点对点隧道协议(PPTP: Point to Point Tunneling Protocol)是一种支持多协议虚拟专用网络的网络技术。通过该协议,远程用户能够通过 MicrosoftWindows NT工作站、Windows 95和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地 ISP,通过 Internet 安全链接到公司网络。ubuntu 11.04 PPTP可以用于在 IP 网络上建立 PPP 会话隧道。在这种配置下,PPTP 隧道和 PPP 会话运行在两个相同的机器上,呼叫方充当PNS.PPTP 使用客户机-服务器结构来分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP作为一个呼叫控制和管理协议,它允许服务器控制来自 PSTN bt4或 ISDN 的拨入电路交换呼叫访问并初始化外部电路交换连接。 PPTP 只能通过 PAC 和 PNS 来实施,其它系统没有必要知道 PPTP.拨号网络可与 PAC 相连接而无需知道 PPTP.标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。 思科路由器 PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP没有规定特定的 算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。 配置 [...]
Sunday, July 17, 2011
思科PIX防火墙PPTP VPN相关配置
点对点隧道协议(PPTP: Point to Point Tunneling Protocol)是一种支持多协议虚拟专用网络的网络技术。通过该协议,远程用户能够通过 MicrosoftWindows NT工作站、Windows 95和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地 ISP,通过 Internet 安全链接到公司网络。ubuntu 11.04 PPTP可以用于在 IP 网络上建立 PPP 会话隧道。在这种配置下,PPTP 隧道和 PPP 会话运行在两个相同的机器上,呼叫方充当PNS.PPTP 使用客户机-服务器结构来分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP作为一个呼叫控制和管理协议,它允许服务器控制来自 PSTN bt4或 ISDN 的拨入电路交换呼叫访问并初始化外部电路交换连接。 PPTP 只能通过 PAC 和 PNS 来实施,其它系统没有必要知道 PPTP.拨号网络可与 PAC 相连接而无需知道 PPTP.标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。 思科路由器 PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP没有规定特定的 算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。 配置 [...]
【VPNSoundwin_VPN实现VoIP解决方案】
VPNSoundwin vpn实现VoIP解决方案 目 录 1 项目背景………………………………………………………………………………………..3 2 总体方案………………………………………………………………………………………..4 2.1 项目需求…………………………………………………………………………………..4 2.2 总体设计…………………………………………………………………………………..5 vpn网络部分………………………… ………………………………… ……5 VoIP语音网络部分…………………………………………………………………5 拨号规则…………………………………………………………………………….7 2.3 方案实施……………………………………………………………………………………7 2.3.1 网络拓扑图…………………………………………………………………… ……7 2.3.2 本方案实现功能………………………………………… ………………… …7 3 相关技术和设备简介……………………………………………………………………………8 4 配置………………………………………………………………………………………………11 1 项目背景 20世纪90年代以来,信息技术取得了突破性的进展,计算机的普及、因特网的扩张,不断地改变着世界的面貌。同样的,商业领域中也正在发生一场巨大的革命。新型虚拟机构正在迅速代替传统的带有四面围墙的“砖瓦式”企业,这是一场电子商务革命。从产品开发到市场推广、从采购到销售,它影响着每一个商业流程;它影响着信息在企业内外流动的方式;影响着企业利用最重要的资源–人力资源的方式。许多企业发现,它们正不同程度地处于虚拟化道路之上,每个行业、每个企业都将受到这种虚拟化演变的影响,也从而引发了一场“电子商务”的浪潮。然而电子商务概念提出的同时,也为人们提出了另外一个新的课题–如何保障信息在公共信道上传输时的机密性、完整性和可用性就成为这些企事业单位最关心的问题。 vpn(虚拟专用网络)技术正是适应了这种需要而出现的,而且已经成为计算机网络中应用最广泛,最有活力的产品市场之一;在这个市场中又以基于IP网络的IP VPN产品之间的竞争最为激烈。IP VPN利用公网基础设施为使用单位各部门提供安全的网络互联服务,尽管是“虚拟的专网”,它却能够提供与专网类似的安全性、可靠性、优先级别和可管理性。IP VPN之所以得到广泛的欢迎,其主要原因是采用了这种网络连接的方式可以比传统的专网形式拥有节省远程访问的长话费、长途通信费用、专线租用费用、网络设备运行和维护费、连接快速、简便和简化WAN连接管理的优势。 而构架在VPN网络上的语音网络更是节约了企业的日常通讯费用。利用新技术以更低的成本在现有的数字传输网络(IP/ATM)网络上提供语音等传统电信业务,其中一个重要代表就是基于包交换技术的IP电话。VOIP/FOIP(Voice Over IP/FAX Over IP)技术可以在IP网络上以共享网络带宽的方式提供语音、传真业务,因而可以提供成本比传统电话网低得多的电话业务。同时,随着包交换话音技术的成熟,在稳定传输带宽的前提下,IP电话实时性得到必要的保证,话音质量已经达到了传统电话的90%以上。在经济效益上,现有的数字网络更可以旁路长途电话,能节省大量的运营费用。 VPN(虚拟专用网,Virtual Private Network)在国外已经快速的得到发展,2001年全球VPN市场将达到120亿美元,它能够吸引许多公司、机构采用的最重要的原因就是能够节约成本。 我们这里指的虚拟专用网是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。 由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。 据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。2 总体方案 对于IP VPN网络,需要达到的功能与要求有: 1. 安全性 2. [...]
Cisco ASA Easy VPN Server with NAT配置
1、不带隧道分离的基本配置 interface Ethernet0/0 nameif outside security-level 0 ip address 208.1.1.1 255.255.255.0 !ubuntu 11.04 interface Ethernet0/1 nameif inside security-level 100 ip address 10.2.2.1 255.255.255.0 !bt4 access-list per-icmp extended permit icmp any any access-group per-icmp in interface outside ! nat (inside) 1 10.2.2.0 255.255.255.0 global (outside) 1 interface !思科路由器 route outside 0.0.0.0 0.0.0.0 208.1.1.2 1 ! access-list [...]
Cisco PIX/ASA RemoteVPN 配置
step1: ubuntu 11.04 crypto isakmp policy 1 authentication rsa-sig encryption des hash md5 group 2bt4 lifetime 86400 step2: crypto isakmp enable outside step3(option):思科路由器 如果VPN通道上有NAT设备要打开NAT-T For example, enter the following command to enable NAT-T and set the keepalive to>BT4无线网络密码破解 其实这个也未必要配置上,不配上也能建立remoteVPN,在vpn客户端上打开NAT-T就好了step4 配置隧道分离 access-list Internet extended permit ip 192.168.91.0 255.255.255.0 172.16.100.0255.255.255.0172.16.100.0 是remoteVPN客户端的地址池 access-list Split_Tunnel_List standard permit host 0.0.0.0group-policy [...]
mpls vpn组网,mpls 组网,vpn组网
mpls vpn组网,mpls 组网,vpn组网 Jack(高先生) tel:15800390100 Q:27717468 服务等级 带宽服务,提供与MPLS骨干网连接的独享带宽。 1M,2M,10M……100M(以Bit Per Second为单位)。 IP地址服务,提供固定私有IP地址。 根据用户要求可以申请4个,8个,16个,32个,64个IP甚至更多的IP地址的网段的要求。 技术优势 实现网络安全: 具有高度的安全性,VPN以多种方式增强了网络的智能和安全性,提供对分布用户的认证。支持安全和加密协议。 简化网络设计: 网络管理者可以使用VPN替代租用线路来实现分支机构的连接,结构更加简单。可以制定特殊的网络控制策略,满足不同用户的特殊要求,实现增值服务。 降低成本: VPN可以立即且显著地降低成本。借助ISP来建立VPN,可以节省大量的通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。 容易扩展: 如果企业想扩大VPN的容量和覆盖范围。企业需做的事情很少,而且能及时实现:企业只需ISP重签合约,扩大服务范围。在远程办公室增加VPN能力也很简单:几条命令就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。 完全控制主动权: 借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。企业可以自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。 支持新兴应用: 许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议等。 服务优势 升级服务: 用户可以在使用光纤接入的前期选择带宽比较低,IP地址数量比较少的服务,而随用户的需求随时进行带宽的提升与IP数量的增加。 售后服务: 提供全方位的技术支持,培训,以及其它相关的业务。 mpls vpn组网,mpls 组网,vpn组网 Jack(高先生) tel:15800390100 Q:27717468 MPLS VPN适用于各类大中型企业,尤其适用于商务活动频繁,数据通信量大,对网络依靠程度较高,有分支机构的企业与组织,如网络公司、IT公司、金融业、贸易行业、新闻机构等,提供专网服务。 金融业 银行,证券等。可以为其各网点间提供安全的宽带连接。 多分支企业 这些企业具有如下特点:在不同位置有多个分支机构。MPLS VPN为这类企业的各分支之间提供所需的连接,在其上可以运行企业的各种内部应用,并且可以融合各种不同业务和应用。 合作伙伴 有些公司与商业伙伴(供应商或者大客户)之间有经常性的联系,或者有大量的B2B业务需求。MPLS VPN为商业伙伴之间提供了安全的连接,也使B2B的商业模式有了更高的安全可靠保障。教育科研机构、政府部门或者团体组织之间也能够利用其建立连接。 mpls vpn组网,mpls 组网,vpn组网 MPLS VPN是一种基于MPLS(Multiprotocol Label Switching,多协议标记交换)技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。 Jack(高先生) tel:15800390100 [...]
linux通过pptpconfig连接vpn服务器
假如是在windowsXP下,可直接通过XP自带的拔号软件来连接vpn服务器,配置很简单,但在linux下就没默认的vpn客户端软件,使得在linux连接vpn服务器相对难一些,下面就我在linux下通过vpn客户端软件 pptpconfig正常连接到vpn服务器的方法和步骤进行记录,希望对新手有一定的帮助。 我的运行环境:centOS4.4。1,下载和安装(http://pptpclient.sourceforge.net/),请下载和您操作系统相关的软件包,假如安装时有包依赖关系,请到rpmfind.net查找并安装(我的系统就依赖libglade-0.17-13.2.1.i386.rpm,libxml-1.8.17- 9.i386.rpm这两个包),要下载的软件列表如下: php-gtk-pcntl-1.0.2-1.i386.rpm pptp-1.7.1-3.i386.rpm php4-pcntl-4.4.1-2.i386.rpm php4-pcntl-gtk-1.0.2-2.i386.rpm pptpconfig-20060821-1.fc5.noarch.rpm安装: rpm -ivh 上面的任何包及依赖包2,配置和使用 假如正常安装后,请su到root用户,然后运行pptpconfig.php。 注意:运行之前请确保/usb/sbin和/sbin在系统路径下,否则会出现没发现ip和pptp命令的错误。 解决办法: [root@eadd-lyb lyb]# export PATH=$PATH:/usr/sbin/:/sbin/ 运行: [root@eadd-lyb lyb]# pptpconfig.php 出现如下操作界面: 对于软件的使用,我想就不用我周详说了吧,一看大家就知道了! 只是要注意的是要把miscellaneous标签下的选项给都选择上,否则会出现输出错误。 其中server标签中的Server为vpn服务器的地址或域名,Username,Password为登录vpn服务器的用户名和密码。 配置好后start…,假如配置正确,就可和vpn服务器进行连接,如下图: 这样您就能够通过连接获得的vpn服务器的IP和vpn服务器进行通信了。 例如:假若您获得的vpn服务器的地址为192.168.1.16,您就可通过http://192.168.1.16来访问vpn服务器的web服务。 评论这张 转发至微博
[12-25] 3款永久免费VPN
vpn提供商: 地点:瑞典 用户名:自己注册 密码:自己注册 vpn服务器IP:pptp.relakks.com 注册地址:[url]https://www.relakks.com/register.php?lang=en[/url] 备注:推荐高速免费的无限制vpn代理。Relakks只提供30天的免费VPN服务,但可以通过修改MAC地址无限试用。4 VPN提供商:Prairie Dog VPN 地点:香港 带宽:受限于使用人数(免费用户需要为付费用户让道) 用户名:服务器随机分配 密码:服务器随机分配 VPN服务器地址:服务器分配 注册地址:[url]http://www.pdog-vpn.com/freeaccount.php[/url] 备注:来自香港的VPN服务提供商,速度不错。点击上面地址开始注册过程,填入邮箱,接收邮件获取用户名和密码。 VPN提供商: 地点:法国受限于使用人数(免费用户需要为付费用户让道) 带宽:128KB/s 用户名:自己注册 密码:自己注册 服务器地址:pptp1.linkideo.com 注册地址:[url]http://www.linkideo.com/sign-up[/url] 备注:Linkideo的免费VPN账号只能用来进行Web浏览,但这对于大多数用户而言已经足够了。 评论这张 转发至微博
配置带有NAT的PIX实现IPSec VPN连接
在此示例配置,远程PIX 通过动态主机配置协议(DHCP)收到IP地址并且连接到中央PIX。此配置允许中央PIX接受动态IPSec连接。 远程PIX使用网络地址转换(NAT) “加入”专用地址设备在它之后对专用地址网络在中央PIX 之后。远程PIX可以首次与中央PIX (的连接知道终端),但中央PIX不可以首次与远程PIX (的连接不知道终端)。 在此示例配置,Tiger是远程PIX和 Lion 是中央PIX。我们不了解什么Tiger的IP地址将是,因此我们必须配置Lion动态地接受连接从任何地方知道计算机通配符 ,预共享密钥。 Tiger知道什么数据流将被加密(因为由访问控制列表指定)并且Lion终点哪里被找出。 Tiger必须首次连 接。两边执行NAT和NAT 0 绕过NAT为IPSec信息数据流。 另外,异地用户在此配置连接到中央 PIX (Lion)使用异地用户不能连接到远程PIX的 Cisco VPN Client 3.x. (Tiger)因为两边将有并且不知道在哪里发 送请求的动态地指定的IP地址。 ubuntu 输入法 在您开始之前 惯例 欲 知关于文件惯例的更多信息,请参阅 Cisco技 术提示惯例。 前提 此文档没有特殊的先决 条件。 使用的组件 此配置使用以 下的软件及硬件版本实施了并且测试了。 Cisco PIX防火墙软件版本6.0(1) (或极大为 Cisco VPN Client 3.x) Cisco PIX防 火墙软件版本5.3.1 (远程PIX) Cisco VPN客户端版本3.x 配置 在此部分,您介绍用信 息配置在本文描述的功能。 [...]
