点对点隧道协议(PPTP: Point to Point Tunneling Protocol)是一种支持多协议虚拟专用网络的网络技术。通过该协议,远程用户能够通过 MicrosoftWindows NT工作站、Windows 95和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地 ISP,通过 Internet 安全链接到公司网络。ubuntu 11.04 PPTP可以用于在 IP 网络上建立 PPP 会话隧道。在这种配置下,PPTP 隧道和 PPP 会话运行在两个相同的机器上,呼叫方充当PNS.PPTP 使用客户机-服务器结构来分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP作为一个呼叫控制和管理协议,它允许服务器控制来自 PSTN bt4或 ISDN 的拨入电路交换呼叫访问并初始化外部电路交换连接。 PPTP 只能通过 PAC 和 PNS 来实施,其它系统没有必要知道 PPTP.拨号网络可与 PAC 相连接而无需知道 PPTP.标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。 思科路由器 PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP没有规定特定的 算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。 配置 [...]
Sunday, July 17, 2011
思科PIX防火墙PPTP VPN相关配置
点对点隧道协议(PPTP: Point to Point Tunneling Protocol)是一种支持多协议虚拟专用网络的网络技术。通过该协议,远程用户能够通过 MicrosoftWindows NT工作站、Windows 95和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地 ISP,通过 Internet 安全链接到公司网络。ubuntu 11.04 PPTP可以用于在 IP 网络上建立 PPP 会话隧道。在这种配置下,PPTP 隧道和 PPP 会话运行在两个相同的机器上,呼叫方充当PNS.PPTP 使用客户机-服务器结构来分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP作为一个呼叫控制和管理协议,它允许服务器控制来自 PSTN bt4或 ISDN 的拨入电路交换呼叫访问并初始化外部电路交换连接。 PPTP 只能通过 PAC 和 PNS 来实施,其它系统没有必要知道 PPTP.拨号网络可与 PAC 相连接而无需知道 PPTP.标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。 思科路由器 PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP没有规定特定的 算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。 配置 [...]
【VPNSoundwin_VPN实现VoIP解决方案】
VPNSoundwin vpn实现VoIP解决方案 目 录 1 项目背景………………………………………………………………………………………..3 2 总体方案………………………………………………………………………………………..4 2.1 项目需求…………………………………………………………………………………..4 2.2 总体设计…………………………………………………………………………………..5 vpn网络部分………………………… ………………………………… ……5 VoIP语音网络部分…………………………………………………………………5 拨号规则…………………………………………………………………………….7 2.3 方案实施……………………………………………………………………………………7 2.3.1 网络拓扑图…………………………………………………………………… ……7 2.3.2 本方案实现功能………………………………………… ………………… …7 3 相关技术和设备简介……………………………………………………………………………8 4 配置………………………………………………………………………………………………11 1 项目背景 20世纪90年代以来,信息技术取得了突破性的进展,计算机的普及、因特网的扩张,不断地改变着世界的面貌。同样的,商业领域中也正在发生一场巨大的革命。新型虚拟机构正在迅速代替传统的带有四面围墙的“砖瓦式”企业,这是一场电子商务革命。从产品开发到市场推广、从采购到销售,它影响着每一个商业流程;它影响着信息在企业内外流动的方式;影响着企业利用最重要的资源–人力资源的方式。许多企业发现,它们正不同程度地处于虚拟化道路之上,每个行业、每个企业都将受到这种虚拟化演变的影响,也从而引发了一场“电子商务”的浪潮。然而电子商务概念提出的同时,也为人们提出了另外一个新的课题–如何保障信息在公共信道上传输时的机密性、完整性和可用性就成为这些企事业单位最关心的问题。 vpn(虚拟专用网络)技术正是适应了这种需要而出现的,而且已经成为计算机网络中应用最广泛,最有活力的产品市场之一;在这个市场中又以基于IP网络的IP VPN产品之间的竞争最为激烈。IP VPN利用公网基础设施为使用单位各部门提供安全的网络互联服务,尽管是“虚拟的专网”,它却能够提供与专网类似的安全性、可靠性、优先级别和可管理性。IP VPN之所以得到广泛的欢迎,其主要原因是采用了这种网络连接的方式可以比传统的专网形式拥有节省远程访问的长话费、长途通信费用、专线租用费用、网络设备运行和维护费、连接快速、简便和简化WAN连接管理的优势。 而构架在VPN网络上的语音网络更是节约了企业的日常通讯费用。利用新技术以更低的成本在现有的数字传输网络(IP/ATM)网络上提供语音等传统电信业务,其中一个重要代表就是基于包交换技术的IP电话。VOIP/FOIP(Voice Over IP/FAX Over IP)技术可以在IP网络上以共享网络带宽的方式提供语音、传真业务,因而可以提供成本比传统电话网低得多的电话业务。同时,随着包交换话音技术的成熟,在稳定传输带宽的前提下,IP电话实时性得到必要的保证,话音质量已经达到了传统电话的90%以上。在经济效益上,现有的数字网络更可以旁路长途电话,能节省大量的运营费用。 VPN(虚拟专用网,Virtual Private Network)在国外已经快速的得到发展,2001年全球VPN市场将达到120亿美元,它能够吸引许多公司、机构采用的最重要的原因就是能够节约成本。 我们这里指的虚拟专用网是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。 由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。 据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。2 总体方案 对于IP VPN网络,需要达到的功能与要求有: 1. 安全性 2. [...]
