vpn研究报告(精选6篇)
vpn研究报告 第1篇
一、前言
互联网的普及、移动通信技术的进步、信息化程度的提高,使全世界的数字信息高度共
享成为可能。中国高校也越来越重视数字化校园的开发,依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一,电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义,数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。
二、选题背景
随着教育信息化的深入,很多学校都建立了校园网,为了实现校内资源优化整合,让师
生们更好的进行工作和学习,他们需要在校园网内部或在校外的远程节点上,随时享受校园网内部的各项服务,然而由于互联网黑客对各高校的资源虎视眈眈,在没有经过任何允许的情况下,黑客们很容易就潜入校园网内部进行捣乱,为此,多数校园网都不会将自己的各种应用系统和所有信息资源完全开放,因为这样让整个校园网面临无以估量的破坏性损失,为了网络安全考虑,将vpn技术应用于基于公共互联网构架的校园网,可以较好的解决校园网多校区、远程访问、远程管理等问题。
三、vpn简介
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安
全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
四、vpn功能
vpn可以提供的功能: 防火墙功能、认证、加密、隧道化。
vpn可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个
企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一,在交换机,防火墙设备或windows 2000等软件里也都支持vpn功能,一句话,vpn的核心就是在利用公共网络建立虚拟私有网。
五、vpn常用的网络协议
常用的虚拟私人网络协议有:
ipsec : ipsec(缩写ip security)是保护ip协议安全通信的标准,它主要对ip协议分组进行加密和认证。ipsec作为一个协议族(即一系列相互关联的协议)由以下部分组成:(1)保护分组流的协议;(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分: vpn加密分组流的封装安全载荷(esp)及较少使用的认证头(ah),认证头提供了对分组流的认证并保证其消息完整性,但不提供保密性。目前为止,ike协议是唯一已经制定的密钥交换协议。
pptp: point to point tunneling protocol--点到点隧道协议。在因特网上建立ip虚拟专用网
(vpn)隧道的协议,主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。l2f: layer 2 forwarding--第二层转发协议
l2tp: layer 2 tunneling protocol--第二层隧道协议 gre:vpn的第三层隧道协议
六、vpn研究问题
? vpn如何解决校园网安全风险
对于校园网而言,它虽然给师生带来了资源共享的便捷,但同时也意味着具有安全风险,比如非授权访问,没有预先经过授权,就使用校园网络或计算机资源;信息泄漏或丢失,重要数据在有意或无意中被泄漏出去或丢失;以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息;不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪;利用网络传播计算机病毒等。那么,校园网利用vpn技术方案,是否能避免校园网的潜在安全隐患,杜绝上述情况的发生呢?
vpn即虚拟私有网络技术,它的安全功能包括:通道协议、身份验证和数据加密,实际工作时,远程外网客户机向校园网内的vpn服务器发出请求,vpn服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到vpn服务端,vpn服务器根据用户数据库检查该响应,如果账户有效,vpn服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,vpn服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说,vpn可以通过对校园网内的数据进行封包和加密传输,在互联网公网上传输私有数据、达到私有网络的安全级别。? 选择ipsec vpn还是ssl vpn 校园网vpn方案可以通过公众ip网络建立了私有数据传输通道,将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来,减轻了校园网的远程访问费用负担,节省电话费用开支,不过对于端到端的安全数据通讯,还需要根据实际情况采取不同的架构。一般而言,ipsec vpn和ssl vpn是目前校园网vpn方案采用最为广泛的安全技术,但它们之间有很大的区别,总体来说,ipsec vpn是提供站点与站点之间的连接,比较适合校园网内分校与分校的连接;而ssl vpn则提供远程接入校园网服务,比如适合校园网与外网的连接。
从vpn技术架构来看,ipsec vpn是比较理想的校园网接入方案,由于它工作在网络层,可以对终端站点间所有传输数据进行保护,可以实现internet多专用网安全连接,而不管是哪类网络应用,它将远程客户端置于校园内部网,使远程客户端拥有内部网用户一样的权限和操作功能。ipsec vpn还要求在远程接入客户端适当安装和配置ipsec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些ipsec客户端软件能实现自动安装,不需要用户参与,因而无论对网管还是终端用户,都可以减轻安装和维护上的负担。? vpn为校园网带来哪些应用
在校园网中,通过vpn给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么,vpn能为校园网带来哪些具体应用优势呢?首先就是办公自动化,比如校园办公楼共有40个信息点,此时可以通过校园网连至internet用户,实现100m甚至1000m到桌面的带宽,并对财务科、人事科等科室进行单独子网管理。还可以利用vpn在校园网内建立考试监控系统、综合多媒体教室等,比如学校具有两个多媒体教室,每个教室60台pc,通过校园网上连至internet,实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的pc通过校园网上连至internet,而不进行任何布置。
