vpn实验心得(精选5篇)
vpn实验心得 第1篇
VPN 实验心得
(一)vpn access server的配置
实验网络拓扑:
pc(vpn client 4.01)---switch---router1720
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
步骤:
1、配置isakmp policy:
crypto isakmp policy 1
encr 3des
authen pre-share
group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192
ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
vpn access server)(cry isa client conf group vclient-group
####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。
key vclient-key
####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set
cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1
set transform-set vclient-tfs ####和第四步对应
6、配置vpnmap
cry map vpnmap 1 ipsec-isakmp dynamic template-map
#### 使用第?*脚渲玫?map 模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization
cry map vpnmap client conf address respond ####响应client分配地址的请求
7、配置静态路由
ip route 192.168.1.0 255.255.255.0 fastethernet0
说明几点:
(1)因为1720只有一个fastethernet口,所以用router1720上的lo0地址来模拟router内部网络。
(2)vpn client使用的ip pool地址不能与router内部网络ip地址重叠。
(3)10.130.23.0网段模拟公网地址,172.16.1.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。
(4)没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。
(5)关于split tunnel。配置方法:首先,设置access 133 permit ip 172.16.1.0 0.0.0.255 any,允许1720本地网络数据通过tunnel,然后在第三步骤中添加一个参数:acl 133。
1720的完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1321 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
no ip domain-lookup!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool192!
crypto isakmp client configuration group vclient-group
key vclient-key
domain test.com
pool pool192!
!
crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!
crypto dynamic-map template-map 1
set transform-set vclient-tfs!
!
crypto map vpnmap isakmp authorization list vclient-group
crypto map vpnmap client configuration address respond
crypto map vpnmap 1 ipsec-isakmp dynamic template-map!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.240!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpnmap!
interface Serial0
no ip address
shutdown!
ip local pool pool192 192.168.1.1 192.168.1.254
ip classless
ip route 192.168.1.0 255.255.255.0 FastEthernet0
no ip http server
ip pim bidir-enable!
!
!
line con 0
line aux 0
line vty 0 4!
no scheduler allocate
end
VPN Client 4.01的配置:
新建一个connection entry,参数中name任意起一个,host填入vpn access server的f0地址10.130.23.246,group auahentication中name填vclient-group,password填vclient-key.测试:
(1)在pc上运行VPN client,连接vpn access server。
(2)ipconfig/all,查看获取到的ip地址与其他参数。
(3)在router,show cry isa sa,看连接是否成功。
(4)从router,ping client已经获取到的ip地址,通过。
(5)从client,ping router的lo0配置的地址172.16.1.1,通过。
(6)查看vpn client软件的status--statistics,可以看到加密与解密的数据量。
(7)1720上show cry ip sa, 也可以查看加密与解密的数据量。
常用调试睿?
show cry isakmp sa
show cry ipsec sa
clear cry sa
clear cry isakmp
debug cry isakmp #####这是最常用的debug命令,vpn连接的基本错误都可以用它来找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
实验网络拓扑:
router3662(vpn client)---switch---router1720(vpn access server)
pc(vpn client 4.01)------|
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
1、配置1720路由器,参照实验一,设置为vpn server。
2、配置3662路由器,设置vpn client参数
cry ip client ezvpn vclient ####定义crypto-ezvpn name
mode network-extension ####设置为网络扩展模式
group vclient-group key vclient-key ####设置登录vpn server的组名与组口令
peer 10.130.23.246 ####设置vpn server的ip地址,如果启用dns,则可以用hostname
connect auto ####设置为自动连接。如果设为手动,则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。
local-address F0/0 ####设置vpn通道本地地址,选用f0/0,可以保证vpn server找到它
3、定义加密数据入口,这里为f0/1
inter f0/1
cry ip client ezvpn vclient inside
4、定义加密数据出口,这里为连接vpn server的f0/0
inter f0/0
cry ip client ezvpn vclient outside
5、在1720上设置静态路由,地址范围为3662路由本地网络的地址
ip route 172.16.2.0 255.255.255.0 f0
6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。
service dhcp ####启动dhcp 服务
ip dhcp pool dhcppool ####定义dhcp pool name
network 172.16.2.0 /24 ####定义可分配的IP地址段
default-router 172.16.2.1 ####定义dhcp client的默认网关
lease 1 0 0 ####设置ip保留时间
import all ####如果配置了上级dhcp,server,则接受其所有参数
ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据没有进行加密。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以发现数据不通过加密。
(6)启动pc vpn client,ping 172.16.1.1,通过。在1720上查看show cry ip sa,可以看到数据通过加密进行传输。
(7)在pc vpn client,ping 172.16.2.1,通过。在1720和3662上查看show cry ip sa,可以看到数据通过加密进行传输。在1720上show cry isa sa,可以看到两个vpn连接。
(8)在3660上扩展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client获得的ip),通过。查看show cry ip sa,可以发现数据通过加密进行传输。
说明:
(1)不同平台,不同ios版本,easy vpn client的配置有所不同。特别是加密数据入出接口的配置,配置接口前后,用show cry ip client ezvpn来查看与验证。
(2)network-extension模式,vpn server和vpn client两端的内部网络之间可以通过ip地址互相访问。
(3)以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验
(一),设置acl 133和cry isa client conf group中的参数,完成后,可以实现测试(1)-(5)。要实现Pc vpn client和3662 vpn client 互通,即测试(6)-(8),还要在1720 的acl 133中添加两条,分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要复位vpn通道,才可以起作用。在pc端,是通过disconnect再connect来实现;在3662上,通过clear cry ip client ezvpn来复位。
常用调试命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
(三)easy vpn client的配置(client mode)
实验网络拓扑同实验
(二)实验步骤参考实验
(二),其中第二步,将mode network-extension改为mode client。
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,不通。这是因为3662端ip数据流是通过nat进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。在1720上打开deb ip icmp,可以看到echo reply信息的dst地址为192.168.1.19(vpn client 从vpn server获取的ip地址)。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。
说明:
(1)client 模式,vpn client端内部网络采用nat方式与vpn server进行通信,vpn client端网络可以访问server端网络资源,server端网络不能访问client端内部网络资源。
(2)client与network-extension两种模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置与数据流量。
(4)关于split tunnel,client模式的easy vpn client,与pc的vpn client类似,配置split tunnel的方法也相同。
常用调试命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
实验网络拓扑:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定义加密数据的acl
access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)定义isakmp policy
cry isa policy 1
authentication pre-share ####采用pre-share key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
(4)定义pre-share key
cry isa key pre-share-key address 10.130.23.244
####其中pre-share-key 为key,两个路由器上要一样
####其中10.130.23.244为peer路由器的ip地址。
(5)定义transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs为transform-set name,后面两项为加密传输的算法
mode transport/tunnel #####tunnel为默认值,此配置可选
(6)定义crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应
set peer 10.130.23.244 ####定义peer路由器的ip
set transform-set vpn-tfs ####与第?*蕉杂?br /> ####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer
(7)将crypto map应用到接谏?br /> inter f0 #####vpn通道入口
cry map vpn-map
(8)同样方法配置3662路由器。
1720的完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1217 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
logging buffered 4096 debugging
no logging rate-limit
enable password CISCO!