Cisco ASA Easy VPN Server with NAT配置
1、不带隧道分离的基本配置 interface Ethernet0/0 nameif outside security-level 0 ip address 208.1.1.1 255.255.255.0 !ubuntu 11.04 interface Ethernet0/1 nameif inside security-level 100 ip address 10.2.2.1 255.255.255.0 !bt4 access-list per-icmp extended permit icmp any any access-group per-icmp in interface outside ! nat (inside) 1 10.2.2.0 255.255.255.0 global (outside) 1 interface !思科路由器 route outside 0.0.0.0 0.0.0.0 208.1.1.2 1 ! access-list [...]
Cisco PIX/ASA RemoteVPN 配置
step1: ubuntu 11.04 crypto isakmp policy 1 authentication rsa-sig encryption des hash md5 group 2bt4 lifetime 86400 step2: crypto isakmp enable outside step3(option):思科路由器 如果VPN通道上有NAT设备要打开NAT-T For example, enter the following command to enable NAT-T and set the keepalive to>BT4无线网络密码破解 其实这个也未必要配置上,不配上也能建立remoteVPN,在vpn客户端上打开NAT-T就好了step4 配置隧道分离 access-list Internet extended permit ip 192.168.91.0 255.255.255.0 172.16.100.0255.255.255.0172.16.100.0 是remoteVPN客户端的地址池 access-list Split_Tunnel_List standard permit host 0.0.0.0group-policy [...]
mpls vpn组网,mpls 组网,vpn组网
mpls vpn组网,mpls 组网,vpn组网 Jack(高先生) tel:15800390100 Q:27717468 服务等级 带宽服务,提供与MPLS骨干网连接的独享带宽。 1M,2M,10M……100M(以Bit Per Second为单位)。 IP地址服务,提供固定私有IP地址。 根据用户要求可以申请4个,8个,16个,32个,64个IP甚至更多的IP地址的网段的要求。 技术优势 实现网络安全: 具有高度的安全性,VPN以多种方式增强了网络的智能和安全性,提供对分布用户的认证。支持安全和加密协议。 简化网络设计: 网络管理者可以使用VPN替代租用线路来实现分支机构的连接,结构更加简单。可以制定特殊的网络控制策略,满足不同用户的特殊要求,实现增值服务。 降低成本: VPN可以立即且显著地降低成本。借助ISP来建立VPN,可以节省大量的通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。 容易扩展: 如果企业想扩大VPN的容量和覆盖范围。企业需做的事情很少,而且能及时实现:企业只需ISP重签合约,扩大服务范围。在远程办公室增加VPN能力也很简单:几条命令就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。 完全控制主动权: 借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。企业可以自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。 支持新兴应用: 许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议等。 服务优势 升级服务: 用户可以在使用光纤接入的前期选择带宽比较低,IP地址数量比较少的服务,而随用户的需求随时进行带宽的提升与IP数量的增加。 售后服务: 提供全方位的技术支持,培训,以及其它相关的业务。 mpls vpn组网,mpls 组网,vpn组网 Jack(高先生) tel:15800390100 Q:27717468 MPLS VPN适用于各类大中型企业,尤其适用于商务活动频繁,数据通信量大,对网络依靠程度较高,有分支机构的企业与组织,如网络公司、IT公司、金融业、贸易行业、新闻机构等,提供专网服务。 金融业 银行,证券等。可以为其各网点间提供安全的宽带连接。 多分支企业 这些企业具有如下特点:在不同位置有多个分支机构。MPLS VPN为这类企业的各分支之间提供所需的连接,在其上可以运行企业的各种内部应用,并且可以融合各种不同业务和应用。 合作伙伴 有些公司与商业伙伴(供应商或者大客户)之间有经常性的联系,或者有大量的B2B业务需求。MPLS VPN为商业伙伴之间提供了安全的连接,也使B2B的商业模式有了更高的安全可靠保障。教育科研机构、政府部门或者团体组织之间也能够利用其建立连接。 mpls vpn组网,mpls 组网,vpn组网 MPLS VPN是一种基于MPLS(Multiprotocol Label Switching,多协议标记交换)技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。 Jack(高先生) tel:15800390100 [...]
