1、如何架設VPN網路
VPN的基本配置06-06-21 14:23 發表於:《玩西祠滴上三樓》 分類:未分類
VPN的基本配置
VPN配置簡單說明書
一、 IKE協商的階段簡單描述:
IKE協商可以和TCP的三次握手來類比,只不過IKE協商要比TCP的三次握手要復雜一些,IKE協商採用的UDP報文格式,默認埠是500,在主模式下,一個正常的IKE協商過程需要經過9個報文的來回,才最終建立起通信雙方所需要的IPSec SA,然後雙方利用該SA就可以對數據流進行加密和解密。下面結合簡單描述一下協商的過程。
假設A和B進行通信,A作為發起方,A發送的第一個報文內容是本地所支持的IKE的策略(即下面所提到的Policy),該policy的內容有加密演算法、hash演算法、D-H組、認證方式、SA的生存時間等5個元素。這5個元素裡面值得注意的是認證方式,目前採用的主要認證方式有預共享和數字證書。在簡單的VPN應用中,一般採用預共享方式來認證身份。在本文的配置中也是以預共享為例來說明的。可以配置多個策略,對端只要有一個與其相同,對端就可以採用該policy,並在第二個報文中將該policy發送回來,表明採用該policy為後續的通信進行保護。第三和第四個報文是進行D-H交換的D-H公開值,這與具體的配置影響不大。在完成上面四個報文交換後,利用D-H演算法,A和B就可以協商出一個公共的秘密,後續的密鑰都是從該秘密衍生出來的。第五和第六個報文是身份驗證過程,前面已經提高後,有兩種身份驗證方式——預共享和數字證書,在這里,A將其身份信息和一些其他信息發送給B,B接受到後,對A的身份進行驗證,同時B將自己的身份信息也發送給A進行驗證。採用預共享驗證方式的時候,需要配置預共享密鑰,標識身份有兩種方式,其一是IP地址,其二是主機名(hostname)。在一般的配置中,可以選用IP地址來標識身份。完成前面六個報文交換的過程,就是完成IKE第一階段的協商過程。如果打開調試信息,會看到IKE SA Establish(IKE SA已經建立),也稱作主模式已經完成。
IKE的第二階段是快速模式協商的過程。該模式中的三個報文主要是協商IPSec SA,利用第一階段所協商出來的公共的秘密,可以為該三個報文進行加密。在配置中,主要涉及到數據流、變換集合以及對完美前向保護(PFS)的支持。在很多時候,會發現IKE SA已經建立成功,但是IPSec SA無法建立起來,這時最有可能的原因是數據流是否匹配(A所要保護的數據流是否和B所保護的數據流相對應)、變換集合是否一致以及pfs配置是否一致。
二、 IKE、IPSec配置基本步驟
1.配置IKE 策略(policy)
policy就是上圖中的IKE策略。Policy裡面的內容有hash演算法、加密演算法、D-H組、生存時間。可以配置多個policy,只要對端有一個相同的,雙方就可以採用該policy,不過要主要policy中的認證方式,因為認證方式的不同會影響後續的配置不同。一般採用預共享(preshare)。在目前的安全路由器和VPN3020上的實現上都有默認的配置選項,也就是說如果你新增加一條策略後,即使什麼都不配置,退出後,也會有默認值的。
2.配置預共享密鑰(preshare)
在配置預共享密鑰的時候,需要選擇是IP地址還是Hostname來標識該密鑰,如果對端是IP地址標識身份,就採用IP地址來標識密鑰;如果對端是Hostname來標識身份,則採用hostname來標識密鑰。
3.配置本端標識(localid)
本端標識有IP地址和Hostname,在安全路由器上,默認的是用IP地址來標識。即不配置本端標識,就表示是用IP地址來標識。
以上三個步驟就完成IKE的配置,以下是IPSec的配置:
4.配置數據流(access-list)