username vclient1 password 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
ip domain-name fjbf.com!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key pre-share-key address 10.130.23.244!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match address 144!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map!
interface Serial0
no ip address
encapsulation ppp
no keepalive
no fair-queue!
ip classless
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable!
!
access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login!
end
测试:
(1)未将map应用到接口之前,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。
(2)map应用到接口之后,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据没有通过vpn 通道进行传输,因为不符合acl 144。
(3)map应用到接口之后,在1720,扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据通过vpn 通道进行传输。
(4)在3662上同样进行测试。
说明:
(1)采用pre-share方式加密数据,配置简单,数据传输效率较高,但是安全性不高。
(2)加密数据前后,通过ping大包的方式测试,可以发现这种利用软件进行数据加密的方式,延时较大。如果需要开展voip、ip 视讯会议等业务,建议选配vpn模块进行硬件加密。
常用调试命令:
show cry isa sa
show cry ip sa
show cry engine configuration
show cry engine connections active
show cry engine connections flow
deb cry isa
deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
实验网络拓扑:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定义加密数据的acl
access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)生成rsa key
cry key generate rsa general-keys ####生成General Purpose rsa Key
或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key
这里 统一用general purpose key
(4)复制peer router的public key到本地router中
(A)在3662上生成general purpose key
(B)在3662上show cry key mypubkey rsa,复制其中的General Purpose Key
(C)在1720上,cry key pubkey-chain rsa ####设置public key
addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key
key-string ####定义key串
粘贴从3662上复制的General Purpose Key
#####如果第三步生成了两种key,则这里复制粘贴的,应该是Encryption Key(三个key中的第二个)
(5)定义isakmp policy
cry isa policy 1
authentication rsa-encr ####采用rsa Encryption key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
(6)定义transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs为transform-set name,后面两项为加密传输的算法
mode transport/tunnel #####tunnel为默认值,此配置可选
(7)定义crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应
set peer 10.130.23.244 ####定义peer路由器的ip
set transform-set vpn-tfs ####与第?*蕉杂?br /> ####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer;同样,pubkey也要对应进行设置。
(7)将crypto map应用到接口上
inter f0 #####vpn通道入口
cry map vpn-map
(8)同样方法配置3662路由器。
1720完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1490 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
logging buffered 4096 debugging
no logging rate-limit
enable password CISCO!
username vclient1 password 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
ip domain-name fjbf.com!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication rsa-encr
group 2!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!
crypto key pubkey-chain rsa
addressed-key 10.130.23.244
address 10.130.23.244
key-string
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF
D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102
DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001
