最近由于主数据中心的流量过大,为了分流和成本,在国外购买了几个独立主机。这样就需要在2个数据中心之间进行数据的同步,包括mysql,mongodb,以及反向代理等。通过在使用IPSec创建VPN从而将2个子网连接在一起是最合适的方案。在最初曾经考虑过使用OpenVPN,但是由于我们的应用涉及到较大的数据传输,OpenVPN的性能相对于IPSec的方案还是差,我们也无法通过为openvpn部署硬件加速。出于成本考虑,最后选择纯软的vpn。首先尝试使用CentOS自带的IPSec进行配置,不过很快失败。RedHat的文档描述的很不清楚,此外,配置比较繁琐,按照其说明配置也无法连通,实在没有耐心,于是改用openswan来部署。在部署openswan之前,先要简单画出2个子网的拓扑图,只要分出左《-》右即可:A(192.168.8.x/211.x.x.x)++B(192.168.9.x/174.xx.xx.xx)按照上图,A为left节点,B为right节电。192.168.8.x和192.168.9.x分别为2个网络的网段。在2个网段分别选择一个主机作为网关,这样分别设置这个2个网关就可以了。实际为:gate_a(192.168.8.70/211.x.x.x),gate_b(192.168.9.1/174.x.x.x)这2个host都需要有2个网卡,分别是链接内网和公网,记住上面的内网和公网ip。下面开始安装:(gate_a)1.安装openswangate_a.nightsailer.comyuminstallipsec-toolsgate_a.nightsailer.comyuminstallopenswan注意:下面这步很关键,CentOS-5.4有个bug,安装openswan时自动创建certdb并不正确,所以首先需要重新创建,否则下一步生成key的时候就会报错。gate_a.nightsailer.comcertutil-N-d/etc/ipsec.d2.现在,为gate_a生成密钥:gate_a.nightsailer.comipsecnewhostkeyconfigdir/etc/ipsec.d/output/etc/ipsec.d/keys.secrets3.显示输出gate_a作为left的公钥:gate_a.nightsailer.comipsecshowhostkeyleftipsecshowhostkeynssdirectoryshowhostkey:/etc/ipsec.d#rsakeyAxxxxleftrsasigkey=0sA将eftrsasigkey=0sA..这行输出记下,后面备用4.修改/etc/ip_sec.conf#/etc/ipsec.confOpenswanIPsecconfigurationfile##Manual:ipsec.conf.5##Pleaseplaceyourownconfigfilesin/etc/ipsec.d/endingin.confversion2.0#conformstosecondversionofipsec.confspecification#basicconfigurationconfigsetup#Debug-loggingcontrols:nonefor(almost)none,allforlots.#klipsdebug=none#plutodebug=controlparsing#ForRedHatEnterpriseLinuxandFedora,leaveprotostack=netkeyprotostack=netkeynat_traversal=yesvirtual_private=oe=off#Enablethisifyouseefailedtofindanyavailableworkernhelpers=0#Youmayputyourconfiguration(.conf)fileinthe/etc/ipsec.d/anduncommentthis.include/etc/ipsec.d/*.conf5.现在为这个vpn单独创建一个conf文件,放到/etc/ipsec.d/nightsailer.com_vpn.confconnnightsailer_vpn#左节点的公网ip(gate_a)left=211.x.x.x#左节点的内网网段leftsubnet=192.168.8.0/24#左节点的网关的内网ip(可选)leftsourceip=192.168.8.70#左节点的id,可以是ip,也可以是域名:#leftid=@gate_a.chinavisual.com#建议最好用ip,域名需要反向解析,dns没配好很容易出问题leftid=211.x.x.x#上一步显示的gate_a作为left的公钥leftrsasigkey=0sAQOleftnexthop=%defaultroute#以下参数含义和上面的一样right=174.x.x.xrightsubnet=192.168.9.0/24rightsourceip=192.168.9.1rightid=174.x.x.xrightrsasigkey=0sAQOp.rightnexthop=%defaultroute#是否在ipsec启动时自动启用这个链接#auto=add(若这个选项,则需要手动upvpn链接)auto=start现在,登录到gate_b,重复上面的步骤1-5。注意,第3步略有不同,因为gate_b是right节点,所以要显示它的right密钥:gate_b.nightsailer.comipsecshowhostkeyrightipsecshowhostkeynssdirectoryshowhostkey:/etc/ipsec.d#rsakeyAxxxxrightrsasigkey=0sA将rightrsasigkey=0sA..这行输出更新/etc/ipsec.d/nightsailer.com_vpn.conf(包括gate_a上的)现在分别启动ipsecgate_a.nightsailer.com/etc/init.d/ipsecstartgate_b.nightsailer.com/etc/init.d/ipsecstart好了,现在在gate_a和gate_b上相互ping,就可以ping通了。网关通了,那么还需要再各自子网添加一个路由:A网段添加:routeadd-net192.168.9.0netmask255.255.255.0gw192.168.8.70eth1#添加静态路由在/etc/sysconfig/network-scripts/route-eth1追加:192.168.9.0/24via192.168.8.70deveth1B网段添加:routeadd-net192.168.8.0netmask255.255.255.0gw192.168.9.1eth1在/etc/sysconfig/network-scripts/route-eth1追加:192.168.8.0/24via192.168.9.1deveth1一切就大功告成了。