利用PIX与路由器做点对点VPN
通过这次配置PIX与路由器做点对点vpn的测试,学到了一些东西,但也受到了很多教训,总体来说,收获比较大。总结下几点: ubuntu 输入法 存在的问题: 一),思想上重视程度不够,想当然的以为vpn配置不是很复杂,以为看过几遍文档就能把VPN配置出来,对VPN的概念以及原理没有深究,对公司以前配置过的VPN没有细细的分析,配置的步骤不清不楚,只会照葫芦画瓢,没有从根本上掌握VPN技术。 二),对技术的研究热情不够,第一次接触做点对点VPN,但是没有认真的研究学习VPN的的原理,导致在测试的过程中不能正确分析问题存在的原因,排错的能力几乎为零。 三),准备工作不充分,虽然在网上查找到一些有用的资料,但是仅局限于资料本身的可用性,没有深层次从中考虑到配置VPN的一些原理,用法以及配置的具体 步骤和方法。没有利用网上的资料给出测试的方案,画出测试的网络拓扑结构,在测试的过程中十分被动,仅靠网上的几篇文档资料,配置的时候无从下手。 四),在测试过程中没有很好的利用现有资源,在遇到困难和问题时候没有很好的给出解决办法,比较过分依赖于同事或者朋友,依靠互联网寻找解决问题、独立思考的能力比较欠缺。 一些经验: 在配置点对点的VPN的过程中,大概理解了VPN配置的原理,包括加密方式,算法以及验证的模式等。 一),初步理解了点对点VPN的一些原理,所谓点对点VPN,是两边同时配置成VPN网关,这样就可以使两个VPN网关设备后面的私网地址互相通信,并不需要转换成公网IP地址再进行访问,一是节省了IP地址,另一方面由于VPN的加密特性也确保了数据的安全性。 二),点对点,意味着两边的配置应该完全一样(当然,除非一些自定义的词语以外),这次我做测试的设备一台是思科PIX 515E防火墙,另一个设备是思科2611XM路由器,并且在PIX的设备上已经配置了一个点对点VPN了。这就意味着有个参考的对象。 三),在前期的准备工作中,应该使用一些常见的测试方法,比如 ping 命令:在做VPN的同时开启ping外网地址,这样可防止错误操作而导致正常使用的网络中断。还有如tracert命令等。 BT无线网络破解教程 四),在配置过程中,如何清晰的把握配置的原理及步骤是光键,网络的配置往往在一些小的细节方面非常重要,稍不注意全盘不通。在VPN的配置概念中,双方 的加密方式,算法以及验证的方式都必须一样,lifetime也必须一样。这里就需要注意一些设备的默认值,比如说思科路由器默认的加密方式是DES,而 大多数的设备配置的加密方式都是3DES,如果没注意则配置肯定不成功。 虽然事情业已告一段落,但这件事让我受益颇多。 一些测试的步骤: PIX配置: 通常我们先配置访问控制列表,这里的ACL是应用在点对点VPN里面的,做两个设备后面发现的网段之间的访问控制。做为测试,开启的权限是比较大的,在生产环境中应该根据需求开启相应的端口。 写一条访问控制列表: access-list 203 permit ip 10.0.X.0 255.255.255.0 192.168.X.0 255.255.255.0 access-list 203 permit ip 192.168.X.0 255.255.255.0 10.0.X.0 255.255.255.0 在访问控制列表之后就是配置加密图(在配置模式下进入): crypto ipsec transform-set testvpn esp-3des esp-md5-hmac 配置IPSec变换集。先要定义双方交换的加密方式及算法,这里的testvpn只是一个定义的名称而已,可以自已定义,后面会调用它,而3des是被定义的加密方式,md5-hmac是被定义的hash算法。 再定义动态加密图 crypto dynamic-map dynmap 10 [...]
ASA5540下配置IPsec L2TP-VPN
ip local pool ccie 11.0.0.1-11.0.0.100crypto ipsec transform-set ccie esp-des esp-md5-hmac crypto ipsec transform-set ccie mode transportcrypto dynamic-map dy 1 set transform-set cciecrypto dynamic-map dy 1 set reverse-routecrypto map ccie 1 ipsec-isakmp dynamic dycrypto map ccie interface outsidecrypto isakmp enable outsideusername cisco passwo ciscocrypto isakmp policy 1authentication pre-shareencryption deshash md5group 1lifetime 86400l2tp tunnel hello 30group-policy ccie [...]
Wednesday, July 13, 2011
ASA 的VPN分类
L2L Ipsec Remote Ipsec (可以称呼为EZVPN)又包含两种(软件:cisco ipsec客户端,硬件:基于ASA 5505,VPN3002,PIX防火墙,路由器的部分型号) L2TP over Ipsec (微软的客户端) SSL vpn 又包含两种(无客户端:包含clientless和thin client有客户端:早期svc 现在的anyconnect)本文出自 “Cisco_Security” 博客,请务必保留此出处http://zhangqc.blog.51cto.com/2658152/605269
IPSec VPN和SSL VPN两种VPN的安全风险比较
虚拟专用网络(vpn)已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。在本文中,我们将试图解释两种特定的vpn类型,即IPSec vpn和SSL VPN,以及这两种类型应该如何选择。然而,在深入研究这两个不同类型之前,需要首先对VPN技术进行一个简要的概述。VPN是指有利于远程访问公司资源的一系列技术。这种技术的主要用户,是试图在家或者其他公共场所访问公司资源的公司雇员,以及在公司的基础架构内支持各种系统的合作伙伴或第三方。VPN一般通过在远程站点和公司网络之间建立一个加密通道的方式,利用公共长途IP网络来进行数据传输,这些远程站点包括雇员的笔记本电脑或者第三方系统。关键技术当前,最为普及的两种VPN技术分别是基于传统网络安全协议(IPsec)的VPN技术和安全套接字层(SSL)VPN技术,前者主要作用于网络层,而后者主要作用于应用层。它们的不同之处在于:使用的底层技术不同,所服务的功能不同,以及潜在的VPN安全风险不同。IPsec最初的设计是提供点到点的,在远程站点和中央办公室资源之间进行不间断的连接。在这种情况下,客户端可以是分公司或者供应商。这个协议被设计为工作在网络堆栈的更底层(第3层,网络层),并可以用来传输任何基于IP的协议报文,而不用理会应用程序所产生的流量。随着移动办公时代的到来,IPsec已经得到扩展,用户通过使用一个安装在移动设备上的专用VPN应用程序(客户端)就可以进行远程访问。另一方面,SSL VPN在设计时就考虑到了移动办公。它的预期目标是提供一个无缝连接的、无客户端的远程访问方式。这样,SSL VPN可以被看做一个应用程序代理,远程用户使用浏览器就可以以某种粒度访问公司的特定资源,而不再需要安装客户端。优势与劣势IPsec的关键优势在于它在站点之间提供一个永久连接的能力。工作在网络层(网络堆栈的第3层)也使其与应用程序无关:任何基于IP的协议都能够通过它进行传输。这使得IPsec相对于那些昂贵的租用线路或者专用线路,是一个相当有吸引力的替代品。它也可以作为一个备份链路,即在连接远程站点和中央办公室的主租用线路或专用线路崩溃时起作用。然而,IPsec中与应用程序无关的设计也是它的弱点。虽然它提供了认证、授权和加密,同时还基本上把公司网络拓展到任何远程用户,但是它没有能在一定粒度级别上限制对资源的访问。一旦隧道建立,远程用户通常可以访问公司的任何资源,就像他们是直接连接到公司网络一样。因为移动办公需要允许诸如智能手机和家用电脑等非托管的IT设备访问公司资源,所以这些安全问题显得更加严重。IT部门对这些设备没有任何可视性和控制权,而且不能保证这些设备符合通常在托管设备上实施的安全水平。另外,IPsec也需要更多的维护。除了需要建立终止通道的设备,还需要额外的配置和维护来支持远程用户群。在公司使用网络地址解析(NAT)的情况下,还需要特殊的配置确保IPsec与NAT设置充分协调。相比之下,SSL VPNs从设计的一开始就支持远程访问。它们不需要安装任何特别的软件。远程访问是通过一个基于浏览器的使用安全套接层(SSL)的会话实现的。SSL VPNs还为企业提供粒度级访问控制的能力。特定的身份验证和访问应用程序的授权方案可以被限定在一个特定的用户群。内置的日志记录和审核能力能处理各种合规要求。SSL VPNs还具备在连接到企业的远程设备上运行主机合规性检查的能力,以验证它们配置了合适的安全软件,并安装了最新的补丁。但这并非意味着SSL VPNs就是所有IPsec缺点的灵丹妙药。当一个远程站点需要与主办公室建立不间断连接时,SSL VPN不是合适的解决方案。与应用程序无关的IPsec能以最小的代价支持大量传统的协议和传统客户/服务应用程序。这与围绕基于Web应用构建的SSL VPNs是不同的。许多SSL VPNs通过在远程设备上安装一个Java或者基于ActiveX的代理控件来解决这个缺点。通常情况下,在远程设备成功通过SSL VPN设备的验证后,相关的安装会准确无误的实现,但是值得注意的是,ActiveX和Java都有其自身的安全缺陷,这也是攻击者通常试图利用的一点。IPsec VPN还是SSL VPN?在企业中,每种VPN方案都有其用处。理想情况下,因为SSL和IPsec VPNs服务于不同的目的且具有优势互补的特点,所以它们都应该被采用。IPsec应该在需要与远程办公地点或者合作伙伴/供应商建立不间断连接时使用。这种情况下,粒度访问控制限制和缺失的主机检查能力应该通过一个网络访问控制系统来增加,这就可以确保只有通过验证的远程主机才能连接到企业。在粒度访问控制能力,审核和日志记录,以及安全策略控制等因素至关重要的移动办公情况下,企业应该主要使用SSL VPNs作为远程访问方案。但是请记住,不管你的VPN选择或特定需要如何,一个VPN必须更新,测试并进行性能检测,而且它是作为利用综合性策略和各种网络安全技术的深度防护战略的一部分。转载请注明:本文转自:http://www.liusuping.com/
MPLS VPN的原理及构建
1 概述 传统的vpn通常建立在ATM/DDN/FR网上,随着IP网的大规模部署及ATM技术应用的衰落,在IP网上提供vpn业务被认为是一种非常经济的方式,随着MPLS技术的出现,基于MPLS的vpn技术发展迅速并已获得商用。根据RFC 2764中对IP VPN技术的分类,IP VPN可划分为:VLL(Virtual Leased Lines)、VPDN(Virtual Private Dial Networks)、VPRN(Virtual Private Routed Networks)和VPLS(Virtual Private LAN Segment)四种。MPLS VPN属于VPRN。 2 MPLS路由器的结构 MPLS路由器结构与传统的仅支持逐跳路由的路由器结构有所不同,MPLS中的标签交换路由器(LSR)结构如图1所示,图中实线为传统路由器部分,虚线为LSR增加的部分,LSR分为路由模块和转发模块,路由模块中的路由协议可以是OSPF或IS-IS,也可以是它们基于流量工程的扩展,MPLS信令可以是RSVP或CR-LDP,标签分组根据转发模块中的标签转发表来交换标签,IP转发表用于传统逐跳路由的第三层查找。MPLS通常采用拓扑驱动方式,路由器根据路由表项来建立LSP 。 3 MPLS VPN的数据转发过程 MPLS VPN中的路由器有三种:P路由器、PE路由器和CE路由器。P路由器为运营商主干路由器,负责VPN分组外层标签的交换;PE路由器为运营商边界路由器,存放着VRF表和全局路由表,VRF中存放着VPN路由,全局路由表中存放着运营商的域内路由;CE路由器为客户端路由器,由客户负责维护。当CE路由器将一个VPN分组转发给入口PE路由器后,PE路由器查找该VPN对应的VRF,从VRF中得到一个VPN标签和下一跳出口PE路由器的地址,VPN标签作为内层标签打在VPN分组上,根据下一跳出口PE路由器的地址可以在全局路由表中查出到达该PE路由器应打上的域内路由的标签,即外层标签,于是VPN分组被打上了两层标签,主干网的P路由器根据外层标签转发VPN分组,在最后一个P路由器处,外层标签弹出,VPN分组只剩下内层标签(此过程被称作次末级弹出机制),接着VPN分组被发往出口PE路由器。出口PE路由器根据内层标签查找到相应的出口后,将VPN分组上的内层标签删除,将不含标签的VPN分组转发给正确的CE路由器,CE路由器根据自己的路由表将分组转发到正确的目的地。4 MP-iBGP 协议 在基于MP-iBGP协议的MPLS VPN体系中,存在两个层面的路由,即域内路由和VPN路由。 所有的PE路由器及P路由器上要运行主干网的域内路由(OSPF或IS-IS等),生成的路由表将触发主干网中LSP的建立(拓扑驱动方式),通过CR-LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换。PE路由器之间运行MP-iBGP协议,该协议跨越主干的P路由器在PE之间分发VPN标签,形成VPN路由,MP-iBGP发布的一条VPN路由包含的信息有:IPv4地址、路由区分符(RD)、路由目标(RT)、VPN标签和下一跳PE地址,其中RD用来消除IPv4地址的歧义,以重用IPv4地址;RT用来控制VRF的导入和导出策略,从而控制网络的连通和拓扑;下一跳PE地址是连接域内路由和VPN路由的纽带,在PE路由器上根据在VRF中得到的下一跳PE地址可以在全局路由表中查找到到达该地址应打上的外层标签。 由于运行MP-iBGP协议的PE路由器之间必须构成全网状网的会话(因为运行iBGP的路由器不能转发收到的iBGP路由,这种机制用于避免路由环路),因此在大规模的网络应用中存在可扩展性的问题,解决的方法是采用路由反射器或路由域联合,路由反射器允许路由器转发收到的iBGP路由,以避免全网状的会话;采用路由域联合可以将路由域划分成多个区域,这样,只有区域内的路由器需要构成全网状的连接,减少了域内iBGP路由器的邻接数,当然采用路由域联合需考虑对跨域连接的规划。 5 VPN路由转发实例(VRF)、路由区分符(RD)和路由目标(RT)的概念 5.1 VPN路由转发实例(VRF) VPN IP路由表及相关的VPN IP转发表被统称为VPN路由和转发实例。在极端的情况下,可以为连接到PE路由器上的每个站点都分配一个VRF来存放VPN路由,但连接在同一PE路由器上的站点如果满足以下三个条件则可以共享一个VRF:(1)各站点属于同一个VPN;(2)路由信息相同; (3)站点之间允许相互直接通信。通常PE路由器上每个用户的端口与一个特定的VRF相关联,从该端口输入的VPN分组将根据各自对应的VRF查找其VPN标签和下一跳的出口PE路由器地址。VRF隔离了不同的VPN。5.2 路由区分符(RD) 由于VPN数量巨大且不少原先的VPN用户不愿修改自身的IPv4地址,因此有必要允许不同的VPN客户使用相同的IPv4地址,对于不同VPN中相同的地址,采用RD可以实现IPv4地址的重用。PE路由器通过MP-iBGP协议通告站点的路由时,将同时携带各路由的RD,即将IPv4地址转化为VPN-IPv4地址,PE路由器在收到MP-iBGP通告的路由后,将查看该路由的RD,然后将VPN-IPv4地址转化成IPv4地址,即将地址中的RD去掉,将其导入到相应的VRF中。由于不同VPN被VRF隔离了,因此不同VPN中相同的IPv4地址,将被导入到不同的VRF中。在同一个VPN中,地址必须是唯一的;当多个VPN之间需要相互通信时(例如有公共的站点),则要求地址必须在多个VPN中是唯一的,此时多个VPN只能使用同一个RD。 5.3 路由目标(RT) RT来控制VRF的导入和导出策略,以构成各种复杂的VPN拓扑。一个VPN有可能不止使用一个RT,RT的具体使用与VPN的拓扑结构密切相关, 对于全网状相接的VPN可以用一个RT,对于非全网状相连的VPN,一个VPN往往需要多个RT。当从PE导出VPN路由时,要用RT对VPN路由进行标记,在往VRF中导入路由时,可以使用多个RT,只要有一个VPN路由中附带的RT与导入路由中的任意RT相同,都将被导入到该VRF中。 [...]