quit!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match address 144!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map!
interface Serial0
no ip address
encapsulation ppp
no keepalive
no fair-queue!
ip classless
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable!
!
access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login!
end
说明:
(1)采用rsa encrypted方式加密传输数据,默认key长度为512字节,最高可设为2048字节。安全性能较高。
(2)100M双工交换网络中,在双向同时ping 15000字节的大包进行测试时,1720的cpu使用率一度高达90%左右,3662的使用率约为25%,两台路由器内存使用率则变化不大。可见用rsa encrypted方式加密,对低端路由器的cpu性能影响很大。
常用调试命令:
show cry ip sa
show cry isa sa
deb cry isa
deb cry ip
clear cry isa
clear cry sa
vpn实验心得 第2篇
一、实验目的: 1.了解VPN服务器的配置方法以及基本使用方法; 2.了解WINDOWS操作系统下IPsec VPN的配置方法。
二、实验环境:
外网IP:192.168.104.22
IP:192.168.104.16
内网IP:192.168.0.22
VPN服务器
IP:192.168.104.1
证书服务器
Windows server 2000操作系统 必须在连网的环境中进行
VPN客户端
内网
三、实验内容及步骤:
步骤一VPN服务器的配置方法
1.配置VPN服务器(该服务器有两块网卡,一块连接外网,IP为192.168.104.22,一块连接内网,IP为192.168.0.22)
①“开始”/“程序”/“管理工具”中,选择“路由和远程访问”
② 右击本地计算机名称,选择“配置并启用路由和远程访问”项,进入“路由和远程访问服务安装向导”,单击“下一步”按钮
③ 选择“虚拟专业网络(VPN)服务器”,点击“下一步”;
④远程客户协议中,如果网络是使用TCP/IP协议就选择“是”,如果还需要其他协议,例如IPX,就选择“否”,进入添加协议的过程。在本实验中,只需要TCP/IP协议就行了,点击“下一步”;
⑤选择与VPN客户端连接的接口,通常是外网接口,即连接Internet的接口(192.168.104.22),剩下的就是内网接口,也就是客户端想进入的内网接口。点击“下一步”;
⑥为远程客户端指定一个IP地址,如果内网中有DHCP服务器,可选择第一项“自动”,如果没有,就手工指定。
⑦通常指定的是VPN客户端拨入内网的IP地址。(192.168.0.0/24)。点击“下一步”;
⑧后续步骤使用默认选项,完成VPN服务器的配置。2.配置VPN授权用户 ① 在“计算机管理”中,新建两个用户“VPN1”、“VPN2”;
② 为“VPN1”用户设置允许拨入权限;为“VPN2”用户设置远程访问策略:
选择 “计算机管理”/“本地用户和组”/“用户”,找到VPN1用户,右击“属性”,选择“允许访问”,VPN2用户设置“通过远程访问策略控制访问”。
3.配置远程访问策略:
① 选择路由和远程访问,右击“远程访问策略”,选择“新建远程访问策略”
② 命名访问策略,点击“下一步”;
③ 添加条件:在“添加远程访问策略”中选择“添加”按纽;
④ 在选择属性对话框中选择“允许用户连接的时间和日期”,点击“添加”按纽,设置“从星期一到星期五,从早8点到晚7点,允许用户访问”。
⑤在权限中选择“授予远程访问权限”,完成远程访问策略的设置。
4.配置VPN客户端
① 另选一台电脑,选择“网络和拨号连接”——“新建连接”,出现“网络连接向导”,单击“下一步”;
② 在网络连接向导对话框中选择“通过Internet连接到专用网络”,点击“下一步”;
③ 输入连接的VPN服务器的名称和IP地址,点击“下一步“,后续内容都使用默认选项,完成配置过程;
④ 双击“虚拟专用连接“,在弹出的对话框中输入用户帐号与密码等数据后,单击“确定”就可以登录到VPN服务器了;
5.连接完成后,在VPN客户端通过ipconfig命令查看远程连接所获得的IP地址。
步骤二IPsec VPN的配置方法
1.PPTP进行连接
2.安装证书服务(注意在安装证书服务的时候,要同时安装WEB服务,因为通过浏览器申请证书,需要WEB服务的支持)。本实验的证书服务器的IP地址为192.168.104.1。
在“添加/删除程序”中选择“添加/删除WINDOWS组件”,选择安装“证书服务”和“Internet信服务(IIS)”
选择CA类型为“独立根CA”
输入CA标识信息
确认数据存储位置,完成安装
注意:实验室中I386的存放位置在“F:应用软件win2k I386” 3.为VPN服务器和客户端申请IPsec证书,下载并且安装所申请的证书。
首先为VPN服务器申请“IPsec证书”,在IE浏览器中输入“证书服务器的IP地址certsrv”,在弹出的证书服务页面中选择“申请证书”,点击“下一步”;
选择高级证书申请
选择“使用表格向这个CA提交一个证书申请”
在下图的证书类型中选择“IPsec证书”
将滚动条往下拖动,做如下的配置,注意勾选“使用本地机器保存”,点击“提交”
到证书服务器上,打开证书颁发机构,颁发该IPsec证书。VPN服务器所申请的证书会在证书服务器的证书颁发机构的挂起的申请中,我们需要到证书服务器的证书颁发机构中对该挂起的申请进行颁发
查看证书挂起的状态。颁发之后,回到VPN服务器上打开IE,下载由证书颁发机构所颁发的证书,选择“检查挂起的证书”
点“安装此证书”,VPN的证书安装完成
提示:企业根CA只存在于域环境下,它的好处之一就是证书自动颁发,而独立CA需要到证书服务管理工具上手动将挂起的证书进行颁发
接下来要用相同的方法为客户端申请证书(步骤省略)
2、当VPN服务器和客户端的证书申请完毕后,这个时候还不能通过证书信任来进行IPsec的访问,需要在VPN和客户端上下载根CA证书及证书链,并导入到信任的证书颁发机构列表中 以VPN服务器为例,选择“检索CA证书或证书吊销列表”
选择“下载CA证书”和“下载CA证书路径”,将CA证书及证书链下载到桌面
找到下载的将CA证书及证书链,然后进行下列的操作,安装到“受信任的证书颁发机构”
按照上面同样的方式导入证书链。对于客户端来说下载CA和CA链的方式以及导入的方式与VPN服务器完全相同,在此配置省略。
3、当客户端和VPN服务器的证书申请完毕后,最好重启一下VPN服务和CA服务
4、将客户端的VPN连接属性改为L2TP证书验证。
等做完客户端的配置之后,就可以使用IPsec VPN进行安全的通信了。
四、实验结果及调试
1.粘贴实验步骤一完成后,使用IPCONFIG命令查看到的实验结果:
2.在内网安装FTP服务、WEB服务、共享服务,VPN客户端拨入内网后,尝试使用局域网中的这些功能,并截图粘帖在下方。
3.如何配置VPN服务器的回拨功能?
