第一篇：VPN實(shí)驗(yàn)總結(jié)

網(wǎng)絡(luò)上關(guān)于vpn的原理的文章很多，這里就不再羅嗦了。下面是我最近做vpn實(shí)驗(yàn)的小結(jié)：

（一）vpn access server的配置 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

pc（vpn client 4.01）－－－switch－－－router1720（vpn access server）pc配置: ip：10.130.23.242/28
gw：10.130.23.246 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 步驟：

1、配置isakmp policy： crypto isakmp policy 1 encr 3des authen pre-share group 2

2、配置vpn client地址池

cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254

3、配置vpn client有關(guān)參數(shù)

cry isa client conf group vclient-group ####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。key vclient-key ####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。

pool pool192 ####client的ip地址從這里選取

####以上兩個(gè)參數(shù)必須配置，其他參數(shù)還包括domain、dns、wins等，根據(jù)情況進(jìn)行配置。

4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac

5、配置map模板

cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步對應(yīng)

6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板

cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數(shù)authorization cry map vpnmap client conf address respond ####響應(yīng)client分配地址的請求

7、配置靜態(tài)路由

ip route 192.168.1.0 255.255.255.0 fastethernet0 說明幾點(diǎn)：（1）因?yàn)?720只有一個(gè)fastethernet口，所以用router1720上的lo0地址來模擬router內(nèi)部網(wǎng)絡(luò)。

（2）vpn client使用的ip pool地址不能與router內(nèi)部網(wǎng)絡(luò)ip地址重疊。（3）10.130.23.0網(wǎng)段模擬公網(wǎng)地址，172.16.1.0網(wǎng)段用于1720內(nèi)部地址，192.168.1.0網(wǎng)段用于vpn通道。（4）沒有找到設(shè)置vpn client獲取的子網(wǎng)掩碼的辦法。看來是ios還不支持這個(gè)功能。（5）關(guān)于split tunnel。配置方法：首先，設(shè)置access 133 permit ip 172.16.1.0 0.0.0.255 any，允許1720本地網(wǎng)絡(luò)數(shù)據(jù)通過tunnel，然后在第三步驟中添加一個(gè)參數(shù)：acl 133。1720的完整配置：

VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192！crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs！crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map?。nterface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable??！line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置：

新建一個(gè)connection entry，參數(shù)中name任意起一個(gè)，host填入vpn access server的f0地址

10.130.23.246，group auahentication中name填vclient-group，password填vclient-key.測試：

（1）在pc上運(yùn)行VPN client，連接vpn access server。（2）ipconfig/all，查看獲取到的ip地址與其他參數(shù)。（3）在router，show cry isa sa,看連接是否成功。

（4）從router，ping client已經(jīng)獲取到的ip地址，通過。

（5）從client，ping router的lo0配置的地址172.16.1.1，通過。

（6）查看vpn client軟件的status--statistics,可以看到加密與解密的數(shù)據(jù)量。

（7）1720上show cry ip sa, 也可以查看加密與解密的數(shù)據(jù)量。

常用調(diào)試命令： show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####這是最常用的debug命令，vpn連接的基本錯(cuò)誤都可以用它來找到

debug cry ipsec

（二）easy vpn client的配置（network-extension mode）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

router3662（vpn client）－－－switch－－－router1720（vpn access server）pc(vpn client 4.01)－－－－－－| 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 pc配置: ip：10.130.23.242/28 gw：10.130.23.246 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步驟：

1、配置1720路由器，參照實(shí)驗(yàn)一，設(shè)置為vpn server。

2、配置3662路由器，設(shè)置vpn client參數(shù)

cry ip client ezvpn vclient ####定義crypto-ezvpn name mode network-extension ####設(shè)置為網(wǎng)絡(luò)擴(kuò)展模式

group vclient-group key vclient-key ####設(shè)置登錄vpn server的組名與組口令

peer 10.130.23.246 ####設(shè)置vpn server的ip地址，如果啟用dns，則可以用hostname connect auto ####設(shè)置為自動(dòng)連接。如果設(shè)為手動(dòng)，則必須使用cry ip client ezvpn connect vclient命令來啟動(dòng)vpn通道。

local-address F0/0 ####設(shè)置vpn通道本地地址，選用f0/0，可以保證vpn server找到它

3、定義加密數(shù)據(jù)入口，這里為f0/1 inter f0/1 cry ip client ezvpn vclient inside

4、定義加密數(shù)據(jù)出口，這里為連接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside

5、在1720上設(shè)置靜態(tài)路由，地址范圍為3662路由本地網(wǎng)絡(luò)的地址 ip route 172.16.2.0 255.255.255.0 f0

6、設(shè)置ip dhcp服務(wù) ####cisco推薦使用dhcp來進(jìn)行本地網(wǎng)絡(luò)ip的分配。此步驟可選。

service dhcp ####啟動(dòng)dhcp 服務(wù)

ip dhcp pool dhcppool ####定義dhcp pool name network 172.16.2.0 /24 ####定義可分配的IP地址段

default-router 172.16.2.1 ####定義dhcp client的默認(rèn)網(wǎng)關(guān) lease 1 0 0 ####設(shè)置ip保留時(shí)間

import all ####如果配置了上級(jí)dhcp，server，則接受其所有參數(shù) ip dhcp excluded-address 172.16.2.1 ####將router上的地址排除

測試：

（1）配置好3662上的vpn client后，自動(dòng)進(jìn)行vpn連接?？梢酝ㄟ^debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結(jié)果。

（2）在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)沒有進(jìn)行加密。

（3）在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進(jìn)行傳輸。

（4）在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進(jìn)行傳輸。

（5）在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)不通過加密。（6）啟動(dòng)pc vpn client，ping 172.16.1.1，通過。在1720上查看show cry ip sa，可以看到數(shù)據(jù)通過加密進(jìn)行傳輸。

（7）在pc vpn client，ping 172.16.2.1，通過。在1720和3662上查看show cry ip sa，可以看到數(shù)據(jù)通過加密進(jìn)行傳輸。在1720上show cry isa sa，可以看到兩個(gè)vpn連接。

（8）在3660上擴(kuò)展ping，source 172.16.2.1 destination 192.168.1.10（pc vpn client獲得的ip），通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進(jìn)行傳輸。

說明：

（1）不同平臺(tái)，不同ios版本，easy vpn client的配置有所不同。特別是加密數(shù)據(jù)入出接口的配置，配置接口前后，用show cry ip client ezvpn來查看與驗(yàn)證。

（2）network-extension模式，vpn client端本地ip不通過nat/pat進(jìn)行數(shù)據(jù)傳輸。

（3）以上配置均沒有啟用split tunnel。設(shè)置split tunnel的方法:首先參考實(shí)驗(yàn)

（一），設(shè)置acl 133和cry isa client conf group中的參數(shù)，完成后，可以實(shí)現(xiàn)測試（1）－（5）。要實(shí)現(xiàn)Pc vpn client和3662 vpn client 互通，即測試（6）－（8），還要在1720 的acl 133中添加兩條，分別是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

（4）修改1720配置后，需要復(fù)位vpn通道，才可以起作用。在pc端，是通過disconnect再connect來實(shí)現(xiàn)；在3662上，通過clear cry ip client ezvpn來復(fù)位。

常用調(diào)試命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa

（三）easy vpn client的配置（client mode）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)渫瑢?shí)驗(yàn)

（二）實(shí)驗(yàn)步驟參考實(shí)驗(yàn)

（二），其中第二步，將mode network-extension改為mode client。

測試：

（1）配置好3662上的vpn client后，自動(dòng)進(jìn)行vpn連接?？梢酝ㄟ^debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結(jié)果。

（2）在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，不通。

（3）在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，不通。這是因?yàn)?662端ip數(shù)據(jù)流是通過nat進(jìn)行傳輸。

（4）在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進(jìn)行傳輸。在1720上打開deb ip icmp，可以看到echo reply信息的dst地址為192.168.1.19（vpn client 從vpn server獲取的ip地址）。

（5）在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。

說明：

（1）client 模式，vpn client端內(nèi)部網(wǎng)絡(luò)采用nat方式與vpn server進(jìn)行通信，vpn client端網(wǎng)絡(luò)可以訪問server端網(wǎng)絡(luò)資源，server端網(wǎng)絡(luò)不能訪問client端內(nèi)部網(wǎng)絡(luò)資源。

（2）client與network-extension兩種模式，show cry ip sa，可以看到local ident是不同的。

（3）client模式下，用show ip nat statistics，可以看到nat的配置與數(shù)據(jù)流量。

（4）關(guān)于split tunnel，client模式的easy vpn client，與pc的vpn client類似，配置split tunnel的方法也相同。常用調(diào)試命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics

（四）site to site vpn的配置（采用pre-share）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟：

以1720為例進(jìn)行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定義加密數(shù)據(jù)的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）定義isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key進(jìn)行驗(yàn)證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進(jìn)行配置，需要注意兩個(gè)路由器上的對應(yīng)參數(shù)配置必須相同。（4）定義pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 為key，兩個(gè)路由器上要一樣 ####其中10.130.23.244為peer路由器的ip地址。（5）定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name，后面兩項(xiàng)為加密傳輸?shù)乃惴?mode transport/tunnel #####tunnel為默認(rèn)值，此配置可選（6）定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name，10 是entry 號(hào)碼，ipsec-isakmp表示采用isakmp進(jìn)行密鑰管理

match address 144 ####定義進(jìn)行加密傳輸?shù)臄?shù)據(jù)，與第二步對應(yīng) set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對應(yīng)

####如果一個(gè)接口上要對應(yīng)多個(gè)vpn peer，可以定義多個(gè)entry，每個(gè)entry對應(yīng)一個(gè)peer（7）將crypto map應(yīng)用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同樣方法配置3662路由器。1720的完整配置： VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144??！interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 測試：

（1）未將map應(yīng)用到接口之前，在1720，擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過。擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過。

（2）map應(yīng)用到接口之后，在1720，擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過。

查看show cry ip sa，可以看到數(shù)據(jù)沒有通過vpn 通道進(jìn)行傳輸，因?yàn)椴环蟖cl 144。（3）map應(yīng)用到接口之后，在1720，擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過。查看show cry ip sa，可以看到數(shù)據(jù)通過vpn 通道進(jìn)行傳輸。

