"VPN"是什么意思请简明解释一下!
解析:
什么是VPN
VPN(Virtual Private Neork):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Inter或Intra。
要实现VPN连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Inter,也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Inter服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
VPN的基本配置:
工作原理:
一边服务器的网络子网为192.168.1.0/24
路由器为100.10.15.1
另一边的服务器为192.168.10.0/24
路由器为200.20.25.1。
执行下列步骤:
1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2. 为SA协商过程配置IKE。
3. 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
Shelby(config-isakmp)#group 1
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Shelby(config-isakmp)#authentication pre-share
注释:告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1。
配置IPSec
Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#set peer 200.20.25.1
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。
Shelby(config-crypto-map)#set transform-set vpn1
Shelby(config-crypto-map)#match address 130
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
注释:将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个VPN的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
附:参照网络安全范围,VPN硬件设备应放置以下四个地点:
● 在DMZ的防火墙之外
● 连接到防火墙的第三个网卡(服务网络)
● 在防火墙保护的范围之内
● 与防火墙集成
VPN的工作原理
用户连接VPN的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
两个地方的网络怎么组建在一个局域网内
用虚拟专用网络,我公司就是这样做的,一家公司在深圳,一家在江门,速度也还可以。也就是上面兄弟说的VPN,针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部...
公司网络禁止了我们访问小说网站和视频网站,有办法能解决吗?
因为你们公司的网络管理员可能是利用“域控制”和一些协议来管理公司网络。这种控制的权限非常强硬。公司为了防止工作人员不认真工作才这样做。
SoftEther的问题。
而SoftEther能实现的功能就是:可以在任意一台电脑上虚拟网卡,在任意一台有公网IP的电脑上虚拟HUB,从而实现VPN的功能,可以将Internet上的任意几台(其中必须有一台有公网IP)电脑搭建成一个虚拟局域网,而这个虚拟局域网跟真实的局域网功能一样。 可能你会问,虚拟一个局域网究竟有什么好处呢?这要从网络的运行机制...
刚换了TP-LINK的路由器,但连不上VPN,提示721
错误721是电脑产生的错误。错误721(远程计算机没有响应)此现象多为USB接口Modem故障代码,可依据以下步骤进行处理:步骤一:判断MODE信号灯是否同步,信号灯同步参照步骤二,信号灯不同步参照步骤三、四、五。步骤二:信号灯同步,则为用户协议选错(OA或OE),如若不行可打电话向10000号进行申告。步骤三...
CITRIX其实是一种VPN的解决方案吗?
呵呵,有点类似,在网络上的数据传输都是加密的,但这两种服务服所致力解决的问题是不同的。citrix的所有应用都是跑在服务器上的,是典型的瘦客户端解决方案(对客户端的硬件及网络要求很低).以下是摘录 无论是传统的CS架构还是BS架构,从服务器到客户端都有大量的数据在传输:一般就是客户端发送一...
Cisco ASA 5505 VPN防火墙怎么设置?
Cisco ASA5550防火墙配置VPN总结 一、网络拓扑 |172.x.x.x |outside |===|===| | |---Internet 61.x.x.x |===|===| |inside |133.x.x.x 防火墙分别配置三个端口,端口名称和IP地址分配如上。VPN Client的IP Address Pool为100.100.100.0 255.255.255.0。二、配置过程 1、...
深信服VPN设备 登录后点击用户管理,系统提示安装"nowin.cab",但是点击...
那就是这个控件你还没有装好,可以手动安装,刷新后应该就好了
一服务器如何实现两厂之间的局域网连接?
使用光缆的情况:自己去牵一根光纤成本很高,一般都是租运营商的光缆。然后运营商会给你IP地址就行了。使用技术来实现:可以使用VPN技术,做一个站点到站点的VPN,通过VPN技术你就能实现分厂和总厂直接的互联互通,但是最好是带宽高一点,起码都是10M,最好是100M,这样速度上才有保证。如果对VPN不是很...
"L2TPv3"缩写代表什么?
这个缩写词在英语中的流行度反映了其在专业领域的广泛使用,尤其是在网络技术的讨论和实施中。它被分类在"Computing"类别下,特别在电信行业中被广泛应用,如虚拟私有网络(VPN)的设置和维护,以及远程访问服务中。中文拼音为“dì céng suì dào xié yì bǎn běn”,对于理解这个技术的用户来说,...