4.描述客户端申请证书的方法,并截图粘贴在下方:
vpn实验心得 第3篇
近些年来,随着国际竞争的日趋激烈,工业自动化系统开始向分布式、智能化、一体化的综合自动化网络方向发展,作为工控领域新兴技术的工业以太网,正在成为工业控制网络发展的主流技术[1]。
本水箱过程控制装置是一种多输入多输出,可自由组合成不同控制对象的典型过程控制实验对象,是高校自动化专业重要的实验教学设备之一。但由于价格昂贵,存在配备数量少,设备利用率不足等问题。与此同时,高校自动化教学偏重软件编程、算法仿真,硬件设备仍以传统技术为主,与自动化发展主流技术相脱节。
传统工业控制系统在局域网内,主控端唯一,监视端虽可多台,但只能监视系统运行状态和修改特定参数。实际高校教学,需要多主控端控制和远程实验。现有基于工业控制系统的远程实验系统,虽然可以突破局域网限制,但普遍只能"监"而不能"控",实验者相当于远程监视端,实验效果有限。
本文即设计一个基于VPN的水箱远程实验系统,采用Rockwell自动化的CompactLogix系列产品和工业以太网,引进VPN技术,使学生足不出户,直接从互联网访问实验系统,编程下载和调试程序,实现真正的远程控制,跟上自动化发展主流,达到资源利用最大化的目的。
1 系统硬件设计
水箱实验系统硬件主要由远程实验端、VPN网关、CompactLogix控制系统和控制对象构成,如图1所示。
图1水箱实验系统硬件结构(参见右栏)
控制对象为水箱过程控制装置,共有3个水箱,I/O信号由4个RTD温度传感器、3个PT液位变送器、4个调节阀、1个加热器、2个电磁阀和2个水泵组成。水箱将采样信号传给控制系统输入模块,输出模块发出控制信号,有的经辅助设备转换或放大,最后作用于水箱。
CompactLogix系列是Rockwell Logix控制平台中的
一款中型PAC(Programmable Automation Controller),采用Ethernet/IP、ControlNet、DeviceNet三层网络体系,可实现从工厂现场设备层到控制层、管理层的无缝集成。系统采用1768-L43控制器,通过1768-ENBT与Ethernet/IP工业以太网连接,实现上位机与控制器的通信。通过1769-SDN实现与其它实验系统DeviceNet设备网互连。1768-PA3电源模块通过背板总线为系统供电,其余为I/O模块。
上位机为在Internet上的远程实验端,它通过同时与Internet和EtherNet/IP相连的VPN网关,接入Ethernet/IP工业以太网,实现对水箱实验系统的访问。
2 系统软件设计
本实验系统采用Rockwell配套开发的软件。RSLinx是工业通讯的枢纽,为整个网络提供了完整的驱动程序。可以通过一个或多个通讯接口同时运行任何所支持的应用程序的组合,提供快速的OPC、DDE和Custom C/C++接口。
RSLogix5000[2]是CompactLogix系统的下位机编程软件。它组态和编程所有对外交换信息,不管是I/O刷新信息,还是对外设备通信信息,对系统还有监视和诊断功能。
RSView32[3]是基于组件集成并用于监视和控制自动化设备和过程的人机界面监控软件。它有图形动画设计、监视与报警、日志记录、事件检索等功能,并通过开放技术与第三方应用程序兼容。
2.1 下位机软件设计
编程时,首先根据控制系统实际组成,将对应的软件模块加到RSLogix5000编程环境中,模拟了实际环境,可进行离线开发。然后对各I/O点进行量程选取、数据格式选择和数值转化,量程选取由信号的实际类型(4-20m A、1-5V等)决定,数据格式选择表示转换后的数据类型,视编程者的需要而定。它们都在软件模块的属性设置中完成,数值转化在程序中完成。
RSLogix5000提供梯形图、顺序功能流程图、结构文本和功能块4种编程模式。主例程以梯形图开始,结构文本可以用语句来描述逻辑关系,是软件开发人员比较容易接受的编程方式,这里采取控制算法编写用结构文本,其余用梯形图的混合编程模式。下位机程序流程图如图2所示。
主例程开始时,首先读取设备现场数据,并进行数值转换,然后开始控制对象和控制方式的选择。具体依次通过对SW_Can和SW_Control的条件判断,满足条件者通过JSR跳转子例程指令,调用控制算法子例程。最终得到各输出值,再经数值转换,写出数据,由现场设备执行,完成一个周期。由于整个程序是连续型任务,当此周期完成,程序跳转至开头,周而复始。
2.2 上位机软件设计
上位机程序采用RSView32组态软件编写。组态是指操作人员根据应用对象及控制任务的要求,用应用软件中提供的工具、方法、完成工程中某一具体任务的过程。具体编写过程如下:
(1)通信组态:首先启动RSLinx通信软件,将其本身设置为OPC服务器。在RSView32里建一个新工程,打开System菜单中Node节点编辑器,选择数据源为OPC Server,输入节点名,选择服务器类型RSLinx Remote OPC Server,节点设置完成。
(2)创建标签:打开System菜单中Tag Database标签数据库编辑器,自定义标签名称并设置其属性。数据源选Device表示数据来自于下位机,这时可将标签与I/O模块输入输出数据或下位机程序中的变量唯一对应起来。
(3)创建人机监控界面:打开Graphics菜单中的Display图形显示编辑器,可以从Library图形库调用已有图形对象,也可以在图形库创建和修改图形对象。同时,进行组态数据记录、趋势曲线和报警汇总。
上位机监控软件可以实时显示水箱过程控制装置现场情况,也可画出水箱实时响应趋势图及历史数据,实现了报警信息、数据保存和帮助说明等功能。上位机程序流程图如图3所示。
整套软件提供多种常用控制算法,并有其它控制和现场控制,方便自编算法和教学演示,使用者可进行控制算法与控制对象的多种选择。
3 远程
水箱控制系统位于EtherNet/IP工业以太网(局域网)内,要实现远程实验,必须由互联网接入工业以太网,这里通过VPN技术实现远程访问控制。
3.1 EtherNet/IP工业以太网
Ether Net/IP(Ether Net Industry Protocol)是当今主流工业以太网技术标准之一[4]。其协议栈结构如图4所示。
由图中可见,EtherNet/IP的传输层及以下均采用标准互联网技术,仅在应用层采用通用工业协议(Common Industrial Protocol,CIP)。CIP协议与其它应用层协议,如:HTTP(WWW协议)、SMTP(简单邮件传送协议)等一样,是互联网技术的某一具体应用,这也决定了基于EtherNet/IP标准的工业以太网,与标准互联网可实现无障碍互联互通。
CIP也称控制与信息协议,是由ODVA(Open Device Ne Vendor Association)和CI(Control Net International)两个国际组织共同推出和管理的一种工业控制协议。它使用面向对象的编程方法,采用生产者/消费者(Producer/Consumer Model)通信模型,定义了显式和隐式两种报文类型。显性报文用于传输无严格时限的数据,如程序下载,结点配置,建立连接等,采用TCP传输。隐性报文也称I/O报文,用于传输有严格时限、实时性强的I/O数据和互锁消息等,采用UDP堆栈处理。
3.2 VPN
VPN[5](Virtual Private Network)即虚拟专用网,是通过公网线路连接节点而建成的临时的、安全的连接。它通过使用加密和其它安全机制来确保只有授权的用户可以访问网络,而且数据不能被截获,是一条穿过混乱的公用网络的安全、稳定的隧道。
本实验系统采用PPTP VPN连接模式为隧道模式,由于远程实验教学是互联网上的单用户连入工业以太网,故VPN类型为Access VPN,实验者身份确认采用用户验证模式。