（4）在3662上同樣進(jìn)行測試。

說明：

（1）采用pre-share方式加密數(shù)據(jù)，配置簡單，數(shù)據(jù)傳輸效率較高，但是安全性不高。

（2）加密數(shù)據(jù)前后，通過ping大包的方式測試，可以發(fā)現(xiàn)這種利用軟件進(jìn)行數(shù)據(jù)加密的方式，延時(shí)較大。如果需要開展voip、ip 視訊會(huì)議等業(yè)務(wù)，建議選配vpn模塊進(jìn)行硬件加密。

常用調(diào)試命令： show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip

（五）site to site vpn的配置（采用rsa-encrypted）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟：

以1720為例進(jìn)行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定義加密數(shù)據(jù)的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分別生成rsa signing key和rsa encryption key 這里 統(tǒng)一用general purpose key（4）復(fù)制peer router的public key到本地router中（A）在3662上生成general purpose key（B）在3662上show cry key mypubkey rsa，復(fù)制其中的General Purpose Key（C）在1720上，cry key pubkey-chain rsa ####設(shè)置public key addressed-key 10.130.23.244 ####設(shè)置關(guān)聯(lián)10.130.23.244ip地址的key key-string ####定義key串

粘貼從3662上復(fù)制的General Purpose Key #####如果第三步生成了兩種key，則這里復(fù)制粘貼的，應(yīng)該是Encryption Key（三個(gè)key中的第二個(gè)）（5）定義isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key進(jìn)行驗(yàn)證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進(jìn)行配置，需要注意兩個(gè)路由器上的對應(yīng)參數(shù)配置必須相同。（6）定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name，后面兩項(xiàng)為加密傳輸?shù)乃惴?mode transport/tunnel #####tunnel為默認(rèn)值，此配置可選（7）定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name，10 是entry 號(hào)碼，ipsec-isakmp表示采用isakmp進(jìn)行密鑰管理

match address 144 ####定義進(jìn)行加密傳輸?shù)臄?shù)據(jù)，與第二步對應(yīng) set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對應(yīng)

####如果一個(gè)接口上要對應(yīng)多個(gè)vpn peer，可以定義多個(gè)entry，每個(gè)entry對應(yīng)一個(gè)peer；同樣，pubkey 也要對應(yīng)進(jìn)行設(shè)置。

（7）將crypto map應(yīng)用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同樣方法配置3662路由器。

1720完整配置：

VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144??！interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end

說明：

（1）采用rsa encrypted方式加密傳輸數(shù)據(jù)，默認(rèn)key長度為512字節(jié)，最高可設(shè)為2048字節(jié)。安全性能較高。

（2）100M雙工交換網(wǎng)絡(luò)中，在雙向同時(shí)ping 15000字節(jié)的大包進(jìn)行測試時(shí)，1720的cpu使用率一度高達(dá)90％左右，3662的使用率約為25％，兩臺(tái)路由器內(nèi)存使用率則變化不大?？梢娪胷sa encrypted方式加密，對低端路由器的cpu性能影響很大。常用調(diào)試命令： show cry ip sa show cry isa sa deb cry isa deb cry ip clear cry isa clear cry sa

第二篇：VPN 實(shí)驗(yàn)心得

VPN 實(shí)驗(yàn)心得

（一）vpn access server的配置

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

pc（vpn client 4.01）－－－switch－－－router1720

pc配置:

ip：10.130.23.242/28

gw：10.130.23.246

1720接口ip：

f0：10.130.23.246/28

lo0：172.16.1.1/24

1720的ios為c1700-k93sy7-mz.122-8.T5.bin

步驟：

1、配置isakmp policy：

crypto isakmp policy 1

encr 3des

authen pre-share

group 2

2、配置vpn client地址池

cry isa client conf address-pool local pool192

ip local pool pool192 192.168.1.1 192.168.1.254

3、配置vpn client有關(guān)參數(shù)

vpn access server）（cry isa client conf group vclient-group

####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。

key vclient-key

####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。

pool pool192 ####client的ip地址從這里選取

####以上兩個(gè)參數(shù)必須配置，其他參數(shù)還包括domain、dns、wins等，根據(jù)情況進(jìn)行配置。

4、配置ipsec transform-set

cry ipsec trans vclient-tfs esp-3des esp-sha-hmac

5、配置map模板

cry dynamic-map template-map 1

set transform-set vclient-tfs ####和第四步對應(yīng)

6、配置vpnmap

cry map vpnmap 1 ipsec-isakmp dynamic template-map

#### 使用第?*腳渲玫?map 模板

cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數(shù)authorization

cry map vpnmap client conf address respond ####響應(yīng)client分配地址的請求

7、配置靜態(tài)路由

ip route 192.168.1.0 255.255.255.0 fastethernet0

說明幾點(diǎn)：

（1）因?yàn)?720只有一個(gè)fastethernet口，所以用router1720上的lo0地址來模擬router內(nèi)部網(wǎng)絡(luò)。

（2）vpn client使用的ip pool地址不能與router內(nèi)部網(wǎng)絡(luò)ip地址重疊。

（3）10.130.23.0網(wǎng)段模擬公網(wǎng)地址，172.16.1.0網(wǎng)段用于1720內(nèi)部地址，192.168.1.0網(wǎng)段用于vpn通道。

（4）沒有找到設(shè)置vpn client獲取的子網(wǎng)掩碼的辦法?？磥硎莍os還不支持這個(gè)功能。

（5）關(guān)于split tunnel。配置方法：首先，設(shè)置access 133 permit ip 172.16.1.0 0.0.0.255 any，允許1720本地網(wǎng)絡(luò)數(shù)據(jù)通過tunnel，然后在第三步驟中添加一個(gè)參數(shù)：acl 133。

1720的完整配置：

VPN1720#sh run

Building configuration...Current configuration : 1321 bytes!

version 12.2

service timestamps debug uptime

service timestamps log uptime

no service password-encryption!

hostname VPN1720!

enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip subnet-zero!

!

no ip domain-lookup!

ip audit notify log

ip audit po max-events 100!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp client configuration address-pool local pool192!

crypto isakmp client configuration group vclient-group

key vclient-key

domain test.com

pool pool192!

!

crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!

crypto dynamic-map template-map 1

set transform-set vclient-tfs!

!

crypto map vpnmap isakmp authorization list vclient-group

crypto map vpnmap client configuration address respond

crypto map vpnmap 1 ipsec-isakmp dynamic template-map!

！

!

interface Loopback0

ip address 172.16.1.1 255.255.255.240!

interface FastEthernet0

ip address 10.130.23.246 255.255.255.240

speed auto

crypto map vpnmap!

interface Serial0

no ip address

shutdown!

ip local pool pool192 192.168.1.1 192.168.1.254

ip classless

ip route 192.168.1.0 255.255.255.0 FastEthernet0

no ip http server

ip pim bidir-enable!

！

!

line con 0

line aux 0

line vty 0 4!

no scheduler allocate

end

VPN Client 4.01的配置：

新建一個(gè)connection entry，參數(shù)中name任意起一個(gè)，host填入vpn access server的f0地址10.130.23.246，group auahentication中name填vclient-group，password填vclient-key.測試：

（1）在pc上運(yùn)行VPN client，連接vpn access server。

（2）ipconfig/all，查看獲取到的ip地址與其他參數(shù)。

（3）在router，show cry isa sa,看連接是否成功。

（4）從router，ping client已經(jīng)獲取到的ip地址，通過。

（5）從client，ping router的lo0配置的地址172.16.1.1，通過。

（6）查看vpn client軟件的status--statistics,可以看到加密與解密的數(shù)據(jù)量。

（7）1720上show cry ip sa, 也可以查看加密與解密的數(shù)據(jù)量。

常用調(diào)試睿?

show cry isakmp sa

show cry ipsec sa

clear cry sa

clear cry isakmp

debug cry isakmp #####這是最常用的debug命令，vpn連接的基本錯(cuò)誤都可以用它來找到

debug cry ipsec

（二）easy vpn client的配置（network-extension mode）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

router3662（vpn client）－－－switch－－－router1720（vpn access server）

pc(vpn client 4.01)－－－－－－|

3662接口ip:

f0/0：10.130.23.244/28

f0/1：172.16.2.1/2

41720接口ip：

f0：10.130.23.246/28

lo0：172.16.1.1/24

pc配置:

ip：10.130.23.242/28

gw：10.130.23.246

1720的ios為c1700-k93sy7-mz.122-8.T5.bin

3662的ios為c3660-jk9o3s-mz.123-1a.bin

步驟：

1、配置1720路由器，參照實(shí)驗(yàn)一，設(shè)置為vpn server。

2、配置3662路由器，設(shè)置vpn client參數(shù)

cry ip client ezvpn vclient ####定義crypto-ezvpn name

mode network-extension ####設(shè)置為網(wǎng)絡(luò)擴(kuò)展模式

group vclient-group key vclient-key ####設(shè)置登錄vpn server的組名與組口令

peer 10.130.23.246 ####設(shè)置vpn server的ip地址，如果啟用dns，則可以用hostname

connect auto ####設(shè)置為自動(dòng)連接。如果設(shè)為手動(dòng)，則必須使用cry ip client ezvpn connect vclient命令來啟動(dòng)vpn通道。

local-address F0/0 ####設(shè)置vpn通道本地地址，選用f0/0，可以保證vpn server找到它

3、定義加密數(shù)據(jù)入口，這里為f0/1

inter f0/1

cry ip client ezvpn vclient inside

4、定義加密數(shù)據(jù)出口，這里為連接vpn server的f0/0

inter f0/0

cry ip client ezvpn vclient outside

5、在1720上設(shè)置靜態(tài)路由，地址范圍為3662路由本地網(wǎng)絡(luò)的地址

ip route 172.16.2.0 255.255.255.0 f0

6、設(shè)置ip dhcp服務(wù) ####cisco推薦使用dhcp來進(jìn)行本地網(wǎng)絡(luò)ip的分配。此步驟可選。

service dhcp ####啟動(dòng)dhcp 服務(wù)

ip dhcp pool dhcppool ####定義dhcp pool name

network 172.16.2.0 /24 ####定義可分配的IP地址段

default-router 172.16.2.1 ####定義dhcp client的默認(rèn)網(wǎng)關(guān)

lease 1 0 0 ####設(shè)置ip保留時(shí)間

import all ####如果配置了上級(jí)dhcp，server，則接受其所有參數(shù)

ip dhcp excluded-address 172.16.2.1 ####將router上的地址排除

測試：

（1）配置好3662上的vpn client后，自動(dòng)進(jìn)行vpn連接?？梢酝ㄟ^debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結(jié)果。