socks5 VPN与IPSec VPN、ssl vpn特点比较
socks5 vpn与IPSec vpn、ssl vpn特点比较VPN标准分为三类:IPSec VPN、SSL VPN 、Socks5 VPN IPSec VPN国家标准制定单位:深圳奥联科技、华为、深信服、中兴、无锡江南信息安全工程技术中心。 SSL VPN国家标准制定单位:深圳市奥联科技有限公司、华为技术有限公司、深圳市深信服电子科技有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份有限公司等十余家单位。 socks5 VPN与IPSec VPN、ssl vpn特点比较 首先让我们从SSL VPN和IPSec VPN个阵营出发做一个比较。1 SSL VPN相对于IPSec VPN的优势1.1 SSL VPN比IPSec VPN部署、管理成本低 首先我们先认识一下IPSEC存在的不足之处: 在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。 IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。 其次我们再看看SSL的优势特点: 从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。 一般而言,SSL VPN必须满足最基本的两个要求: 1. 使用SSL 协议进行认证和加密;没有采用SSL 协议的VPN产品自然不能称为SSL VPN,其安全性也需要进一步考证。 2. 直接使用浏览器完成操作,无需安装独立的客户端;即使使用了SSL 协议,但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN,否则就失去了SSL VPN易于部署,免维护的优点了。 SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的三大好处是: 第一来自于它的简单性,它不需要配置,可以立即安装、立即生效; 第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行; 第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。 综合分析可见: 1. SSL VPN强调的优势其实主要集中在VPN客户端的部署和管理上,我们知道SSL VPN一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立; 2. 某些SSL VPN厂商如F5有类似IPSec VPN的网络访问方式,可以解决传统的C/S应用程序的问题,用户用浏览器登录SSL [...]
ASA SSL VPN 无客户端连接
ASA SSL vpn 无客户端连接 ASA分为无客户端(又包含clientless 和 thin client mode) 有客户端(使用SVC和anyconnect) ASA无客户端并不能为用户提供完全的网络访问服务,如想体验与远程访问IPSEC vpn@可以使用anyconnect (注解@:其中一种是在的远程pc上安装cisco ipsce vpn client或者,另一种是通过ASA5505、pix、vpn3002 部分类型的路由器硬件客户端和ASA 建立远程的IPSEC vpn,不同于L2L ipsec vpn配置) anyconnect的授权:从ASA8.2开始分为四种授权 anyconnect premium anyconnect essentials anyconnect mobile share premium licensing 2. ASA 无客户端连接:最小配置 webvpn enable Outside username cisco password cisco ———————————————————————————————————————————— 3.CISCO对clientless 除了默认提供http,https,CIFS和FTP外还可以通过一些插件来实现telnet/SSH、VNC、RDP,这些插件可以在cisco官网下载。 ASA1(config)# dir Directory of disk0:/ 72 -rwx 7598456 21:49:44 May 01 [...]
Cisco ASA SSLVPN configturation
v:* {behavior:url(#default#VML);}o:* {behavior:url(#default#VML);}w:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}Normal07.8 磅02falsefalsefalseEN-USZH-CNX-NONEMicrosoftInternetExplorer4/* Style Definitions */table.MsoNormalTable{mso-style-name:普通表格;mso-tstyle-rowband-size:0;mso-tstyle-colband-size:0;mso-style-noshow:yes;mso-style-priority:99;mso-style-qformat:yes;mso-style-parent:”";mso-padding-alt:0cm 5.4pt 0cm 5.4pt;mso-para-margin:0cm;mso-para-margin-bottom:.0001pt;mso-pagination:widow-orphan;font-size:10.5pt;mso-bidi-font-size:11.0pt;font-family:”Calibri”,”sans-serif”;mso-ascii-font-family:Calibri;mso-ascii-theme-font:minor-latin;mso-fareast-font-family:宋体;mso-fareast-theme-font:minor-fareast;mso-hansi-font-family:Calibri;mso-hansi-theme-font:minor-latin;mso-bidi-font-family:”Times New Roman”;mso-bidi-theme-font:minor-bidi;mso-font-kerning:1.0pt;}Cisco ASA Web vpn 配置时间:2010-11-10 17:03来源:未知 作者:admin 点击: 131次Cisco ASA Web vpn 配置 目前市场上VPN产品很多,而且技术各异,就比如传统的 IPSec VPN 来讲, SSL 能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳 SSL VPN 作为远程安全接入技术,主要看重的是其接入控制功能。 SSL VPN 提供增强的远程安全接入功能。 IPSec VPN 通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户 PC 就如同物理地处于企业 LAN 中。这带来很多安全风险,尤其是在接入用户权限过大的情况下。 SSL VPN 提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。 SSL VPN 能对加密隧道进行细分,从而使得终端用户能够同时接入 Internet 和访问内部企业网资源,也就是说它具备可控功能。另外, SSL VPN [...]
MPLS VPN 路由器与交换机
当前,随着Internet的普及和发展,基于MPLS虚拟专用网技术越来越引起了人们的广泛关注,MPLS vpn是一种基于MPLS (Multiprotocol Label Switching,多协议标记交换)技术的IP vpn,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。它必将成为未来网络安全研究和Internet应用的一个重要 方向。 MPLS VPN能够利用公用骨干网络广泛而强大的传输能力,降低企业内部网络建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全 性、实时性、宽频带、方便性的需要,因此多用于大型网络建设。 BT无线网络破解教程 从目前路由器与交换机厂家产品在企业、电子政务网络使用情况来看,华为和思科是主要的MPLS VPN技术产品厂商,从华为厂家网络产品来看,有相应的路由器和交换机产品满足性能要求,如华为路由器NE80/40/16/08/05可以作为 P/PE, S8016三层交换机可以作为PE;从Cisco厂家网络产品来看,有相应的路由器产品满足性能要求, cisco路由器GSR 12016/7609/7304/7513/7400/7200可以作为P/PE,cisco 6509三层交换机可以作为PE,Cisco 在政务网上的应用案例主要有黑龙江省政务网(利用MPLS/VPN)等。华为在政务网上的应用案例主要有江西政务信息网(利用MPLS/VPN)和武汉政 务信息网(利用MPLS/VPN)等;路由器的性能主要是看包转发能力的大小以及支持的端口(类型、密度)、路由协议,NAT、QOS、支持组播与 MPLS VPN。交换机的性能主要是看背板容量(吞吐量)的大小以及支持的端口(类型、密度)、冗余模块,VLAN数量、是否支持三层交换、支持组播与MPLS VPN。下面让我们来看一看满足MPLS VPN的路由器(华为)和交换机产品(华为和Cisco)情况。 一、支持MPLS VPN 华为高中档路由器产品(以华为产品为例) 1、Quidway NetEngine 80 核心路由器 Quidway NetEngine 80 核心路由器是华为公司自主开发的高端网络产品,主要应用在IP骨干网、IP城域网骨干层以及各种大型IP网络的核心位置。NE80采用先进的分布式 硬件体系结构,其电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力,满足不断增长的数据和互联网业务对网络骨干设备的需求。 NE 80 该类产品特点: 1) 大容量、高密度 NE80核心路由器是一款大容量的千兆位交换式核心路由器,背板容量为256Gbps,系统交换容量高达128Gbps,共有16个线路槽位,可提供 16个POS 2.5G / 64个POS 622M / 128个POS 155M / 128个ATM 155M / 64个GE / 256个FE / 16个RPR 2.5G,具备较大的容量的较高的密度,适合骨干设备的组网和扩容的要求。 2) 线速转发性能、强大路由能力 NE80采用业界主流的网络处理器技术,实现包括2.5G在内的所有接口的IP、MPLS、组播的线速转发,转发性能达到96Mpps。路由能力强 大,支持高达170万条的大路由表,支持丰富的路由协议包括RIP、OSPF、IS-IS、BGP4和多播路由协议,在复杂路由环境下稳定自如。 [...]
天融信TopVPN 6000(TV-6728)_25917
欢迎来到淘宝网天融信TopVPN 6000(TV-6728) 广东【天融信vpn及SSL vpn最新报价】 – 比价网_IT数码产品 经销商… ¥120000.00¥176000.00¥220000.00¥190000.00¥290000.00… gb t6728-2002,gb t6728,ms-6728,ti dsp 6728,微星 ms 6728,微星 … 请登录后台维护头尾文件内容 你是不是在找:天融信 tv 4514 天融信 tv 6530 天融信 天融信防火墙 天融信官网 天融信公司 北京天融信公司 天融信ngfw4000 天融信vpn 天融信topvpn 6728 天融信(TOPSEC) TopVPN 6000(TV-6728) 品牌:天融信(TOPSEC) 设备类型:VPN… 性能概述:TOPSEC IPSEC VPN解决方案包括VPN网关、客户端VRC、安全管理中心。VPN… eWorld VPN多功能网关FW2000设备类型:VPN网关 详细参数 综述介绍¥176000… 天融信 TopVPN 6000(TV-6728)设备类型:VPN网关 详细参数 综述介绍 ¥… 中关村在线(ZOL.COM.CN)提供天融信TopVPN 6000(TV-6728) VPN及SSL VPN最新报价,同时包括天融信TopVPN 6000(TV-6728)图片、天融信TopVPN [...]
天融信TopVPN 6000(TV-6624-VONE)_25770
欢迎来到淘宝网天融信TopVPN 6000(TV-6624-VONE) ¥123600.00¥154294.00¥106914.00¥181280.00¥144200.00… (无标题) Wap浏览器 – Timewe 泊头vpn及SSL vpn最新报价-IT搜购网 北京力诺鼎天科技 【VPN及SSL VPN_天融信_方正_SINFOR】 -ZOL经销… 【无锡天融信VPN及SSL VPN报价】无锡天融信VPN及SSL VPN最新报价|… 【烟台天融信VPN及SSL VPN报价】烟台天融信VPN及SSL VPN最新报价|… 【泉州天融信VPN及SSL VPN报价】泉州天融信VPN及SSL VPN最新报价|… 【潍坊天融信VPN及SSL VPN报价】潍坊天融信VPN及SSL VPN最新报价|… 【重庆天融信VPN及SSL VPN报价】重庆天融信VPN及SSL VPN最新报价|… 你是不是在找:天融信 tv 4514 天融信 tv 6530 schiavone recvoneormore ve de vone openvone 网球选手schiavone itvone 天融信 天融信防火墙 eWorld VPN多功能网关FW2000设备类型:VPN网关 详细参数 综述介绍¥181280… 天融信 TopVPN 6000(TV-6624-VONE)设备类型:VPN网关 详细参数 综述介绍… 【天融信VPN及SSL VPN报价】(TOPSEC)天融信VPN及SSL [...]