由图5可知,水箱实验系统地址设定为固定内网IP(192.168.0.13)。VPN网关为双网卡计算机,A网卡接工业以太网,地址设为固定内网IP(192.168.0.1),B网卡接互联网,地址设为固定外网IP(202.38.73.60)。当前远程实验端的外网(互联网)IP地址为211.86.145.117。
远程实验端做实验时,经互联网向VPN网关发起连接,当账号和口令都正确时,才允许接入,这时VPN网关给远程实验端分配一个临时内网IP(192.168.0.20)。远程实验端与VPN网关间建立起VPN隧道,接入工业以太网。此时远程实验端同时拥有两个IP地址:外网IP和临时内网IP。
VPN隧道建立后,开始数据传输,图6是水箱实验系统向远程实验端发送数据的数据封装过程。实验系统向VPN网关发送IP数据包时,将水箱实验系统的内网IP作为源地址,远程实验端的临时内网IP作为目的地址,数据包内容为水箱实验系统的显性报文TCP段,或I/O报文UDP段。VPN网关收到并封装这个带有VPN保护信息的数据包,并将这个信息放进另一个IP数据包中,其源地址是VPN网关的外网IP,目标地址是远程实验端的外网IP。一旦远程实验端收到这个被保护的数据包,验证保护并解密该包,还原成原始IP数据包,完成一次完整的数据传输过程。远程实验端向水箱实验系统发送数据包同样如此。从表面看去,就好像VPN网关在下载调试程序,进行实验,从而达到远程控制实验的目的。
由于此VPN系统采用用户验证模式,当用户提供的账号和口令正确时,才允许接入。通过对账号和口令的更改和限制,可以达到控制多主控端实验的目的。
4 结语
基于VPN的水箱远程实验系统真正实现了高校教学实验所需的远程控制,图7为用模糊PID算法控制2号水箱液位的远程实验效果图。它的建成,为高校师生提供了使用和研究工业自动化主流技术的机会,提高了设备利用率,有效地解决了高校教学所需的多主控端、远程控制与工业控制中的唯一主控端只能远程监视的矛盾。
摘要:设计了一套基于VPN的水箱远程实验系统,通过资源共享来提高实验装置的利用率,描述了该系统的硬件平台、下位机运行程序和上位机监控界面。采用VPN技术,使实验者不必亲临现场,只需通过互联网即可接入系统,编写下载和调试程序,解决了目前基于工业控制系统的远程实验系统只能“监”而不能“控”的问题。
关键词:虚拟专用网,远程控制,通道接口处理器,EtherNet/IP,工业以太网
参考文献
[1]王平,谢昊飞,等.工业以太网技术[M]//北京:科学出版社,2007:8-15.
[2]邓李.ControlLogix系统实用手册[M].北京:机械工业出版社,2008.
[3]Rockwell Automation.RSView32User'Guide[M].Rockwell Inc,1999.
[4]OVDA/CI.EtherNet/IP Specification.Release1.0,2001[S].
VPN定义 第4篇
开放分类: 互联网、网络、电脑、技术
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
======
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。
----从概念上讲,IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况(如运营商的运营商)。
----图1给出了实现IP-VPN的一个通用方案。其中,CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。
----站点是指这样一组网络或子网,它们是用户网络的一部分,并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点,一个站点可以同时位于不同的几个VPN之中。
----图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示,一个站点可以同时属于多个VPN。依据一定的策略,属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力,也可以不提供这种能力。当一个站点同时属于多个VPN时,它必须具有一个在所有VPN中唯一的地址空间。
----MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以,在MPLS/ATM网络中,有多种支持IP-VPN的方法,本文介绍其中两种方法。
方案一
----本节介绍一种在公共网中使用MPLS提供IPVPN业务的方法。该方法使用LDP的一般操作方式,即拓扑驱动方式来实现基本的LSP建立过程,同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。
----图3 给出了在MPLS/ATM核心网络中提供IPVPN业务的一种由LER和LSR构成的网络配置。
----LER(标记边缘路由器)
----LER是MPLS的边缘路由器,它位于MPLS/ATM服务提供者网络的边缘。对于VPN用户的IP业务量,LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享,它还应当具有执行虚拟路由的能力。这就是说,它应当为自己服务的各个VPN分别建立一个转发表,这是因为不同VPN的IP地址空间可能是有所重叠的。
----LSR(标记交换路由器)
----MPLS/ATM核心网络是服务提供者的下层网络,它为用户的IP-VPN业务所共享。
----建立IP-VPN区域的操作
----希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IPVPN区域。作为一种普通的LDP操作,基本的LSP 建立过程将使用拓扑驱动方法来进行,这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由,则将使用两级LSP隧道(标记堆栈)。
----VPN成员
----每一个LER都有一个任务,即发现在VPN区域中为同一 IPVPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道,所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP,向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记,以方便这些消息能够最终到达目的LER。
----LDP Hello消息实际上是一种查询消息,通过这一消息,发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER(对等实体)。新的Hello消息相邻实体注册完成之后,相关的两个LER之间将开始发起LDP会话。随后,其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后,对等LER之间的会话便建立起来了。此后,双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道,则该标记将被推入标记栈中,并被置于原有的标记之上。
----VPN成员资格和可到达性信息的传播
----通过路由信息的交换,LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER,还需要找到在一个VPN中哪些LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之,只有支持相同VPN的LER之间才能成功地建立LDP会话。
----VPN内的可到达性
