VPN架设是什么协议.docx
《VPN架设是什么协议.docx》由会员分享,可在线阅读,更多相关《VPN架设是什么协议.docx(48页珍藏版)》请在冰豆网上搜索。
VPN架设是什么协议
专线VPN是什么协议
VPN(VirtualPrivateNetwork):
虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。
我们知道一个网络连接通常由三个部分组成:
客户机、传输介质和服务器。
VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:
Internet或Intranet。
要实现VPN连接,企业内部网络中必须配置有一台基于WindowsNT或Windows2000Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。
当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。
VPN使用三个方面的技术保证了通信的安全性:
隧道协议、身份验证和数据加密。
客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。
在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
VPN连接的示意图如下所示。
如何创建VPN服务器
有关VPN客户机的一个常见的错觉是认为它们是在VPN网络上连接到企业网络的工作站。
这种工作站肯定是一种VPN客户机,但是,它并不是惟一的一种VPN客户机。
VPN客户机可以是一台计算机,还可以是一台路由器。
你的网络需要使用什么类型的VPN客户机确实取决于你的公司的具体需求。
例如,如果你碰巧有一个缺少与公司办公室直接连接的一个分支办公室,使用一台路由器作为VPN客户机对你来说可能是一个很好的选择。
通过这样做,你可以利用一个单个的连接把整个分支办公室与公司办公室连接起来。
不需要每一台PC都单独建立一个连接。
另一方面,如果你拥有一些经常出差的雇员,这些雇员需要在旅行中访问公司的网络,你把这些雇员的笔记本电脑设置为VPN的客户机可能会有好处。
从技术上说,只要支持PPTP、L2TP或者IPSec协议,任何操作系统都可以作为一台VPN客户机。
就微软而言,这意味着你可以使用WindowsNT4.0、9X、ME、2000和XP操作系统。
虽然所有这些操作系统从技术上说都可以作为客户机,我建议你坚持使用Windows2000或者WindowsXP操作系统,因为这些操作系统能够支持L2TP和PSec协议。
VPN服务器
VPN服务器可以当作VPN客户机的一个连接点。
从技术上说,你可以使用WindowsNTServer4.0、Windows2000Server或者WindowsServer2003等操作系统作为一台VPN服务器。
不过,为了保证安全,我认为你应该使用WindowsServer2003操作系统。
有关VPN服务器的最大的误解之一是VPN服务器所有的工作都是自己完成的。
我的朋友无数次地对我说,他们要购买一台VPN服务器。
他们没有认识到VPN服务器只是必要的组件之一。
VPN服务器本身是非常简单的。
VPN服务器不过是执行路由和远程访问服务任务的一个增强的‘Windows2003Server’服务器。
一旦一个进入VPN网络的请求被批准,这个VPN服务器就简单地充当一台路由器向这个VPN客户机提供专用网络的接入。
ISA服务器
VPN服务器的额外要求之一是你要有一台RADIUS(远程认证拨入用户服务)服务器。
远程认证拨入用户服务是互联网服务提供商在用户试图建立互联网连接的时候对用户进行身份识别的一种机制。
你需要使用RADIUS服务器的原因是你需要一些身份识别机制对通过VPN连接进入你的网络的用户进行身份识别。
你的域名控制器不能完成这个任务。
即使你的域名控制器能够胜任这个任务,把域名控制器暴露给外部世界也不是一个好主意。
现在的问题是你从什么地方获得这个RADIUS服务器?