Sunday, May 29, 2011
在CentOS/Redhat5.4上使用openswan搭建数据中心之间的VPN
最近由于主数据中心的流量过大,为了分流和成本,在国外购买了几个独立主机。这样就需要在2个数据中心之间进行数据的同步,包括mysql,mongodb,以及反向代理等。通过在使用IPSec创建VPN从而将2个子网连接在一起是最合适的方案。在最初曾经考虑过使用OpenVPN,但是由于我们的应用涉及到较大的数据传输,OpenVPN的性能相对于IPSec的方案还是差,我们也无法通过为openvpn部署硬件加速。出于成本考虑,最后选择纯软的vpn。首先尝试使用CentOS自带的IPSec进行配置,不过很快失败。RedHat的文档描述的很不清楚,此外,配置比较繁琐,按照其说明配置也无法连通,实在没有耐心,于是改用openswan来部署。在部署openswan之前,先要简单画出2个子网的拓扑图,只要分出左《-》右即可:A(192.168.8.x/211.x.x.x)++B(192.168.9.x/174.xx.xx.xx)按照上图,A为left节点,B为right节电。192.168.8.x和192.168.9.x分别为2个网络的网段。在2个网段分别选择一个主机作为网关,这样分别设置这个2个网关就可以了。实际为:gate_a(192.168.8.70/211.x.x.x),gate_b(192.168.9.1/174.x.x.x)这2个host都需要有2个网卡,分别是链接内网和公网,记住上面的内网和公网ip。下面开始安装:(gate_a)1.安装openswangate_a.nightsailer.comyuminstallipsec-toolsgate_a.nightsailer.comyuminstallopenswan注意:下面这步很关键,CentOS-5.4有个bug,安装openswan时自动创建certdb并不正确,所以首先需要重新创建,否则下一步生成key的时候就会报错。gate_a.nightsailer.comcertutil-N-d/etc/ipsec.d2.现在,为gate_a生成密钥:gate_a.nightsailer.comipsecnewhostkeyconfigdir/etc/ipsec.d/output/etc/ipsec.d/keys.secrets3.显示输出gate_a作为left的公钥:gate_a.nightsailer.comipsecshowhostkeyleftipsecshowhostkeynssdirectoryshowhostkey:/etc/ipsec.d#rsakeyAxxxxleftrsasigkey=0sA将eftrsasigkey=0sA..这行输出记下,后面备用4.修改/etc/ip_sec.conf#/etc/ipsec.confOpenswanIPsecconfigurationfile##Manual:ipsec.conf.5##Pleaseplaceyourownconfigfilesin/etc/ipsec.d/endingin.confversion2.0#conformstosecondversionofipsec.confspecification#basicconfigurationconfigsetup#Debug-loggingcontrols:nonefor(almost)none,allforlots.#klipsdebug=none#plutodebug=controlparsing#ForRedHatEnterpriseLinuxandFedora,leaveprotostack=netkeyprotostack=netkeynat_traversal=yesvirtual_private=oe=off#Enablethisifyouseefailedtofindanyavailableworkernhelpers=0#Youmayputyourconfiguration(.conf)fileinthe/etc/ipsec.d/anduncommentthis.include/etc/ipsec.d/*.conf5.现在为这个vpn单独创建一个conf文件,放到/etc/ipsec.d/nightsailer.com_vpn.confconnnightsailer_vpn#左节点的公网ip(gate_a)left=211.x.x.x#左节点的内网网段leftsubnet=192.168.8.0/24#左节点的网关的内网ip(可选)leftsourceip=192.168.8.70#左节点的id,可以是ip,也可以是域名:#leftid=@gate_a.chinavisual.com#建议最好用ip,域名需要反向解析,dns没配好很容易出问题leftid=211.x.x.x#上一步显示的gate_a作为left的公钥leftrsasigkey=0sAQOleftnexthop=%defaultroute#以下参数含义和上面的一样right=174.x.x.xrightsubnet=192.168.9.0/24rightsourceip=192.168.9.1rightid=174.x.x.xrightrsasigkey=0sAQOp.rightnexthop=%defaultroute#是否在ipsec启动时自动启用这个链接#auto=add(若这个选项,则需要手动upvpn链接)auto=start现在,登录到gate_b,重复上面的步骤1-5。注意,第3步略有不同,因为gate_b是right节点,所以要显示它的right密钥:gate_b.nightsailer.comipsecshowhostkeyrightipsecshowhostkeynssdirectoryshowhostkey:/etc/ipsec.d#rsakeyAxxxxrightrsasigkey=0sA将rightrsasigkey=0sA..这行输出更新/etc/ipsec.d/nightsailer.com_vpn.conf(包括gate_a上的)现在分别启动ipsecgate_a.nightsailer.com/etc/init.d/ipsecstartgate_b.nightsailer.com/etc/init.d/ipsecstart好了,现在在gate_a和gate_b上相互ping,就可以ping通了。网关通了,那么还需要再各自子网添加一个路由:A网段添加:routeadd-net192.168.9.0netmask255.255.255.0gw192.168.8.70eth1#添加静态路由在/etc/sysconfig/network-scripts/route-eth1追加:192.168.9.0/24via192.168.8.70deveth1B网段添加:routeadd-net192.168.8.0netmask255.255.255.0gw192.168.9.1eth1在/etc/sysconfig/network-scripts/route-eth1追加:192.168.8.0/24via192.168.9.1deveth1一切就大功告成了。