【智雨网络加速器】韩服tera代理|美服丝路代理|美服永恒之塔代理
【智雨网络加速器】韩服tera代理|美服丝路代理|美服永恒之塔代理 【vpn】韩国vpn、美国vpn、欧洲VPN、香港VPN、台湾VPN、日本VPN等国家【独享vpn】美国独享vpn、欧洲独享vpn、香港独享vpn、台湾独享vpn等等【专线】韩AION、美丝路、韩天堂等游戏专线!包单独IP,新到日本合租专线【EB】韩国EB、美国EB、台湾EB、新加坡EB、日本EB、香港EB、欧洲EB、QQsocks5代理【服务器】专业提供韩国、日本、香港、台湾、新加坡、美国、欧洲等服务器 日本代理适合游戏:DNF 红宝石 aika DDO等热门游戏美国代理适合游戏:DNF AION DOFUS 功夫世界 天堂2 LOL 等热门游戏韩国代理适合游戏:DNF 传奇X 天空1.2 aika 跑跑卡丁车 karos AION等台湾代理适合游戏:赤壁 枫之谷 中华英雄 戏谷 AIKA WOW DNF等游戏土耳其代理适合游戏:欧服倚天2 DOF(dnf) 魔戒OL 等 智雨VPN美国各大机房国内直销金牌代理商(美国抗20G硬防服务器,美国连接中国最快的机房。香港PCCW服务器特价。)欢迎广大游戏客户订购美服专线,欧服专线,美国服务器,欧洲服务器 美国西雅图机房美国圣何塞机房美国洛杉矶机房美国达拉斯机房美国加州机房美国德州达拉斯机房美国俄亥俄机房美国芝加哥机房(防DDOS)美国贵宾机房覆盖美国本土各大机房,直接和机房合作,不通过任何中间商,一般情況下付款48小时服务器便可上架交付使用,拥有便捷、信任的沟通和合作基础、保证客户服务的快速性。如果您的客户是美国、欧洲客户,建议您选择美国服务器新推出特价美服丝路服务器,WOW冷门防封服务器,MFAION专用独立VPN。推荐:IP遍布欧美各地经过优化网络减少掉线可能性.专用美服永恒之塔游戏代理服务器出租美服永恒之恒专线/专用独立VPN美国的防封独立VPNEB专线特殊机房服务器出租/合租独立独享让封号降到最小欧美高速专用VPN优惠价格销售信誉保证,服务器机房直销欢迎致电(24小时开通) 节假日不休! 评论这张 转发至微博
Monday, June 27, 2011
WindowsServer2003搭建VPN服务器(图
WindowsServer2003搭建vpn服务器(图)第一步:系统前期准备工作服务器硬件:双网卡,一块接外网,一块接局域网。在windows2003中vpn服务称之为路由和远程访问,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。首先确定是否开启了WindowsFirewall/InternetConnectionSharing(ICS)服务,如果开启了WindowsFirewall/InternetConnectionSharing(ICS)服务的话,在配置路由和远程访问时系统会弹出如下对话框。我们只要去开始-程序-管理工具-服务里面把WindowsFirewall/InternetConnectionSharing(ICS)停止,并设置启动类型为禁用,如下图所示:第二步:开启VPN和NAT服务然后再依次选择开始-程序-管理工具-路由和远程访问,打开路由和远程访问服务窗口;再在窗口左边右击本地计算机名,选择配置并启用路由和远程访问,如下图所示:在弹出的路由和远程访问服务器安装向导中点下一步,出现如下对话框。由于我们要实现NAT共享上网和VPN拨入服务器的功能,所以我们选择自定义配置选项,点下一步;在这里我们选择VPN访问和NAT和基本防火墙选项,点下一步,在弹出的对话框中点完成,系统会提示是否启动服务,点是,系统会按刚才的配置启动路由和远程访问服务,最后如下图所示;第三步:配置NAT服务右击NAT/基本防火墙选项,选择新增接口,弹出如下对话框;在这里我们根据自己的网络环境选择连接Internet的接口,选择wan接口,点确定,弹出网络地址转换-wan属性对话框,进行如下图所示配置;由于我们这个网卡是连接外网的所以选择公用接口连接到Internet和在此接口上启用NAT选项并选择在此接口上启用基本防火墙选项,这对服务器的安全是非常重要的。下面我们点服务和端口设置服务器允许对外提供PPTPVPN服务,在服务和端口界面里点VPN网关(PPTP),在弹出的编辑服务对话框中进行如下图设置;点确定,回到服务和端口选项卡,确保选中VPN网关(PPTP),如下图;第四步:根据需要设置VPN服务设置连接数:右击右边树形目录里的端口选项,选择属性,弹出如下对话框;WindowsServer2003企业版VPN服务默认支持128个PPTP连接和128个L2TP连接,因为我们这里使用PPTP协议,所以我们双击WAN微型端口(PPTP)选项,在弹出的对话框里根据自己的需要设置所需的连接数;WindowsServer2003企业版最多支持30000个L2TP端口,16384个PPTP端口。设置IP地址:右击右边树形目录里的本地服务器名,选择属性并切换到IP选项卡(如下图所示)。这里我们选择静态地址池点添加,根据需要接入数量任意添加一个地址范围,但是不要和本地IP地址冲突,如下图所示;点确定回到IP选项卡,点确定应用设置;第五步:设置远程访问策略,允许指定用户拨入新建用户和组:点开始-程序-管理工具-计算机管理,弹出计算机管理对话框,如下图;选择本地用户和组,右击用户-新用户进行如下图所示设置;点击创建新增一个用户;在右边的树形目录中右击组-新建组,添入组名,点添加在弹出的选择用户对话框中,点高级-立即查找,选择刚才建立的TEST用户,把用户加入刚才建立的组,如下图;设置远程访问策略:在路由和远程访问窗口,右击右面树形目录中的远程访问策略,选择新建远程访问策略,在弹出的对话框中点下一步,填入方便记忆的策略名,点下一步,选择VPN选项,点下一步,点添加把刚才新建的组加入到这里,点下一步,下一步,下一步,完成,就完成了远程策略的设置,后面如果需要新的用户需要VPN服务,只要为该用户新建一个帐号,并加入刚才新建的TEST组就可以了。第六步:设置动态域名我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在VPN服务器上安装动态域名解析软件,才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为:花生壳,可以在下载,其安装及注意事项请参阅相关资料,这里不再详述六、VPN客户端配置这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络,接着笔者同样以windows2003客户端为例说明,其它的win2K操作系统设置都大同小异:第一步:在桌面网上邻居图标点右键选属性,之后双击新建连接向导打开向导窗口后点下一步;接着在网络连接类型窗口里点选第二项连接到我的工作场所的网络,继续下一步,在如下图所示网络连接方式窗口里选择第二项虚拟专用网络连接;接着为此连接命名后点下一步。第二步:在VPN服务器选择窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的网站下载);接着出现的可用连接窗口保持只是我使用的默认选项;最后,为方便操作,可以勾选在桌面上建立快捷方式选项,单击完成即会先出现如下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下远程桌面功能一样了。连接成功后在右下角状态栏会有图标显示。第三步:连接后的共享操作,只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过网上邻居查找VPN服务端共享目录;另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了,自然也就可以直接点击某个视频节目播放,省去下载文件这一步所花时间了。七、总结到这里我们已经实现了用一台WindowsServer2003操作系统做一台NAT和VPN远程接入服务器,实现公司或家庭共享上网和VPN远程接入访问本地局域网,实现移动办公。但是这台服务器在安全性和功能上还有一定缺陷,我将在后面的文章中陆续介绍搭建基于L2TPOVERIPSEC的VPN服务器,以增强数据在网络传输中的安全性。介绍搭建基于MicrosoftInternetSecurityandAcceleration(ISA)Server2006防火墙的远程接入服务器,介绍基于MicrosoftInternetSecurityandAcceleration(ISA)Server2006的站点到站点的虚拟专用网络。鸡翅膀..烤鱼…口水ingGMT+8,2009-11-600:26,Processedin0.043698second(s),27queries,Gzipenabled.北京皓辰网域网络信息技术有限公司.版权所有
PacketiX VPN产品总体优势
PacketiX vpn产品的优势: 优势1. 纯软件形式实现vpn功能 现有VPN技术架构中,大部分方案都需要硬件支持,而PacketiX VPN是纯软件产品,即使是在较低配置的电脑上也可以安装使用。同时,PacketiX VPN对各种操作系统也具备广泛的兼容性,安装使用及其方便。 优势2. 高连通性 传统的VPN技术,受到防火墙的限制,其VPN协议不能通过防火墙或受限,从而出现无法连接或速度缓慢等问题。而PacketiX VPN使用的是「SSL」加密的「HTTP」超文本传输协议,即「HTTPS」协议,这是一种非常普遍的、在任何地方都可以使用的协议,所有的VPN通信都以「HTTPS」数据形式进行通信。因此,员工无论身在何处,只要可以连接互联网,即可通过PacketiX VPN和总部的网络取得通信,并始终保持稳定高速的状态。 优势3.安全性能高 作为虚拟专网来说。VPN技术的安全性能一直是用户最为关注的话题。北电公司曾经发布警告,提醒用户注意其VPN路由产品的几个后门隐患和其他漏洞,否则可能会导致未经授权的远程访问非法进入到企业网中。赛门铁克认为这些漏洞相当危险,并将其危险等级定为最高的“十级”。而PacketiX VPN不需要VPN路由器,PacketiX VPN是有日本筑波大学自主研发成功的,加密部分使用了完全没有经过修改的OPEN SSL库。目前市场常见VPN 产品加密技术均是在第三层,然后封装载入隧道在互联网上传输。而PacketiX VPN在第二、三层均有加密,且所有通信内容和认证数据都进行SSL(Internet行业标准安全协议)加密,这边做到了其它VPN产品所不具有的超强加密功能,其安全优势不言而喻。 优势4.高性价比 通常的VPN系统,都是通过设置在专用硬件内部的软件或者芯片所实现的。专用硬件不仅体积重大,结构复杂而且价格昂贵,一旦出现故障也是相当麻烦。而PacketiX VPN纯软件形式,能兼容各种平台,不需要额外的硬件支持,直接通过图形界面安装软件即可使用,这无疑为客户企业省去了大量的硬件支出和专门的维护工程师费用,使企业不需花费太高的费用,也能安全舒适的享受VPN 技术带来的便利。 优势5. 高速、稳定、数据吞吐量大 利用筑波大学学术情报Media中心的研究设备对各个VPN系统进行了测试,采用64位系统,10G以太网条件下,PacketiX VPN处理速度高达3.1G/S,是微软VPN速度的3.21倍,峰值可达所用带宽的80-90%也就意味着在千兆以太网条件下VPN传输速度可以达到800-900M。如果企业规模较大,数据传输量较大,还可以应用PacketiX VPN独特的集群技术,能时多台服务器构成服务器组协同运行,其负载均衡功能使得各服务器可以平均负载数据传输,这边大大提高了数据传输的效率,即使一台服务器意外出现故障,几秒钟之内后台其他服务器会自动分担其任务,而前台的用户根本察觉不到VPN服务器的故障,大大增强了数据传输的稳定性,像这样在网络二层负载均衡功能应用在VPN中,在其他VPN产品中是很少见的。PacketiX VPN 3.0虽然是软件产品,但是能够实现像硬件,甚至高于硬件产品的安全、高速、稳定性。 官网链接:http://www.softether.com.cn/联系方式:18611556751 QQ:763565163欢迎你们的咨询! 评论这张 转发至微博
PacketiX VPN产品组成及安装配置
PacketiX vpn产品组成及安装配置 PacketiX vpn 3.0 软件由三部分组成:即Server(服务器)端、Bridge/Site(网桥/站点)端、Client(客户)端。 Server(服务器)端:安装在公司总部的服务器内,这样总部办公室内可形成一个局域网,各台电脑即可与服务器进行数据通信。Server(服务器)端的安装和配置方法,请点击进入。 Bridge/Site(网桥/站点)端:安装在分支机构的服务器内,这时可以将分支机构办公室内各台电脑组成一个局域网,并且可以和总部的网络形成一个大的网络。Bridge/Site(网桥/站点)端的安装和配置方法,请点击进入。 Client(客户)端:安装在个人电脑上,当员工在家或出差时,可打开客户端与服务器端建立连接,访问公司内网。Client(客户)端的安装和配置方法,请点击进入。 例如:某大型公司的总部在北京,同时在上海、天津、广东设有分支机构。可以在北京总部安装Server(服务器)端,在上海、天津、广东每一个办公室内安装Bridge/Site(网桥/站点)端,这样这四地便形成了一个大的网络。对于经常出差或者在家办公的员工,可在他们的电脑上安装Client(客户)端,便于他们随时随地可以连接到公司内网。 对于没有静态IP地址的用户,为了方便您试用软件,我们在日本还建立了专门的测试环境,您可以按以下步骤进行安装配置: 1)“连接到日本vpn服务器”:这是日本专门为中国用户建立的测试环境,用户只需安装客户端(Client)按照具体的指示进行配置连接,测试体验连接的速度。 2)“连接到自己创建的服务器”:这是日本为所有用户建立的测试环境(用户多时速度有可能受影响),但在这里可以建立自己的服务器(Server),再在本机上安装客户端(Client)进行连接。全面体验整套软件的安装和配置过程。 评论这张 转发至微博
软件VPN与硬件VPN区别
软件vpn与硬件vpn区别 随着Internet在企业领域应用的不断深化,VPN(虚拟专用网,Virtual Private Network)作为一种廉价安全的组网方案越来越受到人们的青睐。目前市面上存在硬件VPN与纯软件VPN的区别,软件有软件的长处,硬件也有硬件的优点,使终端用户一时难以取舍。 以下针对硬件设备+硬件设备(软件VPN客户端)以及纯软件VPN对比: 1. 购买成本: 目前市场上的硬件VPN设备价格相差悬殊,高端VPN一个客户端动辄上万,低端VPN却一个客户端不足1000元,价格的混乱也是导致传统硬件VPN厂商纷纷转型的主要原因。最近几年,国内市场上的软件VPN不断兴起,软件VPN有两种,一种是硬件服务器端+客户端软件;另一种是纯软件VPN,前者的价格与服务器端硬件设备有关;纯软件VPN一般提供按年付费与一次性购买两种付费方式,金万维天联VPN提供这两种方式。2. 安装与管理: 软件VPN设备一般具备WEB界面,设置简单,可通过远程进行配置与管理,出现问题也可以通过远程解决。硬件VPN一般需要由技术人员现场安装调试,相对复杂,但部分硬件VPN也具备WEB界面,与软件VPN一样,可通过远程进行配置。3. 安全性与稳定 在安全性方面,VPN都是通过身份安全、传输安全、服务器安全三个方面来确保应用安全性,是否具有负载均衡功能、认证方式及加密算法等都是鉴别安全性的关键要素,硬件VPN与软件VPN在安全性及稳定性方面的区别主要在于厂商的技术实力。4. 运行速度 影响VPN速度的主要有客户自身网络接入方式、服务器配置、数据传输量等因素。为了提升传输速度,目前市场上出现了远程接入产品,即将C/S转化为B/S的产品,也有的企业将VPN和远程接入产品相结合,以同时解决速度与安全性的问题,金万维天联vpn具备此功能。5. 可扩展性 硬件VPN设备的可扩展性比较差,一般用户都购买比实际使用的并发数多的设备用于储备,当新用户大量增加时,需要更换设备。纯软件VPN在可扩展性方面具备明显的优势,随时增加客户端即可。 除此而外,软件VPN安装实施简单、不存在设备折旧等问题,总结以上比较中软件VPN比硬件VPN有很多优势,目前,企业在进行VPN的软和硬的选择还是个比较有争议的话题,具体在组网过程中,我们应该去选择软件VPN还是硬件VPN呢?用户在选择时还需要根据企业实际状况以及应用需求来决定。 向大家推荐一款优秀的软件PacketiX VPN 3.0。欢迎大家下载使用。官网链接:http://www.softether.com.cn/联系方式:13681185879 qq:1550067008欢迎你们的咨询! 评论这张 转发至微博
网站推广探讨-Orange持续第十次获得“世界级”全球数据VPN供给商称号
本文章由济宁seo-www.jiningseo.com首发 Orange Business Services持续第十次获得《Telemark数据 vpn客户之声》评级陈述授予的 “世界级”名誉称号,这也是该评选中所能获得的最高评级。Orange是独逐一家超出弹性标准的运营商,处于Telemark crystal ball的领先象限中。 《Telemark数据vpn客户之声》评级陈述显示,Orange Business Services因其在四个关头范畴以胜过性上风超出竞争敌手而获得此项殊荣。这四个关头范畴别离是:持久的关系,安然的数据传输,终端到终真个地理延长,和本钱中间计费。对OrangeBusinessServices,Telemark的陈述赐与了下陈述明:在九个关头范畴满足了客户需求;有领先的地方;具有虔诚的客户;供给出色地理延长的唯一运营商;在本钱中间计费方面创作发现了新的世界记录;鄙人述分类范畴,客户全数赐与OrangeBusinessServices“优良”的评级,使其获得了该评选中的最高评级,并获得金奖:对客户而言不成或缺;收集可用性;安然的数据传输;收集靠得住性;终端到终真个地球延长——同时也是供给“出色”地理覆盖率的唯一供给商;无干扰安装;供给本地说话撑持;可选择的货币计费编制;本钱中间计费;Telemark的总监Janet Watkin暗示:“遵循从‘可以接管’到‘出色’的分歧评级的基准数值自力衡量客户体验,广域网买家们可以或许比较和对比全球办事供给商从投标到收费的各个办事范畴。SEOTelemark的综合研究成果再一次表白,Orange客户所享遭到的办事质量可谓当之无愧的‘世界级’www.jiningseo.com。”Orange Business Services负责客户办事与运营的高级副总裁Dominique Espinasse暗示:“此次Telemark排名是对我们致力于进步客户对劲度的一项首要承认。确保他们获得出色的客户体验,济宁SEO这也是我们的五项公司工作重点之一;全部Orange员工都对峙‘出色办事’的企业文化,实在不竭摸索新编制用以简化我们客户的生活。我们将一如既往地成立值得依靠的合作关系,充分操纵各类最好实践,将我们办事的贸易价值最大年夜化,从而进步并保护客户的虔诚度。”《Telemark数据vpn客户之声》评级陈述基于2010年1月到2010年12月之间的956次访谈数据。 SEO专题讲座-刘俊:需要不竭堆集的seo人生网站优化探索-控辩马云:夹缝中的博弈 评论这张 转发至微博
ANYSEC M6600_25961
欢迎来到淘宝网ANYSEC M6600 泰安ANYSECVPN及SSL vpn,泰安ANYSEC M6600经销商家最新报价,泰安… 你是不是在找:anysec anysec 52600 m6600 扬天m6600 dell m6600 联想m6600 开天m6600 联想扬天m6600 precision m6600 戴尔m6600 ANYSEC M6600 参考价格:62192参考报价:暂无报价设备类型:vpn安全网关 接口:5个10/100M以太网口( 性能概述:集专业的vpn、防火墙、 外形尺寸:450×300×45mm… 相关的主题文章: 帮宝适纸尿裤多少钱_739 好主人猫粮价格_276 宝路狗粮公司_768 评论这张 转发至微博
e地通W2000TM_6683
欢迎来到淘宝网e地通W2000TM 20000元以上vpn设备浙江报价、vpn设备大全_太平洋产品报价 你是不是在找:e地通 惠尔顿e地通 e地通vpn 全球通本地 移动全球通本地套餐 天津全球通本地套餐 上海地通建设 全球通转归属地 百地通 地铁通不通 设备类型:VPN防火墙 主要参数:IPSEC/SSL VPN二合一网关/IPSec VPN 加密速度(AES …SSL VPN并发会话数:2000… e地通VPN设备(29) 网科VPN设备(3) 迅博VPN设备… 相关的主题文章: 胡椒精油_2163 4.5mm狗粮_826 手臂减肥精油_1271 评论这张 转发至微博
PacketiX VPNVPN(Virtual Private Network),即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用
PacketiX vpn vpn(Virtual Private Network),即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,vpn是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 PacketiX VPN 产品介绍 PacketiX VPN是一款纯软件产品。 PacketiX VPN通过模拟以太网卡的工作顺序,模拟HUB功能,使用tunnel特性,实现VPN的功能。在这种设置下,系统把软件完全无碍地识别成一块网卡,因此,不需要购买VPN路由器,就可实现从Internet访问目标站点的目的。 评论这张 转发至微博
Wednesday, June 22, 2011
MPLS -VPN个人总结
MPLS -vpn个人总结 Bruce SongMPLS vpn分成Layer3 MPLS vpn和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLS VPN。 1. 基本概念 PE(Provider Edge Router) 骨干网边缘路由器,存储VRF,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。 须要支持MPLS。 CE(Custom Edge Router) 用户网边缘路由器,分布用户网络路由。 CE设备不必支持MPLS。 P router(Provider Router) 骨干网核心路由器,负责MPLS转发。须要支持MPLS。 RR(Route Reflector) BGP路由反射器。 ASBR 自治系统边界路由器,在实现跨自治系统的VPN时,与其它自治系统交换VPN路由。 MP-BGP 多协议扩展BGP,承载携带标签的IPv4/VPN路由,包括MP-IBGP、MP-EBGP。 MP-iBGP在邻居间传递VPN用户路由时会将IPv4地址打上RD前缀,这样VPN用户传来的IPv4路由就转变为VPNv4路由。 原有的BGP协议只支持IPv4路由,为了支持VPN-IPv4路由,需要在路由信息中包含私网MPLS标签,所以在RFC 2858 中BGP增加了两个扩展属性MP_REACH_NLRI和MP_UNREACH_NLRI,使用了这两种属性的BGP称为MP-BGP。 BGP/MPLS VPN需要通过MP-BGP传播VPN的路由信息。(PE-P-PE) PE-CE路由协议 在PE、CE之间传递用户网络路由,可以是静态路由,或RIP、OSPF、ISIS、BGP协议。 LDP 在PE之间建立尽力而为的LSP,经过P路由器,所有PE、P路由器均需要支持。 RSVP-TE [...]