微软有自己版本的RADIUS,名为“互联网身份识别服务”,英文缩写字是IAS。
WindowsServer2003操作系统包含IAS功能。
这是一个好消息。
坏消息是由于安全的原因不能在同一台计算机中把ISA当作路由和远程访问服务(RRAS)来运行。
即使可以这样做,我也不能肯定在虚拟服务器设置之外是否有这个可能。
防火墙
你的VPN需要的其它组件是一个良好的防火墙。
的确。
你的VPN服务器接受来自外部世界的连接,但是,这并不意味着外部世界需要完全访问的VPN服务器。
你必须使用防火墙封锁任何没有使用的端口。
建立VPN连接的基本要求是,VPN服务器的IP地址必须能过通过互联网访问,VPN通信必须能够通过你的防火墙进入VPN服务器。
然而,还有一项可选择的组件。
你可以使用这个组件让你的VPN服务器更安全。
如果你非常重视安全问题(而且你有这笔预算),你可以在ISA服务器和你的周边防火墙和VPN服务器之间放置一个ISA服务器。
这个想法是,你可以设置防火墙把所有的与VPN有关的通信都指向那个ISA服务器,而不是指向VPN服务器。
然后,ISA服务器将充当一个VPN代理服务器。
VPN客户机和VPN服务器仅与ISA服务器进行通信。
它们相互之间从来不直接通信。
这就意味着ISA服务器在保护VPN服务器,不允许直接访问VPN服务器,从而为VPN服务器增加了一个保护层。
选择一个隧道协议BBS.bitsCN.com网管论坛
当VPN客户机访问一台VPN服务器的时候,它们是通过一个虚拟的隧道进行访问的。
一个隧道实际上就是通过一个不安全的媒介(通常是互联网)的安全通道。
然而,隧道并不是用魔术变出来的。
隧道需要使用一个隧道协议。
我以前曾讲过老式的Windows客户机能够通过PPTP(点对点隧道协议)协议连接到一个VPN网络。
但是,我建议使用比较新的客户端软件,如Windows2000和WindowsXP,因为它们支持L2TP(2层隧道协议)。
事实是这两个协议中的任何一个协议都可以工作,而且客户机都支持这些协议。
然而,每一个协议都有其优点和缺点。
选择一个适合你的机构的隧道协议是你规划VPN网络时应做出的最重要的决策之一。
bbs.bitsCN.com
同PPTP协议相比,L2TP协议最大的优势在于它依赖IPSec。
IPSec加密数据,也提供数据身份识别。
这意味着IPSec证明这个数据确实是由发送者发送的并且在传输的过程中没有被修改。
而且IPSec可以防止重播攻击。
重播攻击指的是黑客捕捉身份识别数据包,然后在晚些时候重新发送这个数据包以便获得这个系统的访问权限。
www_bitscn_com中国.网管联盟
L2TP还可以提供比PPTP更强大的身份识别功能。
L2TP能够对用户和计算机都进行身份识别。
而且在用户级身份识别期间交换的数据包总是被加密的。
DL@bitsCN_com网管软件下载
虽然表面上看L2TP也许是隧道协议的选择,但是,PPTP也有一些超过L2TP的优点。
我已经谈到过这些优点之一,就是兼容性。
PPTP比L2TP兼容更多的Windows系统。
如果你有一些仍在使用版本比较老的Windows操作系统的VPN用户,那么,除了使用PPTP之外,你没有别的选择。
www@bitscn@com
PPTP优于L2TP的另一个优势是L2TP是以IPSec为基础的。
在L2TP的优点这一节,我谈到IPSec喜欢L2TP是一件好事,而且事情确实如此。
然而,使用IPSec有一个重大缺陷。
IPSec要求你的网络具有认证中心。
bbs.bitsCN.com中国网管论坛
这个好消息是WindowsServer2003有自己的认证中心。
认证中心的设置是相对简单的。
坏消息是,从安全的观点看,认证中心不是你要处理的事情。
保持认证中心完整性的惟一方法是在一台安全保护增强到最大限度的专用服务器上运行认证中心。
这就意味着必须要额外投资购买一台服务器、额外的Windows服务器软件许可证、以及增加与你的网络增加一台服务器有关的额外管理负担。
不过,按照我的意见,额外的成本和管理负担是值得的。
L2TP能够为你提供比PPTP更好的安全性。
此外,你还可以利用认证中心做其它的事情,如通过IPSec加密本地通信等。
bbs.bitsCN.com中国网管论坛
身份识别协议
www_bitscn_com中国.网管联盟
在我谈论协议话题的时候,我要用一些时间谈一谈身份识别协议的问题。
在设置VPN的过程中,系统将要求你选择一个身份识别协议。
大多数人会选择MS-CHAPv2选项。
MS-CHAP是一个相对安全的选项,它兼容运行在过去的10年里制作的任何版本的Windows操作系统的VPN客户机。
MS-CHAP最大的优点是容易设置。
bbs.bitsCN.com中国网管论坛
如果你计划使用L2TP并且要更好的安全性,你应该选择EAP-TLS作为你的身份识别协议。
只有运行Windows2003或者WindowsXP操作系统的客户机才能支持EAP-TLS协议。
而且,必须设置VPN服务器之后认证中心才能办法用户认证。
EAP-TLS协议的设置比较复杂,如果最终用户已经获得了智能卡,这个协议会工作得更好。
但是,EAP-TLS协议确实能够为你提供最佳的安全。
简单地说,MS-CHAP是基于口令的协议。
EAP-TLS是基于证书的协议。
结论
在你创建一个VPN之前,需要做许多规划工作。
在这篇文章中,我谈了设计一个VPN必须要做的一些规划,还谈了一些你必须要做出的一些决策。
Cisco网络设备搭建VPN服务器的全过程
环境:
在公司的南京办事处与上海办事处之间建立VPN联接。
南京办事处网络设置:
内网IP10.1.1.0/24
外网IP202.102.1.5/24
上海办事处网络设置:
内网IP10.1.2.0/24
外网IP202.102.1.6/24
南京路由器配置
!