使用openswan构建lan-to-lanVPN(KLIPS)
一、OpenSWan简介OpenSWan是Linux下IPsec的最佳实现方式,其功能强大,最大程度地保证了数据传输中的安全性、完整性问题。OpenSWan支持2.0、2.2、2.4以及2.6内核,可以运行在不同的系统平台下,包括X86、X86_64、IA64、MIPS以及ARM。OpenSWan是开源项目FreeS/WAN停止开发后的后继分支项目,由三个主要组件构成:配置工具(ipsec命令脚本)Key管理工具(pluto)内核组件(KLIPS/26sec)26sec使用2.6内核内建模块Netkey,用来替代OpenSWan开发的KLIPS模块,2.4及以下版本内核无Netkey模块支持,只能使用KLIPS。如果你用的是2.6.9以上的内核,推荐使用26sec,可以不用给内核打Nat-T补丁就可以使用NAT,2.6.9以下版本内核的NETKEY存在Bug,推荐使用KLIPS。更多详情请参见OpenSWan项目主页:http://www.openswan.org二、系统环境操作系统(server):CentOS4.5内核版本:2.6.9-55客户端(windowsXP)主机网络参数设置:如无特殊说明,子网掩码均为255.255.255.0主机名网卡eth0网卡eth1默认网关用途LServer192.168.1.10172.16.1.1192.168.1.1Left网关RServer192.168.1.20172.16.2.1192.168.1.1Right网关LClient172.16.1.2172.16.1.1Left客户机RClient172.16.2.2172.16.2.1Right客户机三、安装设置操作系统系统采用最小安装:只安装开发工具以下步骤只需在LServer、RServer上执行。分别在LServer、RServer执行以下命令:sysctl-a|egrep”ipv4.*(accept|send)_redirects”|awk-F”=”‘{print$1″=0″}’/etc/sysctl.conf编辑/etc/sysctl.confvi/etc/sysctl.conf将下面两项:net.ipv4.ip_forward=0net.ipv4.conf.default.rp_filter=1改为:net.ipv4.ip_forward=1net.ipv4.conf.default.rp_filter=0执行以下命令使设置生效:sysctl-p在LServer上执行以下命令设置NAT:iptables-tnat-APOSTROUTING-oeth0-s172.16.1.0/24-d!172.16.2.0/24-jMASQUERADE在RServer上执行以下命令设置NAT:iptables-tnat-APOSTROUTING-oeth0-s172.16.2.0/24-d!172.16.1.0/24-jMASQUERADE四、安装OpenSWan1.下载源码包cdwgethttp://www.openswan.org/download/openswan-2.4.7.tar.gz2.解压源码包tarzxvfopenswan-2.4.7.tar.gz3.安装UserLandcdopenswan-2.4.7makeprogramsmakeinstall4.安装KLIPScd~/openswan-2.4.7makeKERNELSRC=http://blog.csdn.net/lib/modules/`uname-r`/buildmoduleminstalldepmod-a加载KLIPS模块前必须先卸载NETKEY模块rmmodxfrmuseraf_keyesp4ah4ipcompxfrm4_tunnel执行以下命令加载KLIPSmodprobeipsec5.验证安装执行下面的命令验证OpenSWan是否正确安装ipsec–version如果程序正确安装,此命令将显示以下结果:如果已加载的IPsecstack是KLIPS,显示如下LinuxOpenswan2.4.7(klips)See`ipsec–copyright’forcopyrightinformation.如果没有加载任何IPsecstack,显示如下LinuxOpenswanU2.4.7/K(nokernelcodepresentlyloaded)See`ipsec–copyright’forcopyrightinformation.五、配置OpenSWan1.OpenSWan主要配置文件/etc/ipsec.secrets用来保存privateRSAkeys和presharedsecrets(PSKs)/etc/ipsec.conf配置文件(settings,options,defaults,connections)2.OpenSWan主要配置目录/etc/ipsec.d/cacerts存放X.509认证证书(根证书-”rootcertificates”)/etc/ipsec.d/certs存放X.509客户端证书(X.509clientCertificates)/etc/ipsec.d/private存放X.509认证私钥(X.509Certificateprivatekeys)/etc/ipsec.d/crls存放X.509证书撤消列表(X.509CertificateRevocationLists)/etc/ipsec.d/ocspcerts存放X.500OCSP证书(OnlineCertificateStatusProtocolcertificates)/etc/ipsec.d/passwdXAUTH密码文件(XAUTHpasswordfile)/etc/ipsec.d/policies存放OpportunisticEncryption策略组(TheOpportunisticEncryptionpolicygroups)3.OpenSWan连接方式OpenSWan有两种连接方式:1)Network-To-Network方式顾名思义,Network-To-Network方式是把两个网络连接成一个虚拟专用网络。当连接建立后,每个子网的主机都可透明地访问远程子网的主机。要实现此种连接方式,要满足以下两个条件:I.每个子网各自拥有一台安装有OpenSWan的主机作为其子网的出口网关;II.每个子网的IP段不能有叠加2)RoadWarrior方式当使用Network-To-Network方式时,作为每个子网网关的主机不能像子网内部主机那样透明访问远程子网的主机,也就是说:如果你是一个使用Laptop的移动用户,经常出差或是在不同的地点办公,你的Laptop将不能用Network-To-Network方式与公司网络进行连接。