给力联通,预存话费送VPN集群网优惠活动来了哇!!!
2010年校园先锋卡激活赠送的12个月集群网优惠将于7月份开始陆续到期,为了保障2万多的广大校园存量用户稳定在网,将开展预存话费送vpn集群网的优惠活动,具体请留意接下来的好消息! 评论这张 转发至微博
packetiX VPN为了方便客户,新增在线客服功能
为了更好的为客户提供优质量的服务,提供在线客服功能,您如果有什么问题,可以与我们的客服人员直接沟通,我们将为您提供更高质量的服务。PacketiX vpn Server 3.0 Windows中文版PacketiX vpn Client 3.0 Windows中文版《PacketiX VPN入门》手册产品介绍PPTPacketiX VPN 3.0软件下载 评论这张 转发至微博
台湾服务器-访问ping值小-BGP线路速度快 VPN 游戏代理 外贸抗封!
台湾服务器-访问ping值小-BGP线路速度快 vpn 游戏代理 外贸抗封! ~台湾外贸服务器租出(外贸空间)~台湾中华电信机房,服务器稳定。国际BGP线路美洲/大陆可以高速访问。~3Mbps独享带宽,(每)台机器2GB硬防 ~国内可以国内可以高速访问,ping值小国内平均ping值100ms左右 最低ping值25ms 角逐国内一般机房速度。 ~速度优势明显,全球高速直达;网络游戏、网游代理、vpn首选、音乐网站、门户网站、电子商务网站、论坛、美女图片站、小说站等等。 ~不|限流量 、不|限端口、可以台湾本地访问。~业的技术团队,提供专业的技术支持。 ~租用放心,使用舒心,星级服务! 台湾服务器租用-外贸空间抗封抗投诉!Intel双核 E6500 2×2.93GHz 1GB内存 80GB硬盘 2Mbps独享带宽 不|限流量 一个独立ip 550元Intel双核 E3300 2×2.5GHz 2GB内存 500GB硬盘 3Mbps独享带宽 680元 不限流量Intel双核 E6500 2×2.93GHz 2GB内存 160GB硬盘 3Mbps独享带宽 750元 不限流量Intel双核 E6500 2×2.93GHz 4GB内存 250GB硬盘 3Mbps独享带宽 不|限流量 一个独立ip 1450元台湾促销E6700 2×3.2GHz 4GB内存 500GB硬盘!!!18元 高速空间/台湾VPS/服务器租用!1280元! 台湾服务器租用稳网互联-小卢咨询QQ:860096810 / 537076878电话:15838278929 4006011150公司地址:郑州市金水区未来路锦江国际(二七区淮河路升龙国际) 外贸空间|台湾主机|台湾空间|海外空间|美国空间|国际贸易|台湾服务器|服务器租用|代理服务器|VPN服务器|游戏代理|游戏服务器|图片网站|小说站 评论这张 转发至微博
如何选择VPN?
一方面,vpn能为企业实现跨域沟通提供极大的便利,另一方面,通过不可靠的公用互联网进行传播,使企业对vpn心怀疑虑。如何选择一套好的vpn系统? 随着计算机技术,特别是计算机网络技术迅猛发展,IT技术的应用领域迅速扩大。各种类型企业为适应市场经济的需要,实现自身的经济效益,无不正视网络的巨大潜能,加速实现企业内部的计算机网络建设。同时,在企业规模不断扩大的过程中,分支机构广泛分布,建立局域网甚至广域网的需求日益增加。 吕梁供电分公司所属岚县支公司及各支公司与所属供电所,长期以来并没有建设计算机网络所需的通信网络,而随着电力市场化及电网建设的发展,电力信息化的需求日益增强,各种管理信息如财务、营销、调度等应用系统扮演了愈来愈重要的角色。 在此前提下,吕梁供电分公司已逐步应用了调度自动化系统、营销管理系统、财务管理系统、生产管理系统、输变电可靠性系统、安全评价系统等等应用管理系统。目前,信息化技术的使用步伐还在加快,远程抄表及生产保护系统正在筹备之中。 为了实现公司信息的远程共享,便于管理层及时了解分公司生产经营状况,实时决策指导,同时也便于工作人员日常的管理,吕梁供电分公司引进VPN技术实现异地网络的互连互通,这样也极大降低了使用专线的昂贵成本,为企业实现广域网络提供了契机。 随着公司业务的不断扩大,业务涉及的范围越来越大。员工要想实现建立在具有安全保障之上的信息交流和信息共享,公司内部广域网要覆盖几个省、市;同时,有些要不断出差的公司员工可能会随时随地访问企业内部网络,而那些通过拨号由ISP动态分配的IP地址也无法穿越公司的防火墙及其他安全设备。 解决这些问题的一个办法是公司租用专用线路来连接不同的部门及分公司,这种方式虽然安全性高,也有一定的效率,但成本太高,并且浪费资源。同时,这一方式也无法满足随时随地的接入要求,更重要的是扩展性不好,不方便新用户的接入。 VPN技术利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证、访问控制等技术实现与专用网络类似的安全性能,从而实现对重要信息的安全传输。这种方式成本低,并且克服了Internet 不安全的特点。 由于VPN在Internet上构建网络平台,以下几点是用户在选择VPN时必须考虑的问题。 稳定性:综合考虑 VPN是企业的基础网络平台之一,企业的很多应用系统都将在VPN平台上运行。所以,VPN系统的稳定性必须满足企业的业务应用需要,而不能出现经常性的网络中断,导致业务的中断。一般来说,规模越大的企业、对VPN平台的使用越频繁,对稳定性的要求就越高。也有部分中小规模的企业,由于其对系统的依赖性非常强,所以也需要稳定的VPN网络。 不同的VPN产品,其稳定性千差万别。但越稳定的产品、整体的成本肯定会越高,企业在选择时也必须考虑适合自身的稳定级别,例如高端的专用VPN硬件(高端的路由器或VPN服务器),由于其采用高性能的硬件架构、专用的VPN软件,具备非常高的稳定性;而一些低端的VPN产品、本身就采用了廉价的硬件(包括处理器、相关配件等)、往往又集成了除VPN之外的多种业务,难以保障高稳定性的要求,但成本较低。 安全性:多级划分 VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是企业的私密信息,不允许为无关人员所知,同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。所以,综合考虑用户的具体应用和需求,VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。 第一个层次:数据传输的安全。 几乎所有的VPN产品都是通过数据加密的方式来保障安全,这一技术选择已经比较成熟,所以不同产品的区别主要在于其加密的级别和效率。目前应用比较多的加密算法有DES/3DES,DES算法由于加密级别较低(56位加密),已经趋于淘汰;3DES算法加密强度高(168位加密),但对处理性能提出了相对较高的要求,尽管如此,3DES仍然是目前VPN中应用最普遍的加密算法;另外还有一些优秀的加密算法,例如AES(Advanced Encryption Standard)标准、OWFISH/128位加密算法、TWOFISH/128位加密算法等,但目前应用都不是非常普遍。 第二个层次:用户接入的安全。 从VPN实际应用的角度考虑,用户接入的安全是更为重要的。因为数据的传输安全即使出现隐患、也需要较为专业的人员才能破译,造成的也仅仅是部分信息的损失。而一旦有非法用户成功接入,那整个企业网络都将暴露给入侵者。现有的高端VPN产品大部分采用的是证书交换的方式、来确保用户的真实身份;低端的VPN产品由于技术所限、同时又要适应专业性不强的用户使用,往往只进行了简单的用户名和密码认证。 第三个层次:内网资源访问的安全。 部分VPN产品是一旦确认了远程用户的合法身份,用户就可以不受限制地访问全部内网资源。而实际上,大部分企业并不希望远程用户能不受限制地进行访问,而是有条件地进行访问,尤其是接入的VPN用户并非是企业内部工作人员(如供应商、客户、合作伙伴等)时,对VPN用户访问权限需要更严格的设定。 一个好的VPN产品应该可以提供对内网访问权限的细致设定,可以对不同的用户分配不同的权限规则,避免出现内部安全隐患。一个合法的VPN用户接入总部后,它对总部资源的访问权限能够被限定在一定范围内,例如总部有多个应用系统(如OA、财务、生产等等),一个普通的业务人员在联入VPN后只能访问OA,而公司领导则可以同时访问所有的应用系统,所有的这些权限都应该可以通过配置产品或相关设备来完成,这样就极大地方便了信息部门的管理工作。 速度:两面入手 虽然说现有宽带接入已经远胜于过去的窄带接入方式,但用户对带宽的要求是无止境的。另外,由于VPN网络承载的是企业的内部应用,如文件共享、拷贝等,习惯了局域网内10M/100M速度的用户,对速度的要求也非常高,应用的速度也会极大地影响企业的运作效率。 VPN由于对数据进行了安全性的封装,同时进行了加密处理,从原理上说、就会比实际的Internet接入带宽要低。高端的VPN处理速度快,而低端的设备由于处理器性能较差极大地影响了VPN速度。如何解决传输速度的问题各个厂家也都提供了不同的方案,下面简要介绍两种较常见的方案。 采用数据流压缩技术。 VPN设备内置了数据压缩算法,采用硬件或软件对所有的传输数据进行压缩之后再传输,这就在无形中极大地提高了带宽利用率,经实际测试效果较明显。 [...]