linux通过pptpconfig连接vpn服务器
假如是在windowsXP下,可直接通过XP自带的拔号软件来连接vpn服务器,配置很简单,但在linux下就没默认的vpn客户端软件,使得在linux连接vpn服务器相对难一些,下面就我在linux下通过vpn客户端软件 pptpconfig正常连接到vpn服务器的方法和步骤进行记录,希望对新手有一定的帮助。 我的运行环境:centOS4.4。1,下载和安装(http://pptpclient.sourceforge.net/),请下载和您操作系统相关的软件包,假如安装时有包依赖关系,请到rpmfind.net查找并安装(我的系统就依赖libglade-0.17-13.2.1.i386.rpm,libxml-1.8.17- 9.i386.rpm这两个包),要下载的软件列表如下: php-gtk-pcntl-1.0.2-1.i386.rpm pptp-1.7.1-3.i386.rpm php4-pcntl-4.4.1-2.i386.rpm php4-pcntl-gtk-1.0.2-2.i386.rpm pptpconfig-20060821-1.fc5.noarch.rpm安装: rpm -ivh 上面的任何包及依赖包2,配置和使用 假如正常安装后,请su到root用户,然后运行pptpconfig.php。 注意:运行之前请确保/usb/sbin和/sbin在系统路径下,否则会出现没发现ip和pptp命令的错误。 解决办法: [root@eadd-lyb lyb]# export PATH=$PATH:/usr/sbin/:/sbin/ 运行: [root@eadd-lyb lyb]# pptpconfig.php 出现如下操作界面: 对于软件的使用,我想就不用我周详说了吧,一看大家就知道了! 只是要注意的是要把miscellaneous标签下的选项给都选择上,否则会出现输出错误。 其中server标签中的Server为vpn服务器的地址或域名,Username,Password为登录vpn服务器的用户名和密码。 配置好后start…,假如配置正确,就可和vpn服务器进行连接,如下图: 这样您就能够通过连接获得的vpn服务器的IP和vpn服务器进行通信了。 例如:假若您获得的vpn服务器的地址为192.168.1.16,您就可通过http://192.168.1.16来访问vpn服务器的web服务。 评论这张 转发至微博
[12-25] 3款永久免费VPN
vpn提供商: 地点:瑞典 用户名:自己注册 密码:自己注册 vpn服务器IP:pptp.relakks.com 注册地址:[url]https://www.relakks.com/register.php?lang=en[/url] 备注:推荐高速免费的无限制vpn代理。Relakks只提供30天的免费VPN服务,但可以通过修改MAC地址无限试用。4 VPN提供商:Prairie Dog VPN 地点:香港 带宽:受限于使用人数(免费用户需要为付费用户让道) 用户名:服务器随机分配 密码:服务器随机分配 VPN服务器地址:服务器分配 注册地址:[url]http://www.pdog-vpn.com/freeaccount.php[/url] 备注:来自香港的VPN服务提供商,速度不错。点击上面地址开始注册过程,填入邮箱,接收邮件获取用户名和密码。 VPN提供商: 地点:法国受限于使用人数(免费用户需要为付费用户让道) 带宽:128KB/s 用户名:自己注册 密码:自己注册 服务器地址:pptp1.linkideo.com 注册地址:[url]http://www.linkideo.com/sign-up[/url] 备注:Linkideo的免费VPN账号只能用来进行Web浏览,但这对于大多数用户而言已经足够了。 评论这张 转发至微博
配置带有NAT的PIX实现IPSec VPN连接
在此示例配置,远程PIX 通过动态主机配置协议(DHCP)收到IP地址并且连接到中央PIX。此配置允许中央PIX接受动态IPSec连接。 远程PIX使用网络地址转换(NAT) “加入”专用地址设备在它之后对专用地址网络在中央PIX 之后。远程PIX可以首次与中央PIX (的连接知道终端),但中央PIX不可以首次与远程PIX (的连接不知道终端)。 在此示例配置,Tiger是远程PIX和 Lion 是中央PIX。我们不了解什么Tiger的IP地址将是,因此我们必须配置Lion动态地接受连接从任何地方知道计算机通配符 ,预共享密钥。 Tiger知道什么数据流将被加密(因为由访问控制列表指定)并且Lion终点哪里被找出。 Tiger必须首次连 接。