第一篇：VPN技術(shù)的學(xué)習(xí)總結(jié)

VPN技術(shù)的學(xué)習(xí)總結(jié)

在網(wǎng)絡(luò)安全課程的學(xué)習(xí)過(guò)程中，我對(duì)網(wǎng)絡(luò)安全有了一些了解和認(rèn)識(shí)。特別是它的基礎(chǔ)概念，網(wǎng)絡(luò)安全的具體要求，安全通信模型以及目前廣泛使用的安全技術(shù)等知識(shí)。其中VPN技術(shù)是目前安全通信中既能保證一定的安全性又具有經(jīng)濟(jì)性的一項(xiàng)技術(shù)，因此它目前的市場(chǎng)應(yīng)用十分廣泛。所以在學(xué)習(xí)完這門(mén)課程后，我想對(duì)所有學(xué)過(guò)的知識(shí)做一個(gè)梳理，然后把我比較感興趣的VPN技術(shù)做深入一些的學(xué)習(xí)和整理。

1.網(wǎng)絡(luò)安全的基本概念

網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)男畔①Y源的安全性。而其安全性包括計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全的威脅包括：計(jì)算機(jī)病毒，蠕蟲(chóng)，木馬，拒絕服務(wù)攻擊，邏輯炸彈，后門(mén)和隱蔽通道等。

在網(wǎng)絡(luò)信息傳輸?shù)倪^(guò)程中，信息的安全特性包括：機(jī)密性，完整性，可用性，不可否認(rèn)性，可控性，可審查性，可恢復(fù)性。只有在滿(mǎn)足了以上特性的信息傳輸才被認(rèn)為是安全的。因此相對(duì)應(yīng)于各個(gè)安全特性，網(wǎng)絡(luò)安全服務(wù)需要做到的有：認(rèn)證服務(wù)，訪問(wèn)控制服務(wù)，數(shù)據(jù)機(jī)密性服務(wù)，數(shù)據(jù)完整性服務(wù)，不可否認(rèn)服務(wù)。在認(rèn)證服務(wù)中，需要提供某個(gè)實(shí)體（人或系統(tǒng)）的身份保證，確保通信實(shí)體就是它們所聲稱(chēng)的實(shí)體。使用口令是一種提供認(rèn)證的熟知方法，數(shù)字證書(shū)和簽名也可以提供信息發(fā)送方的身份認(rèn)證。認(rèn)證是對(duì)付假冒攻擊的有效方法；

訪問(wèn)控制服務(wù)中，要能夠防止對(duì)系統(tǒng)資源（如計(jì)算資源、通信資源或信息資源）的非授權(quán)訪問(wèn)和非授權(quán)使用，確保只有授權(quán)的實(shí)體才能訪問(wèn)授權(quán)的資源。訪問(wèn)控制直接支持機(jī)密性、完整性、可用性以及合法使用等安全目標(biāo)。訪問(wèn)控制系統(tǒng)的關(guān)鍵是制定訪問(wèn)控制策略。它是系統(tǒng)安全防范中應(yīng)用最普遍和最重要的安全機(jī)制,可提供機(jī)密性和完整性服務(wù)。訪問(wèn)控制采用最小特權(quán)原則：即在給用戶(hù)分配權(quán)限時(shí)，根據(jù)每個(gè)用戶(hù)的任務(wù)特點(diǎn)使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶(hù)賦予其工作范圍之外的任何權(quán)力。

數(shù)據(jù)機(jī)密性服務(wù)，能夠保護(hù)信息不泄漏或不暴露給那些未授權(quán)掌握這一信息的實(shí)體（人或組織），確保授權(quán)實(shí)體才能理解受保護(hù)的信息，防止傳輸?shù)臄?shù)據(jù)遭到竊聽(tīng)、流量分析等被動(dòng)攻擊。機(jī)密性服務(wù)是通過(guò)加密機(jī)制來(lái)實(shí)現(xiàn)的，目前已有多種加密算法來(lái)保護(hù)數(shù)據(jù)的安全，可以根據(jù)不同的需求在網(wǎng)絡(luò)結(jié)構(gòu)的不同層次來(lái)實(shí)現(xiàn)。比如：若需保護(hù)全部通信業(yè)務(wù)流的機(jī)密性，可在物理層加密；若希望對(duì)端系統(tǒng)到端系統(tǒng)之間的通信進(jìn)行保護(hù)，可在網(wǎng)絡(luò)層加密。有時(shí)也可根據(jù)多個(gè)需求，在多個(gè)層次上提供加密。

數(shù)據(jù)完整性服務(wù)，是用來(lái)維護(hù)信息的一致性防止對(duì)信息的非授權(quán)篡改和破壞，使消息的接受者能判斷消息是否被修改或被攻擊者用假消息替換。數(shù)據(jù)完整性可以通過(guò)安全協(xié)議中的認(rèn)證頭AH協(xié)議，ESP協(xié)議，MAC算法等來(lái)保證。

不可否認(rèn)服務(wù)，其目的是保護(hù)通信用戶(hù)免遭來(lái)自系統(tǒng)中其他合法用戶(hù)的威脅，而不是來(lái)自未知攻擊者的威脅。通過(guò)公證機(jī)制的數(shù)字證書(shū)和時(shí)間戳可以保證信息發(fā)送方對(duì)發(fā)出的消息不能抵賴(lài)。

2.虛擬專(zhuān)用網(wǎng)VPN技術(shù)

虛擬專(zhuān)用網(wǎng)VPN（Virtual Private Network）技術(shù)是在公共傳輸網(wǎng)絡(luò)中采用隧道技術(shù)，形成邏輯私有的通訊網(wǎng)絡(luò)的技術(shù)。這樣對(duì)通信安全要求高的用戶(hù)就不需要向網(wǎng)絡(luò)運(yùn)營(yíng)商要求單獨(dú)牽一條專(zhuān)線，可以節(jié)省不少成本。VPN可實(shí)現(xiàn)數(shù)據(jù)公網(wǎng)傳輸?shù)臋C(jī)密性、完整性，對(duì)通信雙方的身份進(jìn)行認(rèn)證，并可解決異構(gòu)網(wǎng)傳輸問(wèn)題等。VPN可工作在很多層次，如工作在鏈路層的鏈路密碼技術(shù)，工作在IP層的IPSEC VPN，GRE封裝，工作在傳輸層的SSL VPN等。2.1.VPN系統(tǒng)的組成

VPN系統(tǒng)由以下七個(gè)部分組成，VPN服務(wù)器：接受來(lái)自VPN客戶(hù)機(jī)的連接請(qǐng)求。VPN客戶(hù)機(jī)：終端計(jì)算機(jī)或者路由器。隧道：數(shù)據(jù)傳輸通道，其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過(guò)封裝。隧道協(xié)議：封裝數(shù)據(jù)、管理隧道的通信標(biāo)準(zhǔn)。VPN連接：在VPN連接中，數(shù)據(jù)必須經(jīng)過(guò)加密。傳輸數(shù)據(jù)：經(jīng)過(guò)封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò)：如Internet，也可以是其他共享型網(wǎng)絡(luò)。下圖一直觀的顯示了VPN系統(tǒng)的組成。

圖一 VPN系統(tǒng)的組成

2.2.VPN系統(tǒng)通信流程與功能

首先，需要保護(hù)的主機(jī)發(fā)送明文信息到其VPN設(shè)備，其VPN設(shè)備根據(jù)管理員設(shè)置的規(guī)則,確定是對(duì)數(shù)據(jù)加密還是直接傳送。如果是需要加密的數(shù)據(jù),VPN 設(shè)備將其整個(gè)數(shù)據(jù)包進(jìn)行加密和簽名,加上新的數(shù)據(jù)報(bào)頭(包括目的地VPN設(shè)備需要的安全信息和初始化參數(shù))重新封裝;封裝后的數(shù)據(jù)包通過(guò)隧道在公網(wǎng)上傳輸;然后數(shù)據(jù)包到達(dá)目的VPN設(shè)備,收端VPN設(shè)備將數(shù)據(jù)包解封,核對(duì)簽名后,將數(shù)據(jù)包解密。

實(shí)現(xiàn)的基本功能有五項(xiàng)，分別是身份鑒別：包括驗(yàn)證用戶(hù)的身份，限制非授權(quán)用戶(hù)的時(shí)候訪問(wèn)了什么資源。不同的用戶(hù)對(duì)不同的資源應(yīng)有不同的訪問(wèn)權(quán)限；地址管理：為每個(gè)客戶(hù)分配一個(gè)地址，并保證地址對(duì)虛擬專(zhuān)用網(wǎng)外的不可見(jiàn)性；數(shù)據(jù)加密：保證通過(guò)公共網(wǎng)絡(luò)傳送的信息即使被他人截獲也不會(huì)泄密；密鑰管理：能夠?yàn)閂PN的客戶(hù)和服務(wù)器生成和更新加密密鑰；多協(xié)議支持：VPN必需能夠處理公共網(wǎng)絡(luò)常用的各種協(xié)議，包括IP、IPX等等； 2.3.VPN系統(tǒng)的分類(lèi)