帮忙翻译1段英文成为中文
这个文档描述了一个框架,为虚拟私人网络 (虚拟专用网)连续抛出的IP骨干网。它探讨了各种 不同类型的虚拟专用网,在其各自的要求,并建议 具体机制可被用来执行每类的VPN 利用现有的或拟议的规格。客观的,这 文件是作为一个框架,为相关的协议开发 为了制定整套的规格要求 广泛部署可互操作VPN解决...
盍乐阿端: & amp ; 为HTML转义字符,相当于"&"(and符) & quot ; 为HTML转义字符,相当于"""(双引号)
海城区19589393027: 网络用语"IP"什么意思? - ?
盍乐阿端: IP是英文Internet Protocol(网络之间互连的协议)的缩写,中文简称为“网协”,也就是为计算机网络相互连接进行通信而设计的协议.在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则.任何厂家生产的计算机系统,只要遵守 IP协议就可以与因特网互连互通.IP地址具有唯一性,根据用户性质的不同,可以分为5类.另外,IP还有进入防护,知识产权,指针寄存器等含义.
海城区19589393027: "这是什么意思??
盍乐阿端: 这是HTML语言中的表示引号(")的字符实体. 一、知简单介绍: quot.是一个缩略形式,有两种: 1、quotation 2,quoted 二、HTML语言 超文本标道记语言,标准通用标记语言下的一个应用. “超文本”就是指页面内可以回包含图片、链接,甚至音乐、程序等非文字元素. 超文本标记语言的结构包括“头”部分(英语:Head)、和“主体”部分(英语:Body),其中“头”部提供关于网页的答信息,“主体”部分提供网页的具体内容.
海城区19589393027: "Vip"是什么意思? - ?
盍乐阿端: Very Important Person的缩写,直译就是“非常重要的人”“重要人物,大人物“,我们通称译为贵宾、贵宾卡或高级会员.(对于商家来说,最重要的人当然就是经常来光顾、且出手大方的贵宾啦!) VIP服务会比普通的服务要好很多,当然...
海城区19589393027: 请问什么是"DV"和"以太网"? - ?
盍乐阿端: DV就是数码录像机. 以太网,属网络低层协议,通常在OSI模型的物理层和数据链路层操作.它是总线型协议中最常见的,数据速率为10Mbps(兆比特/秒)的同轴电缆系统.该系统相对比较便宜且容易安装,直接利用每个工作站网卡上的...
海城区19589393027: IP "ping"是什么??
盍乐阿端: 把防火墙的PING入,PING出设置一下就好了, 有人PING的时候,或则你自己PING你自己的时候后有禁止PING入, 你是试网络,还是PING别人哟,呵呵~~ 允许PING出没有问题啊. 因为你在上网浏览的时候,如果需要手动解析域名,那么就需要PING了.防火墙允许PING出就是因为这点. PING不完全是坏的,PING一般用于检测对方机器是否开机、域名解析等等.如果你禁止了PING出,那么这两个功能就无法使用了. 但是,禁止PING入还是有比较重要的用途的.因为有的人(或病毒)会用PING来搜索同一网域上的在线主机进行攻击.另外,一般个人电脑开PING没有用途,顶多让别人攻击.所以这个应该关的.
海城区19589393027: *amp;quot;是什么 - ?
盍乐阿端: 如果你是在制作网页时看到那么:amp=& quot=“”
海城区19589393027: quot是什么意思? ?
盍乐阿端: 文章中就是引号,没有显示“”,而显示的quot quot.是一个缩略形式,有两种1,quotation 2,quoted 1,quotation:名词, 第一种意思:引用,引证 第二种意思:引文,引语,引录 第三种意思:行情(报告),报价单,估价单 第四种意思:(填空白用的)嵌块 2,quotied:动词 第一种意思:引用,引证,引述,复述 第二种意思:把**放在引号内,用引号把**括起来 第三种意思:报价,开价
海城区19589393027: "http"代表什么意思! - ?
盍乐阿端: 超文本传输协议 (HTTP)用来在 WWW 上传输信息的协议.
海城区19589393027: 新手请问"NL"是什么意思 - ?
盍乐阿端: NL no limit的缩写意思无限桌的意思后面跟的数字一般有2种形式NL1/2 NL200这2个是一个意思,前面1个是用小盲注,大盲注来表示这个是一个标准用法后面1个会在很多地方也看到用,是用100个大盲的买入来表示