两边执行NAT和NAT 0 绕过NAT为IPSec信息数据流。 另外,异地用户在此配置连接到中央 PIX (Lion)使用异地用户不能连接到远程PIX的 Cisco VPN Client 3.x. (Tiger)因为两边将有并且不知道在哪里发 送请求的动态地指定的IP地址。 ubuntu 输入法 在您开始之前 惯例 欲 知关于文件惯例的更多信息,请参阅 Cisco技 术提示惯例。 前提 此文档没有特殊的先决 条件。 使用的组件 此配置使用以 下的软件及硬件版本实施了并且测试了。 Cisco PIX防火墙软件版本6.0(1) (或极大为 Cisco VPN Client 3.x) Cisco PIX防 火墙软件版本5.3.1 (远程PIX) Cisco VPN客户端版本3.x 配置 在此部分,您介绍用信 息配置在本文描述的功能。 [...]
利用PIX与路由器做点对点VPN
通过这次配置PIX与路由器做点对点vpn的测试,学到了一些东西,但也受到了很多教训,总体来说,收获比较大。总结下几点: ubuntu 输入法 存在的问题: 一),思想上重视程度不够,想当然的以为vpn配置不是很复杂,以为看过几遍文档就能把VPN配置出来,对VPN的概念以及原理没有深究,对公司以前配置过的VPN没有细细的分析,配置的步骤不清不楚,只会照葫芦画瓢,没有从根本上掌握VPN技术。 二),对技术的研究热情不够,第一次接触做点对点VPN,但是没有认真的研究学习VPN的的原理,导致在测试的过程中不能正确分析问题存在的原因,排错的能力几乎为零。 三),准备工作不充分,虽然在网上查找到一些有用的资料,但是仅局限于资料本身的可用性,没有深层次从中考虑到配置VPN的一些原理,用法以及配置的具体 步骤和方法。没有利用网上的资料给出测试的方案,画出测试的网络拓扑结构,在测试的过程中十分被动,仅靠网上的几篇文档资料,配置的时候无从下手。 四),在测试过程中没有很好的利用现有资源,在遇到困难和问题时候没有很好的给出解决办法,比较过分依赖于同事或者朋友,依靠互联网寻找解决问题、独立思考的能力比较欠缺。 一些经验: 在配置点对点的VPN的过程中,大概理解了VPN配置的原理,包括加密方式,算法以及验证的模式等。 一),初步理解了点对点VPN的一些原理,所谓点对点VPN,是两边同时配置成VPN网关,这样就可以使两个VPN网关设备后面的私网地址互相通信,并不需要转换成公网IP地址再进行访问,一是节省了IP地址,另一方面由于VPN的加密特性也确保了数据的安全性。 二),点对点,意味着两边的配置应该完全一样(当然,除非一些自定义的词语以外),这次我做测试的设备一台是思科PIX 515E防火墙,另一个设备是思科2611XM路由器,并且在PIX的设备上已经配置了一个点对点VPN了。这就意味着有个参考的对象。 三),在前期的准备工作中,应该使用一些常见的测试方法,比如 ping 命令:在做VPN的同时开启ping外网地址,这样可防止错误操作而导致正常使用的网络中断。还有如tracert命令等。 BT无线网络破解教程 四),在配置过程中,如何清晰的把握配置的原理及步骤是光键,网络的配置往往在一些小的细节方面非常重要,稍不注意全盘不通。在VPN的配置概念中,双方 的加密方式,算法以及验证的方式都必须一样,lifetime也必须一样。这里就需要注意一些设备的默认值,比如说思科路由器默认的加密方式是DES,而 大多数的设备配置的加密方式都是3DES,如果没注意则配置肯定不成功。 虽然事情业已告一段落,但这件事让我受益颇多。 一些测试的步骤: PIX配置: 通常我们先配置访问控制列表,这里的ACL是应用在点对点VPN里面的,做两个设备后面发现的网段之间的访问控制。做为测试,开启的权限是比较大的,在生产环境中应该根据需求开启相应的端口。 写一条访问控制列表: access-list 203 permit ip 10.0.X.0 255.255.255.0 192.168.X.0 255.255.255.0 access-list 203 permit ip 192.168.X.0 255.255.255.0 10.0.X.0 255.255.255.0 在访问控制列表之后就是配置加密图(在配置模式下进入): crypto ipsec transform-set testvpn esp-3des esp-md5-hmac 配置IPSec变换集。先要定义双方交换的加密方式及算法,这里的testvpn只是一个定义的名称而已,可以自已定义,后面会调用它,而3des是被定义的加密方式,md5-hmac是被定义的hash算法。 再定义动态加密图 crypto dynamic-map dynmap 10 [...]
