vpn服务器架设

1、如何架设VPN网路

VPN的基本配置06-06-21 14:23 发表于：《玩西祠滴上三楼》 分类：未分类
VPN的基本配置

VPN配置简单说明书
一、 IKE协商的阶段简单描述：

IKE协商可以和TCP的三次握手来类比，只不过IKE协商要比TCP的三次握手要复杂一些，IKE协商采用的UDP报文格式，默认端口是500，在主模式下，一个正常的IKE协商过程需要经过9个报文的来回，才最终建立起通信双方所需要的IPSec SA，然后双方利用该SA就可以对数据流进行加密和解密。下面结合简单描述一下协商的过程。
假设A和B进行通信，A作为发起方，A发送的第一个报文内容是本地所支持的IKE的策略（即下面所提到的Policy），该policy的内容有加密算法、hash算法、D-H组、认证方式、SA的生存时间等5个元素。这5个元素里面值得注意的是认证方式，目前采用的主要认证方式有预共享和数字证书。在简单的VPN应用中，一般采用预共享方式来认证身份。在本文的配置中也是以预共享为例来说明的。可以配置多个策略，对端只要有一个与其相同，对端就可以采用该policy，并在第二个报文中将该policy发送回来，表明采用该policy为后续的通信进行保护。第三和第四个报文是进行D-H交换的D-H公开值，这与具体的配置影响不大。在完成上面四个报文交换后，利用D-H算法，A和B就可以协商出一个公共的秘密，后续的密钥都是从该秘密衍生出来的。第五和第六个报文是身份验证过程，前面已经提高后，有两种身份验证方式——预共享和数字证书，在这里，A将其身份信息和一些其他信息发送给B，B接受到后，对A的身份进行验证，同时B将自己的身份信息也发送给A进行验证。采用预共享验证方式的时候，需要配置预共享密钥，标识身份有两种方式，其一是IP地址，其二是主机名（hostname）。在一般的配置中，可以选用IP地址来标识身份。完成前面六个报文交换的过程，就是完成IKE第一阶段的协商过程。如果打开调试信息，会看到IKE SA Establish（IKE SA已经建立），也称作主模式已经完成。
IKE的第二阶段是快速模式协商的过程。该模式中的三个报文主要是协商IPSec SA，利用第一阶段所协商出来的公共的秘密，可以为该三个报文进行加密。在配置中，主要涉及到数据流、变换集合以及对完美前向保护（PFS）的支持。在很多时候，会发现IKE SA已经建立成功，但是IPSec SA无法建立起来，这时最有可能的原因是数据流是否匹配（A所要保护的数据流是否和B所保护的数据流相对应）、变换集合是否一致以及pfs配置是否一致。
二、 IKE、IPSec配置基本步骤
1．配置IKE 策略（policy）
policy就是上图中的IKE策略。Policy里面的内容有hash算法、加密算法、D-H组、生存时间。可以配置多个policy，只要对端有一个相同的，双方就可以采用该policy，不过要主要policy中的认证方式，因为认证方式的不同会影响后续的配置不同。一般采用预共享（preshare）。在目前的安全路由器和VPN3020上的实现上都有默认的配置选项，也就是说如果你新增加一条策略后，即使什么都不配置，退出后，也会有默认值的。
2．配置预共享密钥（preshare）
在配置预共享密钥的时候，需要选择是IP地址还是Hostname来标识该密钥，如果对端是IP地址标识身份，就采用IP地址来标识密钥；如果对端是Hostname来标识身份，则采用hostname来标识密钥。
3．配置本端标识（localid）
本端标识有IP地址和Hostname，在安全路由器上，默认的是用IP地址来标识。即不配置本端标识，就表示是用IP地址来标识。
以上三个步骤就完成IKE的配置，以下是IPSec的配置：
4．配置数据流（access-list）
很容易理解，部署任何VPN都需要对数据流所限制，不可能对所有的数据流都进行加密（any to any）。配置好数据流后，在加密映射（map）中引用该数据流。
5．配置变换集合（transform-set）
变换集合是某个对等方能接受的一组IPSec协议和密码学算法。双方只要一致即可。注意，在VPN3020和带加密模块的安全路由器上支持国密办的SSP02算法。
6．配置加密映射（map）
为IPSec创建的加密映射条目使得用于建立IPSec安全联盟的各个部件协调工作，它包括以下部分：
l 所要保护的数据流（引用步骤4所配置的数据流）
l 对端的IP地址（这个是必须的，除非是动态加密映射，见本文后面的章节）
l 对所要保护的数据流采用什么加密算法和采用什么安全协议（引用步骤5所配置的变换集合）
l 是否需要支持PFS（双方要一致）
l SA的生存时间（是可选的，不配置的话有默认值）
7．应用（激活）加密映射
在安全路由器上是将该加密映射应用到接口上去，而在VPN3020上是激活（active）该map。
三、 动态加密映射技术
目前，安全路由器系列和VPN系列均支持动态加密映射。什么是动态加密映射？动态加密映射所应用的环境是什么呢？我们可以从以下的一个案例中来说明动态加密映射的概念。如下图：