校园网采用vpn技术可以降低使用费,远程用户可以通过向当地的isp申请账户登录到internet,以internet作为通道与企业内部专用网络相连,通信费用大幅度降低;学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校,各个分校和培训场所网络整合使学校的信息化管理成本必然的增加,比如学校的数据存储,许多学校都采用了分布式存储方式,其具有较低的投资花费和软件部署的灵活性,然而其管理难度高,后期维护成本高,如果采取vpn服务器,可以对各分校进行web通讯控制,同时又可以实现分校访问互通。为了让师生共享图书资源,与国外高校合作交换图书馆数据,以及向国外商业图书馆交纳版权费,获得更多电子文献资料的浏览权,很多高校都建立了数字图书馆,但在应用上也会产生相应的约束性,比如说为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址,或则被校方授权过的内部合法师生,此时采用vpn加密技术,数据在internet中传输时,internet上的用户只看到公共的ip地址,看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外;在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。? vpn支持哪种校园网接入方式
在教育机构的校园网,由于不同地区、不同学校的条件不同,它们选择的网络接入方式也有差异,比如条件不大好的中小学校,可能还在采取模拟电话、isdn、adsl拨号上网,而对于条件好的高校,则采取了光纤或ddn、帧中继等专线连接,那么,vpn方案到底支持哪种接入方式呢?实际上,vpn可以支持最常用的网络协议,因为在internet上组建vpn,用户计算机或网络需要建立到isp连接,与用户上网接入方式相似,比如基于ip、ipx和netbui协议的网络中的客户机都能使用vpn方案。
七、vpn在校园图书馆系统中的调查分析
数字图书馆的版权问题不容忽视,不管什么类型的图书,都要遵循数字版权保护(digital rights management,drm)的规定,通过安全和加密技术控制数字内容及其分发途径,从而防止对数字产品非授权使用。
正是在这样一种保护知识产权的背景下,高校图书馆所购买的电子资源大部分都有限制访问的ip地址范围。即:
1、采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商是根据访问者的ip地址来判断是否是经过授权的用户。
2、只要是从校园网出去的ip地址都是认可的,因为校园网出口ip和部分公网ip地址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
3、如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用pstn拨号、adsl、小区宽带,使用的都是社会网络运营商提供的ip地址,不是校园网的ip地址范围,因此数据库服务商认为是非授权用户,拒绝访问。当然,我们也可以要求服务商进一步开放更多的ip地址为合法用户,但是这要求访问者的ip地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态ip地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而自动屏蔽。
因此,就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过鉴权后拥有校内地址再访问资源数据库。到底有没有这样一种方案呢?虚拟专用网即vpn技术,给了我们很好的答案。vpn是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
实际上,目前国内已经有不少高校采用了或者正常尝试使用vpn技术来解决这个问题,而且大多是采用的ipsec vpn技术。利用ipsec技术,校外用户在本机安装一个vpn客户端软件后经过配置连入图书馆网络,ipsec vpn中心端会给每个远程用户分配一个校园网ip地址,从而实现远程用户以校园网用户身份访问电子资源。
虽说ipsec vpn是目前vpn的主流技术之一,但ipsec协议最初是为了解决site to site的安全问题而制定的,因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。
首先是客户端配置问题:在每个远程接入的终端都需要安装相应的ipsec客户端,并且需要做复杂的配置,随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了ipsec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
其次是ipsec vpn自身安全问题:往往传统的ipsec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的vpn厂商已经着手改进这些问题并取得了相应的成绩)。
然后是对网络的支持问题:传统的ipsec vpn在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于ipsec vpn对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,ipsec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此,ssl vpn技术应运而生。ssl vpn的突出优势在于web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。ssl在web的易用性和安全性方面架起了一座桥梁。目前,对ssl vpn公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的ssl协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆,ssl vpn技术采用了一种类似代理性质的技术,所有的访问都是以ssl vpn设备的lan口的名义发起的,所以只要ssl vpn设备的lan口ip是一个合法的校园网ip,所有成功接入ssl的校外用户都可以成功访问这个ssl vpn设备lan口所能访问的资源。