Intranet VPN：用于集團(tuán)的總部和多個(gè)分支機(jī)構(gòu)之間；分支機(jī)構(gòu)網(wǎng)絡(luò)是集團(tuán)總部網(wǎng)絡(luò)的可靠延伸；

Extranet VPN：為集團(tuán)的供貨商、重要客戶(hù)和消費(fèi)者等商業(yè)伙伴提供訪問(wèn)權(quán)限；電子商務(wù)是Extranet VPN的一種特殊形式；

Access VPN：為移動(dòng)用戶(hù)遠(yuǎn)程訪問(wèn)集團(tuán)總部網(wǎng)絡(luò)提供服務(wù)； 2.4.關(guān)鍵技術(shù)

隧道技術(shù)：VPN的核心技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道由隧道協(xié)議形成，常用的有2、3層隧道協(xié)議。

密碼技術(shù)（由下面三項(xiàng)技術(shù)組成）

加解密技術(shù)：將認(rèn)證信息、通信數(shù)據(jù)等轉(zhuǎn)換為密文的相關(guān)技術(shù)，其可靠性主要取決于加解密的算法及強(qiáng)度。

密鑰管理技術(shù)：如何在公用網(wǎng)上安全地傳遞密鑰而不被竊取。身份認(rèn)證技術(shù)：在正式的隧道連接開(kāi)始之前需要確認(rèn)用戶(hù)的身份，以便系統(tǒng)進(jìn)一步實(shí)施資源訪問(wèn)控制或用戶(hù)授權(quán)。2.5.身份認(rèn)證方法

PAP（Password Authentication Protocol）：是一種簡(jiǎn)單的明文用戶(hù)名/口令認(rèn)證方式。

CHAP（Challenge Handshake Authentication Protocol詢(xún)問(wèn)握手身份驗(yàn)證協(xié)議）：是一種挑戰(zhàn)響應(yīng)式協(xié)議。它是PPP(MODEM或ADSL撥號(hào))中普遍使用的認(rèn)證協(xié)議。MS-CHAP：是微軟針對(duì)Windows系統(tǒng)設(shè)計(jì)的，采用MPPE加密用戶(hù)密碼和數(shù)據(jù)。

RADIUS（Remote Authentication Dial In User Service，遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證系統(tǒng)）：最初是由Livingston公司提出的，原先的目的是為撥號(hào)用戶(hù)進(jìn)行認(rèn)證和計(jì)費(fèi)。后來(lái)經(jīng)過(guò)多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議。

2.6.具體通信協(xié)議與方法 2.6.1.點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）

PPTP（point – to – point Tunneling Protocol）是1996年Microsoft 和Ascend等在PPP協(xié)議上開(kāi)發(fā)的支持Client-to-LAN類(lèi)型的VPN連接。PPTP 使用 PPP 撥號(hào)連接，通過(guò)對(duì)PPP 分組的封裝傳輸，將PPP 鏈接邏輯地延伸到遠(yuǎn)程用戶(hù)與企業(yè)總部的PPTP服務(wù)器之間，從而借用PPP 協(xié)議成熟的機(jī)制對(duì)用戶(hù)進(jìn)行身份鑒別、訪問(wèn)授權(quán)以及網(wǎng)絡(luò)配置，同時(shí)，通過(guò)PPTP封裝傳輸，也使得使用企業(yè)內(nèi)部地址的分組，能成功地穿越IP 異構(gòu)網(wǎng)絡(luò)，到達(dá)企業(yè)總部，以此達(dá)到資源共享。PPTP只能在兩端點(diǎn)間建立單一隧道。

PPTP工作模式分為被動(dòng)和主動(dòng)兩種模式。被動(dòng)模式中，PPTP會(huì)話通過(guò)一個(gè)一般位于ISP 處的前端處理器發(fā)起，客戶(hù)端不需安裝任何PPTP軟件，ISP 為用戶(hù)提供相應(yīng)的服務(wù)，這種方式降低了對(duì)客戶(hù)的要求，但限制了客戶(hù)對(duì)Internet 其他部分的訪問(wèn)。主動(dòng)模式中，客戶(hù)與網(wǎng)絡(luò)另一端的服務(wù)器直接建立PPTP隧道，不需ISP 的參與，不需位于ISP 處的前端處理器，ISP 只提供透明的傳輸通道。這種方式的優(yōu)點(diǎn)是客戶(hù)對(duì)PPTP有絕對(duì)的控制。

PPTP隧道機(jī)制的特點(diǎn)有，PPTP不提供數(shù)據(jù)安全性保證，它必須借助PPP 的加密機(jī)制，如MPPE（Window自帶），或者與其它安全協(xié)議如IPsec）結(jié)合使用，才能為隧道通信提供安全保護(hù)；由于PPP協(xié)議本身支持多協(xié)議傳輸，PPTP因此支持多協(xié)議傳輸； PPTP不支持多隧道復(fù)用，但通過(guò)呼叫ID 能支持對(duì)隧道的會(huì)話復(fù)用； PPTP通過(guò)GRE頭中的序列號(hào)支持有限的分組排序功能； PPTP協(xié)議的系統(tǒng)開(kāi)銷(xiāo)適中；除了有限的流量控制功能，PPTP也基本不能提供QoS 保障。2.6.2.第2層轉(zhuǎn)發(fā)L2F（Layer 2 Forward）協(xié)議

L2F（Layer 2 Forward）協(xié)議由Cisco公司提出，通過(guò)對(duì)PPP或SLIP分組的封裝傳輸，能使PPP/SLIP分組在多種網(wǎng)絡(luò)（如ATM、幀中繼和IP網(wǎng)絡(luò)）中傳輸。其標(biāo)準(zhǔn)于1998年提交IETF，發(fā)布在RFC 2341。L2F協(xié)議設(shè)計(jì)了L2F封裝頭, 形成L2F分組。L2F分組可在任何能提供點(diǎn)到點(diǎn)鏈接的底層媒體上發(fā)送。當(dāng)L2F分組在IP網(wǎng)絡(luò)上發(fā)送時(shí)，L2F分組將作為UDP協(xié)議的上層協(xié)議數(shù)據(jù)單元被封裝成為UDP報(bào)文，經(jīng)過(guò)IP協(xié)議發(fā)送。

以下是一個(gè)典型的L2F協(xié)議的實(shí)現(xiàn)：

圖二 L2F協(xié)議的典型實(shí)現(xiàn)

遠(yuǎn)程用戶(hù)通過(guò)ISDN/PSTN 網(wǎng)與NAS建立PPP 連接。VPN客戶(hù)機(jī)通過(guò)VPN撥號(hào)向NAS服務(wù)器發(fā)送請(qǐng)求，希望建立與遠(yuǎn)程HGW的VPN連接。NAS根據(jù)用戶(hù)名稱(chēng)等信息向HGW發(fā)送隧道建立連接請(qǐng)求，實(shí)現(xiàn)與HGW之間通過(guò)IP 網(wǎng)、幀中繼或其它網(wǎng)絡(luò)建立L2F 隧道，總部局域網(wǎng)通過(guò)HGW與外界連接。即遠(yuǎn)程用戶(hù)與NAS之間建立一條PPP 鏈接。這條鏈接被NAS與HGW之間的L2F 隧道邏輯地延伸到HGW。2.6.3.第2層隧道協(xié)議（L2TP）

因特網(wǎng)工程任務(wù)組（IETF）希望統(tǒng)一虛擬撥號(hào)的標(biāo)準(zhǔn)，由此產(chǎn)生了L2TP（Layer 2 Tunneling Protocol）協(xié)議。它由微軟、Ascend、Cisco、3COM等公司參予制定，結(jié)合了PPTP和L2F兩種協(xié)議的優(yōu)點(diǎn)，成為IETF標(biāo)準(zhǔn)RFC 2661。L2TP是典型的被動(dòng)式隧道協(xié)議，可讓用戶(hù)從客戶(hù)機(jī)或接入服務(wù)器發(fā)起VPN連接。L2TP協(xié)議設(shè)計(jì)了L2TP封裝頭，設(shè)計(jì)思想類(lèi)似于L2F頭。封裝形成的L2TP分組可在任何能提供點(diǎn)到點(diǎn)鏈接的媒體上發(fā)送，如IP網(wǎng)、ATM和幀中繼。當(dāng)L2TP分組在IP網(wǎng)上進(jìn)行發(fā)送時(shí)，L2TP分組被封裝入U(xiǎn)DP報(bào)文，再遞交給IP協(xié)議進(jìn)行發(fā)送。