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamenanjing
!
enablecisco
!
!
!
------以下配置加密--------
==============================
cryptoisakmppolicy1生成iskamppolicynumber1
encryptiondes选择用DESencryption也可用3DES指定三倍DES加密
hashsha指定使用的散列算法,也可以是md5(二端保持一致)
authenticationpre-share
group1指定为Diffie-Hellman组,1表示768位,2表示1024位
lifetime14400指定安全关联的有效期,不设就为默认值
------以下配置密钥方法-----
cryptoisakmpidentityaddress指定与远程路由器通信时使用isakmp标识
cryptoisakmpkey654321address202.102.1.6对远程路由器端口202.102.1.6使用密钥654321
cryptoisakmpkey654321address192.168.1.2对远程路由器隧道端口192.168.1.2使用密钥654321
!
------以下定义一个转换集-----
cryptoipsectransform-settset1ah-md5-hmacesp-desesp-md5-hmac可以定义一个或多个集
!
!
-------以下建立加密图------
cryptomapcmap1local-addressserial0定义加密图cmap1并指定s0为本地地址
cryptomapcmap11ipsec-isakmp用序号1设置加密图
setpeer202.102.1.6设定目标地址
setpeer192.168.1.2
settransform-settest1指定转换集
matchaddress111指定加密访问列表111中的地址
!
!
process-max-time200
!
-------以下设置隧道端口------
interfaceTunnel0
ipaddress192.168.1.1255.255.255.0
tunnelsource202.102.1.5
tunneldestination202.102.1.6
cryptomapcmap
!
-------以下设置内网口------
interfaceEthernet0
ipaddress10.1.1.1255.255.255.0
!
-------以下设置外网口------
interfaceserial0
ipaddress202.102.1.5255.255.255.0
noipmroute-cache
nofair-queue
cryptomapcmap
!
ipclassless
!
-------以下建立访问列表111------
access-list111permitiphost202.102.1.5host202.102.1.6
access-list111permitiphost202.102.1.6host202.102.1.5
access-list111permitip10.1.1.00.0.0.255202.102.1.00.0.0.255
access-list111permitip10.1.2.00.0.0.255202.102.1.00.0.0.255
access-list111permitip10.1.1.00.0.0.25510.1.2.00.0.0.255
access-list111permitip10.1.2.00.0.0.25510.1.1.00.0.0.255
!
linecon0
lineaux0
linevty04
passwordcisco
login
!
end
!
上海路由器配置
!
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnameshanghai
!
enablecisco
!
!
!
------以下配置加密--------
cryptoisakmppolicy1生成iskamppolicynumber1
encryptiondes选择用DESencryption也可用3DES指定三倍DES加密
hashsha指定使用的散列算法,也可以是md5(二端保持一致)
authenticationpre-share
group1指定为Diffie-Hellman组,1表示768位,2表示1024位
lifetime14400指定安全关联的有效期,不设就为默认值
------以下配置密钥方法-----
cryptoisakmpidentityaddress指定与远程路由器通信时使用isakmp标识
cryptoisakmpkey654321address202.102.1.5对远程路由器端口202.102.1.6使用密钥654321
cryptoisakmpkey654321address202.102.1.6对远程路由器端口202.102.1.6使用密钥654321
cryptoisakmpkey654321address192.168.1.1对远程路由器隧道端口192.168.1.2使用密钥654321
!
------以下定义一个转换集-----
cryptoipsectransform-settset1ah-md5-hmacesp-desesp-md5-hmac可以定义一个或多个集
!
!
-------以下建立加密图------
cryptomapcmap1local-addressserial0定义加密图cmap1并指定s0为本地地址
cryptomapcmap11ipsec-isakmp用序号1设置加密图
setpeer202.102.1.5设定目标地址
setpeer202.102.1.6
setpeer192.168.1.1
settransform-settest1指定转换集
matchaddress111指定加密访问列表111中的地址
!