但ssl vpn并不能取代ipsec vpn。因为,这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性,更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过internet建立的安全连接,保护的是点对点之间的通信,并且,ipsec工作于网络层,不局限于web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。从高校应用来看,由于ssl接入方式下所有用户的访问请求都是从ssl vpn设备的lan口发起的,对于那些对单个用户流量有严格限制的资源商来说,这些ssl用户的访问会被当成一个用户对待,很快就会因为达到资源商的流量限制而造成该ip被禁用,也就导致所有ssl用户无法继续访问图书馆资源。
那么,高校图书馆应该选择何种vpn技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看,比较合理的应用方式应该是ipsec和ssl共同使用。
正如我们前面所分析的,上游资源商对于资源的应用是有限制的,除了限制发起请求的ip地址外,还会限制单个ip地址所产生的流量,因此在图书馆大量的校外用户群中,我们将用户分为两个类型,一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主,数量较少),另一类则是使用次数较少、访问数据不多的用户(以学生为主,数量较多),通过用户划分,我们给访问量大但数量少的教师用户分配ipsec接入方式,这样就可以把大量的用户流量分配到不同的ip地址上,避免单个ip流量过大造成的问题,而那些数量众多但访问量小的学生用户分配ssl接入方式,利用ssl vpn无需部署客户端的特性大大降低客户端的维护工作量,从而实现vpn在图书馆应用的快速部署。经过长时间的测试,华师图书馆选择使用国内专业vpn厂商深信服科技推出了ipsec/ssl 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和ssl vpn功能,利用两种技术的集成很好解决了图书馆应用的需求,同时一体化的设计能够大幅度的降低整个vpn产品的投入,满足教育行业低成本高效率it建设的需求。
八、结论
vpn技术代表了当今网络发展的最新趋势,它综合了传统数据网络性能的优点(安全和qos)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的安全连接,建设与维护费用比专线网络要低得多.而且,vpn在降低成本的同时满足了对网络带宽,接入和服务不断增加的需求.根据调查数据表明,用vpn替代租用线路来连接远程站点可节约20%~47%的开支,这么一种经济,安全和灵活的技术,在国外图书馆已经逐步普及.在国内,一些高校图书馆也开始应用vpn技术实现多校区图书馆互联和开展一些远程文献信息服务.vpn技术在高校图书馆的应用,必将提高图书馆利用效率,为图书馆的远程文献信息服务打开新局面,尤其为多校区图书馆之间资源的共享提供安全,高效,经济的网络传输和数据访问途径.随着vpn技术的日益成熟,它将在图书馆得到更为广泛的应用。
vpn研究报告 第2篇
VPN是什么意思?
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”.顾名思义,虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.----
这一个VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”.顾名思义,虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.他可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或者是多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是他并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止 Arp病毒)等硬件设备.VPN技术原是(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)具有的重要技术之一,目前在交换机,防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)设备或者是WINDOWS2000等软件(soft)里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网.虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的,安全的连接,是一条穿过混乱的公用网络的安全,稳定的隧道.虚拟专用网是对企业内部网的扩展.虚拟专用网可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入,以实现安全连接;可以用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充.针对不相同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN),企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络,企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应.VPN有什么用?
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN技术及其应用的研究 第3篇
随着Internet的普及,人们需要随时随地连入企业网。同时随着企业的发展壮大,企业的分支机构越来越多,企业内各个分布之间也需要网络通信,这就意味着使用传统的租用线路的方法实现私有网络互联会给企业带来很大的经济负担。虚拟专用网(VPN,Virtual Private Network)的出现,为当今企业发展所需的网络通信提供了经济安全的实现途径。VPN可以使得企业以低廉的价格享有公用网络上的“专用”安全通道的便利。
2 VPN技术
2.1 VPN概念