而L2TP協(xié)議的工作流程如下：遠(yuǎn)程用戶(hù)通過(guò)PSTN或ISDN網(wǎng)，向ISP發(fā)起PPP鏈接請(qǐng)求。在ISP的呈現(xiàn)點(diǎn) POP處，LAC接受此連接，建立遠(yuǎn)程用戶(hù)到LAC的PPP鏈接。遠(yuǎn)程用戶(hù)與LAC互換LCP配置信息，并可能實(shí)現(xiàn)如CHAP身份鑒別信息的局部交換；

ISP的LAC依據(jù)CHAP應(yīng)答中的名字信息，確定是否對(duì)此遠(yuǎn)程用戶(hù)提供虛擬的撥號(hào)訪問(wèn)服務(wù)。若需要，則由名字信息確定該用戶(hù)的總部所在地，即目的LNS；

如果LAC與該LNS之間沒(méi)有建立隧道，或者因?yàn)楸ＷCQoS服務(wù)的需要，由LAC向LNS發(fā)起隧道的建立，并為該隧道分配一個(gè)隧道號(hào)，即Tunnel ID；并在隧道中為該用戶(hù)呼叫分配一個(gè)ID號(hào)，稱(chēng)Call ID。LAC隨后向LNS發(fā)出入站呼叫請(qǐng)求。該請(qǐng)求中可能包括LAC對(duì)遠(yuǎn)程用戶(hù)收集的鑒別信息以及其它配置信息；如果LNS接受此入站呼叫，則在LNS為此呼叫產(chǎn)生一個(gè)“虛擬接口”，該虛擬接口為L(zhǎng)2TP隧道的終點(diǎn)，其另一終點(diǎn)是建立于LAC上的一個(gè)L2TP虛擬接口；

LNS為遠(yuǎn)程用戶(hù)分配IP地址。LNS分配給遠(yuǎn)程用戶(hù)的IP地址由管理員設(shè)置，一般使用私有地址，但LAC和LNS需使用公共IP地址。從遠(yuǎn)程用戶(hù)發(fā)送的PPP幀到達(dá)LAC后，LAC上的L2TP虛擬接口將PPP幀封裝為L(zhǎng)2TP分組之中，在特定的傳輸媒體上發(fā)送。當(dāng)L2TP分組到達(dá)LNS端后，L2TP頭被剝?nèi)?，剩余的PPP或SLIP分組將與正常進(jìn)入的分組一樣被送入相應(yīng)的接口進(jìn)行處理。

從LNS發(fā)送到遠(yuǎn)程用戶(hù)的數(shù)據(jù)的處理過(guò)程與此完全相似。2.6.4.IP安全協(xié)議（IPSec）與SSL VPN VPN技術(shù)雖然種類(lèi)眾多，但I(xiàn)ETF下的IPSec工作組推出的IPSec協(xié)議是目前工業(yè)界IP VPN標(biāo)準(zhǔn)，安全性明顯優(yōu)于其它隧道協(xié)議,以IPSec協(xié)議構(gòu)建虛擬專(zhuān)用網(wǎng)已成為主流。

基于IPSec構(gòu)建IP VPN是指利用實(shí)現(xiàn)IPsec協(xié)議的安全網(wǎng)關(guān)（Security Gateway）充當(dāng)邊界路由器，完成安全的遠(yuǎn)程接入和在廣域網(wǎng)上內(nèi)部網(wǎng)絡(luò)的“虛擬”專(zhuān)線互聯(lián)等。

IPSec VPN的建立方式包括：Host 對(duì)Host，Host 對(duì)VPN 網(wǎng)關(guān)，VPN 對(duì)VPN 網(wǎng)關(guān)，Remote User 對(duì)VPN 網(wǎng)關(guān)，Host 對(duì)Host，Host 對(duì)VPN 網(wǎng)關(guān)，VPN 對(duì)VPN 網(wǎng)關(guān)，Remote User 對(duì)VPN 網(wǎng)關(guān)。SSL VPN主要供遠(yuǎn)程用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源時(shí)使用，包括Web服務(wù)、文件服務(wù)（包括FTP 服務(wù)、Windows網(wǎng)上鄰居服務(wù)）、可轉(zhuǎn)化為Web方式的應(yīng)用（如Webmail)以及基于C/S的各類(lèi)應(yīng)用等。SSL 應(yīng)用模式基本分為三類(lèi)：Web瀏覽器模式、專(zhuān)門(mén)的SSL VPN客戶(hù)端模式和LAN 到LAN 模式。

在Web瀏覽器模式中，SSL VPN服務(wù)器使用https和socks 協(xié)議（實(shí)現(xiàn)代理功能，負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)）。SSL VPN客戶(hù)端與SSL VPN服務(wù)器間使用https協(xié)議；而SSL VPN服務(wù)器與單位內(nèi)部服務(wù)器間使用http 協(xié)議。當(dāng)客戶(hù)端需要訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的C/S應(yīng)用時(shí)，它從SSL VPN服務(wù)器下載控件。該控件是一個(gè)服務(wù)監(jiān)聽(tīng)程序，用于將客戶(hù)端的C/S數(shù)據(jù)包轉(zhuǎn)換為Http 協(xié)議支持的連接方法，并通知SSL VPN服務(wù)器它所采用的通信協(xié)議（TCP/UDP）及訪問(wèn)的目的服務(wù)地址和端口。客戶(hù)端控件與SSL VPN服務(wù)器建立安全通道后，在本機(jī)接收客戶(hù)端數(shù)據(jù)包后，通過(guò)SSL 通道轉(zhuǎn)發(fā)給SSL VPN服務(wù)器。SSL VPN服務(wù)器解密數(shù)據(jù)后轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)的目的服務(wù)器。SSL VPN服務(wù)器接收到內(nèi)部網(wǎng)絡(luò)的服務(wù)器的響應(yīng)數(shù)據(jù)包后，通過(guò)SSL 通道發(fā)給客戶(hù)端控件?？蛻?hù)端控件解密后轉(zhuǎn)發(fā)給客戶(hù)端應(yīng)用程序。

3.學(xué)習(xí)總結(jié)

網(wǎng)絡(luò)安全技術(shù)是保證網(wǎng)絡(luò)通信過(guò)程中，傳遞信息的機(jī)密性，完整性，可用性，不可否認(rèn)性等。硬件層面的設(shè)備，線纜等安全性可以通過(guò)加強(qiáng)設(shè)計(jì)和提高生產(chǎn)技術(shù)來(lái)保證。軟件層面的通信安全就需要靠安全通信協(xié)議和對(duì)明文內(nèi)容的加密算法來(lái)實(shí)現(xiàn)。在通信網(wǎng)絡(luò)的OSI分層中，軟件層面的通信安全主要體現(xiàn)在網(wǎng)絡(luò)層，傳輸層，會(huì)話層，表示層。在每個(gè)層中，根據(jù)網(wǎng)絡(luò)通信類(lèi)型和服務(wù)不同，使用的安全協(xié)議也有區(qū)別。密鑰技術(shù)，數(shù)字證書(shū)技術(shù)等保證信息機(jī)密性，完整性，可用性，不可否認(rèn)性的技術(shù)主要工作在表示層。而VPN技術(shù)是從鏈路層到表示層都有一整套協(xié)議和通信方式的技術(shù)，在各個(gè)層都能夠保證信息不被篡改，閱讀，抵賴(lài)。所以幾乎能夠相當(dāng)于在用戶(hù)之間建立了一條專(zhuān)線進(jìn)行通信。

第二篇：vpn學(xué)習(xí)小結(jié)

VPN學(xué)習(xí)小結(jié)

1.VPN概述

隨著通信基礎(chǔ)設(shè)施建設(shè)和互聯(lián)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，各行各業(yè)紛紛借助互聯(lián)網(wǎng)絡(luò)技術(shù)來(lái)加快信息的流動(dòng)速度，提升企業(yè)的綜合競(jìng)爭(zhēng)力。VPN 技術(shù)，就是一種目前業(yè)界主流的解決異地網(wǎng)絡(luò)安全互連的加密通信協(xié)議。

VPN是Virtual Private Network（虛擬專(zhuān)用網(wǎng)絡(luò)）的簡(jiǎn)稱(chēng)，指綜合利用封裝技術(shù)、加密技術(shù)，密鑰交換技術(shù)、PKI技術(shù)，可以在公用的互聯(lián)網(wǎng)絡(luò)上，建立安全虛擬專(zhuān)用網(wǎng)絡(luò)。

