vpn技术的学习总结-盘古文库

vpn技术的学习总结

来源：火烈鸟

作者：开心麻花

2025-09-19

vpn技术的学习总结（精选6篇）

vpn技术的学习总结第1篇

VPN技术的学习总结

在网络安全课程的学习过程中，我对网络安全有了一些了解和认识。特别是它的基础概念，网络安全的具体要求，安全通信模型以及目前广泛使用的安全技术等知识。其中VPN技术是目前安全通信中既能保证一定的安全性又具有经济性的一项技术，因此它目前的市场应用十分广泛。所以在学习完这门课程后，我想对所有学过的知识做一个梳理，然后把我比较感兴趣的VPN技术做深入一些的学习和整理。

1.网络安全的基本概念

网络安全包含网络系统硬件、软件以及网络上存储和传输的信息资源的安全性。而其安全性包括计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、泄露，确保系统能连续正常运行，网络服务不中断。

网络安全的威胁包括：计算机病毒，蠕虫，木马，拒绝服务攻击，逻辑炸弹，后门和隐蔽通道等。

在网络信息传输的过程中，信息的安全特性包括：机密性，完整性，可用性，不可否认性，可控性，可审查性，可恢复性。只有在满足了以上特性的信息传输才被认为是安全的。因此相对应于各个安全特性，网络安全服务需要做到的有：认证服务，访问控制服务，数据机密性服务，数据完整性服务，不可否认服务。在认证服务中，需要提供某个实体（人或系统）的身份保证，确保通信实体就是它们所声称的实体。使用口令是一种提供认证的熟知方法，数字证书和签名也可以提供信息发送方的身份认证。认证是对付假冒攻击的有效方法；

访问控制服务中，要能够防止对系统资源（如计算资源、通信资源或信息资源）的非授权访问和非授权使用，确保只有授权的实体才能访问授权的资源。访问控制直接支持机密性、完整性、可用性以及合法使用等安全目标。访问控制系统的关键是制定访问控制策略。它是系统安全防范中应用最普遍和最重要的安全机制,可提供机密性和完整性服务。访问控制采用最小特权原则：即在给用户分配权限时，根据每个用户的任务特点使其获得完成自身任务的最低权限，不给用户赋予其工作范围之外的任何权力。

数据机密性服务，能够保护信息不泄漏或不暴露给那些未授权掌握这一信息的实体（人或组织），确保授权实体才能理解受保护的信息，防止传输的数据遭到窃听、流量分析等被动攻击。机密性服务是通过加密机制来实现的，目前已有多种加密算法来保护数据的安全，可以根据不同的需求在网络结构的不同层次来实现。比如：若需保护全部通信业务流的机密性，可在物理层加密；若希望对端系统到端系统之间的通信进行保护，可在网络层加密。有时也可根据多个需求，在多个层次上提供加密。

数据完整性服务，是用来维护信息的一致性防止对信息的非授权篡改和破坏，使消息的接受者能判断消息是否被修改或被攻击者用假消息替换。数据完整性可以通过安全协议中的认证头AH协议，ESP协议，MAC算法等来保证。

不可否认服务，其目的是保护通信用户免遭来自系统中其他合法用户的威胁，而不是来自未知攻击者的威胁。通过公证机制的数字证书和时间戳可以保证信息发送方对发出的消息不能抵赖。

2.虚拟专用网VPN技术

虚拟专用网VPN（Virtual Private Network）技术是在公共传输网络中采用隧道技术，形成逻辑私有的通讯网络的技术。这样对通信安全要求高的用户就不需要向网络运营商要求单独牵一条专线，可以节省不少成本。VPN可实现数据公网传输的机密性、完整性，对通信双方的身份进行认证，并可解决异构网传输问题等。VPN可工作在很多层次，如工作在链路层的链路密码技术，工作在IP层的IPSEC VPN，GRE封装，工作在传输层的SSL VPN等。2.1.VPN系统的组成

VPN系统由以下七个部分组成，VPN服务器：接受来自VPN客户机的连接请求。VPN客户机：终端计算机或者路由器。隧道：数据传输通道，其中传输的数据必须经过封装。隧道协议：封装数据、管理隧道的通信标准。VPN连接：在VPN连接中，数据必须经过加密。传输数据：经过封装、加密后在隧道上传输的数据。公共网络：如Internet，也可以是其他共享型网络。下图一直观的显示了VPN系统的组成。