虚拟专用网(VPN,Virtual Private Network)不是真正的专用网络,却能够实现专用网络的功能。VPN是一种通过对网络数据进行封包和加密,在公网上传输私有数据,同时保证私有网络安全性的技术。它兼备了公网的便捷和专用网的安全,实现了利用公网通过加密等手段来实现单位组织的“专用网”。
2.2 VPN原理
需要进行机密数据传输的两个端点均连接在公共通信网上,当需要进行机密数据传输时,通过端点上的VPN设备在公共网上建立一条虚拟的专用网络通道,并且所有数据均经过加密后再在网上传输,这样就保证了机密数据的安全传输。
2.3 VPN技术
VPN技术是指支持在公共通信基础设施上构成虚拟专用连接或虚拟专用网络的技术。这些技术包括配置管理技术、隧道技术、协议封装技术和密码技术等。这些技术可应用在TCP/IP协议层的数据链路层、IP层、TCP层和应用层。
从安全角度看,采用密码技术或加密隧道封装在公共通信网络上构建的VPN,其安全强度最高,隧道技术次之,协议封装较差,过滤路由最差。必要时,可以同时将两种以上的VPN技术组合,以满足安全要求。
从VPN工作原理中可以看出,实现VPN的最关键的部分是在公网上建立虚拟信道,而建立虚拟信道是利用隧道技术实现的。而隧道技术是利用一种协议传输另一种协议的技术,主要利用隧道协议来实现VPN功能,VPN隧道协议工作在数据链路层和网络层。同时为了保证信息在隧道中的安全传输,VPN系统采用加密技术。通过隧道技术和加密技术,已经能够建立起一个安全性、互操作性的VPN。但是虚拟专用网要想成为用户真正的选择,必须能够保障一定的带宽、可靠性和安全性。为此有必要采用Qo S策略控制方案来控制数据流量。
总的来说,VPN中采用的关键技术主要包括隧道技术、安全加密技术及Qo S技术。
2.3.1 实现VPN的隧道技术
隧道技术是一种通过使用互联网网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同的协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。隧道技术是指包括数据封装、传输和解包在内的全过程。此外创建隧道的客户机和服务器双方必须使用相同的隧道协议。
隧道的实现机制主要设计两个方面,其一是所建立的虚连接是在第二层还是在第三层。第二层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位,主要有PPT,L2TP和L2F等,主要优点是协议简单,易于加密,但由于其需要维护大量的PPP会话连接状态,故其传输效率和系统的扩展均受到影响。第三层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位,主要有GRE以及IPSec等,由于第三层隧道是IP in IP,其可靠性及扩展性方面均优于第二层隧道。
其二是在网络是的什么层次上实现IP隧道的问题。目前较多的是IP协议实现IP隧道,但也有用UDP等协议来实现IP隧道的,如L2TP。对于IP隧道来说,当在隧道的开启处封装及在隧道中止处还原装配数据报时,进行包的过滤、检查非常方便,所以VPN网关通过“过滤型”隧道可直接融入“包过滤”防火墙机制,进一步增强了VPN的安全性。
2.3.2 实现VPN的安全加密技术
在VPN中,由于数据通过公共通信网络传输,从而为保证信息在隧道中的安全传输,VPN系统要采用加密技术。数据加密的基本过程就是对明文文件或数据按某种算法进行处理,使其成为一段不可读的“密文”,使其只能在输入相应的密钥后才能正确显示出本来的内容。通过这样的方法来保证VPN通信过程中的数据安全。
根据密钥类型不同,加密技术可以分为两大类:对称式和非对称式。对称式加密就是加密和解密使用同一个密钥,这种加密技术目前被广泛使用,如EDS加密标准。非对称式加密就是加密和解密多使用的密钥不是同一个,通常有两个密钥,“公钥”和“密钥”,他们必须配对,否则不能打开加密文件,而为了保证公用密钥的完整性,公用密钥随证书一同发布。
2.3.3 实现VPN的Qo S技术
Qo S(Quality of Service)是指服务质量,也是指数据流通过网络时的性能。它的目的是向用户提供端到端的服务质量保证。它有一套度量指标,包括业务可用性、延迟、可变延迟、吞吐量和丢包率。
3 VPN的特点
3.1 VPN的优点
1)降低成本。
与专用网络相比,借助ISP来建立VPN可以节省大量的通信费用,同时企业节省了大量人力物力。
2)简化网络设计。
借助ISP的,企业只需少量对远程链路进行安装、配置和管理的任务
3)实现网络安全。
数据传输前的用户认证以及VPN传输过程中的安全和加密协议都保证了增强了网络的安全性。
4)容易扩展。
如果想扩大VPN容量和覆盖范围,企业只需与ISP签订新的合约,几条命令即可。
5)可随意与合作伙伴联网。
6)完全控制主动权。
7)支持新兴应用
3.2 VPN的缺点
1)尽管VPN的设备供应商们可以为远程办公室或Extranet服务的专线或帧中继提供有效方式,可是VPN的服务提供商们只保证数据在其管辖范围内的性能,一旦出了其“辖区”则安全没有保证。
2)不同厂商的VPN的管理和配置管理起来是最难的,这需要同时熟悉不同厂商的执行方式,不同术语。
4 应用研究
图书馆局域网内有丰富的数字资源,在局域网内可直接访问。现在图书馆内建立一个VPN服务器,局域网外用户便可通过它从校外远程访问数字资源,并通过适当的访问策略配置,保证网络安全。IPSec VPN、SSL VPN是目前使用主流的Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同。
IPSec协议(因特网安全协议)是网络层上为保障IP通信而提供的一系列协议族,针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计的一套隧道、加密和认证方案。SSL(安全套层协议)是保障在Internet上基于Web的通信安全而提供的协议。如表1是两种VPN接入方式的比较。
从表1看出,IPSEC和SSL VPN各有优缺点,互为补充,目前最好的方式是,采用IPSEC/SSL二合一的VPN安全网关,这样能够充分发挥IPSEC和SSL VPN各自的技术优势,而且一机二用,无需分别购买两种网关,节省费用。
5 小结
VPN技术是一种在公网上实现私有网络连接的技术,为企业学校内部互连、资源共享提供了一种经济、灵活、安全的连网方式。VPN技术是计算领域内多种技术的统一起来的技术,现在其发展还不成熟,存在许多需要改进和完成地方,但是随着计算机网络的发展以及企业对VPN的需求,VPN技术拥有广阔的发展前景。
参考文献
[1]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.