在上图的网络拓扑中，MP803接入Internet的并不是宽带接入（固定IP地址），而是在通过电信ADSL拨号来获取到IP地址，不是固定的IP地址。这时候，对于上端MP2600A来说，就存在问题了，回想一下前面所描述的配置步骤，在步骤六中配置加密映射的时候，需要配置对端的peer IP地址，这时候怎么办呢？或许您想到——那我每次拨号获取到IP地址后，再在两端来配置IPSec——这种解决办法是OK的，只要客户或者您自己容忍每次MP803重新拨号后，您重新去更改配置。显然，这样方法充其量只能用来测试的。
动态加密映射就是用来解决这类问题的。顾名思义，动态加密映射，就是说，在配置加密映射的时候，不需要配置对端的peer IP地址。目前，安全路由器和VPN系列都支持动态加密映射，但由于两者实现上的差异，导致他们在配置动态加密映射的时候存在一些不同，在后文的实际配置案例中会讲到。
四、 NAT穿越略述
NAT穿越是指在两台VPN网关之间的还存在NAT设备，从原理来说，NAT和IPSec存在一定的矛盾。主要体现两点：NAT更改了IP数据包的IP源地址或者目的地址，这与IPSec协议中的AH认证头协议存在不可调和的矛盾，因此如果IPSec报文需要穿越NAT设备的话，在配置变换集合的时候就不能选用AH协议（目前，由于ESP协议也提供验证功能，AH使用很少）；第二点是NAT设备的端口地址转换是针对TCP/UDP/ICMP等协议。对于ESP协议，没有相应的处理机制。具体详细资料请查看IETF的草案。此外，NAT穿越目前还没有国际标准，公司在国内率先实现了NAT穿越功能。目前，公司的安全路由器、VPN3020等都已经实现了NAT穿越。
NAT穿越对于路由器和VPN3020上的配置没有任何的改变。目前，公司的北京办和总部的互联的两台路由器建立隧道就是穿越了NAT。
五、 实际配置案例
案例1：路由器与路由器互通
网络拓扑如图所示：
网络拓扑1

需求：两台MP2600路由器，都有固定的公网IP地址，现在需要构建VPN，保护在两台路由器后面的网络。使PC1能够访问到PC2。
规划：使用IKE自动协商密钥，policy的参数设置，加密算法为des、验证算法为sha方式为预共享、D-H组为group 1；身份标识为IP地址，以IP地址作来标识预共享密钥；变换集合参数设置，隧道模式为tunnel、协议-算法为esp-des、esp-md5；不启用pfs；在配置注意，避免配置所要保护的数据流为any到any。首先是在实际使用过程中，不会有这样的需求，其次，这样会让很多本来不需要加密的通信无法通信。