RoadWarrior方式正是为这种情况而设计的,连接建立后,你的Laptop就可以连接到远程的网络了。4.OpenSWan的认证方式Openswan支持许多不同的认证方式,包括RSAkeys、pre-sharedkeys、XAUTH、x.509证书方式5.使用RSA数字签名(RSASIG)认证方式配制OpenSWan1)在LServer、RServer上生成新的hostkeyipsecnewhostkey–output/etc/ipsec.secrets继续以下2-4步骤配置LServer-RServer之间的Network-To-Network方式链接:2)在LServer上执行下面的命令获得leftrsasigkey(即LServer的公钥PulicKey)ipsecshowhostkey–left此命令的输出格式如下所示:#RSA2192bitsLServer.FoxBB.ComSatMar315:45:002007leftrsasigkey=0sAQOBIJFmj……3)在RServer上执行下面的命令获得rightrsasigkey(即RServer的公钥PulicKey)ipsecshowhostkey–right此命令的输出格式如下所示:#RSA2192bitsRServer.FoxBB.ComSatMar315:51:562007rightrsasigkey=0sAQNZZZjj……4)在LServer及RServer上编辑/etc/ipsec.confvi/etc/ipsec.conf在最后添加如下内容(leftrsasigkey及rightrsasigkey行换成前面2,3步所取得的值)connnet-to-netleft=192.168.1.10#LServer外网IP地址leftsubnet=172.16.1.0/24#LServer内网IP段leftid=@LServer.uddtm.com#LServer的标识leftrsasigkey=0sAQOBIJFmj…#LServer的公钥leftnexthop=%defaultroute#LServer的下一跳指定为默认路由地址right=192.168.1.20#RServer外网IP地址rightsubnet=172.16.2.0/24#RServer内网IP段rightid=@RServer.uddtm.com#RServer的标识rightrsasigkey=0sAQNZZZjj…#Rserver的公钥rightnexthop=%defaultroute#RServer的下一跳指定为默认路由地址auto=add#添加这个链接,但是在OpenSWan启动时不自动连接5)在LServer、RServer上执行下面的命令启动OpenSWanserviceipsecstart6)在LServer及RServer上执行下面的命令验证OpenSWan是否正常运行ipsecverify如果OpenSWan正常运行,将会得到类似下面的输出CheckingyoursystemtoseeifIPsecgotinstalledandstartedcorrectly:Versioncheckandipsec>
VDI序曲十九 无须VPN直接mstsc到内网服务器
在企业中,做为IT管理员时常会希望能在家或外面能及时的远程登陆到公司内部的服务器进行监控和维护,方式一般有2种:1.架设VPN服务器,在公网利用VPN来连接到公司的内网再远程桌面到内网的服务器2.做端口的映射,利用防火墙来把内网服务器的3389端口映射到公网上。那么除了这2种方式以外,我们还可以用什么方式方便的连接公司内网服务器呢?那就得用到我们微软桌面虚拟化的网关服务器了~网关服务器的部署方法请看:VDI序曲八 网关与VDI发布那么只要我们部署了这个远程桌面服务的网关服务器,IT管理员就只需要导入企业的根证书就可以方便的在公网远程桌面到内网的任意一台服务器上了当然如果您申请的是公网的证书,那么导入证书的步骤都可以省略了那到底是怎么样的呢?我们来看下效果首先我已经把企业内部的根证书导入进我的私人笔记本电脑里了,下面我们打开远程桌面输入内网的服务器IP地址大家肯定疑惑在公网这样怎么可能登入到内网的服务器嘛?别急,我们点高级再点开设置我们输入我们的网关服务器地址同时我们不对本地地址使用RD网关服务器来进行连接。这样我们就可以方便的输入内网IP或服务器名进行登陆了登陆看看提示输入帐户密码,但我们发现上面多了一排网关信息因为需要从网关来做安全连接,因此这连接的时间要稍微长一点OK,这样就登陆进内网的服务器了同时我们发现此远程桌面是通过网关,具备安全加密的是不是感觉很方便呢?输入内网IP就可以直接从公网连接进内网的服务器了!本文出自 “ZJS的微软虚拟化” 博客,请务必保留此出处http://rdsrv.blog.51cto.com/2996778/575001
centos5.5 安装pptpd vpn
公司IDC机房十多台机器,现需要在监控服务器上面安装vpn,以后都经过这台vpn服务器来对其他服务器进行管理。 使用的vpn软件:pptpd 下载地址:http://poptop.sourceforge.net/yum/stable/rhel5/x86_64/ 需要安装的软件ppp 首先下载pptpd和ppp两个软件到服务器上 分别进行安装 #wgethttp://poptop.sourceforge.net/yum/stable/rhel5/x86_64/pptpd-1.3.4-2.rhel5.x86_64.rpm #wgethttp://poptop.sourceforge.net/yum/stable/rhel5/x86_64/ppp-2.4.4-14.1.rhel5.x86_64.rpm 缺少依赖的话使用yum进行安装一下 #rpm -Uvh pptpd-13.4-2.rhel5.x86_64.rpmppp-2.4.4-14.1.rhel5.x86_64.rpm 修改sysctl.conf 里面的net.ipv4.ip_forward 的值为1 # Controls IP packet forwarding net.ipv4.ip_forward = 1 #sysctl -p 添加iptables; #iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.255.0 -j SNAT –to-source serverip 修改配置文件 /etc/pptpd.conf下面添加:localip 172.16.0.20remoteip 172.16.0.21-30 /etc/ppp/options.pptpd下面添加:ms-dns 8.8.8.8ms-dns 8.8.4.4 /etc/ppp/chap-secrets添加用户:# client server secret IP addresses test pptpd test *启动pptpd: #/etc/init.d/pptpd [...]