!
process-max-time200
!
-------以下设置隧道端口------
interfaceTunnel0
ipaddress192.168.1.2255.255.255.0
tunnelsource202.102.1.6
tunneldestination202.102.1.5
cryptomapcmap
!
-------以下设置内网口------
interfaceEthernet0
ipaddress10.1.2.1255.255.255.0
!
-------以下设置外网口------
interfaceserial0
ipaddress202.102.1.6255.255.255.0
noipmroute-cache
nofair-queue
cryptomapcmap
!
ipclassless
!
-------以下建立访问列表111------
access-list111permitiphost202.102.1.5host202.102.1.6
access-list111permitiphost202.102.1.6host202.102.1.5
access-list111permitip10.1.1.00.0.0.255202.102.1.00.0.0.255
access-list111permitip10.1.2.00.0.0.255202.102.1.00.0.0.255
access-list111permitip10.1.1.00.0.0.25510.1.2.00.0.0.255
access-list111permitip10.1.2.00.0.0.25510.1.1.00.0.0.255
!
linecon0
lineaux0
linevty04
passwordcisco
login
!
end
!
Qno侠诺郑州众诚科技VPN组网方案介绍
郑州众诚科技发展有限公司是一家以电脑及网络技术推广应用为基础,专业从事资讯系统集成、电脑及网络产品销售、电脑软硬件产品开发生产的高科技民营股份制企业。
公司成立于1993年,位于郑州市著名的高科技区—河南科技市场内。
注册资本2,000万元。
现有营业及办公面积三千多平方米。
公司自成立以来,本着品质第一、诚信为本的企业宗旨,一步一个脚印地向前发展。
十年来的创业之路,众诚科技历经市场风雨洗礼,不断地发展壮大,已逐步发展成为集科研、开发、生产和销售为一体的综合性企业。
综合实力位居我省IT行业的领先地位。
该公司内部以及各分支机构网络运行有多种企业应用,如总部内建设WWW、完档共用服务、Exchange、公司ERP系统等。
公司在未来可能开发更多的内部应用,如Client/Server模式的应用(TCP、UDP或TCP/UDP协议的应用),公司通过防火墙接入Internet。
目前公司所有应用仅限于公司局域网内,出差员工不能访问。
分支A赛百城公司、分支B系统集成公司、分支C百脑汇零售店、分支D山东光山分公司以及分支E/F/G(工程部/安防部/网络工程部)3个办事处,各分支机构都以电脑联入Internet,概念上实现了半自动化办公网络。
用户需求分析
根据Qno侠诺工程师对郑州众诚科技发展有限公司的深入了解和分析,此次网络方案实施在保留原有网络环境的情况下,必须满足以下需求:
1、实现总公司内部区域网络互联,以及分公司、各分支机构和办事处的内部区域网络互联;
2、客户、合作伙伴或分公司可以安全访问公司授权访问的企业内部网络资源;
3、出差员工利用笔记本或公共电脑(如机场候机厅的电脑)也能够较安全地访问公司内部网络资源;
4、总部内网保证至少100台电脑联入Internet,还要考虑到公司以后的发展接入点的增加,同时实现一级分部通过相关设备在连到总部网络的同时还提供访问公司FTP伺服器,连接公司ERP系统提交与查询相关资讯等要求;
5、分支机构A保证至少50台电脑的联接Internet,分支机构B保证至少20台电脑的联接Internet,分支机构C、分支机构D(山东分公司)保证至少20台电脑的联接Internet,分支机构E/F/G共3个办事处电脑联接Internet,同时考虑到各分支公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司FTP伺服器,连接公司ERP系统提交与查询相关资讯等要求;
6、可以提供公司出差人员在各地通过互联网和公司网络实现网络互联,还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关资讯等需求;
7、在各分支机构和总公司之间创造一个集成化的办公环境,为工作人员提供多功能的桌面办公环境,解决办公人员处理不同事务需要使用不同工作环境的问题;
8、支援不同机构间资讯传递,解决由人工传送纸介质或磁介质资讯的问题,实现工作效率和可靠性的有效提高;
9、通过路由器对用户实行统一的管理,对访问许可权实行分级管理等要求,实现流量控制、埠镜像等要求,通过路由器的相关防火墙功能实现网络的安全管理。
网络拓扑结构
众诚科技通过Internet资料传输平台,实施加密的VPN实现接入的办法主要有多种,针对该公司的网络现状,决定采用Qn
升级会员 