2、搭建VPN服务器有什么用？

通过隧道(Tunnel)或虚电路(VirtualCircuit)实现网络互联；支持用户安全管理；能够进行网络监控、故障诊断。

1、建网快速方便用户只需将各网络节点采用专线方式本地接入公用网络，并对网络进行相关配置即可。

2、降低建网投资由于VPN是利用公用网络为基础而建立的虚拟专网，因而可以避免建设传统专用网络所需的高额软硬件投资。

3、节约使用成本用户采用VPN组网，可以大大节约链路租用费及网络维护费用，从而减少企业的运营成本。

4、网络安全可靠实现VPN主要采用国际标准的网络安全技术，通过在公用网络上建立逻辑隧道及网络层的加密，避免网络数据被修改和盗用，保证了用户数据的安全性及完整性。

5、简化用户对网络的维护及管理工作大量的网络管理及维护工作由公用网络服务提供商来完成。

(2)vpn服务器架设扩展资料

VPN的基本处理过程如下：

1、要保护主机发送明文信息到其他VPN设备。 

2、VPN设备根据网络管理员设置的规则，确定是对数据进行加密还是直接传输。

3、对需要加密的数据，VPN设备将其整个数据包（包括要传输的数据、源IP地址和目的lP地址）进行加密并附上数据签名，加上新的数据报头（包括目的地VPN设备需要的安全信息和一些初始化参数）重新封装。

4、将封装后的数据包通过隧道在公共网络上传输。

5、数据包到达目的VPN设备后，将其解封，核对数字签名无误后，对数据包解密。

3、怎么用手机搭建一个小型的vpn服务器

用自己服务器搭建vpn首先你得有一个固定外网ip，建议用ddns或者其它厂商的vpn

4、服务器vpn搭建怎么搭？

你去到向日葵vpn的官网，里面有的。

一、创建VPN网络
1、生成成员主机
在计算机上安装向日葵客户端，登录并开启VPN模块
2、添加VPN网络成员
（1）点击【创建网络】标签，填写好网络信息，
（2）选择网络类型
（3）把服务器主机加入到中心节点，其他客户端主机加入到普通成员

创建完成后系统会自动分配一个虚拟IP给每一台主机，以后VPN成员主机间的通讯就依靠这个虚拟IP来
连接。

二、检测和访问
在客户端上，点击右下角“VPN”，会显示所创建的VPN网络，点击“Ping”进行测试。

在浏览器输入中心节点虚拟IP，就可以访问到OA系统了。

（在做任务，采纳我吧~）

5、如何在Windows服务器上架设VPN

在Windows服务器上架设VPN可以如下操作：
第一步，打开控制面板->管理工具->服务项目，禁用Windows防火墙服务。

第二步，打开控制面板->管理工具，双击“路由和远程访问”。然后右键点击服务器图标，再点击“配置并启用路由和远程访问”。

第三步，在“路由和远程服务器安装向导”中，选择“自定义配置”。

第四步，勾选“VPN访问”和“NAT和基本防火墙”。

第五步， 点击“完成”。系统提示“要开始服务吗？”，选择“是”。

第六步，接下来开始配置路由和远程访问，我们先点击本地服务旁边的+按钮，把左侧菜单展开，再点击IP路由选择旁边的+按钮。

第七步，下面配置静态IP地址。右键点击本地服务，点击属性，再点击IP选项卡。

第八步，点选“静态地址池”，点击“添加”。输入一个起始IP地址和结束IP地址范围，推荐输入192.168.1.100到192.168.1.254这个范围，因为192.168段属于本地保留IP段。最后点击“确定”。

第九步，右键点击“静态路由”，再点击“新建静态路由”。

第十步，目标和网络掩码都输入0，网关请和TCP/IP属性中的默认网关保持一致。

第十一步，删除“DHCP中继代理程序”中的“内部”项目。

第十二步，然后右键点击“DHCP中继代理程序”，再点击“新增接口”。

第十三步，选择“本地连接”，再点击“确定”，然后在弹出的对话框中点击“确定”。

第十四步，右键点击“NAT/基本防火墙”，再点击“新增接口”，然后选择“本地连接”，点击“确定”。

第十五步，在弹出的对话框中先点选“公共接口连接到Internet”，再勾选“在此接口上启用NAT”，最后点击“确定”。

第十六步，至此在路由和远程访问中的配置就完成了。下面是添加VPN用户的步骤，到计算机管理中添加一个用户，作为VPN连接的用户，把这个用户放到Guest组下面，并在用户属性->拨入->远程访问权限中设置成“允许访问”。 然后就是在你自己电脑上新建VPN连接，进行拨号测试了。要确定是否连接成功，请访问IP查询网站，看是否显示的是国外服务器的IP即可。