图一 VPN系统的组成

2.2.VPN系统通信流程与功能

首先，需要保护的主机发送明文信息到其VPN设备，其VPN设备根据管理员设置的规则,确定是对数据加密还是直接传送。如果是需要加密的数据,VPN 设备将其整个数据包进行加密和签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和初始化参数)重新封装;封装后的数据包通过隧道在公网上传输;然后数据包到达目的VPN设备,收端VPN设备将数据包解封,核对签名后,将数据包解密。

实现的基本功能有五项，分别是身份鉴别：包括验证用户的身份，限制非授权用户的时候访问了什么资源。不同的用户对不同的资源应有不同的访问权限；地址管理：为每个客户分配一个地址，并保证地址对虚拟专用网外的不可见性；数据加密：保证通过公共网络传送的信息即使被他人截获也不会泄密；密钥管理：能够为VPN的客户和服务器生成和更新加密密钥；多协议支持：VPN必需能够处理公共网络常用的各种协议，包括IP、IPX等等； 2.3.VPN系统的分类

Intranet VPN：用于集团的总部和多个分支机构之间；分支机构网络是集团总部网络的可靠延伸；

Extranet VPN：为集团的供货商、重要客户和消费者等商业伙伴提供访问权限；电子商务是Extranet VPN的一种特殊形式；

Access VPN：为移动用户远程访问集团总部网络提供服务； 2.4.关键技术

隧道技术：VPN的核心技术，它在公用网建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道由隧道协议形成，常用的有2、3层隧道协议。

密码技术（由下面三项技术组成）

加解密技术：将认证信息、通信数据等转换为密文的相关技术，其可靠性主要取决于加解密的算法及强度。

密钥管理技术：如何在公用网上安全地传递密钥而不被窃取。身份认证技术：在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权。2.5.身份认证方法

PAP（Password Authentication Protocol）：是一种简单的明文用户名/口令认证方式。

CHAP（Challenge Handshake Authentication Protocol询问握手身份验证协议）：是一种挑战响应式协议。它是PPP(MODEM或ADSL拨号)中普遍使用的认证协议。MS-CHAP：是微软针对Windows系统设计的，采用MPPE加密用户密码和数据。

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证系统）：最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。

2.6.具体通信协议与方法 2.6.1.点对点隧道协议（PPTP）

PPTP（point – to – point Tunneling Protocol）是1996年Microsoft 和Ascend等在PPP协议上开发的支持Client-to-LAN类型的VPN连接。PPTP 使用 PPP 拨号连接，通过对PPP 分组的封装传输，将PPP 链接逻辑地延伸到远程用户与企业总部的PPTP服务器之间，从而借用PPP 协议成熟的机制对用户进行身份鉴别、访问授权以及网络配置，同时，通过PPTP封装传输，也使得使用企业内部地址的分组，能成功地穿越IP 异构网络，到达企业总部，以此达到资源共享。PPTP只能在两端点间建立单一隧道。

PPTP工作模式分为被动和主动两种模式。被动模式中，PPTP会话通过一个一般位于ISP 处的前端处理器发起，客户端不需安装任何PPTP软件，ISP 为用户提供相应的服务，这种方式降低了对客户的要求，但限制了客户对Internet 其他部分的访问。主动模式中，客户与网络另一端的服务器直接建立PPTP隧道，不需ISP 的参与，不需位于ISP 处的前端处理器，ISP 只提供透明的传输通道。这种方式的优点是客户对PPTP有绝对的控制。

PPTP隧道机制的特点有，PPTP不提供数据安全性保证，它必须借助PPP 的加密机制，如MPPE（Window自带），或者与其它安全协议如IPsec）结合使用，才能为隧道通信提供安全保护；由于PPP协议本身支持多协议传输，PPTP因此支持多协议传输； PPTP不支持多隧道复用，但通过呼叫ID 能支持对隧道的会话复用； PPTP通过GRE头中的序列号支持有限的分组排序功能； PPTP协议的系统开销适中；除了有限的流量控制功能，PPTP也基本不能提供QoS 保障。2.6.2.第2层转发L2F（Layer 2 Forward）协议

L2F（Layer 2 Forward）协议由Cisco公司提出，通过对PPP或SLIP分组的封装传输，能使PPP/SLIP分组在多种网络（如ATM、帧中继和IP网络）中传输。其标准于1998年提交IETF，发布在RFC 2341。L2F协议设计了L2F封装头, 形成L2F分组。L2F分组可在任何能提供点到点链接的底层媒体上发送。当L2F分组在IP网络上发送时，L2F分组将作为UDP协议的上层协议数据单元被封装成为UDP报文，经过IP协议发送。