[2]高海应,薛元兴,辛阳.VPN技术[M].北京:机械工业出版社,2004.
[3]张铭.VPN技术及其在校园网中的应用[J].福建电脑,2008(11).
[4]李顺新,陈建勋.虚拟专用网技术及其应用的研究[J].网络安全,2005(3).
VPN技术应用研究 第4篇
VPN实验总结 第5篇
(一)vpn access server的配置 实验网络拓扑:
pc(vpn client 4.01)---switch---router1720(vpn access server)pc配置: ip:10.130.23.242/28
gw:10.130.23.246 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 步骤:
1、配置isakmp policy: crypto isakmp policy 1 encr 3des authen pre-share group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
cry isa client conf group vclient-group ####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。key vclient-key ####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步对应
6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization cry map vpnmap client conf address respond ####响应client分配地址的请求
7、配置静态路由
ip route 192.168.1.0 255.255.255.0 fastethernet0 说明几点:(1)因为1720只有一个fastethernet口,所以用router1720上的lo0地址来模拟router内部网络。
(2)vpn client使用的ip pool地址不能与router内部网络ip地址重叠。(3)10.130.23.0网段模拟公网地址,172.16.1.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。(4)没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。(5)关于split tunnel。配置方法:首先,设置access 133 permit ip 172.16.1.0 0.0.0.255 any,允许1720本地网络数据通过tunnel,然后在第三步骤中添加一个参数:acl 133。1720的完整配置:
VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192!crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs!crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map!!interface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable!!line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置:
新建一个connection entry,参数中name任意起一个,host填入vpn access server的f0地址
10.130.23.246,group auahentication中name填vclient-group,password填vclient-key.测试:
(1)在pc上运行VPN client,连接vpn access server。(2)ipconfig/all,查看获取到的ip地址与其他参数。(3)在router,show cry isa sa,看连接是否成功。
(4)从router,ping client已经获取到的ip地址,通过。
(5)从client,ping router的lo0配置的地址172.16.1.1,通过。
(6)查看vpn client软件的status--statistics,可以看到加密与解密的数据量。
(7)1720上show cry ip sa, 也可以查看加密与解密的数据量。
常用调试命令: show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####这是最常用的debug命令,vpn连接的基本错误都可以用它来找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
实验网络拓扑:
router3662(vpn client)---switch---router1720(vpn access server)pc(vpn client 4.01)------| 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 pc配置: ip:10.130.23.242/28 gw:10.130.23.246 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步骤:
1、配置1720路由器,参照实验一,设置为vpn server。
2、配置3662路由器,设置vpn client参数
cry ip client ezvpn vclient ####定义crypto-ezvpn name mode network-extension ####设置为网络扩展模式
group vclient-group key vclient-key ####设置登录vpn server的组名与组口令
peer 10.130.23.246 ####设置vpn server的ip地址,如果启用dns,则可以用hostname connect auto ####设置为自动连接。如果设为手动,则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。
local-address F0/0 ####设置vpn通道本地地址,选用f0/0,可以保证vpn server找到它
3、定义加密数据入口,这里为f0/1 inter f0/1 cry ip client ezvpn vclient inside
4、定义加密数据出口,这里为连接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside
5、在1720上设置静态路由,地址范围为3662路由本地网络的地址 ip route 172.16.2.0 255.255.255.0 f0
6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。
service dhcp ####启动dhcp 服务
ip dhcp pool dhcppool ####定义dhcp pool name network 172.16.2.0 /24 ####定义可分配的IP地址段
default-router 172.16.2.1 ####定义dhcp client的默认网关 lease 1 0 0 ####设置ip保留时间
import all ####如果配置了上级dhcp,server,则接受其所有参数 ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据没有进行加密。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以发现数据不通过加密。(6)启动pc vpn client,ping 172.16.1.1,通过。在1720上查看show cry ip sa,可以看到数据通过加密进行传输。
(7)在pc vpn client,ping 172.16.2.1,通过。在1720和3662上查看show cry ip sa,可以看到数据通过加密进行传输。在1720上show cry isa sa,可以看到两个vpn连接。
(8)在3660上扩展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client获得的ip),通过。查看show cry ip sa,可以发现数据通过加密进行传输。
说明:
(1)不同平台,不同ios版本,easy vpn client的配置有所不同。特别是加密数据入出接口的配置,配置接口前后,用show cry ip client ezvpn来查看与验证。
(2)network-extension模式,vpn client端本地ip不通过nat/pat进行数据传输。
(3)以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验
(一),设置acl 133和cry isa client conf group中的参数,完成后,可以实现测试(1)-(5)。要实现Pc vpn client和3662 vpn client 互通,即测试(6)-(8),还要在1720 的acl 133中添加两条,分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要复位vpn通道,才可以起作用。在pc端,是通过disconnect再connect来实现;在3662上,通过clear cry ip client ezvpn来复位。
常用调试命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa
(三)easy vpn client的配置(client mode)
实验网络拓扑同实验
(二)实验步骤参考实验
(二),其中第二步,将mode network-extension改为mode client。
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,不通。这是因为3662端ip数据流是通过nat进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。在1720上打开deb ip icmp,可以看到echo reply信息的dst地址为192.168.1.19(vpn client 从vpn server获取的ip地址)。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。