IKE IPSEC VPN
实验环境:DynamipsGUI 2.8_CN实验拓扑:实验目的: 1):通过配置ipsec VPN,让我们对ipsec VPN的工作原理有更深的认识。 2):掌握ipsec VPN的配置方法,对它在网络上的应用有更深的了解。实验要求: 1):知道什么是VPN、ipsec和IKE2):简述ipsec VPN 的工作过程实验内容: 在PC1和PC3之间建立通信,让PC2与PC3不可以相互访问。实验步骤:R1:R1(config)#int s1/0R1(config-if)#ip add 200.1.1.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#no shR1(config)#int e0/1R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shR1(config)#int e0/2R1(config-if)#ip add 192.168.2.1 255.255.255.0R1(config-if)#no shR1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2R2(ISP):ISP(config)#int s0/0ISP(config-if)#ip add 200.1.1.2 255.255.255.0ISP(config-if)#no shISP(config)#int s0/1ISP(config-if)#ip add 200.1.2.1 255.255.255.0ISP(config-if)#clock rate 64000ISP(config-if)#no shR3:R3(config)#int s1/0R3(config-if)#ip add 200.1.2.2 255.255.255.0R3(config-if)#no shR3(config)#int e0/0R3(config-if)#ip add 192.168.3.1 255.255.255.0R3(config-if)#no shR3(config)#ip route [...]
CiscoASA防火墙做点对多点 VPN 的注意事项
CiscoASA防火墙做点对多点 VPN 的注意事项首先我们来回顾一下配置VPN的步骤: 1. 创建一个IP地址池用于客户端通过VPN隧道连接。此外,创建一个基本用户才能访问的 VPN 。命令如下: ASANYHQ(config)#ip local pool vpnpool 192.168.4.10-192.168.4.100 ASANYHQ(config)#username toway password X2IJM9lm578rgFmR encrypted 2. 编写ACL,将走VPN隧道的流量不做NAT。命令如下: ASANYHQ(config)#access-list nonat extended permit ip 192.168.0.0 255.255.254.0 192.168.100.0 255.255.255.0 ASANYHQ(config)#access-list nonat extended permit ip 192.168.0.0 255.255.254.0 192.168.4.0 255.255.255.0 ASANYHQ(config)#access-list nonat extended permit ip 192.168.0.0 255.255.254.0 192.168.102.0 255.255.255.0 ASANYHQ(config)#access-list nonat extended permit ip 192.168.110.0 255.255.255.0 192.168.0.0 255.255.254.0 [...]
IPsec、site-to-sito VPN 简单实验
IPsec、site-to-sito VPN 简单实验实验要求:PC1和PC2经过安全通道可以正常通讯R1配置:crypto isakmp policy1 创建转换集encr 3des 加密方式hash md5 散列算法authentication pre-share 认证方式group 2 DH组crypto isakmp key cisco address 10.1.1.2创建对等体密钥!crypto ipsec transform-set TEST000 esp-3des esp-md5-hmac创建转换集!crypto map SDM_CMAP_1 1 ipsec-isakmp 创建IPsec地图description Tunnel to10.1.1.2 描述内容set peer 10.1.1.2 指定对端地址set transform-set TEST000调用转换集match address 100调用ACL!interface FastEthernet0/0ip nat outside关联PATip address 10.1.1.1 255.255.255.0duplex autospeed autocrypto map SDM_CMAP_1调用IPsec地图!interface FastEthernet1/0ipnat inside 关联PATip address [...]
Tuesday, May 24, 2011
如何通过防火墙来堵住VPN安全漏洞
安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密匙来实现的,足以保证企业员工安全地访问公司网络。但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。但是,企业并没有对远距离工作的安全性予以足够的重视:大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。在家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。但问题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。黑客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条诸如DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。如果需要输入密码,可以远程记录对键盘的敲击或者查看屏幕显示,这样黑客便可以看到员工所看到的一切。因此,必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入公司网络。当然,还有一些提供给远程工作人员的实际解决方法:所有远程工作人员必须被批准使用VPN.所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能告诉你,连接被扫描了多少次。所有的远程工作人员应具有侵入检测系统,来提供对黑客攻击信息的记录。公司的IT小组应该为用户建立家用系统,这样,更容易发现系统的弱点,并能有针对性地坚固系统,而不是让用户自行购买、订购系统产品。在办公室中实施的计算机管理办法对远程办公人员应同样有效。监控安装在远端系统中的软件,并将其限制只能在工作中使用。公司的IT小组需要对这些系统进行与办公室系统同样的定期性预定检查。外出工作人员应对敏感文件进行加密。安装要求输入密码的访问控制程序,如果输入密码错误,则通过调制解调器向系统管理员发出警报。外出工作人员应记住不要将计算机单独放在旅馆的房间里或车上,不要让已通过VPN进入公司网络的计算机离开你的视线。外出工作人员应使计算机具有多级安全防护,如屏幕锁定或启动密码。当选择DSL供应商时,应选择能够提供安全防护功能的供应商。