VPN 是一個(gè)被加密或封裝的通信過(guò)程，該過(guò)程把數(shù)據(jù)安全地從一端傳送到另一端，這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來(lái)保障，而數(shù)據(jù)是在一個(gè)開(kāi)放的、有安全保障的互聯(lián)網(wǎng)上傳輸?shù)?。VPN 技術(shù)能夠有效保證信息安全傳輸中的性”、“完整性”和“不可抵賴(lài)性”。

實(shí)際上，VPN是一種依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在VPN服務(wù)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。用戶(hù)不再需要擁有成本極高的長(zhǎng)途數(shù)據(jù)線路，用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路，為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)，從而實(shí)現(xiàn)企業(yè)內(nèi)部多個(gè)分支機(jī)構(gòu)之間的數(shù)據(jù)通信、Voip電話、視頻會(huì)議等多種業(yè)務(wù)。

包沒(méi)“機(jī)密而是使

2.VPN主要技術(shù)

目前市場(chǎng)上多種 VPN技術(shù)并存，主要有以下幾種：

PPTP/L2TP：屬于上世紀(jì)末的技術(shù)，實(shí)現(xiàn)比較便捷，集成在 Windows 操作系統(tǒng)之中，使用方便。但技術(shù)過(guò)于簡(jiǎn)單，加密算法和協(xié)議的安全性以及性能吞吐率都很低，并發(fā)接入數(shù)目較低，屬于非主流的VPN 技術(shù)，基本已被淘汰。

MPLS VPN：在IP路由和控制協(xié)議的基礎(chǔ)上提供面向連接（基于標(biāo)記）的交換。MPLS VPN需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由器都能夠支持 MPLS，所以這種技術(shù)對(duì)網(wǎng)絡(luò)有較為特殊的要求。特別需要強(qiáng)調(diào)的是MPLS VPN的實(shí)施必須由運(yùn)營(yíng)商進(jìn)行。MPLS VPN適用于對(duì)于網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。MPLS VPN的用戶(hù)，需要通過(guò)光纖或者以太網(wǎng)接口FR（EDSL）專(zhuān)線接入電信骨干網(wǎng)絡(luò)，MPLS VPN服務(wù)給企業(yè)提供高帶寬的二層透明通路，企業(yè)可以自定義規(guī)劃其網(wǎng)絡(luò)結(jié)構(gòu)和地址。

IPSec VPN：目前市場(chǎng)主流 VPN技術(shù)，由于 IPSec是在 IP 層進(jìn)行加密和封裝，所以在性能表現(xiàn)強(qiáng)勁的同時(shí)，又能支持各種基于 IP 協(xié)議的網(wǎng)絡(luò)應(yīng)用，是國(guó)際上公認(rèn)的 IP 層 VPN技術(shù)標(biāo)準(zhǔn)。IPSec VPN 安全性好，對(duì) IP 應(yīng)用透明，性能高，靈活穩(wěn)定，易于擴(kuò)展，互通性強(qiáng)；適合網(wǎng)間互連（Site To Site）和客戶(hù)端接入互連（Client To Site）。但是，局限性主要在于在Client To Site的通訊模式下，移動(dòng)用戶(hù)需要安裝專(zhuān)門(mén)的VPN客戶(hù)端軟件，增添了使用和維護(hù)的復(fù)雜程度。

SSL VPN：專(zhuān)用于解決客戶(hù)端接入互連（Client To Site）的傳輸層VPN技術(shù)。移動(dòng)用戶(hù)不需要安裝VPN客戶(hù)端軟件，而使用WEB瀏覽器作為登陸方式。SSL VPN安全性好，使用靈活，不受網(wǎng)絡(luò)接入環(huán)境的限制，對(duì)應(yīng)用的控制粒度更細(xì)。但其局限性是：對(duì)許多 C/S應(yīng)用的支持能力較差，性能相對(duì)較低；并且不能滿(mǎn)足網(wǎng)間互連（Site To Site）的VPN連接需求，設(shè)備價(jià)格高昂，且SSL VPN 網(wǎng)關(guān)自身抗攻擊能力差，需要額外的防火墻或安全網(wǎng)關(guān)等防護(hù)設(shè)備的保護(hù)。

3.VPN產(chǎn)品分類(lèi)

根據(jù)產(chǎn)品應(yīng)用對(duì)象，VPN產(chǎn)品分為：

? 中小型企業(yè)VPN：百兆接口、嵌入式處理器 ? 大中型企業(yè)VPN：百兆接口、嵌入式處理器

? 大型企業(yè)VPN：千兆接口、X86架構(gòu)處理器、集成加密卡

? 面向骨干網(wǎng)絡(luò)和超大型企業(yè)VPN：千兆+光纖接口、至強(qiáng)處理器、集成加密卡

根據(jù)產(chǎn)品采用的技術(shù)，VPN產(chǎn)品分為： ? MPLS VPN ? IPSec VPN ? SSL VPN ? IPSec/SSL VPN

4.VPN產(chǎn)品主要功能

4.1.VPN產(chǎn)品通用功能

SSL VPN的關(guān)鍵技術(shù)包括：Web代理、端口轉(zhuǎn)發(fā)、應(yīng)用轉(zhuǎn)換、網(wǎng)絡(luò)連接(Network Connection, NC)，目前大部分的SSL VPN產(chǎn)品，都是以這幾項(xiàng)技術(shù)的一項(xiàng)或幾項(xiàng)為基礎(chǔ)研發(fā)實(shí)現(xiàn)的。那么，對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言，哪些技術(shù)尤其重要呢? 首先是Web代理技術(shù)。由于用戶(hù)需要訪問(wèn)內(nèi)網(wǎng)的Web應(yīng)用，而且希望訪問(wèn)方式盡量簡(jiǎn)便，而只有具備Web代理技術(shù)，SSL VPN產(chǎn)品才能做到100%零客戶(hù)端，才能為用戶(hù)提供最簡(jiǎn)便的接入方式，因此，Web代理技術(shù)對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言是一項(xiàng)必須技術(shù)，也是SSL VPN產(chǎn)品是否專(zhuān)業(yè)的重要標(biāo)準(zhǔn)之一。

除了Web代理技術(shù)，端口轉(zhuǎn)發(fā)技術(shù)的重要性也不容小覷。除了要訪問(wèn)除Web應(yīng)用外，用戶(hù)還需要經(jīng)常訪問(wèn)組織內(nèi)部的C/S架構(gòu)應(yīng)用，例如郵件、FTP、文件共享、數(shù)據(jù)庫(kù)、ERP等，這時(shí)，SSL VPN產(chǎn)品采用端口轉(zhuǎn)發(fā)技術(shù)實(shí)現(xiàn)對(duì)C/S應(yīng)用的處理，是再合適不過(guò)的了。

至于應(yīng)用轉(zhuǎn)換技術(shù)，目前國(guó)內(nèi)用戶(hù)需求并不迫切。由于SSL VPN產(chǎn)品需要把FTP、Email，SSH等應(yīng)用以Web的形式重新實(shí)現(xiàn)，實(shí)現(xiàn)起來(lái)比較復(fù)雜，還可能存在提供的功能不夠完整，界面不夠友好，不太符合用戶(hù)的操作習(xí)慣以及控件引用是不合法等一系列問(wèn)題。從另一個(gè)角度來(lái)看，用戶(hù)在沒(méi)有使用SSL VPN之前，都已經(jīng)習(xí)慣通過(guò)相應(yīng)的客戶(hù)端軟件對(duì)C/S應(yīng)用進(jìn)行訪問(wèn)，在使用SSL VPN后，仍然希望通過(guò)使用原來(lái)的客戶(hù)端軟件訪問(wèn)內(nèi)部的各種C/S應(yīng)用。由此看來(lái)，應(yīng)用轉(zhuǎn)換技術(shù)并不十分適應(yīng)于國(guó)內(nèi)的用戶(hù)，也并非是國(guó)產(chǎn)SSL VPN產(chǎn)品的必須功能。

最后再看NC技術(shù)，由于NC技術(shù)可以實(shí)現(xiàn)SSL VPN與應(yīng)用無(wú)關(guān)的特性，因此客戶(hù)端通過(guò)SSL VPN訪問(wèn)內(nèi)部整個(gè)子網(wǎng)的需求仍然存在。然而，在使用該功能時(shí)，需要給客戶(hù)端配置虛擬IP地址，這樣一來(lái)，就會(huì)遇到地址規(guī)劃上的一些問(wèn)題，在配置和使用上也比較復(fù)雜。目前，國(guó)內(nèi)已經(jīng)有SSL VPN廠商注意到這個(gè)問(wèn)題，為了更好地滿(mǎn)足用戶(hù)對(duì)易用性的要求，采用了一種“網(wǎng)絡(luò)層代理”技術(shù)，客戶(hù)端通過(guò)SSL VPN產(chǎn)品訪問(wèn)內(nèi)部整個(gè)子網(wǎng)時(shí)，不需要借助虛擬IP地址，也不需要改變內(nèi)網(wǎng)服務(wù)器網(wǎng)關(guān)指向，有效地解決了NC功能配置和使用復(fù)雜的難題。但目前，“網(wǎng)絡(luò)層代理”技術(shù)還存在一個(gè)問(wèn)題，即無(wú)法處理TCP連接由內(nèi)向外發(fā)起的應(yīng)用，無(wú)法做到“與應(yīng)用無(wú)關(guān)”。如果有SSL VPN產(chǎn)品能夠同時(shí)具備N(xiāo)C和網(wǎng)絡(luò)代理功能，將會(huì)受到更多國(guó)內(nèi)用戶(hù)的青睞。