以下是一个典型的L2F协议的实现：

图二 L2F协议的典型实现

远程用户通过ISDN/PSTN 网与NAS建立PPP 连接。VPN客户机通过VPN拨号向NAS服务器发送请求，希望建立与远程HGW的VPN连接。NAS根据用户名称等信息向HGW发送隧道建立连接请求，实现与HGW之间通过IP 网、帧中继或其它网络建立L2F 隧道，总部局域网通过HGW与外界连接。即远程用户与NAS之间建立一条PPP 链接。这条链接被NAS与HGW之间的L2F 隧道逻辑地延伸到HGW。2.6.3.第2层隧道协议（L2TP）

因特网工程任务组（IETF）希望统一虚拟拨号的标准，由此产生了L2TP（Layer 2 Tunneling Protocol）协议。它由微软、Ascend、Cisco、3COM等公司参予制定，结合了PPTP和L2F两种协议的优点，成为IETF标准RFC 2661。L2TP是典型的被动式隧道协议，可让用户从客户机或接入服务器发起VPN连接。L2TP协议设计了L2TP封装头，设计思想类似于L2F头。封装形成的L2TP分组可在任何能提供点到点链接的媒体上发送，如IP网、ATM和帧中继。当L2TP分组在IP网上进行发送时，L2TP分组被封装入UDP报文，再递交给IP协议进行发送。

而L2TP协议的工作流程如下：远程用户通过PSTN或ISDN网，向ISP发起PPP链接请求。在ISP的呈现点 POP处，LAC接受此连接，建立远程用户到LAC的PPP链接。远程用户与LAC互换LCP配置信息，并可能实现如CHAP身份鉴别信息的局部交换；

ISP的LAC依据CHAP应答中的名字信息，确定是否对此远程用户提供虚拟的拨号访问服务。若需要，则由名字信息确定该用户的总部所在地，即目的LNS；

如果LAC与该LNS之间没有建立隧道，或者因为保证QoS服务的需要，由LAC向LNS发起隧道的建立，并为该隧道分配一个隧道号，即Tunnel ID；并在隧道中为该用户呼叫分配一个ID号，称Call ID。LAC随后向LNS发出入站呼叫请求。该请求中可能包括LAC对远程用户收集的鉴别信息以及其它配置信息；如果LNS接受此入站呼叫，则在LNS为此呼叫产生一个“虚拟接口”，该虚拟接口为L2TP隧道的终点，其另一终点是建立于LAC上的一个L2TP虚拟接口；

LNS为远程用户分配IP地址。LNS分配给远程用户的IP地址由管理员设置，一般使用私有地址，但LAC和LNS需使用公共IP地址。从远程用户发送的PPP帧到达LAC后，LAC上的L2TP虚拟接口将PPP帧封装为L2TP分组之中，在特定的传输媒体上发送。当L2TP分组到达LNS端后，L2TP头被剥去，剩余的PPP或SLIP分组将与正常进入的分组一样被送入相应的接口进行处理。

从LNS发送到远程用户的数据的处理过程与此完全相似。2.6.4.IP安全协议（IPSec）与SSL VPN VPN技术虽然种类众多，但IETF下的IPSec工作组推出的IPSec协议是目前工业界IP VPN标准，安全性明显优于其它隧道协议,以IPSec协议构建虚拟专用网已成为主流。

基于IPSec构建IP VPN是指利用实现IPsec协议的安全网关（Security Gateway）充当边界路由器，完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等。

IPSec VPN的建立方式包括：Host 对Host，Host 对VPN 网关，VPN 对VPN 网关，Remote User 对VPN 网关，Host 对Host，Host 对VPN 网关，VPN 对VPN 网关，Remote User 对VPN 网关。SSL VPN主要供远程用户访问内部网络资源时使用，包括Web服务、文件服务（包括FTP 服务、Windows网上邻居服务）、可转化为Web方式的应用（如Webmail)以及基于C/S的各类应用等。SSL 应用模式基本分为三类：Web浏览器模式、专门的SSL VPN客户端模式和LAN 到LAN 模式。