OpenVPN简易文档
1 OpenVPN简介 vpn替代昂贵的专线用以在开放的Internet上实现了一个虚拟的网络,该虚拟网络本身在不安全的真实网络上对数据提供安全保护。 OpenVPN实现了一个灵活的vpn,和通过修改协议栈而实现的基于IPSec的vpn相比,OpenVPN有以下的优点:1. OpenVPN无需对协议栈进行任何修改,无需专门的策略来解决VPN数据穿越NAT的问题,因此可在现有的网络进行规划;2. OpenVPN使用虚拟网卡和路由进行虚拟网络的构建,配置十分方便;3. OpenVPN使用SSL协议对虚拟网络提供保护,从而实现“专用”,而SSL提供了丰富灵活的安全特性;4. OpenVPN的push模式可以最大限度简化客户端配置,服务器和客户端可以不必花费太多的精力来使得两端一致。OpenVPN实际上是虚拟网卡设备,TCP/IP网络技术,路由技术,SSL结合而成的一个应用,前三者构建了虚拟网络—隧道连接的网络,最后SSL保证了虚拟网络通信的安全—隧道通信的认证和加密,因此使用OpenVPN的过程基本就是对上述四方面进行配置的过程。2 OpenVPN的参数集以及配置实例2.1 参数详解OpenVPN拥有很多的参数,但是很多参数涉及到很多的细节,首先如果不考虑过多的细节,那么这些参数大致可以分为五类,其中有一些参数是为了配置方便,组合其它的参数而成的:2.1.1 虚拟网卡配置参数:1) –dev tunX|tapX:配置虚拟网络使用的网卡设备,X是一个数字表示网卡的编号,在Unix/Linux系统中,它是一个字符设备,在Windows中,它是一个设备命名空间中的一个节点,tun设备和tap设备的区别在于出入前者的第三层(IP)数据报,而出入后者的是第二层(以太网)数据帧。注意:tap设备是二层设备,tun设备为三层设备,此二者各有优劣,简述如下:tap特点:a) 应用这种设备可以复用任意的三层数据报;b) 构成一个两路层网络,比如以太网,因此广播数据可以自由跨隧道传输;c) 无需路由即可进行节点通信;d) 配置简单,但是缺乏灵活性,IP层的优良特性无法自由应用。tun特点:a) 可以应用IP层的所有特性,比如Routing,IP-Qos,IP-fragment/de等,但是只支持IP数据报;b) 构成三层网络,节点间如不在一个子网要路由;c) 三层虚拟网络的每个子网下面没有链路层承载(ip数据报直接导出),因此链路层特性无法应用,比如以太网广播无法跨隧道传输,因此此虚拟网络是无法指定网关的。2) –dev-type dt:指示虚拟网卡设备的类型,仅仅在—dev参数无法识别设备类型的时候使用。3) –dev-node node:任意节点node被指示为虚拟网卡设备,node的路径以及名称可以任意,但是如果不是tunX/tapX的形式,那么必须配置—dev-type参数。4) –lladdr hw:为虚拟网卡配置链路层地址。2.1.2 网络配置参数:1) –local host:配置本地使用的IP地址,如果不是为了bind,那么可以不配置此参数,OpenVPN会自行处理。2) –remote host [port]:用于client端,配置client连接的server的IP或者主机名以及port,该参数可以配置多个用以实现一定的冗余,client则按照配置顺序依次连接server,直到连接成功为止。3) –proto p:配置隧道的类型,可以是udp或者tcp,其中tcp必须指明是server还是client,而udp可以不区分server和client,因此p可以为udp,tcp-server,tcp-client。注意:用tcp还是用udp构建隧道呢?默认是udp。任何有连接的协议在出现丢包时都会要求重发或者自动超时重发,为了避免因对网络带宽的未知或者网络拥塞而丢包从而导致端点重发,tcp实现了慢启动,滑动窗口以及加增承减等机制,不幸的是,以上机制仅可用于分层模型中的一层,在不同层次都实现得如此复杂就可能引起判断叠加从而使得上述机制无法做出最好的判断,比如用tcp建立的隧道,并且上面承载的又是tcp数据,那么一旦出现丢包,最终的端点以及隧道都要重发数据,这就导致了网络流量突然增大,后面的行为很难在短时间给出预测并采取措施。事实上如果隧道本身并不是非用tcp不可,那么最好使用 udp,保证连接与否是最终终端的事,而不是隧道的事,如果说最终用户使用tcp,那么他自己就保证了连接,如果他使用udp,那么说明他不在乎是否有连接,因此隧道使用udp,相反隧道使用tcp建立的话,如果最终用户使用tcp已经保证了连接,隧道没必要再多此一举,如果最终用户使用udp,那么隧道的tcp就降低了用户连接的效率,抵消了他使用udp的结果。4) –connect-retry n:配置连接重试的次数,仅仅对于—proto参数为tcp-client时有效。5) –connect-timeout n:连接重试的间隔。6) –auto-proxy:7) –bind:8) –nobind:9) –link-mtu n:配置四层链路的MTU,同时用同样的数值配置设备的MTU。注意:这个配置可能会引起莫名其妙的问题,就其本质是由于OpenVPN不允许通过隧道的数据被任意分段,即使是IP分片也必须妥善处理,OpenVPN 用一种规则的方式来收发socket数据。IP层将数据路由到虚拟网卡前如果发现数据报的长度大于虚拟网卡的MTU,那么就会将数据报分片,如果VPN两端的虚拟网卡的MTU设置不一致,OpenVPN接收socket数据的时候就会产生问题,因为最一般的情况下OpenVPN调用 recv/recvfrom的时候,参数中的len总是设置成自己的link-mtu,假设两端H1和H2的link-mtu分别为L1 和L2(L1L2),H1端发送数据给H2,则数据在H2则会接收不完整,因此势必会产生错误,即使解密收到的数据可能正确,由于数据长度不一致,校验时也会出错,即使在没有校验的情形下,由OpenVPN发送给虚拟网卡的IP数据报也会不完整。因此最好不要配置link-mtu参数,让它默认值好了,如果非要配置,保持两端一致。可以在linux上用strace,tcpdump以及OpenVPN源代码确认以上问题,具体为何这样设计还不清楚。如果在不考虑安全因素(程序输出的意思是防止active attack)可以更合理一些的话,我觉得recv数据时要按照对方的mtu来接收,毕竟recv和send只是一个中间阶段,数据从对端虚拟网卡的字符设备出来后就被send了,然后在本端被recv,之后被write进本端的虚拟网卡字符设备,如果仅仅按照本端的mtu来接收,势必会有问题,就好像在物理层上将数据截断一样。(在隧道的一端ping另一端,如果mtu不一致并且ping包大于mtu的小者的话,一定不同,可是仅仅将两端作为中间隧道的话就不一定了,数据从主机A,经由隧道的起始Ts,到达隧道终点Te,最终到达主机B,如果Ts和Te的mtu中小者都比A和B的mtu的大者大,在不考虑复杂的分段情况下是可以通的)因此,一种“几乎总是正确”的配置方法就是将mtu配置成一个很大的值,要比已知的物理链路的mtu都大,这样一来不会出错,二来可以不必担心两端不一致,三来可以最大限度的发送数据,而不会因为隧道太窄的缘故而降低数据发送速率,如果不理解以上这些或者为了保险起见,还是将mtu留默认比较好。10) –tun-mtu:注意事项同上,但是要强调和link-mtu之不同,此二者配置一个即可且只能配置一个,此中之缘由在于其关联性,tun-mtu为虚拟网卡之mtu,而link-mtu则为链路的mtu,其大小相差一个固定长度,二者区别等同于TCP的MSS和物理链路的MTU之区别。11) –shaper:该参数对隧道的带宽进行了限制,主要用于建立多个通道时在各个通道进行策略化带宽分配,如果只建立一个通道,也就是说仅仅运行一个 OpenVPN实例的话,这个参数就目前版本而言意义不大,因为本身单进程单线程的OpenVPN速度就很慢,再限速更没有意义了。12) –txqueuelen:该参数设定虚拟网卡的最大排队包的数量,也就是队列长度,默认为100,对于OpenVPN这样很慢的VPN来说,100就够了,即使你设得再大,用户空间的OpenVPN进程处理不过来还是白搭。2.1.3 路由参数:1) –route network [...]
免费获取 PacketiX VPN 3.0 软件 60 天试用版下载地址
http://www.softether.co.jp/en/vpn3/trial_china/关于试用版您可以免费获取 PacketiX vpn 3.0 软件 60 天试用版。此试用许可包含了 PacketiX vpn 3.0 软件产品的所有功能。在您今后购买了 PacketiX vpn 3.0 商业版后,您可以继续使用 VPN 服务器保持试用版时的有效配置。下载 PacketiX VPN 3.0 (中文版)如果您想试用 PacketiX VPN,您可以从以下链接获取:http://uploader.softether.co.jp/vpn3/v3.02-7392-rtm-2011.02.28/下载 PacketiX VPN入门手册 (中文版)”PacketiX VPN入门” 手册的下载地址是:http://uploader.softether.co.jp/vpn3_chinese_introduction/ 评论这张 转发至微博
[转载]小语vpn网络加速器
论坛广告(关于发布vpn代理软件的) 软件名称: 小语vpn网络加速器 软件版本:2.0.0.0 软件语言:简体中文 软件授权:免费软件版 共享版 软件类别:网络辅助-网络加速 软件属性:exe 软件大小:392 KB (401,408 字节) 运行环境:Win9x/Me/NT/2000/XP/2003/win7 下载地址: http://513w.net/?action-viewnews-itemid-97 官方网站: http://513w.net/ 软件简介:小语vpn网络加速器,是目前业界口碑最好的一款网络加速器,由于每条线路都是架设在国内外高速骨干,使用之后全面提升您的上网速度,对于用户最感兴趣的那部分媒体内容部署到最贴近用户的地方,使得原本无序、低效、不可靠的宽带IP网络转变成高效、可靠的智能网络,以满足用户对媒体访问质量的更高要求. 软件内容:1.及时更新VPN-IP列表,自由选择IP! 2.用户切换IP不需要断开,直接选择再拨进! 3.强大的最新公告系统,最快最新的服务器状况,方便客户选择! 4.24小时售后客服,提供最佳的技术支持! 5.拥有韩国、美国、香港、德国、英国、新加坡、台湾、国内等多个国家的VPN线 软件下载地址:http://www.513w.net(公司主站) 小语vpn网络加速器: http://shop.taobao.com/ 建议国足组团观摩 要看2010年U19欧青赛只有欧洲的电视台有直播,国内电视台都没有 而收看国外电视台又是收费的 所以现在很多国内想观看U19欧青赛的人,还是得通过使用欧洲IP才能观看www.zq16838.net,www.889508.com?。 这样就得使用代理来改变自己的IP。这样就可以观看了。 [转载]拜仁收获另类第一 安联球场变最佳美食城 [热门]足球修改注单,篮球修改注单.将输改赢,华体即时比分 [原创]足球注单修改“在上周五 qq1015113542[热门]2010年肇庆市“体育彩票杯”少年乒乓球锦标赛 足球修改注单QQ1015113542[热门]体育彩票排列三方法技巧:巧用012路,足球修改注单QQ1015113542[恶搞]水货皇冠改单,正义足球注单修改QQ1015113542政协委员提议全运取消三大球 总局 已着手改制 [恶搞]幽默笑话诙谐笑话外文巨好的老外(爆笑 [转载][热门]卡佩罗平息“队长门”,三狮军团终获加斯科因***人 评论这张 转发至微博
vpn计费管理系统.vpn用户管理系统.
vpn计费管理系统4.0 vpn用户管理系统4.0 主要功能简介:此系统为VPN用户管理即用户计费管理系统,有时也叫网络计费管理系统,通过WEB网页方式对VPN帐户及服务器进行管理。一般情况下,将多台VPN服务器都指向一台认证服务器进行VPN用户的身份验证,并使用WEB后台实现管理员的轻松管理。此系统主要有如下特点:支持用户充值功能:支持在线支付支持用户自助充值:用户在淘宝上购买充值卡,由用户自助登录输入卡号和密码即可充值。支持多种平台的VPN服务器:linux、win2000/2003、ROS等等支持多种协议的认证:PPTP、L2TP、OPENVPN、无线及其它相关系统支持死连接自动检测:对死连接有智能检测功能支持多级代理商管理:二级代理商也可以开下级代理商帐户支持动态、静态VPN:可以设置静态IP或随机动态IP支持批量开帐户,并可以设置用户的登录连接数、过期时间、测试时间、IP地址等等支持用户分级功能,最多4级,级别1用户不能访问级别2用户的服务器支持VPN用户自助修改密码及查看登录日志信息实时查看在线用户在WEB界面可以直接点击中止用户的VPN连接QQ:176069128 评论这张 转发至微博
日本神童研发发新软件PacketiX VPN 3.0,欢迎大家免费使用
优势1. 纯软件形式实现vpn功能现有vpn技术架构中,大部分方案都需要硬件支持,而PacketiX vpn是纯软件产品,即使是在较低配置的电脑上也可以安装使用。同时,PacketiX VPN对各种操作系统也具备广泛的兼容性,安装使用及其方便。优势2. 高连通性优势3. 安全性能高作为虚拟专网来说。VPN技术的安全性能一直是用户最为关注的话题。北电公司曾经发布警告,提醒用户注意其VPN路由产品的几个后门隐患和其他漏洞,否则可能会导致未经授权的远程访问非法进入到企业网中。赛门铁克认为这些漏洞相当危险,并将其危险等级定为最高的“十级”。而PacketiX VPN不需要VPN路由器,PacketiX VPN是有日本筑波大学自主研发成功的,加密部分使用了完全没有经过修改的OPEN SSL库。目前市场常见VPN 产品加密技术均是在第三层,然后封装载入隧道在互联网上传输。而PacketiX VPN在第二、三层均有加密,且所有通信内容和认证数据都进行SSL(Internet行业标准安全协议)加密,这边做到了其它VPN产品所不具有的超强加密功能,其安全优势不言而喻。优势4. 高性价比通常的VPN系统,都是通过设置在专用硬件内部的软件或者芯片所实现的。专用硬件不仅体积重大,结构复杂而且价格昂贵,一旦出现故障也是相当麻烦。而PacketiX VPN纯软件形式,能兼容各种平台,不需要额外的硬件支持,直接通过图形界面安装软件即可使用,这无疑为客户企业省去了大量的硬件支出和专门的维护工程师费用,使企业不需花费太高的费用,也能安全舒适的享受VPN 技术带来的便利。优势5. 高速、稳定、数据吞吐量大利用筑波大学学术情报Media中心的研究设备对各个VPN系统进行了测试,采用64位系统,10G以太网条件下,PacketiX VPN处理速度高达3.1G/S,是微软VPN速度的3.21倍,峰值可达所用带宽的80-90%也就意味着在千兆以太网条件下VPN传输速度可以达到800-900M。如果企业规模较大,数据传输量较大,还可以应用PacketiX VPN独特的集群技术,能时多台服务器构成服务器组协同运行,其负载均衡功能使得各服务器可以平均负载数据传输,这边大大提高了数据传输的效率,即使一台服务器意外出现故障,几秒钟之内后台其他服务器会自动分担其任务,而前台的用户根本察觉不到VPN服务器的故障,大大增强了数据传输的稳定性,像这样在网络二层负载均衡功能应用在VPN中,在其他VPN产品中是很少见的。PacketiX VPN 3.0虽然是软件产品,但是能够实现像硬件,甚至高于硬件产品的安全、高速、稳定性。 评论这张 转发至微博
Friday, June 3, 2011
ipad越狱vpn设置2触屏偶尔失灵的原因
这个帖子是转的,原文地址苹果学院www.ourapple.com我的机器刚买来时就有这个问题 就是屏幕偶尔失灵 卡在那里一动不动要通过解锁键才能恢复 有人说是固件问题 也有人说是硬件问题今天一直推敲这个问题,发现按住手机的右上方,就是听筒右边那一块黑色的区域(如下图)用力按住的话就会屏幕失灵有这个问题的FY们试试看是不是这样?如果都是这样那偶尔失灵应该就是硬件的问题了|||额难道没人有这个问题|||LZ的机子是翻新?|||呵呵,你买到翻新机了..排线问题阿|||我的二手美版表示无压力|||非常明显的排线问题,排线接触不良或者接口接触不良,|||你说的那个地方时屏幕排线和主板连接位置你把屏幕打开看看就可以看得很清楚了。|||没遇见过|||楼上说的有点道理|||没遇到过|||我也有时会失灵。就是刷了自制的421固件后。有时。发生过三四次失灵了。要按一下电源键。才正常。不知道是不是固件的问题。。|||那里是3根排线的位置, 但是本应该接的很稳当的, 不可能按下去就松你应该吸起屏幕检查一下|||RP问题啊|||换个触摸屏吧,苹果越狱我跟楼主同样的情况|||额我知道是翻新机,这个应该只要拆开把排线调好位置就行了吧|||吸起屏幕?怎么吸?|||没有这种情况…但是那个地方是排线聚集的地方…建议你自己拆机看看那条排线松了iphone3gs降级3.1转自苹果学院 www.ourapple.com苹果ipad软件下载刷自制固件4.1的朋友们出现了2009错误?进来吧,给你们不会2009的。apple笔记本官网找不到数据蜂窝了!!!!!求助大侠们!!!!iphone4代41越狱一个有趣的问题:Why do all 苹果 ipad ads show9:42?