以上列舉的只是SSL VPN產(chǎn)品的幾項(xiàng)主要技術(shù)，為了更好地滿(mǎn)足國(guó)內(nèi)用戶(hù)的需求，SSL VPN產(chǎn)品還必須在功能上進(jìn)一步貼近需求，不斷豐富，主要包括：

豐富的認(rèn)證方式：國(guó)內(nèi)用戶(hù)類(lèi)型眾多，對(duì)認(rèn)證方式和安全性要求也不盡相同。除了基本的本地口令外，動(dòng)態(tài)口令、短信口令、口令+動(dòng)態(tài)附加密、證書(shū)+USBKEY、口令+證書(shū)+USBKEY等多因素認(rèn)證方式也越來(lái)越常見(jiàn)，成為對(duì)SSL VPN產(chǎn)品的基本要求。此外，隨著CA體系在中國(guó)不斷健全，越來(lái)越多的用戶(hù)從專(zhuān)業(yè)的CA企業(yè)購(gòu)買(mǎi)服務(wù)，因此國(guó)產(chǎn)SSL VPN產(chǎn)品能否很好地與標(biāo)準(zhǔn)第三方CA系統(tǒng)兼容，能否提供標(biāo)準(zhǔn)OSCP、CRL等證書(shū)校驗(yàn)接口，在一定程度上決定了該產(chǎn)品能否應(yīng)用到用戶(hù)現(xiàn)有環(huán)境中。

線路優(yōu)化：國(guó)內(nèi)用戶(hù)常常向不同的ISP申請(qǐng)了多個(gè)公網(wǎng)IP提供服務(wù)。如果SSL VPN產(chǎn)品能夠利用多個(gè)網(wǎng)口通過(guò)多個(gè)公網(wǎng)IP對(duì)外提供接入訪問(wèn)，并可以根據(jù)接入客戶(hù)端的ISP來(lái)源選擇最佳路徑，那么將可以大大提高訪問(wèn)效率，更好地適應(yīng)國(guó)內(nèi)的網(wǎng)絡(luò)環(huán)境。

單點(diǎn)登錄：在用戶(hù)的內(nèi)網(wǎng)中，OA系統(tǒng)通常都帶認(rèn)證功能，使用者需要提交用戶(hù)名及口令才可登錄。加上SSL VPN后，用戶(hù)就首先要登錄SSL VPN，然后再次提交認(rèn)證信息登錄OA，導(dǎo)致重復(fù)認(rèn)證過(guò)程。為了簡(jiǎn)化登陸程序，SSL VPN產(chǎn)品應(yīng)該能記錄用戶(hù)登錄SSL VPN時(shí)的認(rèn)證信息，在用戶(hù)訪問(wèn)OA時(shí)，代替用戶(hù)提交認(rèn)證，用戶(hù)不需要再次輸入用戶(hù)名和口令就可打開(kāi)登錄成功后的頁(yè)面。

端點(diǎn)安全：安裝SSL VPN產(chǎn)品后，端點(diǎn)安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN，在連接SSL VPN隧道后是否允許訪問(wèn)互聯(lián)網(wǎng)，在SSL VPN客戶(hù)端注銷(xiāo)后，訪問(wèn)痕跡是否應(yīng)該清理，都是SSL VPN需要重點(diǎn)考慮的幾個(gè)安全問(wèn)題。目前，國(guó)內(nèi)很多SSL VPN產(chǎn)品也都有應(yīng)對(duì)措施。在客戶(hù)端主機(jī)接入之前，先檢測(cè)終端主機(jī)上是否具備管理員要求的某些特征，如操作系統(tǒng)版本、IE瀏覽器版本、是否運(yùn)行了殺毒軟件等等，如果不滿(mǎn)足安全策略，則拒絕連接。在建立隧道后，SSL VPN產(chǎn)品還可以禁止客戶(hù)端主機(jī)訪問(wèn)隧道以外的網(wǎng)絡(luò)以確保隧道安全;在終端用戶(hù)注銷(xiāo)后，還會(huì)自動(dòng)清除此次的訪問(wèn)痕跡，確保信息不被泄漏。此外，如果產(chǎn)品能實(shí)現(xiàn)帳號(hào)和客戶(hù)端主機(jī)特征綁定以及防偽造功能等，將可以進(jìn)一步提高客戶(hù)端的端點(diǎn)安全性。

應(yīng)用層防御：SSL VPN產(chǎn)品是以應(yīng)用為核心的安全接入產(chǎn)品，因此應(yīng)用層的安全防御必不可少。目前，防SQL注入，防跨站腳本和防非法URL訪問(wèn)等功能已經(jīng)出現(xiàn)在一些國(guó)內(nèi)品牌發(fā)上限控制功能，保障了應(yīng)用服務(wù)系統(tǒng)。安全審計(jì)：而言，SSL VPN哪個(gè)用戶(hù)、在什么時(shí)間，在什么地理位置通過(guò)哪個(gè)什么服務(wù)，訪問(wèn)了哪些條件(如時(shí)間范圍、瀏覽和下載。4.2.安達(dá)通4.2.1.特色功能? IPSec over HTTPS/HTTP ? 隧道接力技術(shù)? 虛地址互聯(lián)技術(shù)? 自動(dòng)路由技術(shù)? 多播隧道技術(shù)? 準(zhǔn)入控制技術(shù)? 動(dòng)態(tài)口令短信認(rèn)證技術(shù)4.2.2.負(fù)載均衡功能? 智能均衡上網(wǎng)技術(shù)SSL VPN產(chǎn)品上。甚至有廠商還提供了基于賬號(hào)的最大并有效防止了一個(gè)賬號(hào)惡意產(chǎn)生大量連接的DoS攻擊行為，有效

SSL VPN產(chǎn)品相對(duì)傳統(tǒng)VPN的優(yōu)勢(shì)之一就是審計(jì)更加詳細(xì)。相比IP地址。在日志中應(yīng)該可以記錄ISP登錄了SSL VPN，訪問(wèn)了Web頁(yè)面等等。另外，SSL VPN產(chǎn)品還應(yīng)該提供基于各種關(guān)鍵字等)的查詢(xún)功能，甚至可以根據(jù)時(shí)間范圍生成報(bào)表提供VPN產(chǎn)品主要功能

技術(shù)

產(chǎn)品更關(guān)注賬號(hào)而不僅僅只是 ? VPN多點(diǎn)接入和均衡技術(shù) ? VPN鏈路備份技術(shù)

4.2.3.VPN 移動(dòng)接入加速系統(tǒng)功能 4.2.4.防火墻功能

? 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù) ? 狀態(tài)檢測(cè)防火墻技術(shù) ? HTTP 檢測(cè)技術(shù) ? IP-MAC地址綁定技術(shù) ? 內(nèi)網(wǎng)用戶(hù)認(rèn)證技術(shù) ? IDS聯(lián)動(dòng)技術(shù)

4.2.5.其他功能

? 雙機(jī)熱備 ? 流量控制 ? 路由支持 ? 配置和升級(jí)管理 ? 日志管理

5.VPN典型應(yīng)用

5.1.單臂連接模式

“單臂連接”模式是用戶(hù)已有防火墻等設(shè)備時(shí)安達(dá)通首推的部署方式?！皢伪圻B接”模式指的是安全網(wǎng)關(guān)只接一個(gè)口到內(nèi)網(wǎng)交換機(jī)中，另外一個(gè)口不接線，即把安全網(wǎng)關(guān)設(shè)備當(dāng)作一臺(tái)服務(wù)器或主機(jī)，專(zhuān)門(mén)處理 VPN 報(bào)文的加解密。從實(shí)現(xiàn)技術(shù)上而言，單臂連接結(jié)合了串行連接和并行連接兩者的優(yōu)勢(shì)，實(shí)現(xiàn)了部署和性能的最優(yōu)化。在實(shí)施時(shí)，需要在防火墻（路由器）上為安全網(wǎng)關(guān)做靜態(tài)端口映射（靜態(tài) NAPT），同時(shí)也需要在防火墻（路由器）上添加靜態(tài)路由來(lái)解決要通過(guò)VPN的數(shù)據(jù)包正確流向的問(wèn)題。