ASA5540下配置IPsec L2TP-VPN
ip local pool ccie 11.0.0.1-11.0.0.100crypto ipsec transform-set ccie esp-des esp-md5-hmac crypto ipsec transform-set ccie mode transportcrypto dynamic-map dy 1 set transform-set cciecrypto dynamic-map dy 1 set reverse-routecrypto map ccie 1 ipsec-isakmp dynamic dycrypto map ccie interface outsidecrypto isakmp enable outsideusername cisco passwo ciscocrypto isakmp policy 1authentication pre-shareencryption deshash md5group 1lifetime 86400l2tp tunnel hello 30group-policy ccie [...]
Wednesday, July 13, 2011
ASA 的VPN分类
L2L Ipsec Remote Ipsec (可以称呼为EZVPN)又包含两种(软件:cisco ipsec客户端,硬件:基于ASA 5505,VPN3002,PIX防火墙,路由器的部分型号) L2TP over Ipsec (微软的客户端) SSL vpn 又包含两种(无客户端:包含clientless和thin client有客户端:早期svc 现在的anyconnect)本文出自 “Cisco_Security” 博客,请务必保留此出处http://zhangqc.blog.51cto.com/2658152/605269
IPSec VPN和SSL VPN两种VPN的安全风险比较
虚拟专用网络(vpn)已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。在本文中,我们将试图解释两种特定的vpn类型,即IPSec vpn和SSL VPN,以及这两种类型应该如何选择。然而,在深入研究这两个不同类型之前,需要首先对VPN技术进行一个简要的概述。VPN是指有利于远程访问公司资源的一系列技术。这种技术的主要用户,是试图在家或者其他公共场所访问公司资源的公司雇员,以及在公司的基础架构内支持各种系统的合作伙伴或第三方。VPN一般通过在远程站点和公司网络之间建立一个加密通道的方式,利用公共长途IP网络来进行数据传输,这些远程站点包括雇员的笔记本电脑或者第三方系统。关键技术当前,最为普及的两种VPN技术分别是基于传统网络安全协议(IPsec)的VPN技术和安全套接字层(SSL)VPN技术,前者主要作用于网络层,而后者主要作用于应用层。它们的不同之处在于:使用的底层技术不同,所服务的功能不同,以及潜在的VPN安全风险不同。IPsec最初的设计是提供点到点的,在远程站点和中央办公室资源之间进行不间断的连接。在这种情况下,客户端可以是分公司或者供应商。这个协议被设计为工作在网络堆栈的更底层(第3层,网络层),并可以用来传输任何基于IP的协议报文,而不用理会应用程序所产生的流量。随着移动办公时代的到来,IPsec已经得到扩展,用户通过使用一个安装在移动设备上的专用VPN应用程序(客户端)就可以进行远程访问。另一方面,SSL VPN在设计时就考虑到了移动办公。它的预期目标是提供一个无缝连接的、无客户端的远程访问方式。这样,SSL VPN可以被看做一个应用程序代理,远程用户使用浏览器就可以以某种粒度访问公司的特定资源,而不再需要安装客户端。优势与劣势IPsec的关键优势在于它在站点之间提供一个永久连接的能力。工作在网络层(网络堆栈的第3层)也使其与应用程序无关:任何基于IP的协议都能够通过它进行传输。这使得IPsec相对于那些昂贵的租用线路或者专用线路,是一个相当有吸引力的替代品。它也可以作为一个备份链路,即在连接远程站点和中央办公室的主租用线路或专用线路崩溃时起作用。然而,IPsec中与应用程序无关的设计也是它的弱点。虽然它提供了认证、授权和加密,同时还基本上把公司网络拓展到任何远程用户,但是它没有能在一定粒度级别上限制对资源的访问。