在Web浏览器模式中，SSL VPN服务器使用https和socks 协议（实现代理功能，负责转发数据）。SSL VPN客户端与SSL VPN服务器间使用https协议；而SSL VPN服务器与单位内部服务器间使用http 协议。当客户端需要访问内部网络中的C/S应用时，它从SSL VPN服务器下载控件。该控件是一个服务监听程序，用于将客户端的C/S数据包转换为Http 协议支持的连接方法，并通知SSL VPN服务器它所采用的通信协议（TCP/UDP）及访问的目的服务地址和端口。客户端控件与SSL VPN服务器建立安全通道后，在本机接收客户端数据包后，通过SSL 通道转发给SSL VPN服务器。SSL VPN服务器解密数据后转发给内部网络的目的服务器。SSL VPN服务器接收到内部网络的服务器的响应数据包后，通过SSL 通道发给客户端控件。客户端控件解密后转发给客户端应用程序。

3.学习总结

网络安全技术是保证网络通信过程中，传递信息的机密性，完整性，可用性，不可否认性等。硬件层面的设备，线缆等安全性可以通过加强设计和提高生产技术来保证。软件层面的通信安全就需要靠安全通信协议和对明文内容的加密算法来实现。在通信网络的OSI分层中，软件层面的通信安全主要体现在网络层，传输层，会话层，表示层。在每个层中，根据网络通信类型和服务不同，使用的安全协议也有区别。密钥技术，数字证书技术等保证信息机密性，完整性，可用性，不可否认性的技术主要工作在表示层。而VPN技术是从链路层到表示层都有一整套协议和通信方式的技术，在各个层都能够保证信息不被篡改，阅读，抵赖。所以几乎能够相当于在用户之间建立了一条专线进行通信。

vpn技术的学习总结第2篇

（一）vpn access server的配置实验网络拓扑：

pc（vpn client 4.01）－－－switch－－－router1720（vpn access server）pc配置: ip：10.130.23.242/28
gw：10.130.23.246 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 步骤：

1、配置isakmp policy： crypto isakmp policy 1 encr 3des authen pre-share group 2

2、配置vpn client地址池

cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254

3、配置vpn client有关参数

cry isa client conf group vclient-group ####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。key vclient-key ####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。

pool pool192 ####client的ip地址从这里选取

####以上两个参数必须配置，其他参数还包括domain、dns、wins等，根据情况进行配置。

4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac

5、配置map模板

cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步对应

6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板

cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization cry map vpnmap client conf address respond ####响应client分配地址的请求

7、配置静态路由

ip route 192.168.1.0 255.255.255.0 fastethernet0 说明几点：（1）因为1720只有一个fastethernet口，所以用router1720上的lo0地址来模拟router内部网络。

（2）vpn client使用的ip pool地址不能与router内部网络ip地址重叠。（3）10.130.23.0网段模拟公网地址，172.16.1.0网段用于1720内部地址，192.168.1.0网段用于vpn通道。（4）没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。（5）关于split tunnel。配置方法：首先，设置access 133 permit ip 172.16.1.0 0.0.0.255 any，允许1720本地网络数据通过tunnel，然后在第三步骤中添加一个参数：acl 133。1720的完整配置：

VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192！crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs！crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map！！interface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable！！line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置：

新建一个connection entry，参数中name任意起一个，host填入vpn access server的f0地址

10.130.23.246，group auahentication中name填vclient-group，password填vclient-key.测试：

（1）在pc上运行VPN client，连接vpn access server。（2）ipconfig/all，查看获取到的ip地址与其他参数。（3）在router，show cry isa sa,看连接是否成功。

（4）从router，ping client已经获取到的ip地址，通过。

（5）从client，ping router的lo0配置的地址172.16.1.1，通过。

（6）查看vpn client软件的status--statistics,可以看到加密与解密的数据量。

（7）1720上show cry ip sa, 也可以查看加密与解密的数据量。

常用调试命令： show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####这是最常用的debug命令，vpn连接的基本错误都可以用它来找到

debug cry ipsec

（二）easy vpn client的配置（network-extension mode）

实验网络拓扑：

router3662（vpn client）－－－switch－－－router1720（vpn access server）pc(vpn client 4.01)－－－－－－| 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 pc配置: ip：10.130.23.242/28 gw：10.130.23.246 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步骤：