結(jié)合”自動(dòng)路由”技術(shù)，單臂連接方式能在對(duì)用戶(hù)環(huán)境最小改動(dòng)的前提下部署 VPN，大大增加了VPN設(shè)備對(duì)網(wǎng)絡(luò)環(huán)境的適應(yīng)能力。

單臂連接實(shí)際案例配置示意圖如下所示：

上圖示例中總部局域網(wǎng)利用一臺(tái)防火墻通過(guò)光纖接入互聯(lián)網(wǎng)，防火墻外口 IP 地址為218.1.1.1，內(nèi)口IP 地址為192.168.1.1，現(xiàn)僅將安全網(wǎng)關(guān)的LAN 口接到內(nèi)網(wǎng)交換機(jī)。安全網(wǎng)關(guān)工作在路由模式下，LAN口IP 地址 192.168.1.254，WAN口任意設(shè)置一個(gè) IP 地址，比如為 1.1.1.1，總部?jī)?nèi)網(wǎng)只有一個(gè)子網(wǎng) 192.168.1.0/24。該單位有一異地分部，采用 ADSL 接入互聯(lián)網(wǎng)，并使用 SJW74A 安全網(wǎng)關(guān)作為接入設(shè)備，內(nèi)網(wǎng)也只有一個(gè)子網(wǎng)為 192.168.2.0/24。通過(guò)這樣的部署，可實(shí)現(xiàn)該分部與總部子網(wǎng)的 VPN 互連。同時(shí)還可實(shí)現(xiàn)移動(dòng)客戶(hù)端的遠(yuǎn)程接入（如上圖），客戶(hù)端的私有 IP 地址為172.16.1.1-10。

5.2.路由模式

“路由模式”是指VPN網(wǎng)關(guān)內(nèi)外網(wǎng)接口路由不同，網(wǎng)關(guān)本身要作為路由器或NAT 轉(zhuǎn)換設(shè)備，實(shí)現(xiàn)路由轉(zhuǎn)發(fā)以及對(duì)內(nèi)提供上網(wǎng)和對(duì)外提供服務(wù)等工作。一般用于新建的網(wǎng)絡(luò)中或者用戶(hù)準(zhǔn)備用VPN網(wǎng)關(guān)替代原有路由器/防火墻的地方。通過(guò)使用安達(dá)通自帶的初始化向?qū)Чぞ呖梢苑浅：?jiǎn)便的部署“路由模式”網(wǎng)關(guān)，典型部署示意如下圖：

上圖示例中，VPN 安全網(wǎng)關(guān)作為總部局域網(wǎng)的出口，對(duì)內(nèi)提供上網(wǎng)服務(wù)，對(duì)外提供 VPN接入服務(wù)。內(nèi)部 192.168.1.X 的 PC 用戶(hù)默認(rèn)網(wǎng)關(guān)指向 VPN 內(nèi)網(wǎng)口 192.168.1.1，通過(guò) NAT 映射訪問(wèn)公網(wǎng)和其他VPN子網(wǎng)。

5.3.透明模式

“透明模式”又稱(chēng)為“網(wǎng)橋模式”，是指安全網(wǎng)關(guān)接入在防火墻（路由器）與內(nèi)網(wǎng)之間，透明轉(zhuǎn)發(fā)除VPN報(bào)文之外所有數(shù)據(jù)的一種連接方式。

安達(dá)通 VPN 安全網(wǎng)關(guān)的“透明模式”主要分成鏈路層協(xié)議的學(xué)習(xí)功能，報(bào)文的接收和轉(zhuǎn)發(fā)功能。對(duì)于透明模式下收到的報(bào)文，根據(jù)其目的 MAC地址可以分為,發(fā)往網(wǎng)關(guān)自身的報(bào)文、廣播報(bào)文和發(fā)往其他的報(bào)文，由于透明模式僅僅對(duì) VPN 報(bào)文進(jìn)行加密，其他報(bào)文在出入端口上進(jìn)行完整復(fù)制，所以保證了鏈路的透明性和 VPN的安全性。

以某商業(yè)銀行網(wǎng)絡(luò)的 VPN安全網(wǎng)關(guān)部署為例。所有的安達(dá)通安全網(wǎng)關(guān)均部署在防火墻/路由器之后，工作在“透明”模式下。安裝這些安全網(wǎng)關(guān)設(shè)備的前后，原有網(wǎng)絡(luò)系統(tǒng)：路由器、PC、Server 等沒(méi)有調(diào)整過(guò)任何配置，就實(shí)現(xiàn)了各分行和總行之間數(shù)據(jù)傳輸加密。“透明模式”部署的安達(dá)通 VPN 安全網(wǎng)關(guān)的 WAN 和 LAN 口 IP 是和本地內(nèi)網(wǎng)同一網(wǎng)段的未被使用的IP 地址。如下圖示意： 6.VPN與TPN是，可信專(zhuān)用網(wǎng)防護(hù)、VPN接入、全網(wǎng)行為管理、主機(jī)安全管理等組成?？尚艑?zhuān)用網(wǎng)威脅”、“邊界威脅”、“主機(jī)威脅”和“接入威脅”的統(tǒng)一管理。企業(yè)對(duì)VPN分布在異地的局域網(wǎng)絡(luò)進(jìn)行互聯(lián)。隨著網(wǎng)絡(luò)互聯(lián)的進(jìn)行，的基礎(chǔ)設(shè)施。

這些基礎(chǔ)設(shè)施，安全可信是最重要的?？尚牌脚_(tái)建設(shè)包括了邊界、內(nèi)網(wǎng)、主機(jī)、接入等部分。目前來(lái)看，企業(yè)可以用各種技術(shù)來(lái)確保這四部分成為有機(jī)整體。網(wǎng)技術(shù)TPN.TPN互聯(lián)以后全網(wǎng)的可信任安全平臺(tái)。目前來(lái)看，能：包括虛擬專(zhuān)網(wǎng)、防火墻、入侵檢測(cè)、漏洞掃描、病毒防護(hù)、網(wǎng)絡(luò)審計(jì)、身份認(rèn)證、桌面安全等。網(wǎng)絡(luò)邊界防護(hù)力度不夠、分支機(jī)構(gòu)的統(tǒng)一、垃圾郵件和病毒、越權(quán)訪問(wèn)密、非法接入TPN（Trusted 系統(tǒng)通過(guò)對(duì)“用戶(hù)—角色—資源”的集中描述，因?yàn)樾畔⒌墓蚕碛芯W(wǎng)絡(luò)互聯(lián)的需求，整個(gè)網(wǎng)絡(luò)平臺(tái)已經(jīng)越來(lái)越成為企業(yè)以及政府單位運(yùn)行VPN的主要區(qū)別，TPN模型需要實(shí)現(xiàn)所有傳統(tǒng)安全設(shè)備所提供的安全功而TPN應(yīng)對(duì)的問(wèn)題則包括了：實(shí)現(xiàn)“內(nèi)網(wǎng)

客觀上需要將從而產(chǎn)生/盜取機(jī)

TPN

Private Network）系統(tǒng)的簡(jiǎn)稱(chēng)，由邊界

TPN都不會(huì)陌生，而安達(dá)通在其中提供的就是可信專(zhuān)用與就在于融合了可信任的內(nèi)網(wǎng)技術(shù)，一套完整的遠(yuǎn)程接入用戶(hù)帶進(jìn)木馬和病毒、/非法外聯(lián)、補(bǔ)丁和病毒庫(kù)的統(tǒng)一升級(jí)、以及聊天、游戲、下載等網(wǎng)絡(luò)濫用。

第三篇：VPN實(shí)驗(yàn)總結(jié)

網(wǎng)絡(luò)上關(guān)于vpn的原理的文章很多，這里就不再羅嗦了。下面是我最近做vpn實(shí)驗(yàn)的小結(jié)：

（一）vpn access server的配置 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

pc（vpn client 4.01）－－－switch－－－router1720（vpn access server）pc配置: ip：10.130.23.242/28
gw：10.130.23.246 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 步驟：

1、配置isakmp policy： crypto isakmp policy 1 encr 3des authen pre-share group 2

2、配置vpn client地址池

cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254

3、配置vpn client有關(guān)參數(shù)

cry isa client conf group vclient-group ####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。key vclient-key ####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。

pool pool192 ####client的ip地址從這里選取

####以上兩個(gè)參數(shù)必須配置，其他參數(shù)還包括domain、dns、wins等，根據(jù)情況進(jìn)行配置。

4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac

5、配置map模板

cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步對(duì)應(yīng)

6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板

cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數(shù)authorization cry map vpnmap client conf address respond ####響應(yīng)client分配地址的請(qǐng)求