一旦隧道建立,远程用户通常可以访问公司的任何资源,就像他们是直接连接到公司网络一样。因为移动办公需要允许诸如智能手机和家用电脑等非托管的IT设备访问公司资源,所以这些安全问题显得更加严重。IT部门对这些设备没有任何可视性和控制权,而且不能保证这些设备符合通常在托管设备上实施的安全水平。另外,IPsec也需要更多的维护。除了需要建立终止通道的设备,还需要额外的配置和维护来支持远程用户群。在公司使用网络地址解析(NAT)的情况下,还需要特殊的配置确保IPsec与NAT设置充分协调。相比之下,SSL VPNs从设计的一开始就支持远程访问。它们不需要安装任何特别的软件。远程访问是通过一个基于浏览器的使用安全套接层(SSL)的会话实现的。SSL VPNs还为企业提供粒度级访问控制的能力。特定的身份验证和访问应用程序的授权方案可以被限定在一个特定的用户群。内置的日志记录和审核能力能处理各种合规要求。SSL VPNs还具备在连接到企业的远程设备上运行主机合规性检查的能力,以验证它们配置了合适的安全软件,并安装了最新的补丁。但这并非意味着SSL VPNs就是所有IPsec缺点的灵丹妙药。当一个远程站点需要与主办公室建立不间断连接时,SSL VPN不是合适的解决方案。与应用程序无关的IPsec能以最小的代价支持大量传统的协议和传统客户/服务应用程序。这与围绕基于Web应用构建的SSL VPNs是不同的。许多SSL VPNs通过在远程设备上安装一个Java或者基于ActiveX的代理控件来解决这个缺点。通常情况下,在远程设备成功通过SSL VPN设备的验证后,相关的安装会准确无误的实现,但是值得注意的是,ActiveX和Java都有其自身的安全缺陷,这也是攻击者通常试图利用的一点。IPsec VPN还是SSL VPN?在企业中,每种VPN方案都有其用处。理想情况下,因为SSL和IPsec VPNs服务于不同的目的且具有优势互补的特点,所以它们都应该被采用。IPsec应该在需要与远程办公地点或者合作伙伴/供应商建立不间断连接时使用。这种情况下,粒度访问控制限制和缺失的主机检查能力应该通过一个网络访问控制系统来增加,这就可以确保只有通过验证的远程主机才能连接到企业。在粒度访问控制能力,审核和日志记录,以及安全策略控制等因素至关重要的移动办公情况下,企业应该主要使用SSL VPNs作为远程访问方案。但是请记住,不管你的VPN选择或特定需要如何,一个VPN必须更新,测试并进行性能检测,而且它是作为利用综合性策略和各种网络安全技术的深度防护战略的一部分。转载请注明:本文转自:http://www.liusuping.com/
MPLS VPN的原理及构建
1 概述 传统的vpn通常建立在ATM/DDN/FR网上,随着IP网的大规模部署及ATM技术应用的衰落,在IP网上提供vpn业务被认为是一种非常经济的方式,随着MPLS技术的出现,基于MPLS的vpn技术发展迅速并已获得商用。根据RFC 2764中对IP VPN技术的分类,IP VPN可划分为:VLL(Virtual Leased Lines)、VPDN(Virtual Private Dial Networks)、VPRN(Virtual Private Routed Networks)和VPLS(Virtual Private LAN Segment)四种。MPLS VPN属于VPRN。 2 MPLS路由器的结构 MPLS路由器结构与传统的仅支持逐跳路由的路由器结构有所不同,MPLS中的标签交换路由器(LSR)结构如图1所示,图中实线为传统路由器部分,虚线为LSR增加的部分,LSR分为路由模块和转发模块,路由模块中的路由协议可以是OSPF或IS-IS,也可以是它们基于流量工程的扩展,MPLS信令可以是RSVP或CR-LDP,标签分组根据转发模块中的标签转发表来交换标签,IP转发表用于传统逐跳路由的第三层查找。MPLS通常采用拓扑驱动方式,路由器根据路由表项来建立LSP 。 3 MPLS VPN的数据转发过程 MPLS VPN中的路由器有三种:P路由器、PE路由器和CE路由器。P路由器为运营商主干路由器,负责VPN分组外层标签的交换;PE路由器为运营商边界路由器,存放着VRF表和全局路由表,VRF中存放着VPN路由,全局路由表中存放着运营商的域内路由;CE路由器为客户端路由器,由客户负责维护。