----最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IPVPN的一员时,配置信息将包含它在VPN内部要使用的路由协议。在这一过程中,还可能会配置必要的安全保密特性,以便该LER能够成为其他LER的相邻路由器。在VPN内部路由方案中,每一次发现阶段结束之后,每一个LER 都将发布通过它可以到达的、VPN用户的地址前缀。
----IP分组转发
----LER之间的路由信息交互完成之后,各个LER都将建立起一个转发表,该转发表将把VPN用户的特定地址前缀(FEC转发等价类)与下一跳联系起来。当收到的IP分组的下一跳是一个LER时,转发进程将首先把用于该LER的标记(嵌套隧道标记)推入标记栈,随后把能够到达该LER的基本网络LSP上下一跳的基本标记推入标记分组,接着带有两个标记的分组将被转发到基本网络LSP中的下一个LSR;当该分组到达目的LER时,最外层的标记可能已经发生许多次的改变,而嵌套在内部的标记始终保持不变;当标记栈弹出后,继续使用嵌套标记将分组发送至正确的LER。在LER上,每一个VPN使用的嵌套标记空间必须与该LER所支持的其他所有VPN使用的嵌套标记空间不同。
方案二
----本节将对一种在公共网中使用MPLS和多协议边界网关协议来提供IP-VPN业务的方法进行介绍,其技术细节可以参见RFC 2547。
----图1 给出了在MPLS/ATM核心网络中提供IPVPN业务的、由LER和LSR构成的网络配置,图4则给出了使用RFC 2547的网络模型。
----提供者边缘(PE)路由器
----PE路由器是与用户路由器相连的服务提供者边缘路由器。
----实际上,它就是一个边缘LSR(即MPLS网络与不使用 MPLS的用户或服务提供者之间的接口)。
----用户边缘(CE)路由器
----CE路由器是用于将一个用户站点接至PE路由器的用户边缘路由器。在这一方案中,CE路由器不使用MPLS,它只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。
----提供者(P)路由器
----P路由器是指网络中的核心LSR。
----站点(Site)
----站点是指这样一组网络或子网:它们是用户网络的一部分,通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。
----路径区别标志
----服务提供者将为每一个VPN分配一个唯一的标志符,该标志符称为路径区别标志(RD),它对应于服务提供者网络中的每一个Intranet或Extranet 都是不同的。PE路由器中的转发表里将包含一系列唯一的地址,这些地址称为VPNIP 地址,它们是由RD与用户的IP地址连接而成的。VPNIP地址对于服务提供者网络中的每一个端点都是唯一的,对于VPN中的每一个节点(即VPN中的每一个PE路由器),转发表中都将存储有一个条目。
----连接模型
----图4给出了MPLS/BGP VPN的连接模型。
----从图4中可以看出,P路由器位于MPLS网络的核心。PE路由器将使用MPLS与核心MPLS网络通信,同时使用IP路由技术来与CE路由器通信。P与PE路由器将使用IP路由协议(内部网关协议)来建立MPLS核心网络中的路径,并且使用LDP实现路由器之间的标记分发。
----PE路由器使用多协议BGP4来实现彼此之间的通信,完成标记交换和每一个VPN策略。除非使用了路径映射标志(route reflector),否则PE 之间是BGP全网状连接。特别地,图4中的PE处于同一自治域中,它们之间使用内部BGP(iBGP)协议。
----P路由器不使用BGP协议而且对VPN一无所知,它们使用普通的MPLS协议与进程。
----PE路由器可以通过IP路由协议与CE路由器交换IP路径,也可以使用静态路径。在CE与PE路由器之间使用普通的路由进程。CE路由器不必实现MPLS或对VPN有任何特别了解。
----PE路由器通过iBGP将用户路径分发到其他的PE路由器。为了实现路径分发,BGP使用VPN-IP地址(由RD和IPv4地址构成)。这样,不同的VPN可以使用重叠的IPv4地址空间而不会发生VPN-IP地址重复的情况。
----PE路由器将BGP计算得到的路径映射到它们的路由表中,以便把从CE路由器收到的分组转发到正确的LSP上。
----这一方案使用两级标记:内部标记用于PE路由器对于各个VPN的识别,外部标记则为MPLS网络中的LSR所用——它们将使用这些标记把分组转发给正确的PE。
----建立IP-VPN区域的操作
----希望提供IP-VPN业务的网络提供者必须按照连接需求对网络进行设计与配置,这包括:PE必须为其支持的VPN以及与之相连的CE所属的VPN 进行配置;MPLS网络或者是一个路径映射标志中的PE路由器之间必须进行对等关系的配置;为了与CE进行通信,还必须进行普通的路由协议配置;为了与MPLS核心网络进行通信,还必须进行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能够支持MPLS之外,还要能够支持VPN。
>----VPN成员资格和可到达性信息的传播
----PE路由器使用IP路由协议或者是静态路径的配置来交换路由信息,并且通过这一过程获得与之直接相连的用户网站IP地址前缀。
----PE路由器通过与其BGP对等实体交换VPN-IP地址前缀来获得到达目的VPN站点的路径。另外,PE路由器还要通过BGP与其PE路由器对等实体交换标记,以此确定PE路由器间连接所使用的LSP。这些标记用作第二级标记,P 路由器看不到这些标记。
----PE路由器将为其支持的每一个VPN分别建立路由表和转发表,与一个PE路由器相连的CE路由器则根据该连接所使用的接口选择合适的路由表。
----IP分组转发
----PE之间的路由信息交换完成之后,每一个PE都将为每一个VPN建立一个转发表,该转发表将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。
----当收到发自CE路由器的IP分组时,PE路由器将在转发表中查询该分组对应的VPN。
----如果找到匹配的条目,路由器将执行以下操作:
----如果下一跳是一个PE路由器,转发进程将首先把从路由表中得到的、该PE路由器所对应的标记(嵌套隧道标记)推入标记栈;PE路由器把基本的标记推入分组,该标记用于把分组转发到到达目的PE路由器的、基本网络LSP上的第一跳;带有两级标记的分组将被转发到基本网络LSP上的下一个LSR。
----P路由器(LSR)使用顶层标记及其路由表对分组继续进行转发。当该分组到达目的LER时,最外层的标记可能已发生多次改变,而嵌套在内部的标记保持不变。
----当PE收到分组时,它使用内部标记来识别VPN。此后,PE将检查与该VPN相关的路由表,以便决定对分组进行转发所要使用的接口。
----如果在VPN路由表中找不到匹配的条目,PE路由器将检查Internet路由表(如果网络提供者具备这一能力)。如果找不到路由,相应分组将被丢弃。
----VPNIP转发表中包含VPNIP地址所对应的标记,这些标记可以把业务流路由至VPN中的每一个站点。这一过程由于使用的是标记而不是IP 地址,所以在企业网中,用户可以使用自己的地址体系,这些地址在通过服务提供者网络进行业务传输时无需网络地址翻译(NAT)。通过为每一个VPN使用不同的逻辑转发表,不同的VPN业务将可以被分开。使用BGP协议,交换机可以根据入口选择一个特定的转发表,该转发表可以只列出一个VPN有效目的地址。
----为了建立企业的Extranet,服务提供者需要对VPN之间的可到达性进行明确指定(可能还需要进行NAT配置)。
----安全
VPN研究报告 第5篇