7、配置靜態(tài)路由

ip route 192.168.1.0 255.255.255.0 fastethernet0 說(shuō)明幾點(diǎn)：（1）因?yàn)?720只有一個(gè)fastethernet口，所以用router1720上的lo0地址來(lái)模擬router內(nèi)部網(wǎng)絡(luò)。

（2）vpn client使用的ip pool地址不能與router內(nèi)部網(wǎng)絡(luò)ip地址重疊。（3）10.130.23.0網(wǎng)段模擬公網(wǎng)地址，172.16.1.0網(wǎng)段用于1720內(nèi)部地址，192.168.1.0網(wǎng)段用于vpn通道。（4）沒(méi)有找到設(shè)置vpn client獲取的子網(wǎng)掩碼的辦法?？磥?lái)是ios還不支持這個(gè)功能。（5）關(guān)于split tunnel。配置方法：首先，設(shè)置access 133 permit ip 172.16.1.0 0.0.0.255 any，允許1720本地網(wǎng)絡(luò)數(shù)據(jù)通過(guò)tunnel，然后在第三步驟中添加一個(gè)參數(shù)：acl 133。1720的完整配置：

VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192！crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs！crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map?。nterface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable??！line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置：

新建一個(gè)connection entry，參數(shù)中name任意起一個(gè)，host填入vpn access server的f0地址

10.130.23.246，group auahentication中name填vclient-group，password填vclient-key.測(cè)試：

（1）在pc上運(yùn)行VPN client，連接vpn access server。（2）ipconfig/all，查看獲取到的ip地址與其他參數(shù)。（3）在router，show cry isa sa,看連接是否成功。

（4）從router，ping client已經(jīng)獲取到的ip地址，通過(guò)。

（5）從client，ping router的lo0配置的地址172.16.1.1，通過(guò)。

（6）查看vpn client軟件的status--statistics,可以看到加密與解密的數(shù)據(jù)量。

（7）1720上show cry ip sa, 也可以查看加密與解密的數(shù)據(jù)量。

常用調(diào)試命令： show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####這是最常用的debug命令，vpn連接的基本錯(cuò)誤都可以用它來(lái)找到

debug cry ipsec

（二）easy vpn client的配置（network-extension mode）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

router3662（vpn client）－－－switch－－－router1720（vpn access server）pc(vpn client 4.01)－－－－－－| 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 pc配置: ip：10.130.23.242/28 gw：10.130.23.246 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步驟：

1、配置1720路由器，參照實(shí)驗(yàn)一，設(shè)置為vpn server。

2、配置3662路由器，設(shè)置vpn client參數(shù)

cry ip client ezvpn vclient ####定義crypto-ezvpn name mode network-extension ####設(shè)置為網(wǎng)絡(luò)擴(kuò)展模式

group vclient-group key vclient-key ####設(shè)置登錄vpn server的組名與組口令

peer 10.130.23.246 ####設(shè)置vpn server的ip地址，如果啟用dns，則可以用hostname connect auto ####設(shè)置為自動(dòng)連接。如果設(shè)為手動(dòng)，則必須使用cry ip client ezvpn connect vclient命令來(lái)啟動(dòng)vpn通道。

local-address F0/0 ####設(shè)置vpn通道本地地址，選用f0/0，可以保證vpn server找到它

3、定義加密數(shù)據(jù)入口，這里為f0/1 inter f0/1 cry ip client ezvpn vclient inside

4、定義加密數(shù)據(jù)出口，這里為連接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside

5、在1720上設(shè)置靜態(tài)路由，地址范圍為3662路由本地網(wǎng)絡(luò)的地址 ip route 172.16.2.0 255.255.255.0 f0

6、設(shè)置ip dhcp服務(wù) ####cisco推薦使用dhcp來(lái)進(jìn)行本地網(wǎng)絡(luò)ip的分配。此步驟可選。

service dhcp ####啟動(dòng)dhcp 服務(wù)

ip dhcp pool dhcppool ####定義dhcp pool name network 172.16.2.0 /24 ####定義可分配的IP地址段

default-router 172.16.2.1 ####定義dhcp client的默認(rèn)網(wǎng)關(guān) lease 1 0 0 ####設(shè)置ip保留時(shí)間

import all ####如果配置了上級(jí)dhcp，server，則接受其所有參數(shù) ip dhcp excluded-address 172.16.2.1 ####將router上的地址排除

測(cè)試：

（1）配置好3662上的vpn client后，自動(dòng)進(jìn)行vpn連接。可以通過(guò)debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過(guò)程與結(jié)果。

（2）在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)沒(méi)有進(jìn)行加密。

（3）在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

（4）在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

（5）在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)不通過(guò)加密。（6）啟動(dòng)pc vpn client，ping 172.16.1.1，通過(guò)。在1720上查看show cry ip sa，可以看到數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

（7）在pc vpn client，ping 172.16.2.1，通過(guò)。在1720和3662上查看show cry ip sa，可以看到數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。在1720上show cry isa sa，可以看到兩個(gè)vpn連接。

（8）在3660上擴(kuò)展ping，source 172.16.2.1 destination 192.168.1.10（pc vpn client獲得的ip），通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

說(shuō)明：

（1）不同平臺(tái)，不同ios版本，easy vpn client的配置有所不同。特別是加密數(shù)據(jù)入出接口的配置，配置接口前后，用show cry ip client ezvpn來(lái)查看與驗(yàn)證。

（2）network-extension模式，vpn client端本地ip不通過(guò)nat/pat進(jìn)行數(shù)據(jù)傳輸。

（3）以上配置均沒(méi)有啟用split tunnel。設(shè)置split tunnel的方法:首先參考實(shí)驗(yàn)

（一），設(shè)置acl 133和cry isa client conf group中的參數(shù)，完成后，可以實(shí)現(xiàn)測(cè)試（1）－（5）。要實(shí)現(xiàn)Pc vpn client和3662 vpn client 互通，即測(cè)試（6）－（8），還要在1720 的acl 133中添加兩條，分別是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

（4）修改1720配置后，需要復(fù)位vpn通道，才可以起作用。在pc端，是通過(guò)disconnect再connect來(lái)實(shí)現(xiàn)；在3662上，通過(guò)clear cry ip client ezvpn來(lái)復(fù)位。

常用調(diào)試命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa

（三）easy vpn client的配置（client mode）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)渫瑢?shí)驗(yàn)

（二）實(shí)驗(yàn)步驟參考實(shí)驗(yàn)

（二），其中第二步，將mode network-extension改為mode client。

測(cè)試：

（1）配置好3662上的vpn client后，自動(dòng)進(jìn)行vpn連接?？梢酝ㄟ^(guò)debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過(guò)程與結(jié)果。

（2）在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，不通。

（3）在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，不通。這是因?yàn)?662端ip數(shù)據(jù)流是通過(guò)nat進(jìn)行傳輸。

（4）在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。在1720上打開(kāi)deb ip icmp，可以看到echo reply信息的dst地址為192.168.1.19（vpn client 從vpn server獲取的ip地址）。

（5）在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。

說(shuō)明：

（1）client 模式，vpn client端內(nèi)部網(wǎng)絡(luò)采用nat方式與vpn server進(jìn)行通信，vpn client端網(wǎng)絡(luò)可以訪問(wèn)server端網(wǎng)絡(luò)資源，server端網(wǎng)絡(luò)不能訪問(wèn)client端內(nèi)部網(wǎng)絡(luò)資源。

（2）client與network-extension兩種模式，show cry ip sa，可以看到local ident是不同的。

（3）client模式下，用show ip nat statistics，可以看到nat的配置與數(shù)據(jù)流量。

（4）關(guān)于split tunnel，client模式的easy vpn client，與pc的vpn client類(lèi)似，配置split tunnel的方法也相同。常用調(diào)試命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics

（四）site to site vpn的配置（采用pre-share）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟：

以1720為例進(jìn)行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問(wèn)。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定義加密數(shù)據(jù)的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）定義isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key進(jìn)行驗(yàn)證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進(jìn)行配置，需要注意兩個(gè)路由器上的對(duì)應(yīng)參數(shù)配置必須相同。（4）定義pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 為key，兩個(gè)路由器上要一樣 ####其中10.130.23.244為peer路由器的ip地址。（5）定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name，后面兩項(xiàng)為加密傳輸?shù)乃惴?mode transport/tunnel #####tunnel為默認(rèn)值，此配置可選（6）定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name，10 是entry 號(hào)碼，ipsec-isakmp表示采用isakmp進(jìn)行密鑰管理

match address 144 ####定義進(jìn)行加密傳輸?shù)臄?shù)據(jù)，與第二步對(duì)應(yīng) set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對(duì)應(yīng)