当CE路由器将一个VPN分组转发给入口PE路由器后,PE路由器查找该VPN对应的VRF,从VRF中得到一个VPN标签和下一跳出口PE路由器的地址,VPN标签作为内层标签打在VPN分组上,根据下一跳出口PE路由器的地址可以在全局路由表中查出到达该PE路由器应打上的域内路由的标签,即外层标签,于是VPN分组被打上了两层标签,主干网的P路由器根据外层标签转发VPN分组,在最后一个P路由器处,外层标签弹出,VPN分组只剩下内层标签(此过程被称作次末级弹出机制),接着VPN分组被发往出口PE路由器。出口PE路由器根据内层标签查找到相应的出口后,将VPN分组上的内层标签删除,将不含标签的VPN分组转发给正确的CE路由器,CE路由器根据自己的路由表将分组转发到正确的目的地。4 MP-iBGP 协议 在基于MP-iBGP协议的MPLS VPN体系中,存在两个层面的路由,即域内路由和VPN路由。 所有的PE路由器及P路由器上要运行主干网的域内路由(OSPF或IS-IS等),生成的路由表将触发主干网中LSP的建立(拓扑驱动方式),通过CR-LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换。PE路由器之间运行MP-iBGP协议,该协议跨越主干的P路由器在PE之间分发VPN标签,形成VPN路由,MP-iBGP发布的一条VPN路由包含的信息有:IPv4地址、路由区分符(RD)、路由目标(RT)、VPN标签和下一跳PE地址,其中RD用来消除IPv4地址的歧义,以重用IPv4地址;RT用来控制VRF的导入和导出策略,从而控制网络的连通和拓扑;下一跳PE地址是连接域内路由和VPN路由的纽带,在PE路由器上根据在VRF中得到的下一跳PE地址可以在全局路由表中查找到到达该地址应打上的外层标签。 由于运行MP-iBGP协议的PE路由器之间必须构成全网状网的会话(因为运行iBGP的路由器不能转发收到的iBGP路由,这种机制用于避免路由环路),因此在大规模的网络应用中存在可扩展性的问题,解决的方法是采用路由反射器或路由域联合,路由反射器允许路由器转发收到的iBGP路由,以避免全网状的会话;采用路由域联合可以将路由域划分成多个区域,这样,只有区域内的路由器需要构成全网状的连接,减少了域内iBGP路由器的邻接数,当然采用路由域联合需考虑对跨域连接的规划。 5 VPN路由转发实例(VRF)、路由区分符(RD)和路由目标(RT)的概念 5.1 VPN路由转发实例(VRF) VPN IP路由表及相关的VPN IP转发表被统称为VPN路由和转发实例。在极端的情况下,可以为连接到PE路由器上的每个站点都分配一个VRF来存放VPN路由,但连接在同一PE路由器上的站点如果满足以下三个条件则可以共享一个VRF:(1)各站点属于同一个VPN;(2)路由信息相同; (3)站点之间允许相互直接通信。通常PE路由器上每个用户的端口与一个特定的VRF相关联,从该端口输入的VPN分组将根据各自对应的VRF查找其VPN标签和下一跳的出口PE路由器地址。VRF隔离了不同的VPN。5.2 路由区分符(RD) 由于VPN数量巨大且不少原先的VPN用户不愿修改自身的IPv4地址,因此有必要允许不同的VPN客户使用相同的IPv4地址,对于不同VPN中相同的地址,采用RD可以实现IPv4地址的重用。PE路由器通过MP-iBGP协议通告站点的路由时,将同时携带各路由的RD,即将IPv4地址转化为VPN-IPv4地址,PE路由器在收到MP-iBGP通告的路由后,将查看该路由的RD,然后将VPN-IPv4地址转化成IPv4地址,即将地址中的RD去掉,将其导入到相应的VRF中。由于不同VPN被VRF隔离了,因此不同VPN中相同的IPv4地址,将被导入到不同的VRF中。在同一个VPN中,地址必须是唯一的;当多个VPN之间需要相互通信时(例如有公共的站点),则要求地址必须在多个VPN中是唯一的,此时多个VPN只能使用同一个RD。 5.3 路由目标(RT) RT来控制VRF的导入和导出策略,以构成各种复杂的VPN拓扑。一个VPN有可能不止使用一个RT,RT的具体使用与VPN的拓扑结构密切相关, 对于全网状相接的VPN可以用一个RT,对于非全网状相连的VPN,一个VPN往往需要多个RT。当从PE导出VPN路由时,要用RT对VPN路由进行标记,在往VRF中导入路由时,可以使用多个RT,只要有一个VPN路由中附带的RT与导入路由中的任意RT相同,都将被导入到该VRF中。 [...]