很容易理解,部署任何VPN都需要對數據流所限制,不可能對所有的數據流都進行加密(any to any)。配置好數據流後,在加密映射(map)中引用該數據流。
5.配置變換集合(transform-set)
變換集合是某個對等方能接受的一組IPSec協議和密碼學演算法。雙方只要一致即可。注意,在VPN3020和帶加密模塊的安全路由器上支持國密辦的SSP02演算法。
6.配置加密映射(map)
為IPSec創建的加密映射條目使得用於建立IPSec安全聯盟的各個部件協調工作,它包括以下部分:
l 所要保護的數據流(引用步驟4所配置的數據流)
l 對端的IP地址(這個是必須的,除非是動態加密映射,見本文後面的章節)
l 對所要保護的數據流採用什麼加密演算法和採用什麼安全協議(引用步驟5所配置的變換集合)
l 是否需要支持PFS(雙方要一致)
l SA的生存時間(是可選的,不配置的話有默認值)
7.應用(激活)加密映射
在安全路由器上是將該加密映射應用到介面上去,而在VPN3020上是激活(active)該map。
三、 動態加密映射技術
目前,安全路由器系列和VPN系列均支持動態加密映射。什麼是動態加密映射?動態加密映射所應用的環境是什麼呢?我們可以從以下的一個案例中來說明動態加密映射的概念。如下圖:
在上圖的網路拓撲中,MP803接入Internet的並不是寬頻接入(固定IP地址),而是在通過電信ADSL撥號來獲取到IP地址,不是固定的IP地址。這時候,對於上端MP2600A來說,就存在問題了,回想一下前面所描述的配置步驟,在步驟六中配置加密映射的時候,需要配置對端的peer IP地址,這時候怎麼辦呢?或許您想到——那我每次撥號獲取到IP地址後,再在兩端來配置IPSec——這種解決辦法是OK的,只要客戶或者您自己容忍每次MP803重新撥號後,您重新去更改配置。顯然,這樣方法充其量只能用來測試的。
動態加密映射就是用來解決這類問題的。顧名思義,動態加密映射,就是說,在配置加密映射的時候,不需要配置對端的peer IP地址。目前,安全路由器和VPN系列都支持動態加密映射,但由於兩者實現上的差異,導致他們在配置動態加密映射的時候存在一些不同,在後文的實際配置案例中會講到。
四、 NAT穿越略述
NAT穿越是指在兩台VPN網關之間的還存在NAT設備,從原理來說,NAT和IPSec存在一定的矛盾。主要體現兩點:NAT更改了IP數據包的IP源地址或者目的地址,這與IPSec協議中的AH認證頭協議存在不可調和的矛盾,因此如果IPSec報文需要穿越NAT設備的話,在配置變換集合的時候就不能選用AH協議(目前,由於ESP協議也提供驗證功能,AH使用很少);第二點是NAT設備的埠地址轉換是針對TCP/UDP/ICMP等協議。對於ESP協議,沒有相應的處理機制。具體詳細資料請查看IETF的草案。此外,NAT穿越目前還沒有國際標准,公司在國內率先實現了NAT穿越功能。目前,公司的安全路由器、VPN3020等都已經實現了NAT穿越。
NAT穿越對於路由器和VPN3020上的配置沒有任何的改變。目前,公司的北京辦和總部的互聯的兩台路由器建立隧道就是穿越了NAT。
五、 實際配置案例
案例1:路由器與路由器互通
網路拓撲如圖所示:
網路拓撲1
需求:兩台MP2600路由器,都有固定的公網IP地址,現在需要構建VPN,保護在兩台路由器後面的網路。使PC1能夠訪問到PC2。
規劃:使用IKE自動協商密鑰,policy的參數設置,加密演算法為des、驗證演算法為sha方式為預共享、D-H組為group 1;身份標識為IP地址,以IP地址作來標識預共享密鑰;變換集合參數設置,隧道模式為tunnel、協議-演算法為esp-des、esp-md5;不啟用pfs;在配置注意,避免配置所要保護的數據流為any到any。首先是在實際使用過程中,不會有這樣的需求,其次,這樣會讓很多本來不需要加密的通信無法通信。
2、搭建VPN伺服器有什麼用?