北大青鸟:分析企业vpn的特点应用
企业VPN组网应用企业信息系统需要将分布于各地的分支机构联成网络,并需要方便地与移动在外员工保持联系,最好还可以与其它合作公司、供应商、销售商等建立紧密的高效的联系。传统的组网方式是:专线WAN、拨号网络以及直接利用Internet构筑起本公司的Internet或Extranet。以下是对传统的解决办法的分析:1) 专线WAN通过专用线路(如DDN、FR或ATM连接)永久的保持多个站点的连接,通过路由器或交换器连接专用设备,无疑代价和复杂度都非常可观。专线WAN的优点是通信质量稳定可靠。2) 拨号上网通过PSTN或ISDN按需要建立与私有网络的连接,通常采用NAS(Network AccessServers)分布在一个或多个中心节点,用户拨号到NAS,由其进行Authentication,Authentication和Accounting(AAA),效率、速度等往往很难令人满意。3) 直接利用Internet构筑起本公司的Intranet或ExtranetInternet迅速发展无所不在以及诱人的低价位,的确令众多厂商开始采用这种办法,但是直接利用Internet只能进行WEB、E-MAIL等有限的应用,并且Internet天生的开放性使安全性又成了问题,公司的机密数据一旦在Internet传输,若没有安全性保障,其后果可想而知。VPN优点总结VPN是计算机网络的新技术,它将使Internet成为一种商业工具,并为Internet和Extranet的应用带来良好的前景。VPN技术的主要目标是节省企业的通信费用,特别是替代企业已有的专线,并且提高企业网络的可管理性,降低企业的通信成本。具体而言,VPN具有以下显著的优点:1) 降低成本当使用Internet时,实际上只需要付短途电话费,却收到了长途通信的效果。因此,借助ISP来建立VPN,就可以节省大量的通信费,此外,VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。2) 容易扩展支持多种接入实现方式,并且网络是动态的,可以随时增减用户,便于集中控制访问权限。如果企业想扩大VPN的容量和覆盖范围,企业做的事情很少,而且能立时实现;企业只需与新的ISP签约,建立帐户;或者与原有的ISP重签合约,扩大服务范围。3) 可随意与合作伙伴联网在过去企业如想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建自助用线路或帧中继线路,有了VPN以后,这种协商毫无必要,真正达到了要连就连、要断就断。4) 完全控制主动权VPN使企业可以使用NSP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。VPN组网技术与专线组网技术相比,优点是节省企业的通信费用,方便企业网络互联和灵活扩充,并且提高企业网络的可管理性;缺点是稳定性似乎不如专线网络。就国际VPN应用而言,据著名战略咨询公司Telechoice对IP业务的调查显示,在被调查的501家公司中已有130家采用了VPN,175家计划在未来18个月内组建VPN。而FrostandSullivan、CIMI、IDC、Infonetics等调查公司分别预见,2003年VPN有70亿到290亿美元的巨大市场。就国内VPN应用而言,随着我国Internet技术的成熟和普及,Internet通信的稳定性不断提高,已有大量金融、电信、邮政、能源、交通、制造、流通、建筑、卫生等领域用户将其关键业务运行于Internet之上。随着我国信息化建设的不断深化,网络基础建设、尤其是Internet基础设施建设基本就绪,目前国内internet主干网的建设速度和技术先进性已远远超过其它专线网络,而且随着电信、电力、广电等部门工程技术人员的努力,internet接入“最后一公里”的问题也正在被解决,接入方式更加灵活、接入速度不断提高、接入线路更为稳定、接入费用不断降低,在这种大背景下,VPN产品将成为众多行业用户竞相采购的焦点。来源:北大青鸟光谷校区关键字:VPN it ADSL
各个平台设置登录VPN服务器的方法–XP
以下八个步骤完成后将自动使用PPTP模式登录,如果你的网络不支持PPTP模式,可以使用L2TP模式连接,可以查看最后添加的四个步骤如何使用L2TP模式进行连接的图文介绍。使用OpenVPN登录请参考:http://www.vpncup.us/config/windows-xp-openvpn第一步: 右击网上邻居,选择“属性”第二步:点击左边任务栏“创建一个新的连接”第三步:选择“连接到我的工作场所的网络”,点击“下一步”第四步:选择“虚拟专用网络连接”,点击“下一步”第五步:填写公司名,可任意填写第六步:如果有其他连接时,会提示如下,选择“不初始连接”即可 ;如果没有,则这一步会被跳过第七步:如果是免费测试用户请填写免费测试服务器地址(登录站点后查看VPN帐户选项卡中的VPN服务器域名地址),点击”下一步“第八步:可以在网络连接里面看到“VPN连接”的连接,双击打开输入用户名和VPN登录密码(由于VPNCUP.COM将站点登录密码和VPN登录密码分开管理,所以首次登录网站后在后台修改VPN登录密码)登录。注意:以下是在XP系统下使用L2TP模式连接在以上八步设置完成后,登录VPN服务器将自动是PPTP模式登录,以下介绍L2TP模式进行连接的方法第一步:打开已经设置好的VPN连接,然后点击属性按钮第二步:点击选择网络选项卡,在VPN类型中选择L2TP IPSec VPN第三步:然后点击选择安全选项卡,点击IPSec设置按钮第四步:输入共享密钥“vpncup.com”,注意全部为小写,不然则登录不了。然后点击确认,输入您的用户名和VPN帐户密码,即可登录。注意:如果您按照以上L2TP的设置方法还是连接不上VPN服务器,可以下载L2TP注册表补丁,点击这里下载,此注册表补丁只对XP系统有效。
各个平台设置登录VPN服务器的方法-Android