1、配置1720路由器，参照实验一，设置为vpn server。

2、配置3662路由器，设置vpn client参数

cry ip client ezvpn vclient ####定义crypto-ezvpn name mode network-extension ####设置为网络扩展模式

group vclient-group key vclient-key ####设置登录vpn server的组名与组口令

peer 10.130.23.246 ####设置vpn server的ip地址，如果启用dns，则可以用hostname connect auto ####设置为自动连接。如果设为手动，则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。

local-address F0/0 ####设置vpn通道本地地址，选用f0/0，可以保证vpn server找到它

3、定义加密数据入口，这里为f0/1 inter f0/1 cry ip client ezvpn vclient inside

4、定义加密数据出口，这里为连接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside

5、在1720上设置静态路由，地址范围为3662路由本地网络的地址 ip route 172.16.2.0 255.255.255.0 f0

6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。

service dhcp ####启动dhcp 服务

ip dhcp pool dhcppool ####定义dhcp pool name network 172.16.2.0 /24 ####定义可分配的IP地址段

default-router 172.16.2.1 ####定义dhcp client的默认网关 lease 1 0 0 ####设置ip保留时间

import all ####如果配置了上级dhcp，server，则接受其所有参数 ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除

测试：

（1）配置好3662上的vpn client后，自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。查看show cry ip sa，可以发现数据没有进行加密。

（3）在1720上扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。

（4）在3660上扩展ping，source 172.16.2.1 destination 172.16.1.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。

（5）在3660上扩展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以发现数据不通过加密。（6）启动pc vpn client，ping 172.16.1.1，通过。在1720上查看show cry ip sa，可以看到数据通过加密进行传输。

（7）在pc vpn client，ping 172.16.2.1，通过。在1720和3662上查看show cry ip sa，可以看到数据通过加密进行传输。在1720上show cry isa sa，可以看到两个vpn连接。

（8）在3660上扩展ping，source 172.16.2.1 destination 192.168.1.10（pc vpn client获得的ip），通过。查看show cry ip sa，可以发现数据通过加密进行传输。

说明：

（1）不同平台，不同ios版本，easy vpn client的配置有所不同。特别是加密数据入出接口的配置，配置接口前后，用show cry ip client ezvpn来查看与验证。

（2）network-extension模式，vpn client端本地ip不通过nat/pat进行数据传输。

（3）以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验

（一），设置acl 133和cry isa client conf group中的参数，完成后，可以实现测试（1）－（5）。要实现Pc vpn client和3662 vpn client 互通，即测试（6）－（8），还要在1720 的acl 133中添加两条，分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

（4）修改1720配置后，需要复位vpn通道，才可以起作用。在pc端，是通过disconnect再connect来实现；在3662上，通过clear cry ip client ezvpn来复位。

常用调试命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa

（三）easy vpn client的配置（client mode）

实验网络拓扑同实验

（二）实验步骤参考实验

（二），其中第二步，将mode network-extension改为mode client。

测试：

（1）配置好3662上的vpn client后，自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source 10.130.23.246 destination 172.16.2.1，不通。

（3）在1720上扩展ping，source 172.16.1.1 destination 172.16.2.1，不通。这是因为3662端ip数据流是通过nat进行传输。

（4）在3660上扩展ping，source 172.16.2.1 destination 172.16.1.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。在1720上打开deb ip icmp，可以看到echo reply信息的dst地址为192.168.1.19（vpn client 从vpn server获取的ip地址）。

（5）在3660上扩展ping，source 10.130.23.244 destination 172.16.1.1，不通。

说明：

（1）client 模式，vpn client端内部网络采用nat方式与vpn server进行通信，vpn client端网络可以访问server端网络资源，server端网络不能访问client端内部网络资源。

（2）client与network-extension两种模式，show cry ip sa，可以看到local ident是不同的。

（3）client模式下，用show ip nat statistics，可以看到nat的配置与数据流量。

（4）关于split tunnel，client模式的easy vpn client，与pc的vpn client类似，配置split tunnel的方法也相同。常用调试命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics

（四）site to site vpn的配置（采用pre-share）

实验网络拓扑： router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤：

以1720为例进行配置

####authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。（4）定义pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 为key，两个路由器上要一样 ####其中10.130.23.244为peer路由器的ip地址。（5）定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name，后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值，此配置可选（6）定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name，10 是entry 号码，ipsec-isakmp表示采用isakmp进行密钥管理

match address 144 ####定义进行加密传输的数据，与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应

####如果一个接口上要对应多个vpn peer，可以定义多个entry，每个entry对应一个peer（7）将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同样方法配置3662路由器。1720的完整配置： VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144！！interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 测试：