（2）在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)沒有進(jìn)行加密。

（3）在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進(jìn)行傳輸。

（4）在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進(jìn)行傳輸。

（5）在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)不通過加密。

（6）啟動(dòng)pc vpn client，ping 172.16.1.1，通過。在1720上查看show cry ip sa，可以看到數(shù)據(jù)通過加密進(jìn)行傳輸。

（7）在pc vpn client，ping 172.16.2.1，通過。在1720和3662上查看show cry ip sa，可以看到數(shù)據(jù)通過加密進(jìn)行傳輸。在1720上show cry isa sa，可以看到兩個(gè)vpn連接。

（8）在3660上擴(kuò)展ping，source 172.16.2.1 destination 192.168.1.10（pc vpn client獲得的ip），通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進(jìn)行傳輸。

說明：

（1）不同平臺(tái)，不同ios版本，easy vpn client的配置有所不同。特別是加密數(shù)據(jù)入出接口的配置，配置接口前后，用show cry ip client ezvpn來查看與驗(yàn)證。

（2）network-extension模式，vpn server和vpn client兩端的內(nèi)部網(wǎng)絡(luò)之間可以通過ip地址互相訪問。

（3）以上配置均沒有啟用split tunnel。設(shè)置split tunnel的方法:首先參考實(shí)驗(yàn)

（一），設(shè)置acl 133和cry isa client conf group中的參數(shù)，完成后，可以實(shí)現(xiàn)測試（1）－（5）。要實(shí)現(xiàn)Pc vpn client和3662 vpn client 互通，即測試（6）－（8），還要在1720 的acl 133中添加兩條，分別是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

（4）修改1720配置后，需要復(fù)位vpn通道，才可以起作用。在pc端，是通過disconnect再connect來實(shí)現(xiàn)；在3662上，通過clear cry ip client ezvpn來復(fù)位。

常用調(diào)試命令：

show cry ip client ezvpn

clear cry ip client ezvpn

deb cry ip client ezvpn

show cry ip sa

deb cry isa

show cry isa sa

（三）easy vpn client的配置（client mode）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)渫瑢?shí)驗(yàn)

（二）實(shí)驗(yàn)步驟參考實(shí)驗(yàn)

（二），其中第二步，將mode network-extension改為mode client。

測試：

（1）配置好3662上的vpn client后，自動(dòng)進(jìn)行vpn連接?？梢酝ㄟ^debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結(jié)果。

（2）在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，不通。

（3）在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，不通。這是因?yàn)?662端ip數(shù)據(jù)流是通過nat進(jìn)行傳輸。

（4）在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過加密進(jìn)行傳輸。在1720上打開deb ip icmp，可以看到echo reply信息的dst地址為192.168.1.19（vpn client 從vpn server獲取的ip地址）。

（5）在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。

說明：

（1）client 模式，vpn client端內(nèi)部網(wǎng)絡(luò)采用nat方式與vpn server進(jìn)行通信，vpn client端網(wǎng)絡(luò)可以訪問server端網(wǎng)絡(luò)資源，server端網(wǎng)絡(luò)不能訪問client端內(nèi)部網(wǎng)絡(luò)資源。

（2）client與network-extension兩種模式，show cry ip sa，可以看到local ident是不同的。

（3）client模式下，用show ip nat statistics，可以看到nat的配置與數(shù)據(jù)流量。

（4）關(guān)于split tunnel，client模式的easy vpn client，與pc的vpn client類似，配置split tunnel的方法也相同。

常用調(diào)試命令：

show cry ip client ezvpn

clear cry ip client ezvpn

deb cry ip client ezvpn

show cry ip sa

deb cry isa

show cry isa sa

show ip nat statistics

（四）site to site vpn的配置（采用pre-share）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

router3662－－－switch－－－router1720

3662接口ip:

f0/0：10.130.23.244/28

f0/1：172.16.2.1/2

41720接口ip：

f0：10.130.23.246/28

lo0：172.16.1.1/24

1720的ios為c1700-k93sy7-mz.122-8.T5.bin

3662的ios為c3660-jk9o3s-mz.123-1a.bin

步驟：

以1720為例進(jìn)行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問。

ip route 172.16.2.0 255.255.255.0 10.130.23.244

（2）定義加密數(shù)據(jù)的acl

access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

（3）定義isakmp policy

cry isa policy 1

authentication pre-share ####采用pre-share key進(jìn)行驗(yàn)證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進(jìn)行配置，需要注意兩個(gè)路由器上的對應(yīng)參數(shù)配置必須相同。

（4）定義pre-share key

cry isa key pre-share-key address 10.130.23.244

####其中pre-share-key 為key，兩個(gè)路由器上要一樣

####其中10.130.23.244為peer路由器的ip地址。

（5）定義transform-set

cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac

####其中vpn-tfs為transform-set name，后面兩項(xiàng)為加密傳輸?shù)乃惴?/p>

mode transport/tunnel #####tunnel為默認(rèn)值，此配置可選

（6）定義crypto map entry

cry map vpn-map 10 ipsec-isakmp

####其中vpn-map為map name，10 是entry 號(hào)碼，ipsec-isakmp表示采用isakmp進(jìn)行密鑰管理

match address 144 ####定義進(jìn)行加密傳輸?shù)臄?shù)據(jù)，與第二步對應(yīng)

set peer 10.130.23.244 ####定義peer路由器的ip

set transform-set vpn-tfs ####與第?*蕉雜?br /> ####如果一個(gè)接口上要對應(yīng)多個(gè)vpn peer，可以定義多個(gè)entry，每個(gè)entry對應(yīng)一個(gè)peer

（7）將crypto map應(yīng)用到接諫?br /> inter f0 #####vpn通道入口

cry map vpn-map

（8）同樣方法配置3662路由器。

1720的完整配置：

VPN1720#sh run

Building configuration...Current configuration : 1217 bytes!

version 12.2

service timestamps debug uptime

service timestamps log uptime

no service password-encryption!

hostname VPN1720!

logging buffered 4096 debugging

no logging rate-limit

enable password CISCO!

username vclient1 password 0 vclient1

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip subnet-zero!

!

ip domain-name fjbf.com!

ip audit notify log

ip audit po max-events 100!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key pre-share-key address 10.130.23.244!

!

crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!

crypto map vpn-map 10 ipsec-isakmp

set peer 10.130.23.244

set transform-set vpn-tfs

match address 144!

！

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0!

interface FastEthernet0

ip address 10.130.23.246 255.255.255.240

speed auto

crypto map vpn-map!

interface Serial0

no ip address

encapsulation ppp

no keepalive

no fair-queue!

ip classless

ip route 172.16.2.0 255.255.255.0 10.130.23.244

no ip http server

ip pim bidir-enable!

!

access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!

!

line con 0

exec-timeout 0 0

speed 115200

line aux 0

line vty 0 4

login!

end

測試：

（1）未將map應(yīng)用到接口之前，在1720，擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過。擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過。

（2）map應(yīng)用到接口之后，在1720，擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過。查看show cry ip sa，可以看到數(shù)據(jù)沒有通過vpn 通道進(jìn)行傳輸，因?yàn)椴环蟖cl 144。

（3）map應(yīng)用到接口之后，在1720，擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過。查看show cry ip sa，可以看到數(shù)據(jù)通過vpn 通道進(jìn)行傳輸。

（4）在3662上同樣進(jìn)行測試。

說明：

（1）采用pre-share方式加密數(shù)據(jù)，配置簡單，數(shù)據(jù)傳輸效率較高，但是安全性不高。

（2）加密數(shù)據(jù)前后，通過ping大包的方式測試，可以發(fā)現(xiàn)這種利用軟件進(jìn)行數(shù)據(jù)加密的方式，延時(shí)較大。如果需要開展voip、ip 視訊會(huì)議等業(yè)務(wù)，建議選配vpn模塊進(jìn)行硬件加密。

常用調(diào)試命令：

show cry isa sa

show cry ip sa

show cry engine configuration

show cry engine connections active

show cry engine connections flow

deb cry isa

deb cry ip

（五）site to site vpn的配置（采用rsa-encrypted）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

router3662－－－switch－－－router1720

3662接口ip:

f0/0：10.130.23.244/28

f0/1：172.16.2.1/2

41720接口ip：

f0：10.130.23.246/28

lo0：172.16.1.1/24

1720的ios為c1700-k93sy7-mz.122-8.T5.bin

3662的ios為c3660-jk9o3s-mz.123-1a.bin

步驟：

以1720為例進(jìn)行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問。

ip route 172.16.2.0 255.255.255.0 10.130.23.244

（2）定義加密數(shù)據(jù)的acl

access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

（3）生成rsa key

cry key generate rsa general-keys ####生成General Purpose rsa Key

或者 cry key generate rsa usage-keys ####分別生成rsa signing key和rsa encryption key

這里 統(tǒng)一用general purpose key

（4）復(fù)制peer router的public key到本地router中

（A）在3662上生成general purpose key

（B）在3662上show cry key mypubkey rsa，復(fù)制其中的General Purpose Key

（C）在1720上，cry key pubkey-chain rsa ####設(shè)置public key

addressed-key 10.130.23.244 ####設(shè)置關(guān)聯(lián)10.130.23.244ip地址的key

key-string ####定義key串

粘貼從3662上復(fù)制的General Purpose Key

#####如果第三步生成了兩種key，則這里復(fù)制粘貼的，應(yīng)該是Encryption Key（三個(gè)key中的第二個(gè)）

（5）定義isakmp policy

cry isa policy 1

authentication rsa-encr ####采用rsa Encryption key進(jìn)行驗(yàn)證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進(jìn)行配置，需要注意兩個(gè)路由器上的對應(yīng)參數(shù)配置必須相同。

（6）定義transform-set

cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac

####其中vpn-tfs為transform-set name，后面兩項(xiàng)為加密傳輸?shù)乃惴?/p>

mode transport/tunnel #####tunnel為默認(rèn)值，此配置可選

（7）定義crypto map entry

cry map vpn-map 10 ipsec-isakmp

####其中vpn-map為map name，10 是entry 號(hào)碼，ipsec-isakmp表示采用isakmp進(jìn)行密鑰管理

match address 144 ####定義進(jìn)行加密傳輸?shù)臄?shù)據(jù)，與第二步對應(yīng)

set peer 10.130.23.244 ####定義peer路由器的ip

set transform-set vpn-tfs ####與第?*蕉雜?br /> ####如果一個(gè)接口上要對應(yīng)多個(gè)vpn peer，可以定義多個(gè)entry，每個(gè)entry對應(yīng)一個(gè)peer；同樣，pubkey也要對應(yīng)進(jìn)行設(shè)置。

（7）將crypto map應(yīng)用到接口上

inter f0 #####vpn通道入口

cry map vpn-map

（8）同樣方法配置3662路由器。

1720完整配置：

VPN1720#sh run

Building configuration...Current configuration : 1490 bytes!

version 12.2

service timestamps debug uptime

service timestamps log uptime

no service password-encryption!

hostname VPN1720!

logging buffered 4096 debugging

no logging rate-limit

enable password CISCO!

username vclient1 password 0 vclient1

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip subnet-zero!