互联网的普及、移动通信技术的进步、信息化程度的提高,使全世界的数字信息高度共
享成为可能。中国高校也越来越重视数字化校园的开发,依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一,电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义,数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。
二、选题背景
随着教育信息化的深入,很多学校都建立了校园网,为了实现校内资源优化整合,让师
生们更好的进行工作和学习,他们需要在校园网内部或在校外的远程节点上,随时享受校园网内部的各项服务,然而由于互联网黑客对各高校的资源虎视眈眈,在没有经过任何允许的情况下,黑客们很容易就潜入校园网内部进行捣乱,为此,多数校园网都不会将自己的各种应用系统和所有信息资源完全开放,因为这样让整个校园网面临无以估量的破坏性损失,为了网络安全考虑,将vpn技术应用于基于公共互联网构架的校园网,可以较好的解决校园网多校区、远程访问、远程管理等问题。
三、vpn简介
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安
全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
四、vpn功能
vpn可以提供的功能: 防火墙功能、认证、加密、隧道化。
vpn可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个
企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一,在交换机,防火墙设备或windows 2000等软件里也都支持vpn功能,一句话,vpn的核心就是在利用公共网络建立虚拟私有网。
五、vpn常用的网络协议
常用的虚拟私人网络协议有:
ipsec : ipsec(缩写ip security)是保护ip协议安全通信的标准,它主要对ip协议分组进行加密和认证。ipsec作为一个协议族(即一系列相互关联的协议)由以下部分组成:(1)保护分组流的协议;(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分: vpn加密分组流的封装安全载荷(esp)及较少使用的认证头(ah),认证头提供了对分组流的认证并保证其消息完整性,但不提供保密性。目前为止,ike协议是唯一已经制定的密钥交换协议。
pptp: point to point tunneling protocol--点到点隧道协议。在因特网上建立ip虚拟专用网
(vpn)隧道的协议,主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。l2f: layer 2 forwarding--第二层转发协议
l2tp: layer 2 tunneling protocol--第二层隧道协议 gre:vpn的第三层隧道协议
六、vpn研究问题
? vpn如何解决校园网安全风险
对于校园网而言,它虽然给师生带来了资源共享的便捷,但同时也意味着具有安全风险,比如非授权访问,没有预先经过授权,就使用校园网络或计算机资源;信息泄漏或丢失,重要数据在有意或无意中被泄漏出去或丢失;以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息;不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪;利用网络传播计算机病毒等。那么,校园网利用vpn技术方案,是否能避免校园网的潜在安全隐患,杜绝上述情况的发生呢?
vpn即虚拟私有网络技术,它的安全功能包括:通道协议、身份验证和数据加密,实际工作时,远程外网客户机向校园网内的vpn服务器发出请求,vpn服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到vpn服务端,vpn服务器根据用户数据库检查该响应,如果账户有效,vpn服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,vpn服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说,vpn可以通过对校园网内的数据进行封包和加密传输,在互联网公网上传输私有数据、达到私有网络的安全级别。? 选择ipsec vpn还是ssl vpn 校园网vpn方案可以通过公众ip网络建立了私有数据传输通道,将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来,减轻了校园网的远程访问费用负担,节省电话费用开支,不过对于端到端的安全数据通讯,还需要根据实际情况采取不同的架构。一般而言,ipsec vpn和ssl vpn是目前校园网vpn方案采用最为广泛的安全技术,但它们之间有很大的区别,总体来说,ipsec vpn是提供站点与站点之间的连接,比较适合校园网内分校与分校的连接;而ssl vpn则提供远程接入校园网服务,比如适合校园网与外网的连接。
从vpn技术架构来看,ipsec vpn是比较理想的校园网接入方案,由于它工作在网络层,可以对终端站点间所有传输数据进行保护,可以实现internet多专用网安全连接,而不管是哪类网络应用,它将远程客户端置于校园内部网,使远程客户端拥有内部网用户一样的权限和操作功能。ipsec vpn还要求在远程接入客户端适当安装和配置ipsec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些ipsec客户端软件能实现自动安装,不需要用户参与,因而无论对网管还是终端用户,都可以减轻安装和维护上的负担。? vpn为校园网带来哪些应用
在校园网中,通过vpn给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么,vpn能为校园网带来哪些具体应用优势呢?首先就是办公自动化,比如校园办公楼共有40个信息点,此时可以通过校园网连至internet用户,实现100m甚至1000m到桌面的带宽,并对财务科、人事科等科室进行单独子网管理。还可以利用vpn在校园网内建立考试监控系统、综合多媒体教室等,比如学校具有两个多媒体教室,每个教室60台pc,通过校园网上连至internet,实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的pc通过校园网上连至internet,而不进行任何布置。
校园网采用vpn技术可以降低使用费,远程用户可以通过向当地的isp申请账户登录到internet,以internet作为通道与企业内部专用网络相连,通信费用大幅度降低;学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校,各个分校和培训场所网络整合使学校的信息化管理成本必然的增加,比如学校的数据存储,许多学校都采用了分布式存储方式,其具有较低的投资花费和软件部署的灵活性,然而其管理难度高,后期维护成本高,如果采取vpn服务器,可以对各分校进行web通讯控制,同时又可以实现分校访问互通。为了让师生共享图书资源,与国外高校合作交换图书馆数据,以及向国外商业图书馆交纳版权费,获得更多电子文献资料的浏览权,很多高校都建立了数字图书馆,但在应用上也会产生相应的约束性,比如说为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址,或则被校方授权过的内部合法师生,此时采用vpn加密技术,数据在internet中传输时,internet上的用户只看到公共的ip地址,看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外;在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。? vpn支持哪种校园网接入方式