（1）未将map应用到接口之前，在1720，扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。

（2）map应用到接口之后，在1720，扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。

查看show cry ip sa，可以看到数据没有通过vpn 通道进行传输，因为不符合acl 144。（3）map应用到接口之后，在1720，扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。查看show cry ip sa，可以看到数据通过vpn 通道进行传输。

（4）在3662上同样进行测试。

说明：

（1）采用pre-share方式加密数据，配置简单，数据传输效率较高，但是安全性不高。

（2）加密数据前后，通过ping大包的方式测试，可以发现这种利用软件进行数据加密的方式，延时较大。如果需要开展voip、ip 视讯会议等业务，建议选配vpn模块进行硬件加密。

常用调试命令： show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip

（五）site to site vpn的配置（采用rsa-encrypted）

实验网络拓扑：

router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤：

以1720为例进行配置

（1）配置静态路由 ####在配置vpn之前，需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key 这里统一用general purpose key（4）复制peer router的public key到本地router中（A）在3662上生成general purpose key（B）在3662上show cry key mypubkey rsa，复制其中的General Purpose Key（C）在1720上，cry key pubkey-chain rsa ####设置public key addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key key-string ####定义key串

粘贴从3662上复制的General Purpose Key #####如果第三步生成了两种key，则这里复制粘贴的，应该是Encryption Key（三个key中的第二个）（5）定义isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key进行验证

####authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。（6）定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name，后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值，此配置可选（7）定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name，10 是entry 号码，ipsec-isakmp表示采用isakmp进行密钥管理

match address 144 ####定义进行加密传输的数据，与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应

####如果一个接口上要对应多个vpn peer，可以定义多个entry，每个entry对应一个peer；同样，pubkey 也要对应进行设置。

（7）将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同样方法配置3662路由器。

1720完整配置：

VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144！！interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end

说明：

（1）采用rsa encrypted方式加密传输数据，默认key长度为512字节，最高可设为2048字节。安全性能较高。

VPN技术及其应用的研究第3篇

随着Internet的普及,人们需要随时随地连入企业网。同时随着企业的发展壮大,企业的分支机构越来越多,企业内各个分布之间也需要网络通信,这就意味着使用传统的租用线路的方法实现私有网络互联会给企业带来很大的经济负担。虚拟专用网(VPN,Virtual Private Network)的出现,为当今企业发展所需的网络通信提供了经济安全的实现途径。VPN可以使得企业以低廉的价格享有公用网络上的“专用”安全通道的便利。

2 VPN技术

2.1 VPN概念

虚拟专用网(VPN,Virtual Private Network)不是真正的专用网络,却能够实现专用网络的功能。VPN是一种通过对网络数据进行封包和加密,在公网上传输私有数据,同时保证私有网络安全性的技术。它兼备了公网的便捷和专用网的安全,实现了利用公网通过加密等手段来实现单位组织的“专用网”。

2.2 VPN原理

需要进行机密数据传输的两个端点均连接在公共通信网上,当需要进行机密数据传输时,通过端点上的VPN设备在公共网上建立一条虚拟的专用网络通道,并且所有数据均经过加密后再在网上传输,这样就保证了机密数据的安全传输。

2.3 VPN技术

VPN技术是指支持在公共通信基础设施上构成虚拟专用连接或虚拟专用网络的技术。这些技术包括配置管理技术、隧道技术、协议封装技术和密码技术等。这些技术可应用在TCP/IP协议层的数据链路层、IP层、TCP层和应用层。

从安全角度看,采用密码技术或加密隧道封装在公共通信网络上构建的VPN,其安全强度最高,隧道技术次之,协议封装较差,过滤路由最差。必要时,可以同时将两种以上的VPN技术组合,以满足安全要求。

从VPN工作原理中可以看出,实现VPN的最关键的部分是在公网上建立虚拟信道,而建立虚拟信道是利用隧道技术实现的。而隧道技术是利用一种协议传输另一种协议的技术,主要利用隧道协议来实现VPN功能,VPN隧道协议工作在数据链路层和网络层。同时为了保证信息在隧道中的安全传输,VPN系统采用加密技术。通过隧道技术和加密技术,已经能够建立起一个安全性、互操作性的VPN。但是虚拟专用网要想成为用户真正的选择,必须能够保障一定的带宽、可靠性和安全性。为此有必要采用Qo S策略控制方案来控制数据流量。