!

ip domain-name fjbf.com!

ip audit notify log

ip audit po max-events 100!

crypto isakmp policy 1

encr 3des

authentication rsa-encr

group 2!

!

crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!

crypto key pubkey-chain rsa

addressed-key 10.130.23.244

address 10.130.23.244

key-string

305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF

D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102

DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001

quit!

crypto map vpn-map 10 ipsec-isakmp

set peer 10.130.23.244

set transform-set vpn-tfs

match address 144!

！

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0!

interface FastEthernet0

ip address 10.130.23.246 255.255.255.240

speed auto

crypto map vpn-map!

interface Serial0

no ip address

encapsulation ppp

no keepalive

no fair-queue!

ip classless

ip route 172.16.2.0 255.255.255.0 10.130.23.244

no ip http server

ip pim bidir-enable!

!

access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!

!

line con 0

exec-timeout 0 0

speed 115200

line aux 0

line vty 0 4

login!

end

說明：

（1）采用rsa encrypted方式加密傳輸數(shù)據(jù)，默認(rèn)key長度為512字節(jié)，最高可設(shè)為2048字節(jié)。安全性能較高。

（2）100M雙工交換網(wǎng)絡(luò)中，在雙向同時(shí)ping 15000字節(jié)的大包進(jìn)行測試時(shí)，1720的cpu使用率一度高達(dá)90％左右，3662的使用率約為25％，兩臺(tái)路由器內(nèi)存使用率則變化不大?？梢娪胷sa encrypted方式加密，對低端路由器的cpu性能影響很大。

常用調(diào)試命令：

show cry ip sa

show cry isa sa

deb cry isa

deb cry ip

clear cry isa

clear cry sa

第三篇：實(shí)驗(yàn)一 VPN服務(wù)器的配置和管理

實(shí)驗(yàn)一 WINDOWS操作系統(tǒng)下VPN服務(wù)器的配置和管理

一、實(shí)驗(yàn)?zāi)康? 1.了解VPN服務(wù)器的配置方法以及基本使用方法； 2.了解WINDOWS操作系統(tǒng)下IPsec VPN的配置方法。

二、實(shí)驗(yàn)環(huán)境：

外網(wǎng)IP：192.168.104.22

IP：192.168.104.16

內(nèi)網(wǎng)IP：192.168.0.22

VPN服務(wù)器

IP：192.168.104.1

證書服務(wù)器

? Windows server 2000操作系統(tǒng) ? 必須在連網(wǎng)的環(huán)境中進(jìn)行

VPN客戶端

內(nèi)網(wǎng)

三、實(shí)驗(yàn)內(nèi)容及步驟：

步驟一VPN服務(wù)器的配置方法

1.配置VPN服務(wù)器（該服務(wù)器有兩塊網(wǎng)卡，一塊連接外網(wǎng)，IP為192.168.104.22，一塊連接內(nèi)網(wǎng)，IP為192.168.0.22）

①“開始”/“程序”/“管理工具”中,選擇“路由和遠(yuǎn)程訪問”

② 右擊本地計(jì)算機(jī)名稱,選擇“配置并啟用路由和遠(yuǎn)程訪問”項(xiàng)，進(jìn)入“路由和遠(yuǎn)程訪問服務(wù)安裝向?qū)А?，單擊“下一步”按鈕

③ 選擇“虛擬專業(yè)網(wǎng)絡(luò)（VPN）服務(wù)器”,點(diǎn)擊“下一步”；

④遠(yuǎn)程客戶協(xié)議中，如果網(wǎng)絡(luò)是使用TCP/IP協(xié)議就選擇“是”，如果還需要其他協(xié)議，例如IPX，就選擇“否”，進(jìn)入添加協(xié)議的過程。在本實(shí)驗(yàn)中，只需要TCP/IP協(xié)議就行了，點(diǎn)擊“下一步”；

⑤選擇與VPN客戶端連接的接口，通常是外網(wǎng)接口，即連接Internet的接口（192.168.104.22），剩下的就是內(nèi)網(wǎng)接口，也就是客戶端想進(jìn)入的內(nèi)網(wǎng)接口。點(diǎn)擊“下一步”；

⑥為遠(yuǎn)程客戶端指定一個(gè)IP地址，如果內(nèi)網(wǎng)中有DHCP服務(wù)器，可選擇第一項(xiàng)“自動(dòng)”，如果沒有，就手工指定。

⑦通常指定的是VPN客戶端撥入內(nèi)網(wǎng)的IP地址。（192.168.0.0/24）。點(diǎn)擊“下一步”；

⑧后續(xù)步驟使用默認(rèn)選項(xiàng)，完成VPN服務(wù)器的配置。2.配置VPN授權(quán)用戶 ① 在“計(jì)算機(jī)管理”中，新建兩個(gè)用戶“VPN1”、“VPN2”；

② 為“VPN1”用戶設(shè)置允許撥入權(quán)限；為“VPN2”用戶設(shè)置遠(yuǎn)程訪問策略：

選擇 “計(jì)算機(jī)管理”/“本地用戶和組”/“用戶”，找到VPN1用戶，右擊“屬性”，選擇“允許訪問”，VPN2用戶設(shè)置“通過遠(yuǎn)程訪問策略控制訪問”。

3.配置遠(yuǎn)程訪問策略：

① 選擇路由和遠(yuǎn)程訪問，右擊“遠(yuǎn)程訪問策略”，選擇“新建遠(yuǎn)程訪問策略”

② 命名訪問策略，點(diǎn)擊“下一步”；

③ 添加條件：在“添加遠(yuǎn)程訪問策略”中選擇“添加”按紐；

④ 在選擇屬性對話框中選擇“允許用戶連接的時(shí)間和日期”，點(diǎn)擊“添加”按紐，設(shè)置“從星期一到星期五，從早8點(diǎn)到晚7點(diǎn)，允許用戶訪問”。

⑤在權(quán)限中選擇“授予遠(yuǎn)程訪問權(quán)限”，完成遠(yuǎn)程訪問策略的設(shè)置。

4.配置VPN客戶端

① 另選一臺(tái)電腦，選擇“網(wǎng)絡(luò)和撥號(hào)連接”——“新建連接”，出現(xiàn)“網(wǎng)絡(luò)連接向?qū)А?，單擊“下一步”?/p>

② 在網(wǎng)絡(luò)連接向?qū)υ捒蛑羞x擇“通過Internet連接到專用網(wǎng)絡(luò)”，點(diǎn)擊“下一步”；

③ 輸入連接的VPN服務(wù)器的名稱和IP地址，點(diǎn)擊“下一步“，后續(xù)內(nèi)容都使用默認(rèn)選項(xiàng)，完成配置過程；

④ 雙擊“虛擬專用連接“，在彈出的對話框中輸入用戶帳號(hào)與密碼等數(shù)據(jù)后，單擊“確定”就可以登錄到VPN服務(wù)器了；

5.連接完成后，在VPN客戶端通過ipconfig命令查看遠(yuǎn)程連接所獲得的IP地址。

步驟二IPsec VPN的配置方法

1.PPTP進(jìn)行連接

2.安裝證書服務(wù)（注意在安裝證書服務(wù)的時(shí)候，要同時(shí)安裝WEB服務(wù)，因?yàn)橥ㄟ^瀏覽器申請證書，需要WEB服務(wù)的支持）。本實(shí)驗(yàn)的證書服務(wù)器的IP地址為192.168.104.1。

? 在“添加/刪除程序”中選擇“添加/刪除WINDOWS組件”，選擇安裝“證書服務(wù)”和“Internet信服務(wù)（IIS）”

? 選擇CA類型為“獨(dú)立根CA”

? 輸入CA標(biāo)識(shí)信息

? 確認(rèn)數(shù)據(jù)存儲(chǔ)位置，完成安裝

注意：實(shí)驗(yàn)室中I386的存放位置在“F:應(yīng)用軟件win2k I386” 3.為VPN服務(wù)器和客戶端申請IPsec證書，下載并且安裝所申請的證書。

? 首先為VPN服務(wù)器申請“IPsec證書”，在IE瀏覽器中輸入“證書服務(wù)器的IP地址certsrv”，在彈出的證書服務(wù)頁面中選擇“申請證書”，點(diǎn)擊“下一步”；

? 選擇高級(jí)證書申請

? 選擇“使用表格向這個(gè)CA提交一個(gè)證書申請”

在下圖的證書類型中選擇“IPsec證書”

將滾動(dòng)條往下拖動(dòng)，做如下的配置，注意勾選“使用本地機(jī)器保存”，點(diǎn)擊“提交”

到證書服務(wù)器上，打開證書頒發(fā)機(jī)構(gòu)，頒發(fā)該IPsec證書。VPN服務(wù)器所申請的證書會(huì)在證書服務(wù)器的證書頒發(fā)機(jī)構(gòu)的掛起的申請中，我們需要到證書服務(wù)器的證書頒發(fā)機(jī)構(gòu)中對該掛起的申請進(jìn)行頒發(fā)

查看證書掛起的狀態(tài)。頒發(fā)之后，回到VPN服務(wù)器上打開IE，下載由證書頒發(fā)機(jī)構(gòu)所頒發(fā)的證書，選擇“檢查掛起的證書”

? 點(diǎn)“安裝此證書”，VPN的證書安裝完成

提示：企業(yè)根CA只存在于域環(huán)境下，它的好處之一就是證書自動(dòng)頒發(fā)，而獨(dú)立CA需要到證書服務(wù)管理工具上手動(dòng)將掛起的證書進(jìn)行頒發(fā)