通過隧道(Tunnel)或虛電路(VirtualCircuit)實現網路互聯;支持用戶安全管理;能夠進行網路監控、故障診斷。
1、建網快速方便用戶只需將各網路節點採用專線方式本地接入公用網路,並對網路進行相關配置即可。
2、降低建網投資由於VPN是利用公用網路為基礎而建立的虛擬專網,因而可以避免建設傳統專用網路所需的高額軟硬體投資。
3、節約使用成本用戶採用VPN組網,可以大大節約鏈路租用費及網路維護費用,從而減少企業的運營成本。
4、網路安全可靠實現VPN主要採用國際標準的網路安全技術,通過在公用網路上建立邏輯隧道及網路層的加密,避免網路數據被修改和盜用,保證了用戶數據的安全性及完整性。
5、簡化用戶對網路的維護及管理工作大量的網路管理及維護工作由公用網路服務提供商來完成。
(2)vpn伺服器架設擴展資料
VPN的基本處理過程如下:
1、要保護主機發送明文信息到其他VPN設備。
2、VPN設備根據網路管理員設置的規則,確定是對數據進行加密還是直接傳輸。
3、對需要加密的數據,VPN設備將其整個數據包(包括要傳輸的數據、源IP地址和目的lP地址)進行加密並附上數據簽名,加上新的數據報頭(包括目的地VPN設備需要的安全信息和一些初始化參數)重新封裝。
4、將封裝後的數據包通過隧道在公共網路上傳輸。
5、數據包到達目的VPN設備後,將其解封,核對數字簽名無誤後,對數據包解密。
3、怎麼用手機搭建一個小型的vpn伺服器
用自己伺服器搭建vpn首先你得有一個固定外網ip,建議用ddns或者其它廠商的vpn
4、伺服器vpn搭建怎麼搭?
你去到向日葵vpn的官網,裡面有的。
一、創建VPN網路
1、生成成員主機
在計算機上安裝向日葵客戶端,登錄並開啟VPN模塊
2、添加VPN網路成員
(1)點擊【創建網路】標簽,填寫好網路信息,
(2)選擇網路類型
(3)把伺服器主機加入到中心節點,其他客戶端主機加入到普通成員
創建完成後系統會自動分配一個虛擬IP給每一台主機,以後VPN成員主機間的通訊就依靠這個虛擬IP來
連接。
二、檢測和訪問
在客戶端上,點擊右下角「VPN」,會顯示所創建的VPN網路,點擊「Ping」進行測試。
在瀏覽器輸入中心節點虛擬IP,就可以訪問到OA系統了。
(在做任務,採納我吧~)
5、如何在Windows伺服器上架設VPN
在Windows伺服器上架設VPN可以如下操作:
第一步,打開控制面板->管理工具->服務項目,禁用Windows防火牆服務。
第二步,打開控制面板->管理工具,雙擊「路由和遠程訪問」。然後右鍵點擊伺服器圖標,再點擊「配置並啟用路由和遠程訪問」。
第三步,在「路由和遠程伺服器安裝向導」中,選擇「自定義配置」。
第四步,勾選「VPN訪問」和「NAT和基本防火牆」。
第五步, 點擊「完成」。系統提示「要開始服務嗎?」,選擇「是」。
第六步,接下來開始配置路由和遠程訪問,我們先點擊本地服務旁邊的+按鈕,把左側菜單展開,再點擊IP路由選擇旁邊的+按鈕。
第七步,下面配置靜態IP地址。右鍵點擊本地服務,點擊屬性,再點擊IP選項卡。
第八步,點選「靜態地址池」,點擊「添加」。輸入一個起始IP地址和結束IP地址范圍,推薦輸入192.168.1.100到192.168.1.254這個范圍,因為192.168段屬於本地保留IP段。最後點擊「確定」。
第九步,右鍵點擊「靜態路由」,再點擊「新建靜態路由」。
第十步,目標和網路掩碼都輸入0,網關請和TCP/IP屬性中的默認網關保持一致。
第十一步,刪除「DHCP中繼代理程序」中的「內部」項目。
第十二步,然後右鍵點擊「DHCP中繼代理程序」,再點擊「新增介面」。
第十三步,選擇「本地連接」,再點擊「確定」,然後在彈出的對話框中點擊「確定」。
第十四步,右鍵點擊「NAT/基本防火牆」,再點擊「新增介面」,然後選擇「本地連接」,點擊「確定」。
第十五步,在彈出的對話框中先點選「公共介面連接到Internet」,再勾選「在此介面上啟用NAT」,最後點擊「確定」。
第十六步,至此在路由和遠程訪問中的配置就完成了。下面是添加VPN用戶的步驟,到計算機管理中添加一個用戶,作為VPN連接的用戶,把這個用戶放到Guest組下面,並在用戶屬性->撥入->遠程訪問許可權中設置成「允許訪問」。 然後就是在你自己電腦上新建VPN連接,進行撥號測試了。要確定是否連接成功,請訪問IP查詢網站,看是否顯示的是國外伺服器的IP即可。