说明:
(1)client 模式,vpn client端内部网络采用nat方式与vpn server进行通信,vpn client端网络可以访问server端网络资源,server端网络不能访问client端内部网络资源。
(2)client与network-extension两种模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置与数据流量。
(4)关于split tunnel,client模式的easy vpn client,与pc的vpn client类似,配置split tunnel的方法也相同。常用调试命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
实验网络拓扑: router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244(2)定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255(3)定义isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。(4)定义pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 为key,两个路由器上要一样 ####其中10.130.23.244为peer路由器的ip地址。(5)定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name,后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值,此配置可选(6)定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应
####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer(7)将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map(8)同样方法配置3662路由器。1720的完整配置: VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244!crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144!!interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable!access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 测试:
(1)未将map应用到接口之前,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。
(2)map应用到接口之后,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。
查看show cry ip sa,可以看到数据没有通过vpn 通道进行传输,因为不符合acl 144。(3)map应用到接口之后,在1720,扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据通过vpn 通道进行传输。
(4)在3662上同样进行测试。
说明:
(1)采用pre-share方式加密数据,配置简单,数据传输效率较高,但是安全性不高。
(2)加密数据前后,通过ping大包的方式测试,可以发现这种利用软件进行数据加密的方式,延时较大。如果需要开展voip、ip 视讯会议等业务,建议选配vpn模块进行硬件加密。
常用调试命令: show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
实验网络拓扑:
router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244(2)定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255(3)生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key 这里 统一用general purpose key(4)复制peer router的public key到本地router中(A)在3662上生成general purpose key(B)在3662上show cry key mypubkey rsa,复制其中的General Purpose Key(C)在1720上,cry key pubkey-chain rsa ####设置public key addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key key-string ####定义key串
粘贴从3662上复制的General Purpose Key #####如果第三步生成了两种key,则这里复制粘贴的,应该是Encryption Key(三个key中的第二个)(5)定义isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。(6)定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name,后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值,此配置可选(7)定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应
####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer;同样,pubkey 也要对应进行设置。
(7)将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map(8)同样方法配置3662路由器。
1720完整配置:
VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2!crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144!!interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable!access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end
说明:
(1)采用rsa encrypted方式加密传输数据,默认key长度为512字节,最高可设为2048字节。安全性能较高。
VPN 实验心得 第6篇
(一)vpn access server的配置
实验网络拓扑:
pc(vpn client 4.01)---switch---router1720
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
步骤:
1、配置isakmp policy:
crypto isakmp policy 1
encr 3des
authen pre-share
group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192
ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
vpn access server)(cry isa client conf group vclient-group
####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。
key vclient-key
####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set
cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1
set transform-set vclient-tfs ####和第四步对应
6、配置vpnmap
cry map vpnmap 1 ipsec-isakmp dynamic template-map
#### 使用第?*脚渲玫?map 模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization
cry map vpnmap client conf address respond ####响应client分配地址的请求
7、配置静态路由
ip route 192.168.1.0 255.255.255.0 fastethernet0
说明几点:
(1)因为1720只有一个fastethernet口,所以用router1720上的lo0地址来模拟router内部网络。
(2)vpn client使用的ip pool地址不能与router内部网络ip地址重叠。
(3)10.130.23.0网段模拟公网地址,172.16.1.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。
(4)没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。
(5)关于split tunnel。配置方法:首先,设置access 133 permit ip 172.16.1.0 0.0.0.255 any,允许1720本地网络数据通过tunnel,然后在第三步骤中添加一个参数:acl 133。
1720的完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1321 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
no ip domain-lookup!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool192!
crypto isakmp client configuration group vclient-group
key vclient-key
domain test.com
pool pool192!
