sa encrypted方式加密，對低端路由器的cpu性能影響很大。常用調(diào)試命令： show cry ip sa show cry isa sa deb cry isa deb cry ip clear cry isa clear cry sa

第四篇：VPN的四種安全技術(shù)詳解

VPN的四種安全技術(shù)詳解

我們都知道,由于VPN(虛擬專用網(wǎng)絡(luò))傳輸?shù)氖撬接行畔ⅲ琕PN用戶對數(shù)據(jù)的安全性都比較關(guān)心。目前VPN主要采用四項技術(shù)來保證安全，下面，517網(wǎng)游加速器芯晴就來給大家一一道來。

1.隧道技術(shù)：

隧道技術(shù)是VPN的基本技術(shù)類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標準，由IETF融合PPTP與L2F而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

2.加解密技術(shù)：

加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

3.密鑰管理技術(shù)：

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

4.使用者與設(shè)備身份認證技術(shù)：

使用者與設(shè)備身份認證技術(shù)最常用的是使用者名稱與密碼或卡片式認證等方式。

第五篇：VPN說明書.

VPN 使用說明書 申請/重置賬號密碼：http://self.cczu.edu.cn/index/addvpnwlan（無賬號或忘記密碼時，進行申請或重置密碼）用戶自助修改密碼：http://219.230.159.60:8080/selfservice(有密碼時，進行修改)中國移動、中國電信、聯(lián)通、和教育網(wǎng)用戶請分別點擊上面的圖標進行訪問； 在您首次使用的時候，系統(tǒng)將自動下載安裝插件至所在計算機，請您留意頁面提示并安裝； 當插件安裝完畢之后，正常進入登錄窗口，使用用戶名和密碼進行登錄； 6 登錄成功后，即進入用戶使用頁面，此時即可訪問校內(nèi)和校外指定資源。7 訪問校內(nèi)資源時請不要關(guān)閉本頁；訪問結(jié)束后請及時退出。vista系統(tǒng)使用需進行以下操作：通過把“控制面板”--“用戶帳戶”--“打開或關(guān)閉?用戶帳戶控制?”中的選項去掉即可，即不要選中“使用用戶帳戶控制（UAC）幫助保護您的計算機”，點“確定”，從新啟動計算機。9 使用GHOST安裝操作系統(tǒng)的用戶，可能會無法使用sslvpn。

注意事項：

一、若成功登錄后，不能正常下載及瀏覽文件，請首先確認您的計算機上是否已經(jīng)安裝相應(yīng)的文件瀏覽器或閱讀器；

二、若不能正常安裝請查看以下說明：

1、瀏覽器安全級別太高，請到中或默認級別，或調(diào)整以下設(shè)置: A、瀏覽器禁止下載ActiveX控件，設(shè)設(shè)置允許下載控件；

B、瀏覽器禁止運行ActiveX控件，設(shè)設(shè)置允許運行控件；

C、瀏覽器禁止ActiveX控件執(zhí)行腳本，設(shè)設(shè)置允許執(zhí)行腳本；

2、瀏覽器插件攔截控件下載，如上網(wǎng)安全助手等，請設(shè)置允許下載

3、可瀏覽器安全中將本頁為信任站點

4、瀏覽器要求使用IE5以上版本

5、本系統(tǒng)支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系統(tǒng)

四、因帶寬不足，為提高速度，提高訪問效率，請不要在校內(nèi)使用；不使用時請及時退出系統(tǒng)；10分鐘內(nèi)如不使用本系統(tǒng)，系統(tǒng)將自動斷線。

五、如果長時間不能建立隧道，或者不能獲取ip地址，請將防火墻和殺毒軟件先行關(guān)閉或者卸載，成功連接后，再次把防火墻和殺毒軟件打開或安裝。

六、如有疑問請撥打：86330350