各种VPN
VPN是一种逻辑上的专用网络,能够向用户提供专用网络所具有的功能,但本身却不是一个独立的物理网络。为适应全球经济一体化的格局与发展,利用IP协议和现有的Internet来建立企业的安全的专有网络,成为主要VPN发展趋势。 MPLS VPN与IPSec VPN的融合解决方案 VPN(虚拟专用网络,Virtual Private Network),是一种通过对网络数据的封包或加密传输,在公众网络上传输私有数据、达到私有网络的安全级别,从而利用公众网络构筑企业专网的组网技 术。VPN是一种逻辑上的专用网络,能够向用户提供专用网络所具有的功能,但本身却不是一个独立的物理网络。 VPN的技术实现方式 VPN是一种广义的概念,即在公众网络上实现私有网络。有多种技术可以实现VPN的功能,一般来说,虚拟专用网络(VPN)可分为如下几种: 1.传统的专线虚拟专用网络 传统的虚拟专用网络主要包括帧中继和ATM,是传统的电信专线业务,是电信运营商通过帧中继或ATM的专用交换设备建立覆盖一定区域的公用交换平台,并通过在此公用交换平台上建立虚电路连接,为用户提供专用网络。 帧中继(Frame Relay,简称FR),是一种面向连接的快速分组交换技术。它使用一组规程将数据信息以帧的形式有效地进行传送,在一个物理连接上可复用多个逻辑连接 (即可建立多条逻辑信道),可实现带宽的复用和动态分配。帧中继适合于封装局域网的数据单元,适合传送突发业务(如压缩视频业务、WWW业务等)。 ATM(Asynchronous Transfer Mode),异步传输模式。ATM是面向连接的服务,它摒弃了电路交换中采用的同步时分复用,改用异步时分复用,收发双方的时钟可以不同,可以更有效地利 用带宽。它是一种高速分组交换,在协议上它将OSI第三层的纠错、流控功能转移到智能终端上完成,降低了网络时延,提高了交换速度。 2.基于用户端设备的虚拟专用网络 基于用户端设备的虚拟专用网络是指用户端设备使用封装或加密技术,在公众网络上建立 安全的隧道连接,实现安全的专用网络。VPN功能都集成在各种各样的CPE设备之中,运营商的公网为客户提供透明的数据传输。这种方式的VPN,其最大缺 点就在于需要客户投入较大的人力、物力去管理和维护VPN,同时加密机制也会对设备的转发性能和网络的拓展性产生很大的影响。 IPSec,即Internet安全协议,是被采用得最广泛的VPN技术,是由 Internet工程任务组(IETF)开发的一组身份验证和加密的协议,通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。 IPSec实际上是一套协议包而不是一个单个的协议,这一点对于我们认识IPSec是很重要的。 3.网络提供商指配的虚拟专用网络 网络提供商指配的虚拟专用网络是指利用虚拟路由技术和隧道技术,由网络提供商管理的网络端设备为不同用户建立独立的路由表和传输隧道,实现虚拟专用网络。BGP/MPLS VPN技术就是属于此类VPN。 MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。MPLS VPN体系中包含三种类型的路由器,CE路由器、PE路由器和P路由器。其中,CE路由器是客户端路由器,为用户提供到PE路由器的连接;PE路由器是运 营商边缘路由器,也就是MPLS网络中的标签边缘路由器 (LER);P路由器是运营商网络主干路由器,也就是MPLS网络中的标签交换路由器(LSR)。 4.基于会话的虚拟专用网络 基于会话的虚拟专用网络是指利用工作在第四层协议,即传输层协议及以上的安全协议,实现的虚拟专用网络。目前,主要是指SSL VPN。、 SSL VPN产品采用标准的安全套接层(SSL)对传输中的数据包进行加密。SSL (Secure Socket Layer)又称套接字,是一个运行在原TCP/IP协议栈Transport(传输层,第4层)和其上应用层(5-7层)之间的安全协议。 为适应全球经济一体化的格局与发展,利用IP协议和现有的Internet来建立企业的安全的专有网络,成为主要VPN发展趋势,此类VPN通称为IP VPN。目前,IP VPN主要包括MPLS VPN、IPSec VPN和SSL VPN。 1. MPLS VPN与ATM/FR [...]
vpn代理,台湾vpn
vpn代理www.dogvpn.com 台湾vpn www.dogvpn.com我们专业提供台湾VPN,香港,台湾,美国,大陆VPN代理,速度快不掉线,免费测试,多线可自由切换,全天服务.台湾VPN质量保证,售后保证!联系QQ:1075962011MSN: kehufuwubu@hotmail.com官网: www.dogvpn.com 评论这张 转发至微博
VPN选购三大看点
随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(VPN)以其独具特色的优势,赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。 虚拟专用网(VPN)代表了当今网络发展的最新趋势,它综合了传统数据网络的性能优点(安全和 QoS)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的连接,价格比专线或者帧中继网络要低得多。而且,VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求,因此,VPN必将成为未来企业传输业务的主要工具。 但是,面对种类繁多的VPN产品和解决方案我们如何选择?这成了众多企业用户头疼的一件大事,网上有很多讲VPN选择和部署的文章,大多是讲安全,性能以及易用方面的.可笔者倒觉得在VPN技术非常成熟的今天,这些己经不是什么秘密或优势了.你看哪个VPN产品不是超多位加密,多条加密隧道.多种加密协议.这些加密措施,别说黑客,恐怕就是开发者本身想破译也决非易事.性能和易用性亦是如此,哪个产品不是性能卓越?跑几个应用就挂了能算是成熟VPN产品么?如果没有人会用,或者需要专业人才能维护,那你的VPN产品别说卖,人家多看一眼可能都嫌烦! 因此,笔者不想老调重谈.其实,除了人们经常观注的一些方面以外,还有很多用户想不到或是容易被忽视但却十分重要的地方.下面就讲讲VPN选购过程中的三个比较重点的地方. 一 可联通性 有些人可能会问:VPN就是虚拟专用网嘛,不互相联通能叫VPN么?我觉得你说的对,也不对.的确,VPN必须具备联通性.VPN系统从网络模型上讲是一种C/S逻辑模型.一般在公司总部或应用服务器所在网络内安装服务器,也叫总部版.然后各使用用户或分支端安装客户端,有些VPN产品把客户端分为两种.以畅通伟业的HLINK VPN为例,一种叫分支版,一种叫移动版.分支版可以将其下的子网也带入VPN,所以要求比较固定,一般是安装在指定的一台PC上.而移动版相对比较自由,所以采用类似于U盘的硬件KEY.即插即用,无需安装.说你说的对,是因为客户端,包括分支与移动,都需要连接到总部端才能正常工作.说你说的不对,是因为可联通性绝不是单纯的客户端连接到总部就完了的.其实这里就涉及到两种网络结构,一种是星型,一种是网状. 星型结构是指分支与总部相联通,分支与总部可以互访资源,包括分支/总部所带子网资源,即以总部为核心的星型网络拓朴结构. 网状结构是指不仅分支与总部可以互访资源,而且各分支与分支间也可以互访资源,并且分支间可以互访彼此间子网的资源. 传统的VPN大多是星型结构,所以如果某分支机构有一些资源服务,那其它分支机构是无法访问的.由于这样的局限性,一些VPN产品不得不采用多总部的模式来组网.只要某分支机构提供服务,那么就必须换成总部版.所以,一个VPN系统里可能出现多个总部.而且一般总部的价格比分支要贵很多,所以这样的解决方案没有充分发挥VPN的潜力.新一代VPN都提供网状结构,像HLINK VPN,除了分支节点可以互访以外,分支下的子网也可以互访的.架设一套VPN系统就相当原来架设多套VPN系统.所以,可联通性是很重要的. 二 VPNP性 VPNP最初是针对于PC外设来讲的,像现在的网卡啊,声卡啊,鼠标键盘等,都是VPNP的,就是即插即用型设备.对于VPN网络,传统的组网多是考虑各分支地相连互通,一般都是相对固定的网络.但随着网络信息技术的飞速发展以及中国经济的持续增长,越来越多的公司企业己经完成打破了地域的限制,全国联网乃至全球联网己经成为现实.员工经常需要异地出差,同时又要求随时远程接入公司网络,协同办公及数据交换.因些,VPN的VPNP性也随之突显了出来. 一般来讲,基于SSL的会比基于IPsec的VPN的VPNP性好.像HLINK VPN,他们的移动端是一种基于USB接口的UKey硬件设备.外观看上去与普通的U盘没有什么两样.用户使用时无需关心自己的网络配置,只要插上UKey,就会自动接入VPN系统.HLINK系统的VPNP优点一方面是随时接入随时使用.另一方面是对于用户的使用安全以及管理.通常,UKey只限固定的用户使用,管理员可能指定UKey的使用者,而其它非法用户由于没有UKey,是无法获取用户名及密码的,所以根本无法接入到VPN系统里.更谈不上盗取资料了.可能用人会问:我copy一张U盘不就行了么?不行,UKey不是普通的U盘,它本身具有硬件识别能力,即使你copy了文件系统也无法运行或者说根本不能启动HLINK. 评论这张 转发至微博
VPN上网
最近我花了10块钱买了1个月的代理VPN可以浏览一些被网络长城和谐了的网站像youtube fackbook等这样的确方便了许多但用了几天发觉麻烦也很多因为这几天经常点到所谓的色情网站这也增加了我上网的风险中病毒事小被家人看到事大 评论这张 转发至微博
16vpn 免费测试
帐号ahah 密码ahah16vpn下载地址http://www.passvpn.com/down/16vpn-setup.exe 有效期 10小时我代理如下品牌VPN (2010年新开品牌)腾讯VPN SHVPN 16vpn tkvpn 517vpn 全球VPN 畅达VPN 亚太vpn 8899vpn 皇家VPN 新时代VPN 海盗VPN 老牌:GOCVPN DJVPN MCTVPN HTVPN 世纪VPN 美达VPN AAVPN CCVPN KKVPN HGVPN 2009VPN 兴泰VPN WTOVPN WWWVPN 173VPN 旺旺VPN 9LVPN 3370VPN TWVPN QQTVPN 28VPN AIONVPN HDVPN 海盗VPN EBVPN 中盟VPN HWVPN CCVPN 硅谷VPN 易通VPN 迅雷VPN 华数VPN BTVPN迅飞VPN 漫步VPN 际通vpn 枫神VPN 畅游通 GMVPN 你需要那个VPN [...]
VPN简介
VPN市场介绍 权威市场研究机构IDC发布《中国IT安全市场2009年下半年度分析》,2009年下半年,VPN硬件市场的市场规模为 US$ 22.9M,同比增长 6.2%。能够提供 VPN 硬件的厂商不在少数,从数量对比上来看,仍然以国际厂商居多。但是从市场份额来看,国内厂商深信服一枝独秀,以 30.5%的市场占比排在第一位,位列二、三是思科和 Arrary Networks,市场份额分别是 12.1%和 11.6%。 国内外知名硬件VPN品牌 目前国内外硬件VPN产品已经相对比较成熟了,这里列出几个国内外有一定历史的知名品牌: 国外品牌:1.Cisco 2.Juniper 3.Array 4.Netgear 5.Watchguard 6.Hillstone 7.Qno.8.迅鲨VPN 9.遨游VPN. 国内品牌:1.奥联 2.H3C 3.e地通 4.迅博 5.冰峰网络 6. 深信服 7.卫士通 8.赛蓝 9.365VPN 10.X-Y小语vpn11.天益随易联vpn12.易通VPN 13.网一VPN 14.513VPN15.517VPN 14.Qno侠诺 15.蓝帝代理 16.LAVA VPN 国内VPN标准制定: VPN标准分为三类:IPSec VPN、SSL VPN Socks5 vpn IPSec VPN国家标准制定单位:深圳奥联科技、华为、深信服、中兴、无锡江南信息安全工程技术中心。 SSL VPN国家标准制定单位:深圳市奥联科技有限公司、华为技术有限公司、深圳市深信服电子科技有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份有限公司等十余家单位。 国内免费的VPN A8VPN:A8VPN是一个提供免费试用的VPN服务网站,支持PPTP/L2TP协议,安全、可靠、速度稳定。 LAVA VPN:LAVA VPN是一个提供7天免费试用的VPN,支持PPTP/L2TP协议,安全、可靠、速度快且稳定。 91vpn: 91vpn是由91wangyou提供的一种永久免费VPN服务,简单易用。 55dns加速器:55dns加速器是一种加速软件,自带客户端,目前免费的VPN,优点:使用简单、加速稳定 [...]
月经期间能吃苹果联通 vpn总是连接失败!!听说西安的被QIANG了~~
转自苹果学院 www.ourapple.com此文章转载在www.ourapple.com苹果学院联通vpn 连接总是失败!!注册 按照要求设置了。都不可以。。请教高手 ,,现在怎么办?http://brigance38114.blog.163.com?http://waye91620.blog.163.com????|||星巴克···|||成都的没问题,某些地方确实被qiang了.||||||引用诺基亚n8苹果主题iphone4 蓝牙tinyumbrella 4.1.14??速度备份4.2的shsh吧iphone4怎么看流量2没法用wifi,edge网可用,请问这是怎么回事啊~~~~~~~~iphone 3g 8g 刷机用过这个软件吗?大家进来看看吧!
ipod touch3代和4代请问VPN功能是做什么的?