总的来说,VPN中采用的关键技术主要包括隧道技术、安全加密技术及Qo S技术。

2.3.1 实现VPN的隧道技术

隧道技术是一种通过使用互联网网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同的协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。隧道技术是指包括数据封装、传输和解包在内的全过程。此外创建隧道的客户机和服务器双方必须使用相同的隧道协议。

隧道的实现机制主要设计两个方面,其一是所建立的虚连接是在第二层还是在第三层。第二层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位,主要有PPT,L2TP和L2F等,主要优点是协议简单,易于加密,但由于其需要维护大量的PPP会话连接状态,故其传输效率和系统的扩展均受到影响。第三层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位,主要有GRE以及IPSec等,由于第三层隧道是IP in IP,其可靠性及扩展性方面均优于第二层隧道。

其二是在网络是的什么层次上实现IP隧道的问题。目前较多的是IP协议实现IP隧道,但也有用UDP等协议来实现IP隧道的,如L2TP。对于IP隧道来说,当在隧道的开启处封装及在隧道中止处还原装配数据报时,进行包的过滤、检查非常方便,所以VPN网关通过“过滤型”隧道可直接融入“包过滤”防火墙机制,进一步增强了VPN的安全性。

2.3.2 实现VPN的安全加密技术

在VPN中,由于数据通过公共通信网络传输,从而为保证信息在隧道中的安全传输,VPN系统要采用加密技术。数据加密的基本过程就是对明文文件或数据按某种算法进行处理,使其成为一段不可读的“密文”,使其只能在输入相应的密钥后才能正确显示出本来的内容。通过这样的方法来保证VPN通信过程中的数据安全。

根据密钥类型不同,加密技术可以分为两大类:对称式和非对称式。对称式加密就是加密和解密使用同一个密钥,这种加密技术目前被广泛使用,如EDS加密标准。非对称式加密就是加密和解密多使用的密钥不是同一个,通常有两个密钥,“公钥”和“密钥”,他们必须配对,否则不能打开加密文件,而为了保证公用密钥的完整性,公用密钥随证书一同发布。

2.3.3 实现VPN的Qo S技术

Qo S(Quality of Service)是指服务质量,也是指数据流通过网络时的性能。它的目的是向用户提供端到端的服务质量保证。它有一套度量指标,包括业务可用性、延迟、可变延迟、吞吐量和丢包率。

3 VPN的特点

3.1 VPN的优点

1)降低成本。

与专用网络相比,借助ISP来建立VPN可以节省大量的通信费用,同时企业节省了大量人力物力。

2)简化网络设计。

借助ISP的,企业只需少量对远程链路进行安装、配置和管理的任务

3)实现网络安全。

数据传输前的用户认证以及VPN传输过程中的安全和加密协议都保证了增强了网络的安全性。

4)容易扩展。

如果想扩大VPN容量和覆盖范围,企业只需与ISP签订新的合约,几条命令即可。

5)可随意与合作伙伴联网。

6)完全控制主动权。

7)支持新兴应用

3.2 VPN的缺点

1)尽管VPN的设备供应商们可以为远程办公室或Extranet服务的专线或帧中继提供有效方式,可是VPN的服务提供商们只保证数据在其管辖范围内的性能,一旦出了其“辖区”则安全没有保证。

2)不同厂商的VPN的管理和配置管理起来是最难的,这需要同时熟悉不同厂商的执行方式,不同术语。

4 应用研究

图书馆局域网内有丰富的数字资源,在局域网内可直接访问。现在图书馆内建立一个VPN服务器,局域网外用户便可通过它从校外远程访问数字资源,并通过适当的访问策略配置,保证网络安全。IPSec VPN、SSL VPN是目前使用主流的Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同。

IPSec协议(因特网安全协议)是网络层上为保障IP通信而提供的一系列协议族,针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计的一套隧道、加密和认证方案。SSL(安全套层协议)是保障在Internet上基于Web的通信安全而提供的协议。如表1是两种VPN接入方式的比较。

从表1看出,IPSEC和SSL VPN各有优缺点,互为补充,目前最好的方式是,采用IPSEC/SSL二合一的VPN安全网关,这样能够充分发挥IPSEC和SSL VPN各自的技术优势,而且一机二用,无需分别购买两种网关,节省费用。

5 小结

VPN技术是一种在公网上实现私有网络连接的技术,为企业学校内部互连、资源共享提供了一种经济、灵活、安全的连网方式。VPN技术是计算领域内多种技术的统一起来的技术,现在其发展还不成熟,存在许多需要改进和完成地方,但是随着计算机网络的发展以及企业对VPN的需求,VPN技术拥有广阔的发展前景。

参考文献

[1]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.