接下來要用相同的方法為客戶端申請證書（步驟省略）

2、當(dāng)VPN服務(wù)器和客戶端的證書申請完畢后，這個(gè)時(shí)候還不能通過證書信任來進(jìn)行IPsec的訪問，需要在VPN和客戶端上下載根CA證書及證書鏈，并導(dǎo)入到信任的證書頒發(fā)機(jī)構(gòu)列表中 以VPN服務(wù)器為例，選擇“檢索CA證書或證書吊銷列表”

? 選擇“下載CA證書”和“下載CA證書路徑”，將CA證書及證書鏈下載到桌面

? 找到下載的將CA證書及證書鏈，然后進(jìn)行下列的操作，安裝到“受信任的證書頒發(fā)機(jī)構(gòu)”

按照上面同樣的方式導(dǎo)入證書鏈。對于客戶端來說下載CA和CA鏈的方式以及導(dǎo)入的方式與VPN服務(wù)器完全相同，在此配置省略。

3、當(dāng)客戶端和VPN服務(wù)器的證書申請完畢后，最好重啟一下VPN服務(wù)和CA服務(wù)

4、將客戶端的VPN連接屬性改為L2TP證書驗(yàn)證。

等做完客戶端的配置之后，就可以使用IPsec VPN進(jìn)行安全的通信了。

四、實(shí)驗(yàn)結(jié)果及調(diào)試

1.粘貼實(shí)驗(yàn)步驟一完成后，使用IPCONFIG命令查看到的實(shí)驗(yàn)結(jié)果：

2.在內(nèi)網(wǎng)安裝FTP服務(wù)、WEB服務(wù)、共享服務(wù)，VPN客戶端撥入內(nèi)網(wǎng)后，嘗試使用局域網(wǎng)中的這些功能，并截圖粘帖在下方。

3.如何配置VPN服務(wù)器的回?fù)芄δ埽?/p>

4.描述客戶端申請證書的方法，并截圖粘貼在下方：

5.描述客戶端下載并安裝根CA證書及證書鏈的方法，并截圖粘貼在下方： 6.粘貼實(shí)驗(yàn)步驟二完成后，使用IPCONFIG命令查看到的實(shí)驗(yàn)結(jié)果： 7.VPN客戶端進(jìn)行撥號(hào)連接時(shí)，使用sniffer截獲數(shù)據(jù)，并粘貼在下方：

第四篇：VPN定義

VPN

開放分類： 互聯(lián)網(wǎng)、網(wǎng)絡(luò)、電腦、技術(shù)

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。下面我們結(jié)合本站有關(guān)思科及微軟關(guān)于VPN方面的文章為大家介紹這方面的資訊，更多更豐富的相關(guān)方面內(nèi)容我們將在以后日子里進(jìn)行補(bǔ)充。

針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對應(yīng)。

======

虛擬專用網(wǎng)(VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。

虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

目前很多單位都面臨著這樣的挑戰(zhàn)：分公司、經(jīng)銷商、合作伙伴、客戶和外地出差人員要求隨時(shí)經(jīng)過公用網(wǎng)訪問公司的資源,這些資源包括:公司的內(nèi)部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項(xiàng)目管理系統(tǒng)等?，F(xiàn)在很多公司通過使用IPSec VPN來保證公司總部和分支機(jī)構(gòu)以及移動(dòng)工作人員之間安全連接。

對于很多IPSec VPN用戶來說，IPSec VPN的解決方案的高成本和復(fù)雜的結(jié)構(gòu)是很頭疼的。存在如下事實(shí)：在部署和使用軟硬件客戶端的時(shí)候，需要大量的評(píng)價(jià)、部署、培訓(xùn)、升級(jí)和支持，對于用戶來說，這些無論是在經(jīng)濟(jì)上和技術(shù)上都是個(gè)很大的負(fù)擔(dān)，將遠(yuǎn)程解決方案和昂貴的內(nèi)部應(yīng)用相集成，對任何IT專業(yè)人員來說都是嚴(yán)峻的挑戰(zhàn)。由于受到以上IPSec VPN的限制，大量的企業(yè)都認(rèn)為IPSec VPN是一個(gè)成本高、復(fù)雜程度高，甚至是一個(gè)無法實(shí)施的方案。為了保持競爭力，消除企業(yè)內(nèi)部信息孤島，很多公司需要在與企業(yè)相關(guān)的不同的組織和個(gè)人之間傳遞信息，所以很多公司需要找一種實(shí)施簡便，不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，運(yùn)營成本低的解決方案。

----從概念上講，IP-VPN是運(yùn)營商(即服務(wù)提供者)支持企業(yè)用戶應(yīng)用的方案。一個(gè)通用的方法可以適用于由一個(gè)運(yùn)營商來支持的、涉及其他運(yùn)營商網(wǎng)絡(luò)的情況（如運(yùn)營商的運(yùn)營商）。

----圖1給出了實(shí)現(xiàn)IP-VPN的一個(gè)通用方案。其中，CE路由器是用于將一個(gè)用戶站點(diǎn)接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務(wù)提供者的邊緣路由器。

----站點(diǎn)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)，它們是用戶網(wǎng)絡(luò)的一部分，并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點(diǎn)，一個(gè)站點(diǎn)可以同時(shí)位于不同的幾個(gè)VPN之中。

----圖2顯示了一個(gè)服務(wù)提供者網(wǎng)絡(luò)支持多個(gè)VPN的情況。如圖2所示，一個(gè)站點(diǎn)可以同時(shí)屬于多個(gè)VPN。依據(jù)一定的策略，屬于多個(gè)VPN的站點(diǎn)既可以在兩個(gè)VPN之間提供一定的轉(zhuǎn)發(fā)能力，也可以不提供這種能力。當(dāng)一個(gè)站點(diǎn)同時(shí)屬于多個(gè)VPN時(shí)，它必須具有一個(gè)在所有VPN中唯一的地址空間。

----MPLS為實(shí)現(xiàn)IP-VPN提供了一種靈活的、具有可擴(kuò)展性的技術(shù)基礎(chǔ)，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來決定自己的網(wǎng)絡(luò)如何支持IP-VPN。所以，在MPLS/ATM網(wǎng)絡(luò)中,有多種支持IP-VPN的方法，本文介紹其中兩種方法。

方案一

----本節(jié)介紹一種在公共網(wǎng)中使用MPLS提供IPVPN業(yè)務(wù)的方法。該方法使用LDP的一般操作方式，即拓?fù)潋?qū)動(dòng)方式來實(shí)現(xiàn)基本的LSP建立過程，同時(shí)使用兩級(jí)LSP隧道(標(biāo)記堆棧)來支持VPN的內(nèi)部路由。

----圖3 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的一種由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置。

----LER(標(biāo)記邊緣路由器)

----LER是MPLS的邊緣路由器，它位于MPLS/ATM服務(wù)提供者網(wǎng)絡(luò)的邊緣。對于VPN用戶的IP業(yè)務(wù)量，LER將是VPN隧道的出口與入口節(jié)點(diǎn)。如果一個(gè)LER同時(shí)為多個(gè)用戶所共享，它還應(yīng)當(dāng)具有執(zhí)行虛擬路由的能力。這就是說，它應(yīng)當(dāng)為自己服務(wù)的各個(gè)VPN分別建立一個(gè)轉(zhuǎn)發(fā)表，這是因?yàn)椴煌琕PN的IP地址空間可能是有所重疊的。

----LSR(標(biāo)記交換路由器)

----MPLS/ATM核心網(wǎng)絡(luò)是服務(wù)提供者的下層網(wǎng)絡(luò)，它為用戶的IP-VPN業(yè)務(wù)所共享。

----建立IP-VPN區(qū)域的操作

----希望提供IP-VPN的網(wǎng)絡(luò)提供者必須首先對MPLS域進(jìn)行配置。這里的MPLS域指的就是IPVPN區(qū)域。作為一種普通的LDP操作，基本的LSP 建立過程將使用拓?fù)潋?qū)動(dòng)方法來進(jìn)行，這一過程被定義為使用基本標(biāo)記的、基本的或是單級(jí)LSP建立。而對于VPN內(nèi)部路由，則將使用兩級(jí)LSP隧道（標(biāo)記堆棧）。

----VPN成員

----每一個(gè)LER都有一個(gè)任務(wù)，即發(fā)現(xiàn)在VPN區(qū)域中為同一 IPVPN服務(wù)的其他所有LER。由于本方案最終目的是要建立第二級(jí)MPLS隧道，所以 LER發(fā)現(xiàn)對等實(shí)體的過程也就是LDP會(huì)話初始化的過程。每一個(gè)LER沿著能夠到達(dá)其他 LER的每一條基本網(wǎng)絡(luò)LSP，向下游發(fā)送一個(gè)LDP Hello消息。LDP Hello消息中會(huì)包含一個(gè)基本的MPLS標(biāo)記，以方便這些消息能夠最終到達(dá)目的LER。

----LDP Hello消息實(shí)際上是一種查詢消息，通過這一消息，發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個(gè)VPN的LER（對等實(shí)體）。新的Hello消息相鄰實(shí)體注冊完成之后，相關(guān)的兩個(gè)LER之間將開始發(fā)起LDP會(huì)話。隨后，其中一個(gè)LER將初始化與對方的TCP連接。當(dāng)TCP連接建立完成而且必要的初始化消息交互也完成之后，對等LER之間的會(huì)話便建立起來了。此后，雙方各自為對方到自己的LSP 隧道提供一個(gè)標(biāo)記。如果LSP隧道是嵌套隧道，則該標(biāo)記將被推入標(biāo)記棧中，并被置于原有的標(biāo)記之上。

----VPN成員資格和可到達(dá)性信息的傳播

----通過路由信息的交換，LER可以學(xué)習(xí)與之直接相連的、用戶站點(diǎn)的IP地址前綴。LER需要找到對等LER，還需要找到在一個(gè)VPN中哪些LER 是為同一個(gè)VPN服務(wù)的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會(huì)話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會(huì)話。

----VPN內(nèi)的可到達(dá)性

----最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當(dāng)一個(gè)LER被配置成一個(gè)IPVPN的一員時(shí)，配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在這一過程中，還可能會(huì)配置必要的安全保密特性，以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中，每一次發(fā)現(xiàn)階段結(jié)束之后，每一個(gè)LER 都將發(fā)布通過它可以到達(dá)的、VPN用戶的地址前綴。

----IP分組轉(zhuǎn)發(fā)