Android手机下设置登录VPN服务器图文介绍(PPTP模式)以下为PPTP模式设置步骤,如果您的网络不能使用PPTP模式连接,再选择L2TP模式连接。点击这里查看Android L2TP设置或者使用OpenVPN模式连接。点击这里查看AndroidOpenVPN设置第一步: 打开手机主菜单,选择“设置”,然后选择“无线和网络”第二步:选择“虚拟专用网设置”第三步:选择“添加虚拟专用网”第四步:选择“添加VPN PPTP”第五步:进入PPTP连接设置界面第六步:点击输入虚拟专用网名称“pptp”(此名称可自己随便定义)第七步:点击填写您所登录的服务器地址(用户登录站点后查看VPN帐户选项卡中的服务器地址列表),点击“确定”第八步:DNS搜索范围可不填,也可选填如“8.8.8.8”,然后返回第九步:点击刚创建的VPN连接登录,用户名和密码填写在vpncup.com网站上注册时候的用户名和VPN登录密码(由于VPNCUP将站点登录密码和VPN登录密码分开管理,登录网站可在后台VPN帐户中修改VPN登录密码),然后点击“连接”
mpls vpn 配置
很多朋友在学习MPLS/VPN,我根据CISCO 文档写了本篇中文版的MPLS VPN 配置。 本篇的目的是为了让大家抛开复杂的MPLS/VPN 的原理,快速的掌握MPLS/VPN 的基本配置,这个配置可以完成大多数实际网络的需求。 以后我还将继续推出高级MPLS/VPN 配置和CCIE SP 等其它专题。 感谢:CISCO Documentation class=fit-image style=”width: 498px; zoom: 90%”http://blog.51cto.com/viewpic.php?refimg=” + this.src)’ src=”http://network.51cto.com/files/uploadimg/20060717/0952300.jpg” big(this)?>配置 网络拓扑图 本文档使用下面的拓扑图,网络中有3 台P 路由器、2 台PE 路由器(Pescara 和Pesaro),2 个VPN 客户分别是Customer_A 和Customer_B:配置过程 启用ip cef 使用下面的过程启用ip cef.,为了提高性能,可以在支持的路由器上使用ip cef distributed命令。当在接口上配置了MPLS 后(在接口上配置 tag-switching ip).,还要在PE 上完成下面的步骤: 1. 在路由器上为每个相连的VPN创建一个VRF,使用命令 ip vrf 配置ip vrf 的时候: o 为每个VPN指定正确的RD.这是为了扩展IP 地址之用,以便你可以识别IP 地址属于哪个VPN. o 配置MP-BGP的扩展communities [...]
域内MP BGP /MPLS VPN配置实例
域内MP BGP /MPLS VPN配置实例CE—-PE:可运行静态路由、RIPV2、EIGRP、OSPF、EBGP。PE—-P: 只运行MPLS IP即可,PE1—P—PE2在同一路由选择域内(IGP)。PE1–PE2: 建立MP-IBGP VPNV4邻居关系,传递VPN路由。所有VRF均配置在PE设备上,CE设备不知道VPN信息。P: Provider Router PE: Provider Edge Router CE: Customer Edge RouterCE—PE间静态路由CE:无需知道VPN信息,配置一条指向CE—PE间互联链路PE侧接口的缺省路由即可。CE(config)#ip route 0.0.0.0 0.0.0.0 10.10.12.2PE:在PE上宣告CE站点上存在的私网(VPN)路由即可。PE(config)#ip route vrf VPNA 1.1.1.1 255.255.255.255 serial 1/0 PE(config)#ip route vrf VPNA 172.16.1.1 255.255.255.0 serial 1/0 CE—PE间RIPV2路由协议CE:在RIPV2中宣告接口地址的网段;宣告作为VPN私网地址的网段,并将这些接口设置为被动接口(passive-interface)。CE(config)#router rip version 2 network 10.10.12.1 network 1.1.1.1 network 172.16.1.1 passive-interface loopback 0 passive-interface loopback 10 这就是CE所需的全部配置! PE:启动RIPV2协议进程,在ipv4 [...]
思科IP MPLS VPN
多协议标签交换虚拟专用网 (MPLS VPN) 推出了一种对等模式,可以支持大规模 IP VPN 实施。这种模式极大地简化了 VPN 客户和服务供应商的路由和可管理性,与此同时,确保了 VPN 间的正确隔离。为实施MPLS VPN的对等模式, MPLS VPN 需要现有 IP 路由协议扩展和一个 MPLS 传输网络。 Cisco IOS 软件版本 12.0(28)S 及更高版本都支持 思科 IP MPLS VPN ,它采用了与 MPLS VPN 相同的功能,但是用 IP 传输替代了 MPLS 传输。 VPN 流量由 IP 隧道,而非 MPLS 标签交换路径 (LSP) 传输。该特性使 IP 网络上实现了在 MPLS 上无法支持的 MPLS VPN 服务。 应用、服务和架构 无论是在 IP 或 [...]
MPLS VPN中Cisco和华为配置需求不同点
配置BGP MPLS VPN的区别1,CISCO不需要预先配置MPLS LSR-ID, 而HUAWEI设备必须预先配置2,CISCO设备使能MPLS之前必须预先配置IP CEF(快速转发)3,CISCO默认标签分配方式是TDP,而HUAWEI是LDP4,CISCO在建立VPNV4邻居的时候必须配置send-community extended 用于分发RT属性Option A由于是VRF-TO-VRF所以基本上没有区别Option B的区别1, HUAWEI设备是在ASBR接口上使能MPLS功能,而CISCO是在接口上做mpls bgp forwarding(只为BGP来转发标签,新版IOS中,接口上不需要再使用这条命令,也不需要用mpls ip来启用mpls)2, HUAWEI的设备是在VPNV4视图下undo policy vpn-target ,而CISCO是在BGP视图下做no bgp default route-target filterOption C的区别1,CISCO设备不需要配置策略,只需要neighbor x.x.x.x send-label 命令就可以直接又ASBR对MP-EBGP分发标签,而HUAWEI和JUNIPER必须要配置策略.2,CISCO在建立PE-PE的MP-EBGP需要附加命令neighbor 10.20.20.200 next-hop-unchanged ,为MP-EBGP不改变下一跳,而HUAWEI设备没有这样的配置.