[2]高海应,薛元兴,辛阳.VPN技术[M].北京:机械工业出版社,2004.

[3]张铭.VPN技术及其在校园网中的应用[J].福建电脑,2008(11).

[4]李顺新,陈建勋.虚拟专用网技术及其应用的研究[J].网络安全,2005(3).

vpn技术的学习总结第4篇

2、SSL VPN技术的实现

如果企业将SSL VPN技术应用于移动办公中，对于那些出差在外需要进行远程办公的人员，只需要使用Web浏览器就能实现移动办公，访问企业的内部网络。SSL VPN将公司内部网络的网关设置在远程用户和企业服务器之间的网络边缘上，可以对企业和用户之间的数据连接和数据通信进行主导型的控制。

3、SSL VPN技术的优势

（1）安全性

SSL VPN技术可以有效地避免数据信息泄漏，拒绝非企业用户的非法访问，保护信息不被窃取，维持系统的可用性，在用户访问和数据保密方面具有较高的安全性。

（2）应用性

（下转99页）

SSL VPN不同于IPSec VPN，使用SSL VPN的网络不需要下载安装指定的客户端软件，只需要通过标准浏览器接入Internet就能访问企业内部网络。在对网络进行日常维护和管理时，SSL VPN良好的可操作性为维护管理工作提供了便利，SSL VPN可以对网络应用实现高度的、精细的控制，根据不同用户和用户组各自的特点设置适用于他们的访问权限，还可以实现对所有访问操作的审查统计，此外，便于操作的SSL VPN对于增强网络平台的易操作性和灵活性，为平台的应用更新和性能提升起到了关键作用。

四、 IPSec VPN和SSL VPN的应用选择

vpn技术的学习总结第5篇

MPLS VPN技术在综合监控专网中的应用

背景高速公路路网综合监控系统是未来几年陕西省公路系统信息化建设的重点工作,是陕西省交通行业专网在高速公路路网系统中的有机延伸.陕西省高速公路路网监控系统的网络系统平台不仅需要对监控网络系统提供必要的支持,还必须能够与陕西省交通行业专网的基础构架实现无缝融合,使交通专网中的各项子系统可以平滑地延伸到高速公路系统中、充分利用网络系统平台的`各项资源,既能实现业务系统的有效隔离,又能实现管理维护的一致性.

作者：张姣姣雷金鹏作者单位：西安公路研究院刊名：中国交通信息产业英文刊名：CHINA ITS JOURNAL 年，卷(期)：2010 “”(1) 分类号：U4 关键词：

vpn技术的学习总结第6篇

【关键词】vpn通讯污水泵站无人值守

城市污水提升泵站是收集污水的中转站，城市污水通过污水管道汇集到提升泵站，提升泵站再把污水集中输送给污水处理厂集中处理。目前我国大部分城市污水提升泵站都是工人手动控制，消耗大量的人力资源。实现城市污水提升泵站无人值守，其中一个关键技术就是通讯问题，本文通过一个项目，详细介绍了vpn技术在污水提升泵站无人值守自控项目中的应用。项目介绍

该项目位于山东省烟台市套子湾污水处理厂，该系统设有一座中央控制总站和三座控制分站，主站和各个分控站之间以vpn（虚拟专用网络）网络通讯。总站设在污水处理厂中控室内，分站分别设在要监控的三个泵站内。操作员在中控室实时监控污水泵站设备运行。

以中控室和一个泵站系统设计为例，整个系统结构层次如图1所示。

vpn在泵站改造中的应用

2.1 vpn简介

2.2 vpn技术与优势

系统的数据采集网络按无线方式和有线方式分为两大类，通信媒质通常有表1中的几种供选择。

根据实际需求，从数据规模、数据密度、带宽要求、运行成本等几方面考虑，vpn在各方面都比较适中，适应性也最强，性价比最高。

2.3 vpn网络连接用到的核心设备

根据系统要求，典型的vpn网关产品需要具有以下性能：

（1）设备应集成防火墙的功能。

（2）设备需要有一个开放的架构。

（3）设备需要提供第三方产品的接口。根据要求，该项目选用了奥联star66和plc采用西门子cpu315-2dp。