####如果一個(gè)接口上要對(duì)應(yīng)多個(gè)vpn peer，可以定義多個(gè)entry，每個(gè)entry對(duì)應(yīng)一個(gè)peer（7）將crypto map應(yīng)用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同樣方法配置3662路由器。1720的完整配置： VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144?。nterface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 測(cè)試：

（1）未將map應(yīng)用到接口之前，在1720，擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過(guò)。擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過(guò)。

（2）map應(yīng)用到接口之后，在1720，擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過(guò)。

查看show cry ip sa，可以看到數(shù)據(jù)沒(méi)有通過(guò)vpn 通道進(jìn)行傳輸，因?yàn)椴环蟖cl 144。（3）map應(yīng)用到接口之后，在1720，擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過(guò)。查看show cry ip sa，可以看到數(shù)據(jù)通過(guò)vpn 通道進(jìn)行傳輸。

（4）在3662上同樣進(jìn)行測(cè)試。

說(shuō)明：

（1）采用pre-share方式加密數(shù)據(jù)，配置簡(jiǎn)單，數(shù)據(jù)傳輸效率較高，但是安全性不高。

（2）加密數(shù)據(jù)前后，通過(guò)ping大包的方式測(cè)試，可以發(fā)現(xiàn)這種利用軟件進(jìn)行數(shù)據(jù)加密的方式，延時(shí)較大。如果需要開(kāi)展voip、ip 視訊會(huì)議等業(yè)務(wù)，建議選配vpn模塊進(jìn)行硬件加密。

常用調(diào)試命令： show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip

（五）site to site vpn的配置（采用rsa-encrypted）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟：

以1720為例進(jìn)行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問(wèn)。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定義加密數(shù)據(jù)的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分別生成rsa signing key和rsa encryption key 這里 統(tǒng)一用general purpose key（4）復(fù)制peer router的public key到本地router中（A）在3662上生成general purpose key（B）在3662上show cry key mypubkey rsa，復(fù)制其中的General Purpose Key（C）在1720上，cry key pubkey-chain rsa ####設(shè)置public key addressed-key 10.130.23.244 ####設(shè)置關(guān)聯(lián)10.130.23.244ip地址的key key-string ####定義key串

粘貼從3662上復(fù)制的General Purpose Key #####如果第三步生成了兩種key，則這里復(fù)制粘貼的，應(yīng)該是Encryption Key（三個(gè)key中的第二個(gè)）（5）定義isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key進(jìn)行驗(yàn)證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進(jìn)行配置，需要注意兩個(gè)路由器上的對(duì)應(yīng)參數(shù)配置必須相同。（6）定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name，后面兩項(xiàng)為加密傳輸?shù)乃惴?mode transport/tunnel #####tunnel為默認(rèn)值，此配置可選（7）定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name，10 是entry 號(hào)碼，ipsec-isakmp表示采用isakmp進(jìn)行密鑰管理

match address 144 ####定義進(jìn)行加密傳輸?shù)臄?shù)據(jù)，與第二步對(duì)應(yīng) set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對(duì)應(yīng)

####如果一個(gè)接口上要對(duì)應(yīng)多個(gè)vpn peer，可以定義多個(gè)entry，每個(gè)entry對(duì)應(yīng)一個(gè)peer；同樣，pubkey 也要對(duì)應(yīng)進(jìn)行設(shè)置。

（7）將crypto map應(yīng)用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同樣方法配置3662路由器。

1720完整配置：

VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144?。nterface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end

說(shuō)明：

（1）采用rsa encrypted方式加密傳輸數(shù)據(jù)，默認(rèn)key長(zhǎng)度為512字節(jié)，最高可設(shè)為2048字節(jié)。安全性能較高。

（2）100M雙工交換網(wǎng)絡(luò)中，在雙向同時(shí)ping 15000字節(jié)的大包進(jìn)行測(cè)試時(shí)，1720的cpu使用率一度高達(dá)90％左右，3662的使用率約為25％，兩臺(tái)路由器內(nèi)存使用率則變化不大?？梢?jiàn)用rsa encrypted方式加密，對(duì)低端路由器的cpu性能影響很大。常用調(diào)試命令： show cry ip sa show cry isa sa deb cry isa deb cry ip clear cry isa clear cry sa

第四篇：VPN的四種安全技術(shù)詳解

VPN的四種安全技術(shù)詳解

我們都知道,由于VPN(虛擬專(zhuān)用網(wǎng)絡(luò))傳輸?shù)氖撬接行畔?，VPN用戶(hù)對(duì)數(shù)據(jù)的安全性都比較關(guān)心。目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全，下面，517網(wǎng)游加速器芯晴就來(lái)給大家一一道來(lái)。

1.隧道技術(shù)：

隧道技術(shù)是VPN的基本技術(shù)類(lèi)似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

2.加解密技術(shù)：

加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

3.密鑰管理技術(shù)：

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

4.使用者與設(shè)備身份認(rèn)證技術(shù)：

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱(chēng)與密碼或卡片式認(rèn)證等方式。

第五篇：VPN說(shuō)明書(shū).

VPN 使用說(shuō)明書(shū) 申請(qǐng)/重置賬號(hào)密碼：http://self.cczu.edu.cn/index/addvpnwlan（無(wú)賬號(hào)或忘記密碼時(shí)，進(jìn)行申請(qǐng)或重置密碼）用戶(hù)自助修改密碼：http://219.230.159.60:8080/selfservice(有密碼時(shí)，進(jìn)行修改)中國(guó)移動(dòng)、中國(guó)電信、聯(lián)通、和教育網(wǎng)用戶(hù)請(qǐng)分別點(diǎn)擊上面的圖標(biāo)進(jìn)行訪問(wèn)； 在您首次使用的時(shí)候，系統(tǒng)將自動(dòng)下載安裝插件至所在計(jì)算機(jī)，請(qǐng)您留意頁(yè)面提示并安裝； 當(dāng)插件安裝完畢之后，正常進(jìn)入登錄窗口，使用用戶(hù)名和密碼進(jìn)行登錄； 6 登錄成功后，即進(jìn)入用戶(hù)使用頁(yè)面，此時(shí)即可訪問(wèn)校內(nèi)和校外指定資源。7 訪問(wèn)校內(nèi)資源時(shí)請(qǐng)不要關(guān)閉本頁(yè)；訪問(wèn)結(jié)束后請(qǐng)及時(shí)退出。vista系統(tǒng)使用需進(jìn)行以下操作：通過(guò)把“控制面板”--“用戶(hù)帳戶(hù)”--“打開(kāi)或關(guān)閉?用戶(hù)帳戶(hù)控制?”中的選項(xiàng)去掉即可，即不要選中“使用用戶(hù)帳戶(hù)控制（UAC）幫助保護(hù)您的計(jì)算機(jī)”，點(diǎn)“確定”，從新啟動(dòng)計(jì)算機(jī)。9 使用GHOST安裝操作系統(tǒng)的用戶(hù)，可能會(huì)無(wú)法使用sslvpn。

注意事項(xiàng)：

一、若成功登錄后，不能正常下載及瀏覽文件，請(qǐng)首先確認(rèn)您的計(jì)算機(jī)上是否已經(jīng)安裝相應(yīng)的文件瀏覽器或閱讀器；

二、若不能正常安裝請(qǐng)查看以下說(shuō)明：

1、瀏覽器安全級(jí)別太高，請(qǐng)到中或默認(rèn)級(jí)別，或調(diào)整以下設(shè)置: A、瀏覽器禁止下載ActiveX控件，設(shè)設(shè)置允許下載控件；

B、瀏覽器禁止運(yùn)行ActiveX控件，設(shè)設(shè)置允許運(yùn)行控件；

C、瀏覽器禁止ActiveX控件執(zhí)行腳本，設(shè)設(shè)置允許執(zhí)行腳本；

2、瀏覽器插件攔截控件下載，如上網(wǎng)安全助手等，請(qǐng)?jiān)O(shè)置允許下載

3、可瀏覽器安全中將本頁(yè)為信任站點(diǎn)

4、瀏覽器要求使用IE5以上版本

5、本系統(tǒng)支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系統(tǒng)

四、因帶寬不足，為提高速度，提高訪問(wèn)效率，請(qǐng)不要在校內(nèi)使用；不使用時(shí)請(qǐng)及時(shí)退出系統(tǒng)；10分鐘內(nèi)如不使用本系統(tǒng)，系統(tǒng)將自動(dòng)斷線。

五、如果長(zhǎng)時(shí)間不能建立隧道，或者不能獲取ip地址，請(qǐng)將防火墻和殺毒軟件先行關(guān)閉或者卸載，成功連接后，再次把防火墻和殺毒軟件打開(kāi)或安裝。

六、如有疑問(wèn)請(qǐng)撥打：86330350