基于MPLS VPN城域网设计
4 VPN 技术在教育城域网中的应用近几年,各级教育部门为落实教育部有关加快教育信息化建设的精神, 许多学校先后建成了规模不一的校园网或网络教室。教育信息化建设硬件环境已初具规模,为了充分利用这些校园网或网络教室, 避免“信息孤岛”的现象,现在教育信息化建设开始转向教育城域网建设。目前,许多发达地区的教育城域网已建成并投入使用,为促进我国教育教育信息化建设和摸索教育信息化之路做出了许多贡献。从近几年教育城域网的建设热潮中,可以看到虚拟专用网(VPN)已逐步成为教育城域网中主要组网技术。4.1 教育城域网中VPN协议的选择可以实现VPN的协议和方案有许多,各企业在规划VPN时会按自己的需要和IS P所能提供的VPN服务来选择不同的方案。由于ISP普遍都提供基于L2TP和IPSec 协议的服务,而且支持L2TP和IPSec 协议的网络设备比较多。在规划教育城域网中,可考虑将第二层隧道协议L2TP和IPSec 协议结合起来, L2TP作为隧道协议,IPSec 协议作为数据加密来实现VPN。a)第二层隧道协议L2TPL2TP是国际标准隧道协议,是L2F(Layer2 Forwarding) 协议和PPTP协议的结合,它允许对IP、IPX 、或NetB EUI 数据流进行加密, 然后通过支持点对点数据传递的任意网络发送, 如IP、X. 25 、帧中继或ATM。VPN创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。隧道一旦建立, 数据就可以通过隧道发送。隧道两端使用隧道数据传输协议准备传输数据,如当隧道A端向B端发送数据时, A端首先给负载数据加上一个隧道数据传送协议包头,然后把封装的数据通过公网发送,并由公网将数据路由到隧道的B端。隧道B端收到数据包之后,去除隧道数据传输协议包头,就得到A端所发送的数据。b)IPSec协议IPSec协议(即IP Security协议)又称Internet 协议安全,它基本上是为基于IP的VPN提供安全特性的一组协议。IPsec提供了确保IP包机密性和真实性的一种手段。该协议兼容一系列标准加密方案和加密协商过程,并且兼容不同的安全系统,包括数字签名、数字证书、公钥基础设施和认证授权。IPSec协议工作原理类似于包过滤防火墙, 当接收到一个IP包时, IPSec通过查询SPD(security PolicyDatabase 安全策略数据库)决定对接收到的IP数据包的处理。IPsec 的工作方式就是将原始的IP数据包封装成新的IP包, IP包添加了验证和安全报头。报头含有远程端所需的信息,远程端会参与安全协商过程,对包内所含数据进行验证和解密。IPSec由IPSec框架, AH和ESP、IKE、ISAKMP、Oak1 ey 及其他加密算法等几部分组成。IPSec使用AH( Authentication Header)和ESP(Encapsulating Security Payload) 两个协议来提供数据流量的安全性。AH提供数据完整性、数据源认证以及可选的反重放服务;ESP可提供数据的保密性,它同时也可提供类似AH的服务(如数据完整性、数据源认证等)。AH和ESP可单独使用,也可以共同使用。c)L2TP与IPSec协议在VPN中结合应用由于L2TP协议不包括加密认证特性,所以在VPN应用中经常将L2TP与IPSec 协议结合应用。虽然L2TP支持任何路由协议如IP、IPX 、X.25以及ATM等,但IPSec 协议仅支持IP数据流。所以L2TP与IPSec协议结合应用仅限于基于IP的公网如Internet。在VPN应用中,IPSec协议用于在隧道创建前加密认证,通过认证后由L2TP建立隧道并进行数据传递。目前, Windows 2000Server 新增加了带IPSec 的L2TP协议, L2TP负责为任何类型的网络通讯提供封装和隧道管理,IPSec提供L2TP隧道数据包的安全。无论是路由器到路由器的VPN隧道还是远程拨号访问VPN , L2TP和IPSec结合都是最方便、最灵活、互通性最好且较为安全的VPN技术方案。4.2 VPN 在教育城域网中具体应用在教育城域网建设时,最主要的就是教育城域网中心规划建设。只要教育城域网中心的网络设备支持VPN的相关协议,就能通过ISP建立起与各学校校园网或网络教室的VPN连接。在此以某市教育城域网的建设为例,描述VPN在教育城域网的应用情况。4.2.1 教育城域网网络中心教育城域网中心由服务器集群、磁盘阵列存储系统、核心交换机和支持L2TP和IPSec协议的千兆防火墙、路由器组成。服务器集群承担中心为各学校用户提供的服务如应用平台、发布平台。路由器提供与ISP连接,路由器选择支持L2TP、IPSec协议和认证的中高档路由器。4.2.2学校与市教育城域网连接方式学校与市教育城域网的接连分两类形式。一是城区学校和有条件的学校和区县教育局(以下简称A类学校)通过1000M光纤与市教育城域网相连。这些学校的校园网通过支持L2TP的静态路由器,规划好其IP地址和市教育城域网中心的IP地址以便能相互访问。目前,中国电信和中国网通等ISP都提供MPLS VPN 服务,MPLS VPN 是一种基于MPLS技术的IP-VPN [...]
Subscribe to:
Posts (Atom)