转自苹果学院 www.ourapple.com此文章转载在www.ourapple.com苹果学院请问VPN功能是做什么的?|||VPN-Vibration Protective Nikle|||vpn=Virtual privatenetwork|||网络隧道技术!|||<strong><fontcolor="RoyalBlue">感谢支持Weip技术组的所有工作</font></strong>|||设置了vpn就可以翻墙上一些被和谐的网站,比如说youtube|||论坛游戏软件区有设置方法,你找一下。|||有点代理的意思|||引用|||引用|||没错保障网络数据安全的|||我只知道在家里要用vpn访问公司内网,http://segersgyp.blog.163.com否则连不了的|||不错,http://bibeau_xaj.blog.163.com长知识了|||说得好iphone4 超高清壁纸苹果电子书报价重新越狱后,我手机上原有信息、应用会丢失吗iphone平板电脑价格ipad申请新专利 ipad可作音乐会入场券iphone pc suite2.0国行2请教一个问题
Sunday, May 29, 2011
在CentOS/Redhat5.4上使用openswan搭建数据中心之间的VPN
最近由于主数据中心的流量过大,为了分流和成本,在国外购买了几个独立主机。这样就需要在2个数据中心之间进行数据的同步,包括mysql,mongodb,以及反向代理等。通过在使用IPSec创建VPN从而将2个子网连接在一起是最合适的方案。在最初曾经考虑过使用OpenVPN,但是由于我们的应用涉及到较大的数据传输,OpenVPN的性能相对于IPSec的方案还是差,我们也无法通过为openvpn部署硬件加速。出于成本考虑,最后选择纯软的vpn。首先尝试使用CentOS自带的IPSec进行配置,不过很快失败。RedHat的文档描述的很不清楚,此外,配置比较繁琐,按照其说明配置也无法连通,实在没有耐心,于是改用openswan来部署。在部署openswan之前,先要简单画出2个子网的拓扑图,只要分出左《-》右即可:A(192.168.8.x/211.x.x.x)++B(192.168.9.x/174.xx.xx.xx)按照上图,A为left节点,B为right节电。192.168.8.x和192.168.9.x分别为2个网络的网段。在2个网段分别选择一个主机作为网关,这样分别设置这个2个网关就可以了。实际为:gate_a(192.168.8.70/211.x.x.x),gate_b(192.168.9.1/174.x.x.x)这2个host都需要有2个网卡,分别是链接内网和公网,记住上面的内网和公网ip。下面开始安装:(gate_a)1.安装openswangate_a.nightsailer.comyuminstallipsec-toolsgate_a.nightsailer.comyuminstallopenswan注意:下面这步很关键,CentOS-5.4有个bug,安装openswan时自动创建certdb并不正确,所以首先需要重新创建,否则下一步生成key的时候就会报错。gate_a.nightsailer.comcertutil-N-d/etc/ipsec.d2.现在,为gate_a生成密钥:gate_a.nightsailer.comipsecnewhostkeyconfigdir/etc/ipsec.d/output/etc/ipsec.d/keys.secrets3.显示输出gate_a作为left的公钥:gate_a.nightsailer.comipsecshowhostkeyleftipsecshowhostkeynssdirectoryshowhostkey:/etc/ipsec.d#rsakeyAxxxxleftrsasigkey=0sA将eftrsasigkey=0sA..这行输出记下,后面备用4.修改/etc/ip_sec.conf#/etc/ipsec.confOpenswanIPsecconfigurationfile##Manual:ipsec.conf.5##Pleaseplaceyourownconfigfilesin/etc/ipsec.d/endingin.confversion2.0#conformstosecondversionofipsec.confspecification#basicconfigurationconfigsetup#Debug-loggingcontrols:nonefor(almost)none,allforlots.#klipsdebug=none#plutodebug=controlparsing#ForRedHatEnterpriseLinuxandFedora,leaveprotostack=netkeyprotostack=netkeynat_traversal=yesvirtual_private=oe=off#Enablethisifyouseefailedtofindanyavailableworkernhelpers=0#Youmayputyourconfiguration(.conf)fileinthe/etc/ipsec.d/anduncommentthis.include/etc/ipsec.d/*.conf5.现在为这个vpn单独创建一个conf文件,放到/etc/ipsec.d/nightsailer.com_vpn.confconnnightsailer_vpn#左节点的公网ip(gate_a)left=211.x.x.x#左节点的内网网段leftsubnet=192.168.8.0/24#左节点的网关的内网ip(可选)leftsourceip=192.168.8.70#左节点的id,可以是ip,也可以是域名:#leftid=@gate_a.chinavisual.com#建议最好用ip,域名需要反向解析,dns没配好很容易出问题leftid=211.x.x.x#上一步显示的gate_a作为left的公钥leftrsasigkey=0sAQOleftnexthop=%defaultroute#以下参数含义和上面的一样right=174.x.x.xrightsubnet=192.168.9.0/24rightsourceip=192.168.9.1rightid=174.x.x.xrightrsasigkey=0sAQOp.rightnexthop=%defaultroute#是否在ipsec启动时自动启用这个链接#auto=add(若这个选项,则需要手动upvpn链接)auto=start现在,登录到gate_b,重复上面的步骤1-5。注意,第3步略有不同,因为gate_b是right节点,所以要显示它的right密钥:gate_b.nightsailer.comipsecshowhostkeyrightipsecshowhostkeynssdirectoryshowhostkey:/etc/ipsec.d#rsakeyAxxxxrightrsasigkey=0sA将rightrsasigkey=0sA..这行输出更新/etc/ipsec.d/nightsailer.com_vpn.conf(包括gate_a上的)现在分别启动ipsecgate_a.nightsailer.com/etc/init.d/ipsecstartgate_b.nightsailer.com/etc/init.d/ipsecstart好了,现在在gate_a和gate_b上相互ping,就可以ping通了。网关通了,那么还需要再各自子网添加一个路由:A网段添加:routeadd-net192.168.9.0netmask255.255.255.0gw192.168.8.70eth1#添加静态路由在/etc/sysconfig/network-scripts/route-eth1追加:192.168.9.0/24via192.168.8.70deveth1B网段添加:routeadd-net192.168.8.0netmask255.255.255.0gw192.168.9.1eth1在/etc/sysconfig/network-scripts/route-eth1追加:192.168.8.0/24via192.168.9.1deveth1一切就大功告成了。
使用openswan构建lan-to-lanVPN(KLIPS)
一、OpenSWan简介OpenSWan是Linux下IPsec的最佳实现方式,其功能强大,最大程度地保证了数据传输中的安全性、完整性问题。OpenSWan支持2.0、2.2、2.4以及2.6内核,可以运行在不同的系统平台下,包括X86、X86_64、IA64、MIPS以及ARM。OpenSWan是开源项目FreeS/WAN停止开发后的后继分支项目,由三个主要组件构成:配置工具(ipsec命令脚本)Key管理工具(pluto)内核组件(KLIPS/26sec)26sec使用2.6内核内建模块Netkey,用来替代OpenSWan开发的KLIPS模块,2.4及以下版本内核无Netkey模块支持,只能使用KLIPS。如果你用的是2.6.9以上的内核,推荐使用26sec,可以不用给内核打Nat-T补丁就可以使用NAT,2.6.9以下版本内核的NETKEY存在Bug,推荐使用KLIPS。更多详情请参见OpenSWan项目主页:http://www.openswan.org二、系统环境操作系统(server):CentOS4.5内核版本:2.6.9-55客户端(windowsXP)主机网络参数设置:如无特殊说明,子网掩码均为255.255.255.0主机名网卡eth0网卡eth1默认网关用途LServer192.168.1.10172.16.1.1192.168.1.1Left网关RServer192.168.1.20172.16.2.1192.168.1.1Right网关LClient172.16.1.2172.16.1.1Left客户机RClient172.16.2.2172.16.2.1Right客户机三、安装设置操作系统系统采用最小安装:只安装开发工具以下步骤只需在LServer、RServer上执行。分别在LServer、RServer执行以下命令:sysctl-a|egrep”ipv4.*(accept|send)_redirects”|awk-F”=”‘{print$1″=0″}’/etc/sysctl.conf编辑/etc/sysctl.confvi/etc/sysctl.conf将下面两项:net.ipv4.ip_forward=0net.ipv4.conf.default.rp_filter=1改为:net.ipv4.ip_forward=1net.ipv4.conf.default.rp_filter=0执行以下命令使设置生效:sysctl-p在LServer上执行以下命令设置NAT:iptables-tnat-APOSTROUTING-oeth0-s172.16.1.0/24-d!172.16.2.0/24-jMASQUERADE在RServer上执行以下命令设置NAT:iptables-tnat-APOSTROUTING-oeth0-s172.16.2.0/24-d!172.16.1.0/24-jMASQUERADE四、安装OpenSWan1.下载源码包cdwgethttp://www.openswan.org/download/openswan-2.4.7.tar.gz2.解压源码包tarzxvfopenswan-2.4.7.tar.gz3.安装UserLandcdopenswan-2.4.7makeprogramsmakeinstall4.安装KLIPScd~/openswan-2.4.7makeKERNELSRC=http://blog.csdn.net/lib/modules/`uname-r`/buildmoduleminstalldepmod-a加载KLIPS模块前必须先卸载NETKEY模块rmmodxfrmuseraf_keyesp4ah4ipcompxfrm4_tunnel执行以下命令加载KLIPSmodprobeipsec5.验证安装执行下面的命令验证OpenSWan是否正确安装ipsec–version如果程序正确安装,此命令将显示以下结果:如果已加载的IPsecstack是KLIPS,显示如下LinuxOpenswan2.4.7(klips)See`ipsec–copyright’forcopyrightinformation.如果没有加载任何IPsecstack,显示如下LinuxOpenswanU2.4.7/K(nokernelcodepresentlyloaded)See`ipsec–copyright’forcopyrightinformation.五、配置OpenSWan1.OpenSWan主要配置文件/etc/ipsec.secrets用来保存privateRSAkeys和presharedsecrets(PSKs)/etc/ipsec.conf配置文件(settings,options,defaults,connections)2.OpenSWan主要配置目录/etc/ipsec.d/cacerts存放X.509认证证书(根证书-”rootcertificates”)/etc/ipsec.d/certs存放X.509客户端证书(X.509clientCertificates)/etc/ipsec.d/private存放X.509认证私钥(X.509Certificateprivatekeys)/etc/ipsec.d/crls存放X.509证书撤消列表(X.509CertificateRevocationLists)/etc/ipsec.d/ocspcerts存放X.500OCSP证书(OnlineCertificateStatusProtocolcertificates)/etc/ipsec.d/passwdXAUTH密码文件(XAUTHpasswordfile)/etc/ipsec.d/policies存放OpportunisticEncryption策略组(TheOpportunisticEncryptionpolicygroups)3.OpenSWan连接方式OpenSWan有两种连接方式:1)Network-To-Network方式顾名思义,Network-To-Network方式是把两个网络连接成一个虚拟专用网络。当连接建立后,每个子网的主机都可透明地访问远程子网的主机。要实现此种连接方式,要满足以下两个条件:I.每个子网各自拥有一台安装有OpenSWan的主机作为其子网的出口网关;II.每个子网的IP段不能有叠加2)RoadWarrior方式当使用Network-To-Network方式时,作为每个子网网关的主机不能像子网内部主机那样透明访问远程子网的主机,也就是说:如果你是一个使用Laptop的移动用户,经常出差或是在不同的地点办公,你的Laptop将不能用Network-To-Network方式与公司网络进行连接。RoadWarrior方式正是为这种情况而设计的,连接建立后,你的Laptop就可以连接到远程的网络了。4.OpenSWan的认证方式Openswan支持许多不同的认证方式,包括RSAkeys、pre-sharedkeys、XAUTH、x.509证书方式5.使用RSA数字签名(RSASIG)认证方式配制OpenSWan1)在LServer、RServer上生成新的hostkeyipsecnewhostkey–output/etc/ipsec.secrets继续以下2-4步骤配置LServer-RServer之间的Network-To-Network方式链接:2)在LServer上执行下面的命令获得leftrsasigkey(即LServer的公钥PulicKey)ipsecshowhostkey–left此命令的输出格式如下所示:#RSA2192bitsLServer.FoxBB.ComSatMar315:45:002007leftrsasigkey=0sAQOBIJFmj……3)在RServer上执行下面的命令获得rightrsasigkey(即RServer的公钥PulicKey)ipsecshowhostkey–right此命令的输出格式如下所示:#RSA2192bitsRServer.FoxBB.ComSatMar315:51:562007rightrsasigkey=0sAQNZZZjj……4)在LServer及RServer上编辑/etc/ipsec.confvi/etc/ipsec.conf在最后添加如下内容(leftrsasigkey及rightrsasigkey行换成前面2,3步所取得的值)connnet-to-netleft=192.168.1.10#LServer外网IP地址leftsubnet=172.16.1.0/24#LServer内网IP段leftid=@LServer.uddtm.com#LServer的标识leftrsasigkey=0sAQOBIJFmj…#LServer的公钥leftnexthop=%defaultroute#LServer的下一跳指定为默认路由地址right=192.168.1.20#RServer外网IP地址rightsubnet=172.16.2.0/24#RServer内网IP段rightid=@RServer.uddtm.com#RServer的标识rightrsasigkey=0sAQNZZZjj…#Rserver的公钥rightnexthop=%defaultroute#RServer的下一跳指定为默认路由地址auto=add#添加这个链接,但是在OpenSWan启动时不自动连接5)在LServer、RServer上执行下面的命令启动OpenSWanserviceipsecstart6)在LServer及RServer上执行下面的命令验证OpenSWan是否正常运行ipsecverify如果OpenSWan正常运行,将会得到类似下面的输出CheckingyoursystemtoseeifIPsecgotinstalledandstartedcorrectly:Versioncheckandipsec>
VDI序曲十九 无须VPN直接mstsc到内网服务器
在企业中,做为IT管理员时常会希望能在家或外面能及时的远程登陆到公司内部的服务器进行监控和维护,方式一般有2种:1.架设VPN服务器,在公网利用VPN来连接到公司的内网再远程桌面到内网的服务器2.做端口的映射,利用防火墙来把内网服务器的3389端口映射到公网上。那么除了这2种方式以外,我们还可以用什么方式方便的连接公司内网服务器呢?那就得用到我们微软桌面虚拟化的网关服务器了~网关服务器的部署方法请看:VDI序曲八 网关与VDI发布那么只要我们部署了这个远程桌面服务的网关服务器,IT管理员就只需要导入企业的根证书就可以方便的在公网远程桌面到内网的任意一台服务器上了当然如果您申请的是公网的证书,那么导入证书的步骤都可以省略了那到底是怎么样的呢?我们来看下效果首先我已经把企业内部的根证书导入进我的私人笔记本电脑里了,下面我们打开远程桌面输入内网的服务器IP地址大家肯定疑惑在公网这样怎么可能登入到内网的服务器嘛?别急,我们点高级再点开设置我们输入我们的网关服务器地址同时我们不对本地地址使用RD网关服务器来进行连接。这样我们就可以方便的输入内网IP或服务器名进行登陆了登陆看看提示输入帐户密码,但我们发现上面多了一排网关信息因为需要从网关来做安全连接,因此这连接的时间要稍微长一点OK,这样就登陆进内网的服务器了同时我们发现此远程桌面是通过网关,具备安全加密的是不是感觉很方便呢?输入内网IP就可以直接从公网连接进内网的服务器了!本文出自 “ZJS的微软虚拟化” 博客,请务必保留此出处http://rdsrv.blog.51cto.com/2996778/575001
Subscribe to:
Posts (Atom)