!
crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!
crypto dynamic-map template-map 1
set transform-set vclient-tfs!
!
crypto map vpnmap isakmp authorization list vclient-group
crypto map vpnmap client configuration address respond
crypto map vpnmap 1 ipsec-isakmp dynamic template-map!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.240!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpnmap!
interface Serial0
no ip address
shutdown!
ip local pool pool192 192.168.1.1 192.168.1.254
ip classless
ip route 192.168.1.0 255.255.255.0 FastEthernet0
no ip http server
ip pim bidir-enable!
!
!
line con 0
line aux 0
line vty 0 4!
no scheduler allocate
end
VPN Client 4.01的配置:
新建一个connection entry,参数中name任意起一个,host填入vpn access server的f0地址10.130.23.246,group auahentication中name填vclient-group,password填vclient-key.测试:
(1)在pc上运行VPN client,连接vpn access server。
(2)ipconfig/all,查看获取到的ip地址与其他参数。
(3)在router,show cry isa sa,看连接是否成功。
(4)从router,ping client已经获取到的ip地址,通过。
(5)从client,ping router的lo0配置的地址172.16.1.1,通过。
(6)查看vpn client软件的status--statistics,可以看到加密与解密的数据量。
(7)1720上show cry ip sa, 也可以查看加密与解密的数据量。
常用调试睿?
show cry isakmp sa
show cry ipsec sa
clear cry sa
clear cry isakmp
debug cry isakmp #####这是最常用的debug命令,vpn连接的基本错误都可以用它来找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
实验网络拓扑:
router3662(vpn client)---switch---router1720(vpn access server)
pc(vpn client 4.01)------|
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
1、配置1720路由器,参照实验一,设置为vpn server。
2、配置3662路由器,设置vpn client参数
cry ip client ezvpn vclient ####定义crypto-ezvpn name
mode network-extension ####设置为网络扩展模式
group vclient-group key vclient-key ####设置登录vpn server的组名与组口令
peer 10.130.23.246 ####设置vpn server的ip地址,如果启用dns,则可以用hostname
connect auto ####设置为自动连接。如果设为手动,则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。
local-address F0/0 ####设置vpn通道本地地址,选用f0/0,可以保证vpn server找到它
3、定义加密数据入口,这里为f0/1
inter f0/1
cry ip client ezvpn vclient inside
4、定义加密数据出口,这里为连接vpn server的f0/0
inter f0/0
cry ip client ezvpn vclient outside
5、在1720上设置静态路由,地址范围为3662路由本地网络的地址
ip route 172.16.2.0 255.255.255.0 f0
6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。
service dhcp ####启动dhcp 服务
ip dhcp pool dhcppool ####定义dhcp pool name
network 172.16.2.0 /24 ####定义可分配的IP地址段
default-router 172.16.2.1 ####定义dhcp client的默认网关
lease 1 0 0 ####设置ip保留时间
import all ####如果配置了上级dhcp,server,则接受其所有参数
ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据没有进行加密。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以发现数据不通过加密。
(6)启动pc vpn client,ping 172.16.1.1,通过。在1720上查看show cry ip sa,可以看到数据通过加密进行传输。
(7)在pc vpn client,ping 172.16.2.1,通过。在1720和3662上查看show cry ip sa,可以看到数据通过加密进行传输。在1720上show cry isa sa,可以看到两个vpn连接。
(8)在3660上扩展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client获得的ip),通过。查看show cry ip sa,可以发现数据通过加密进行传输。
说明:
(1)不同平台,不同ios版本,easy vpn client的配置有所不同。特别是加密数据入出接口的配置,配置接口前后,用show cry ip client ezvpn来查看与验证。
(2)network-extension模式,vpn server和vpn client两端的内部网络之间可以通过ip地址互相访问。
(3)以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验
(一),设置acl 133和cry isa client conf group中的参数,完成后,可以实现测试(1)-(5)。要实现Pc vpn client和3662 vpn client 互通,即测试(6)-(8),还要在1720 的acl 133中添加两条,分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要复位vpn通道,才可以起作用。在pc端,是通过disconnect再connect来实现;在3662上,通过clear cry ip client ezvpn来复位。
常用调试命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
(三)easy vpn client的配置(client mode)
实验网络拓扑同实验
(二)实验步骤参考实验
(二),其中第二步,将mode network-extension改为mode client。
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,不通。这是因为3662端ip数据流是通过nat进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。在1720上打开deb ip icmp,可以看到echo reply信息的dst地址为192.168.1.19(vpn client 从vpn server获取的ip地址)。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。
说明:
(1)client 模式,vpn client端内部网络采用nat方式与vpn server进行通信,vpn client端网络可以访问server端网络资源,server端网络不能访问client端内部网络资源。
(2)client与network-extension两种模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置与数据流量。
(4)关于split tunnel,client模式的easy vpn client,与pc的vpn client类似,配置split tunnel的方法也相同。
常用调试命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
实验网络拓扑:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定义加密数据的acl
access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)定义isakmp policy
cry isa policy 1
authentication pre-share ####采用pre-share key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
(4)定义pre-share key
cry isa key pre-share-key address 10.130.23.244