----LER之間的路由信息交互完成之后，各個(gè)LER都將建立起一個(gè)轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴(FEC轉(zhuǎn)發(fā)等價(jià)類)與下一跳聯(lián)系起來。當(dāng)收到的IP分組的下一跳是一個(gè)LER時(shí)，轉(zhuǎn)發(fā)進(jìn)程將首先把用于該LER的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧，隨后把能夠到達(dá)該LER的基本網(wǎng)絡(luò)LSP上下一跳的基本標(biāo)記推入標(biāo)記分組，接著帶有兩個(gè)標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP中的下一個(gè)LSR；當(dāng)該分組到達(dá)目的LER時(shí)，最外層的標(biāo)記可能已經(jīng)發(fā)生許多次的改變，而嵌套在內(nèi)部的標(biāo)記始終保持不變；當(dāng)標(biāo)記棧彈出后，繼續(xù)使用嵌套標(biāo)記將分組發(fā)送至正確的LER。在LER上，每一個(gè)VPN使用的嵌套標(biāo)記空間必須與該LER所支持的其他所有VPN使用的嵌套標(biāo)記空間不同。

方案二

----本節(jié)將對一種在公共網(wǎng)中使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來提供IP-VPN業(yè)務(wù)的方法進(jìn)行介紹，其技術(shù)細(xì)節(jié)可以參見RFC 2547。

----圖1 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的、由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置，圖4則給出了使用RFC 2547的網(wǎng)絡(luò)模型。

----提供者邊緣(PE)路由器

----PE路由器是與用戶路由器相連的服務(wù)提供者邊緣路由器。

----實(shí)際上，它就是一個(gè)邊緣LSR（即MPLS網(wǎng)絡(luò)與不使用 MPLS的用戶或服務(wù)提供者之間的接口）。

----用戶邊緣(CE)路由器

----CE路由器是用于將一個(gè)用戶站點(diǎn)接至PE路由器的用戶邊緣路由器。在這一方案中，CE路由器不使用MPLS，它只是一臺(tái)IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。

----提供者(P)路由器

----P路由器是指網(wǎng)絡(luò)中的核心LSR。

----站點(diǎn)（Site）

----站點(diǎn)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點(diǎn)。一個(gè)站點(diǎn)可以同時(shí)位于不同的幾個(gè)VPN之中。

----路徑區(qū)別標(biāo)志

----服務(wù)提供者將為每一個(gè)VPN分配一個(gè)唯一的標(biāo)志符，該標(biāo)志符稱為路徑區(qū)別標(biāo)志（RD）,它對應(yīng)于服務(wù)提供者網(wǎng)絡(luò)中的每一個(gè)Intranet或Extranet 都是不同的。PE路由器中的轉(zhuǎn)發(fā)表里將包含一系列唯一的地址，這些地址稱為VPNIP 地址，它們是由RD與用戶的IP地址連接而成的。VPNIP地址對于服務(wù)提供者網(wǎng)絡(luò)中的每一個(gè)端點(diǎn)都是唯一的，對于VPN中的每一個(gè)節(jié)點(diǎn)（即VPN中的每一個(gè)PE路由器），轉(zhuǎn)發(fā)表中都將存儲(chǔ)有一個(gè)條目。

----連接模型

----圖4給出了MPLS/BGP VPN的連接模型。

----從圖4中可以看出，P路由器位于MPLS網(wǎng)絡(luò)的核心。PE路由器將使用MPLS與核心MPLS網(wǎng)絡(luò)通信，同時(shí)使用IP路由技術(shù)來與CE路由器通信。P與PE路由器將使用IP路由協(xié)議（內(nèi)部網(wǎng)關(guān)協(xié)議）來建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實(shí)現(xiàn)路由器之間的標(biāo)記分發(fā)。

----PE路由器使用多協(xié)議BGP4來實(shí)現(xiàn)彼此之間的通信，完成標(biāo)記交換和每一個(gè)VPN策略。除非使用了路徑映射標(biāo)志（route reflector），否則PE 之間是BGP全網(wǎng)狀連接。特別地，圖4中的PE處于同一自治域中，它們之間使用內(nèi)部BGP（iBGP）協(xié)議。

----P路由器不使用BGP協(xié)議而且對VPN一無所知，它們使用普通的MPLS協(xié)議與進(jìn)程。

----PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑，也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進(jìn)程。CE路由器不必實(shí)現(xiàn)MPLS或?qū)PN有任何特別了解。

----PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實(shí)現(xiàn)路徑分發(fā)，BGP使用VPN-IP地址（由RD和IPv4地址構(gòu)成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會(huì)發(fā)生VPN-IP地址重復(fù)的情況。

----PE路由器將BGP計(jì)算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。

----這一方案使用兩級(jí)標(biāo)記：內(nèi)部標(biāo)記用于PE路由器對于各個(gè)VPN的識(shí)別，外部標(biāo)記則為MPLS網(wǎng)絡(luò)中的LSR所用——它們將使用這些標(biāo)記把分組轉(zhuǎn)發(fā)給正確的PE。

----建立IP-VPN區(qū)域的操作

----希望提供IP-VPN業(yè)務(wù)的網(wǎng)絡(luò)提供者必須按照連接需求對網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)與配置，這包括：PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進(jìn)行配置；MPLS網(wǎng)絡(luò)或者是一個(gè)路徑映射標(biāo)志中的PE路由器之間必須進(jìn)行對等關(guān)系的配置；為了與CE進(jìn)行通信，還必須進(jìn)行普通的路由協(xié)議配置；為了與MPLS核心網(wǎng)絡(luò)進(jìn)行通信，還必須進(jìn)行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持VPN。

>----VPN成員資格和可到達(dá)性信息的傳播

----PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息，并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。

----PE路由器通過與其BGP對等實(shí)體交換VPN-IP地址前綴來獲得到達(dá)目的VPN站點(diǎn)的路徑。另外，PE路由器還要通過BGP與其PE路由器對等實(shí)體交換標(biāo)記，以此確定PE路由器間連接所使用的LSP。這些標(biāo)記用作第二級(jí)標(biāo)記，P 路由器看不到這些標(biāo)記。

----PE路由器將為其支持的每一個(gè)VPN分別建立路由表和轉(zhuǎn)發(fā)表，與一個(gè)PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。

----IP分組轉(zhuǎn)發(fā)

----PE之間的路由信息交換完成之后，每一個(gè)PE都將為每一個(gè)VPN建立一個(gè)轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來。

----當(dāng)收到發(fā)自CE路由器的IP分組時(shí)，PE路由器將在轉(zhuǎn)發(fā)表中查詢該分組對應(yīng)的VPN。

----如果找到匹配的條目，路由器將執(zhí)行以下操作：

----如果下一跳是一個(gè)PE路由器，轉(zhuǎn)發(fā)進(jìn)程將首先把從路由表中得到的、該P(yáng)E路由器所對應(yīng)的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧；PE路由器把基本的標(biāo)記推入分組，該標(biāo)記用于把分組轉(zhuǎn)發(fā)到到達(dá)目的PE路由器的、基本網(wǎng)絡(luò)LSP上的第一跳；帶有兩級(jí)標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP上的下一個(gè)LSR。

----P路由器（LSR）使用頂層標(biāo)記及其路由表對分組繼續(xù)進(jìn)行轉(zhuǎn)發(fā)。當(dāng)該分組到達(dá)目的LER時(shí)，最外層的標(biāo)記可能已發(fā)生多次改變，而嵌套在內(nèi)部的標(biāo)記保持不變。

----當(dāng)PE收到分組時(shí)，它使用內(nèi)部標(biāo)記來識(shí)別VPN。此后，PE將檢查與該VPN相關(guān)的路由表，以便決定對分組進(jìn)行轉(zhuǎn)發(fā)所要使用的接口。

----如果在VPN路由表中找不到匹配的條目，PE路由器將檢查Internet路由表（如果網(wǎng)絡(luò)提供者具備這一能力）。如果找不到路由，相應(yīng)分組將被丟棄。

----VPNIP轉(zhuǎn)發(fā)表中包含VPNIP地址所對應(yīng)的標(biāo)記，這些標(biāo)記可以把業(yè)務(wù)流路由至VPN中的每一個(gè)站點(diǎn)。這一過程由于使用的是標(biāo)記而不是IP 地址，所以在企業(yè)網(wǎng)中，用戶可以使用自己的地址體系，這些地址在通過服務(wù)提供者網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)傳輸時(shí)無需網(wǎng)絡(luò)地址翻譯（NAT）。通過為每一個(gè)VPN使用不同的邏輯轉(zhuǎn)發(fā)表，不同的VPN業(yè)務(wù)將可以被分開。使用BGP協(xié)議，交換機(jī)可以根據(jù)入口選擇一個(gè)特定的轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表可以只列出一個(gè)VPN有效目的地址。

----為了建立企業(yè)的Extranet，服務(wù)提供者需要對VPN之間的可到達(dá)性進(jìn)行明確指定(可能還需要進(jìn)行NAT配置)。

----安全

----在服務(wù)提供者網(wǎng)絡(luò)中，PE所使用的每一個(gè)分組都將與一個(gè)RD相關(guān)聯(lián)，這樣，用戶無法將其業(yè)務(wù)流或者是分組偷偷送入另一個(gè)用戶的VPN。要注意的是，在用戶數(shù)據(jù)分組中沒有攜帶RD，只有當(dāng)用戶位于正確的物理端口上或擁有PE路由器中已經(jīng)配置的、適當(dāng)?shù)腞D時(shí)，用戶才能加入一個(gè)Intranet或 Extranet。這一建立過程可以保證非法用戶無法進(jìn)入VPN，從而為用戶提供與幀中繼、租用線或ATM業(yè)務(wù)相同的安全等級(jí)。

第五篇：VPN研究報(bào)告

一、前言

互聯(lián)網(wǎng)的普及、移動(dòng)通信技術(shù)的進(jìn)步、信息化程度的提高，使全世界的數(shù)字信息高度共

享成為可能。中國高校也越來越重視數(shù)字化校園的開發(fā)，依托先進(jìn)的網(wǎng)絡(luò)技術(shù)開展電化教學(xué)、電子教學(xué)資源的建設(shè)。而作為電子教學(xué)資源的重點(diǎn)之一，電子圖書館的建設(shè)已經(jīng)成為當(dāng)今數(shù)字化校園建設(shè)的新亮點(diǎn)。國內(nèi)很多高校近幾年都從網(wǎng)上購置了大量的電子數(shù)據(jù)供廣大師生開展教學(xué)研究。這些資源對于學(xué)校學(xué)科建設(shè)和科學(xué)研究工作有很重要的意義，數(shù)字圖書館的建設(shè)和應(yīng)用已經(jīng)成為高校信息化建設(shè)和現(xiàn)代教育技術(shù)改革工作的一大重點(diǎn)。