在教育机构的校园网,由于不同地区、不同学校的条件不同,它们选择的网络接入方式也有差异,比如条件不大好的中小学校,可能还在采取模拟电话、isdn、adsl拨号上网,而对于条件好的高校,则采取了光纤或ddn、帧中继等专线连接,那么,vpn方案到底支持哪种接入方式呢?实际上,vpn可以支持最常用的网络协议,因为在internet上组建vpn,用户计算机或网络需要建立到isp连接,与用户上网接入方式相似,比如基于ip、ipx和netbui协议的网络中的客户机都能使用vpn方案。
七、vpn在校园图书馆系统中的调查分析
数字图书馆的版权问题不容忽视,不管什么类型的图书,都要遵循数字版权保护(digital rights management,drm)的规定,通过安全和加密技术控制数字内容及其分发途径,从而防止对数字产品非授权使用。
正是在这样一种保护知识产权的背景下,高校图书馆所购买的电子资源大部分都有限制访问的ip地址范围。即:
1、采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商是根据访问者的ip地址来判断是否是经过授权的用户。
2、只要是从校园网出去的ip地址都是认可的,因为校园网出口ip和部分公网ip地址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
3、如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用pstn拨号、adsl、小区宽带,使用的都是社会网络运营商提供的ip地址,不是校园网的ip地址范围,因此数据库服务商认为是非授权用户,拒绝访问。当然,我们也可以要求服务商进一步开放更多的ip地址为合法用户,但是这要求访问者的ip地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态ip地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而自动屏蔽。
因此,就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过鉴权后拥有校内地址再访问资源数据库。到底有没有这样一种方案呢?虚拟专用网即vpn技术,给了我们很好的答案。vpn是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
实际上,目前国内已经有不少高校采用了或者正常尝试使用vpn技术来解决这个问题,而且大多是采用的ipsec vpn技术。利用ipsec技术,校外用户在本机安装一个vpn客户端软件后经过配置连入图书馆网络,ipsec vpn中心端会给每个远程用户分配一个校园网ip地址,从而实现远程用户以校园网用户身份访问电子资源。
虽说ipsec vpn是目前vpn的主流技术之一,但ipsec协议最初是为了解决site to site的安全问题而制定的,因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。
首先是客户端配置问题:在每个远程接入的终端都需要安装相应的ipsec客户端,并且需要做复杂的配置,随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了ipsec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
其次是ipsec vpn自身安全问题:往往传统的ipsec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的vpn厂商已经着手改进这些问题并取得了相应的成绩)。
然后是对网络的支持问题:传统的ipsec vpn在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于ipsec vpn对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,ipsec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此,ssl vpn技术应运而生。ssl vpn的突出优势在于web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。ssl在web的易用性和安全性方面架起了一座桥梁。目前,对ssl vpn公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的ssl协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆,ssl vpn技术采用了一种类似代理性质的技术,所有的访问都是以ssl vpn设备的lan口的名义发起的,所以只要ssl vpn设备的lan口ip是一个合法的校园网ip,所有成功接入ssl的校外用户都可以成功访问这个ssl vpn设备lan口所能访问的资源。
但ssl vpn并不能取代ipsec vpn。因为,这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性,更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过internet建立的安全连接,保护的是点对点之间的通信,并且,ipsec工作于网络层,不局限于web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。从高校应用来看,由于ssl接入方式下所有用户的访问请求都是从ssl vpn设备的lan口发起的,对于那些对单个用户流量有严格限制的资源商来说,这些ssl用户的访问会被当成一个用户对待,很快就会因为达到资源商的流量限制而造成该ip被禁用,也就导致所有ssl用户无法继续访问图书馆资源。
那么,高校图书馆应该选择何种vpn技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看,比较合理的应用方式应该是ipsec和ssl共同使用。
正如我们前面所分析的,上游资源商对于资源的应用是有限制的,除了限制发起请求的ip地址外,还会限制单个ip地址所产生的流量,因此在图书馆大量的校外用户群中,我们将用户分为两个类型,一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主,数量较少),另一类则是使用次数较少、访问数据不多的用户(以学生为主,数量较多),通过用户划分,我们给访问量大但数量少的教师用户分配ipsec接入方式,这样就可以把大量的用户流量分配到不同的ip地址上,避免单个ip流量过大造成的问题,而那些数量众多但访问量小的学生用户分配ssl接入方式,利用ssl vpn无需部署客户端的特性大大降低客户端的维护工作量,从而实现vpn在图书馆应用的快速部署。经过长时间的测试,华师图书馆选择使用国内专业vpn厂商深信服科技推出了ipsec/ssl 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和ssl vpn功能,利用两种技术的集成很好解决了图书馆应用的需求,同时一体化的设计能够大幅度的降低整个vpn产品的投入,满足教育行业低成本高效率it建设的需求。
八、结论