####其中pre-share-key 为key,两个路由器上要一样
####其中10.130.23.244为peer路由器的ip地址。
(5)定义transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs为transform-set name,后面两项为加密传输的算法
mode transport/tunnel #####tunnel为默认值,此配置可选
(6)定义crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应
set peer 10.130.23.244 ####定义peer路由器的ip
set transform-set vpn-tfs ####与第?*蕉杂?br /> ####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer
(7)将crypto map应用到接谏?br /> inter f0 #####vpn通道入口
cry map vpn-map
(8)同样方法配置3662路由器。
1720的完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1217 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
logging buffered 4096 debugging
no logging rate-limit
enable password CISCO!
username vclient1 password 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
ip domain-name fjbf.com!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key pre-share-key address 10.130.23.244!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match address 144!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map!
interface Serial0
no ip address
encapsulation ppp
no keepalive
no fair-queue!
ip classless
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable!
!
access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login!
end
测试:
(1)未将map应用到接口之前,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。
(2)map应用到接口之后,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据没有通过vpn 通道进行传输,因为不符合acl 144。
(3)map应用到接口之后,在1720,扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据通过vpn 通道进行传输。
(4)在3662上同样进行测试。
说明:
(1)采用pre-share方式加密数据,配置简单,数据传输效率较高,但是安全性不高。
(2)加密数据前后,通过ping大包的方式测试,可以发现这种利用软件进行数据加密的方式,延时较大。如果需要开展voip、ip 视讯会议等业务,建议选配vpn模块进行硬件加密。
常用调试命令:
show cry isa sa
show cry ip sa
show cry engine configuration
show cry engine connections active
show cry engine connections flow
deb cry isa
deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
实验网络拓扑:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定义加密数据的acl
access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)生成rsa key
cry key generate rsa general-keys ####生成General Purpose rsa Key
或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key
这里 统一用general purpose key
(4)复制peer router的public key到本地router中
(A)在3662上生成general purpose key
(B)在3662上show cry key mypubkey rsa,复制其中的General Purpose Key
(C)在1720上,cry key pubkey-chain rsa ####设置public key
addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key
key-string ####定义key串
粘贴从3662上复制的General Purpose Key
#####如果第三步生成了两种key,则这里复制粘贴的,应该是Encryption Key(三个key中的第二个)
(5)定义isakmp policy
cry isa policy 1
authentication rsa-encr ####采用rsa Encryption key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
(6)定义transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs为transform-set name,后面两项为加密传输的算法
mode transport/tunnel #####tunnel为默认值,此配置可选
(7)定义crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应
set peer 10.130.23.244 ####定义peer路由器的ip
set transform-set vpn-tfs ####与第?*蕉杂?br /> ####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer;同样,pubkey也要对应进行设置。
(7)将crypto map应用到接口上
inter f0 #####vpn通道入口
cry map vpn-map
(8)同样方法配置3662路由器。
1720完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1490 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
logging buffered 4096 debugging
no logging rate-limit
enable password CISCO!
username vclient1 password 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
ip domain-name fjbf.com!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication rsa-encr
group 2!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!
crypto key pubkey-chain rsa
addressed-key 10.130.23.244
address 10.130.23.244
key-string
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF
D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102
DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001
quit!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match address 144!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map!
interface Serial0
no ip address
encapsulation ppp
no keepalive
no fair-queue!
ip classless
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable!
!
access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login!
end
说明:
(1)采用rsa encrypted方式加密传输数据,默认key长度为512字节,最高可设为2048字节。安全性能较高。
(2)100M双工交换网络中,在双向同时ping 15000字节的大包进行测试时,1720的cpu使用率一度高达90%左右,3662的使用率约为25%,两台路由器内存使用率则变化不大。可见用rsa encrypted方式加密,对低端路由器的cpu性能影响很大。
常用调试命令:
show cry ip sa
show cry isa sa
deb cry isa
deb cry ip
clear cry isa