二、選題背景

隨著教育信息化的深入，很多學(xué)校都建立了校園網(wǎng)，為了實(shí)現(xiàn)校內(nèi)資源優(yōu)化整合，讓師

生們更好的進(jìn)行工作和學(xué)習(xí)，他們需要在校園網(wǎng)內(nèi)部或在校外的遠(yuǎn)程節(jié)點(diǎn)上，隨時(shí)享受校園網(wǎng)內(nèi)部的各項(xiàng)服務(wù)，然而由于互聯(lián)網(wǎng)黑客對各高校的資源虎視眈眈，在沒有經(jīng)過任何允許的情況下，黑客們很容易就潛入校園網(wǎng)內(nèi)部進(jìn)行搗亂，為此，多數(shù)校園網(wǎng)都不會(huì)將自己的各種應(yīng)用系統(tǒng)和所有信息資源完全開放，因?yàn)檫@樣讓整個(gè)校園網(wǎng)面臨無以估量的破壞性損失，為了網(wǎng)絡(luò)安全考慮，將vpn技術(shù)應(yīng)用于基于公共互聯(lián)網(wǎng)構(gòu)架的校園網(wǎng)，可以較好的解決校園網(wǎng)多校區(qū)、遠(yuǎn)程訪問、遠(yuǎn)程管理等問題。

三、vpn簡介

虛擬專用網(wǎng)（vpn）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安

全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

四、vpn功能

vpn可以提供的功能： 防火墻功能、認(rèn)證、加密、隧道化。

vpn可以通過特殊的加密的通訊協(xié)議在連接在internet上的位于不同地方的兩個(gè)或多個(gè)

企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。vpn技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或windows 2000等軟件里也都支持vpn功能，一句話，vpn的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

五、vpn常用的網(wǎng)絡(luò)協(xié)議

常用的虛擬私人網(wǎng)絡(luò)協(xié)議有：

ipsec : ipsec(縮寫ip security)是保護(hù)ip協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對ip協(xié)議分組進(jìn)行加密和認(rèn)證。ipsec作為一個(gè)協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護(hù)分組流的協(xié)議；(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個(gè)部分： vpn加密分組流的封裝安全載荷（esp）及較少使用的認(rèn)證頭（ah），認(rèn)證頭提供了對分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，ike協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。

pptp: point to point tunneling protocol--點(diǎn)到點(diǎn)隧道協(xié)議。在因特網(wǎng)上建立ip虛擬專用網(wǎng)

（vpn）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。l2f: layer 2 forwarding--第二層轉(zhuǎn)發(fā)協(xié)議

l2tp: layer 2 tunneling protocol--第二層隧道協(xié)議 gre：vpn的第三層隧道協(xié)議

六、vpn研究問題

? vpn如何解決校園網(wǎng)安全風(fēng)險(xiǎn)

對于校園網(wǎng)而言，它雖然給師生帶來了資源共享的便捷，但同時(shí)也意味著具有安全風(fēng)險(xiǎn)，比如非授權(quán)訪問，沒有預(yù)先經(jīng)過授權(quán)，就使用校園網(wǎng)絡(luò)或計(jì)算機(jī)資源；信息泄漏或丟失，重要數(shù)據(jù)在有意或無意中被泄漏出去或丟失；以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息；不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓；利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒等。那么，校園網(wǎng)利用vpn技術(shù)方案，是否能避免校園網(wǎng)的潛在安全隱患，杜絕上述情況的發(fā)生呢？

vpn即虛擬私有網(wǎng)絡(luò)技術(shù)，它的安全功能包括：通道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密，實(shí)際工作時(shí)，遠(yuǎn)程外網(wǎng)客戶機(jī)向校園網(wǎng)內(nèi)的vpn服務(wù)器發(fā)出請求，vpn服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到vpn服務(wù)端，vpn服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，vpn服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，vpn服務(wù)器接受此連接。在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密。簡單來說，vpn可以通過對校園網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行封包和加密傳輸，在互聯(lián)網(wǎng)公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別。? 選擇ipsec vpn還是ssl vpn 校園網(wǎng)vpn方案可以通過公眾ip網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動(dòng)辦公人員等連接起來，減輕了校園網(wǎng)的遠(yuǎn)程訪問費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開支，不過對于端到端的安全數(shù)據(jù)通訊，還需要根據(jù)實(shí)際情況采取不同的架構(gòu)。一般而言，ipsec vpn和ssl vpn是目前校園網(wǎng)vpn方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，總體來說，ipsec vpn是提供站點(diǎn)與站點(diǎn)之間的連接，比較適合校園網(wǎng)內(nèi)分校與分校的連接；而ssl vpn則提供遠(yuǎn)程接入校園網(wǎng)服務(wù)，比如適合校園網(wǎng)與外網(wǎng)的連接。

從vpn技術(shù)架構(gòu)來看，ipsec vpn是比較理想的校園網(wǎng)接入方案，由于它工作在網(wǎng)絡(luò)層，可以對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，可以實(shí)現(xiàn)internet多專用網(wǎng)安全連接，而不管是哪類網(wǎng)絡(luò)應(yīng)用，它將遠(yuǎn)程客戶端置于校園內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。ipsec vpn還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置ipsec客戶端軟件和接入設(shè)備，這大大提高了安全級(jí)別，因?yàn)樵L問受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的限制。而且這些ipsec客戶端軟件能實(shí)現(xiàn)自動(dòng)安裝，不需要用戶參與，因而無論對網(wǎng)管還是終端用戶，都可以減輕安裝和維護(hù)上的負(fù)擔(dān)。? vpn為校園網(wǎng)帶來哪些應(yīng)用

在校園網(wǎng)中，通過vpn給校外住戶、分校區(qū)用戶、出差遠(yuǎn)程辦公用戶、遠(yuǎn)程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。那么，vpn能為校園網(wǎng)帶來哪些具體應(yīng)用優(yōu)勢呢？首先就是辦公自動(dòng)化，比如校園辦公樓共有40個(gè)信息點(diǎn)，此時(shí)可以通過校園網(wǎng)連至internet用戶，實(shí)現(xiàn)100m甚至1000m到桌面的帶寬，并對財(cái)務(wù)科、人事科等科室進(jìn)行單獨(dú)子網(wǎng)管理。還可以利用vpn在校園網(wǎng)內(nèi)建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學(xué)校具有兩個(gè)多媒體教室，每個(gè)教室60臺(tái)pc，通過校園網(wǎng)上連至internet，實(shí)現(xiàn)遠(yuǎn)程多媒體教學(xué)的目的。也可以將學(xué)生、教職工宿舍區(qū)的pc通過校園網(wǎng)上連至internet，而不進(jìn)行任何布置。

校園網(wǎng)采用vpn技術(shù)可以降低使用費(fèi)，遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐膇sp申請賬戶登錄到internet，以internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；學(xué)?？梢怨?jié)省購買和維護(hù)通信設(shè)備的費(fèi)用。現(xiàn)在很多大學(xué)都有多個(gè)分校，各個(gè)分校和培訓(xùn)場所網(wǎng)絡(luò)整合使學(xué)校的信息化管理成本必然的增加，比如學(xué)校的數(shù)據(jù)存儲(chǔ)，許多學(xué)校都采用了分布式存儲(chǔ)方式，其具有較低的投資花費(fèi)和軟件部署的靈活性，然而其管理難度高，后期維護(hù)成本高，如果采取vpn服務(wù)器，可以對各分校進(jìn)行web通訊控制，同時(shí)又可以實(shí)現(xiàn)分校訪問互通。為了讓師生共享圖書資源，與國外高校合作交換圖書館數(shù)據(jù)，以及向國外商業(yè)圖書館交納版權(quán)費(fèi)，獲得更多電子文獻(xiàn)資料的瀏覽權(quán)，很多高校都建立了數(shù)字圖書館，但在應(yīng)用上也會(huì)產(chǎn)生相應(yīng)的約束性，比如說為了保證數(shù)據(jù)信息的知識(shí)產(chǎn)權(quán)，瀏覽者必須是已繳納版權(quán)費(fèi)的本校內(nèi)網(wǎng)地址，或則被校方授權(quán)過的內(nèi)部合法師生，此時(shí)采用vpn加密技術(shù)，數(shù)據(jù)在internet中傳輸時(shí)，internet上的用戶只看到公共的ip地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。不僅可以實(shí)現(xiàn)將校園網(wǎng)的連續(xù)性擴(kuò)展到校外；在校外可以訪問校內(nèi)未向互聯(lián)網(wǎng)開放的資源。同時(shí)又確保了校園數(shù)字圖書館的易用性和安全性。? vpn支持哪種校園網(wǎng)接入方式

在教育機(jī)構(gòu)的校園網(wǎng)，由于不同地區(qū)、不同學(xué)校的條件不同，它們選擇的網(wǎng)絡(luò)接入方式也有差異，比如條件不大好的中小學(xué)校，可能還在采取模擬電話、isdn、adsl撥號(hào)上網(wǎng)，而對于條件好的高校，則采取了光纖或ddn、幀中繼等專線連接，那么，vpn方案到底支持哪種接入方式呢？實(shí)際上，vpn可以支持最常用的網(wǎng)絡(luò)協(xié)議，因?yàn)樵趇nternet上組建vpn，用戶計(jì)算機(jī)或網(wǎng)絡(luò)需要建立到isp連接，與用戶上網(wǎng)接入方式相似，比如基于ip、ipx和netbui協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)都能使用vpn方案。

七、vpn在校園圖書館系統(tǒng)中的調(diào)查分析

數(shù)字圖書館的版權(quán)問題不容忽視，不管什么類型的圖書，都要遵循數(shù)字版權(quán)保護(hù)(digital rights management，drm)的規(guī)定，通過安全和加密技術(shù)控制數(shù)字內(nèi)容及其分發(fā)途徑，從而防止對數(shù)字產(chǎn)品非授權(quán)使用。

正是在這樣一種保護(hù)知識(shí)產(chǎn)權(quán)的背景下，高校圖書館所購買的電子資源大部分都有限制訪問的ip地址范圍。即:

1、采購的這些數(shù)據(jù)庫不是存放在圖書館服務(wù)器上，而是存儲(chǔ)在提供商的服務(wù)器上，圖書館支付費(fèi)用以后，數(shù)據(jù)庫服務(wù)商是根據(jù)訪問者的ip地址來判斷是否是經(jīng)過授權(quán)的用戶。

2、只要是從校園網(wǎng)出去的ip地址都是認(rèn)可的，因?yàn)樾@網(wǎng)出口ip和部分公網(wǎng)ip地址是屬于這個(gè)有限范圍的，所以校園網(wǎng)上的所有上網(wǎng)計(jì)算機(jī)都可以使用。

3、如果教師、學(xué)生在家里上網(wǎng)或者一個(gè)老師到外地出差需要訪問這些電子資源，無論采用pstn撥號(hào)、adsl、小區(qū)寬帶，使用的都是社會(huì)網(wǎng)絡(luò)運(yùn)營商提供的ip地址，不是校園網(wǎng)的ip地址范圍，因此數(shù)據(jù)庫服務(wù)商認(rèn)為是非授權(quán)用戶，拒絕訪問。當(dāng)然，我們也可以要求服務(wù)商進(jìn)一步開放更多的ip地址為合法用戶，但是這要求訪問者的ip地址是固定的、靜態(tài)的，而實(shí)際上，絕大多數(shù)校外用戶使用的都是動(dòng)態(tài)ip地址，是不確定的，所以數(shù)據(jù)庫服務(wù)商無法確定訪問者的合法身份，因而自動(dòng)屏蔽。

因此，就需要一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問電子圖書館的解決方案，將校園網(wǎng)當(dāng)作校外用戶的中轉(zhuǎn)站，使校外用戶通過鑒權(quán)后擁有校內(nèi)地址再訪問資源數(shù)據(jù)庫。到底有沒有這樣一種方案呢?虛擬專用網(wǎng)即vpn技術(shù)，給了我們很好的答案。vpn是虛擬專用網(wǎng)的簡稱，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠isp(internet service provider 服務(wù)提供商)和其它nsp(networkservice provider網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的物理鏈路資源動(dòng)態(tài)組成的。

實(shí)際上，目前國內(nèi)已經(jīng)有不少高校采用了或者正常嘗試使用vpn技術(shù)來解決這個(gè)問題，而且大多是采用的ipsec vpn技術(shù)。利用ipsec技術(shù)，校外用戶在本機(jī)安裝一個(gè)vpn客戶端軟件后經(jīng)過配置連入圖書館網(wǎng)絡(luò)，ipsec vpn中心端會(huì)給每個(gè)遠(yuǎn)程用戶分配一個(gè)校園網(wǎng)ip地址，從而實(shí)現(xiàn)遠(yuǎn)程用戶以校園網(wǎng)用戶身份訪問電子資源。

雖說ipsec vpn是目前vpn的主流技術(shù)之一，但ipsec協(xié)議最初是為了解決site to site的安全問題而制定的，因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案在面臨越來越多的end to site應(yīng)用情況下已經(jīng)力不從心。

首先是客戶端配置問題:在每個(gè)遠(yuǎn)程接入的終端都需要安裝相應(yīng)的ipsec客戶端，并且需要做復(fù)雜的配置，隨著這種遠(yuǎn)程接入客戶端安裝數(shù)量的增多將給網(wǎng)絡(luò)管理員帶來巨大的挑戰(zhàn)。雖然一些領(lǐng)先的公司已經(jīng)解決了ipsec 客戶端難以配置和維護(hù)的問題，但是還是無法避免在每個(gè)終端上安裝客戶端的麻煩，而且即使這些客戶端很少出問題，但隨著用戶數(shù)量的增多，每天需要維護(hù)的客戶端絕對數(shù)量也不少。

其次是ipsec vpn自身安全問題:往往傳統(tǒng)的ipsec 解決方案都沒有很好的解決移動(dòng)用戶接入到私有網(wǎng)絡(luò)的安全控制問題，這樣就為病毒傳播和黑客入侵提供了很多可能的途徑，并且在如何針對不同用戶身份設(shè)定對不同資源的訪問權(quán)限上也存在不少缺陷(隨著技術(shù)的發(fā)展，新興的vpn廠商已經(jīng)著手改進(jìn)這些問題并取得了相應(yīng)的成績)。

然后是對網(wǎng)絡(luò)的支持問題:傳統(tǒng)的ipsec vpn在網(wǎng)絡(luò)適應(yīng)性上都存在一些問題，雖然一些領(lǐng)導(dǎo)廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問題，但由于ipsec vpn對防火墻的安全策略的配置較為復(fù)雜(往往要開放一些非常用端口)，因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能做到百分之百完美。

最后是移動(dòng)設(shè)備支持問題:隨著未來通訊技術(shù)的發(fā)展，移動(dòng)終端的種類將會(huì)越來越多，ipsec 客戶端需要有更多的版本來適應(yīng)這些終端，但隨著終端種類的爆炸性增長，這幾乎是不可能的。

因此，ssl vpn技術(shù)應(yīng)運(yùn)而生。ssl vpn的突出優(yōu)勢在于web安全和移動(dòng)接入，它可以提供遠(yuǎn)程的安全接入，而無需安裝或設(shè)定客戶端軟件。ssl在web的易用性和安全性方面架起了一座橋梁。目前，對ssl vpn公認(rèn)的三大好處是:首先來自于它的簡單性，它不需要配置，可以立即安裝、立即生效;第二個(gè)好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的ssl協(xié)議就行;第三個(gè)好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開ie瀏覽器訪問圖書館的internet ip即可成功接入圖書館，ssl vpn技術(shù)采用了一種類似代理性質(zhì)的技術(shù)，所有的訪問都是以ssl vpn設(shè)備的lan口的名義發(fā)起的，所以只要ssl vpn設(shè)備的lan口ip是一個(gè)合法的校園網(wǎng)ip，所有成功接入ssl的校外用戶都可以成功訪問這個(gè)ssl vpn設(shè)備lan口所能訪問的資源。

但ssl vpn并不能取代ipsec vpn。因?yàn)?，這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。ssl vpn考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在web的遠(yuǎn)程安全接入方面;而ipsec vpn是在兩個(gè)局域網(wǎng)之間通過internet建立的安全連接，保護(hù)的是點(diǎn)對點(diǎn)之間的通信，并且，ipsec工作于網(wǎng)絡(luò)層，不局限于web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴(kuò)展性更強(qiáng)。從高校應(yīng)用來看，由于ssl接入方式下所有用戶的訪問請求都是從ssl vpn設(shè)備的lan口發(fā)起的，對于那些對單個(gè)用戶流量有嚴(yán)格限制的資源商來說，這些ssl用戶的訪問會(huì)被當(dāng)成一個(gè)用戶對待，很快就會(huì)因?yàn)檫_(dá)到資源商的流量限制而造成該ip被禁用，也就導(dǎo)致所有ssl用戶無法繼續(xù)訪問圖書館資源。

那么，高校圖書館應(yīng)該選擇何種vpn技術(shù)以解決目前校外用戶合理訪問圖書館各類資源的需求呢?從目前圖書館使用的情況來看，比較合理的應(yīng)用方式應(yīng)該是ipsec和ssl共同使用。

正如我們前面所分析的，上游資源商對于資源的應(yīng)用是有限制的，除了限制發(fā)起請求的ip地址外，還會(huì)限制單個(gè)ip地址所產(chǎn)生的流量，因此在圖書館大量的校外用戶群中，我們將用戶分為兩個(gè)類型，一類是使用圖書館資源較為頻繁、訪問數(shù)據(jù)量較大的用戶(以教師為主，數(shù)量較少)，另一類則是使用次數(shù)較少、訪問數(shù)據(jù)不多的用戶(以學(xué)生為主，數(shù)量較多)，通過用戶劃分，我們給訪問量大但數(shù)量少的教師用戶分配ipsec接入方式，這樣就可以把大量的用戶流量分配到不同的ip地址上，避免單個(gè)ip流量過大造成的問題，而那些數(shù)量眾多但訪問量小的學(xué)生用戶分配ssl接入方式，利用ssl vpn無需部署客戶端的特性大大降低客戶端的維護(hù)工作量，從而實(shí)現(xiàn)vpn在圖書館應(yīng)用的快速部署。經(jīng)過長時(shí)間的測試，華師圖書館選擇使用國內(nèi)專業(yè)vpn廠商深信服科技推出了ipsec/ssl 一體化vpn平臺(tái):sinfor m5100-s。該產(chǎn)品在一臺(tái)網(wǎng)關(guān)上同時(shí)集成了ipsec和ssl vpn功能，利用兩種技術(shù)的集成很好解決了圖書館應(yīng)用的需求，同時(shí)一體化的設(shè)計(jì)能夠大幅度的降低整個(gè)vpn產(chǎn)品的投入，滿足教育行業(yè)低成本高效率it建設(shè)的需求。

八、結(jié)論

vpn技術(shù)代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢,它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)性能的優(yōu)點(diǎn)(安全和qos)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)(簡單和低成本),能夠提供遠(yuǎn)程訪問,外部網(wǎng)和內(nèi)部網(wǎng)的安全連接,建設(shè)與維護(hù)費(fèi)用比專線網(wǎng)絡(luò)要低得多.而且,vpn在降低成本的同時(shí)滿足了對網(wǎng)絡(luò)帶寬,接入和服務(wù)不斷增加的需求.根據(jù)調(diào)查數(shù)據(jù)表明,用vpn替代租用線路來連接遠(yuǎn)程站點(diǎn)可節(jié)約20%～47%的開支,這么一種經(jīng)濟(jì),安全和靈活的技術(shù),在國外圖書館已經(jīng)逐步普及.在國內(nèi),一些高校圖書館也開始應(yīng)用vpn技術(shù)實(shí)現(xiàn)多校區(qū)圖書館互聯(lián)和開展一些遠(yuǎn)程文獻(xiàn)信息服務(wù).vpn技術(shù)在高校圖書館的應(yīng)用,必將提高圖書館利用效率,為圖書館的遠(yuǎn)程文獻(xiàn)信息服務(wù)打開新局面,尤其為多校區(qū)圖書館之間資源的共享提供安全,高效,經(jīng)濟(jì)的網(wǎng)絡(luò)傳輸和數(shù)據(jù)訪問途徑.隨著vpn技術(shù)的日益成熟,它將在圖書館得到更為廣泛的應(yīng)用。