socks5 VPN与IPSec VPN、ssl vpn特点比较
socks5 vpn与IPSec vpn、ssl vpn特点比较VPN标准分为三类:IPSec VPN、SSL VPN 、Socks5 VPN IPSec VPN国家标准制定单位:深圳奥联科技、华为、深信服、中兴、无锡江南信息安全工程技术中心。 SSL VPN国家标准制定单位:深圳市奥联科技有限公司、华为技术有限公司、深圳市深信服电子科技有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份有限公司等十余家单位。 socks5 VPN与IPSec VPN、ssl vpn特点比较 首先让我们从SSL VPN和IPSec VPN个阵营出发做一个比较。1 SSL VPN相对于IPSec VPN的优势1.1 SSL VPN比IPSec VPN部署、管理成本低 首先我们先认识一下IPSEC存在的不足之处: 在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。 IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。 其次我们再看看SSL的优势特点: 从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。 一般而言,SSL VPN必须满足最基本的两个要求: 1. 使用SSL 协议进行认证和加密;没有采用SSL 协议的VPN产品自然不能称为SSL VPN,其安全性也需要进一步考证。 2. 直接使用浏览器完成操作,无需安装独立的客户端;即使使用了SSL 协议,但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN,否则就失去了SSL VPN易于部署,免维护的优点了。 SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的三大好处是: 第一来自于它的简单性,它不需要配置,可以立即安装、立即生效; 第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行; 第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。 综合分析可见: 1. SSL VPN强调的优势其实主要集中在VPN客户端的部署和管理上,我们知道SSL VPN一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立; 2. 某些SSL VPN厂商如F5有类似IPSec VPN的网络访问方式,可以解决传统的C/S应用程序的问题,用户用浏览器登录SSL [...]
ASA SSL VPN 无客户端连接
ASA SSL vpn 无客户端连接 ASA分为无客户端(又包含clientless 和 thin client mode) 有客户端(使用SVC和anyconnect) ASA无客户端并不能为用户提供完全的网络访问服务,如想体验与远程访问IPSEC vpn@可以使用anyconnect (注解@:其中一种是在的远程pc上安装cisco ipsce vpn client或者,另一种是通过ASA5505、pix、vpn3002 部分类型的路由器硬件客户端和ASA 建立远程的IPSEC vpn,不同于L2L ipsec vpn配置) anyconnect的授权:从ASA8.2开始分为四种授权 anyconnect premium anyconnect essentials anyconnect mobile share premium licensing 2. ASA 无客户端连接:最小配置 webvpn enable Outside username cisco password cisco ———————————————————————————————————————————— 3.CISCO对clientless 除了默认提供http,https,CIFS和FTP外还可以通过一些插件来实现telnet/SSH、VNC、RDP,这些插件可以在cisco官网下载。 ASA1(config)# dir Directory of disk0:/ 72 -rwx 7598456 21:49:44 May 01 [...]
Cisco ASA SSLVPN configturation
v:* {behavior:url(#default#VML);}o:* {behavior:url(#default#VML);}w:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}Normal07.8 磅02falsefalsefalseEN-USZH-CNX-NONEMicrosoftInternetExplorer4/* Style Definitions */table.MsoNormalTable{mso-style-name:普通表格;mso-tstyle-rowband-size:0;mso-tstyle-colband-size:0;mso-style-noshow:yes;mso-style-priority:99;mso-style-qformat:yes;mso-style-parent:”";mso-padding-alt:0cm 5.4pt 0cm 5.4pt;mso-para-margin:0cm;mso-para-margin-bottom:.0001pt;mso-pagination:widow-orphan;font-size:10.5pt;mso-bidi-font-size:11.0pt;font-family:”Calibri”,”sans-serif”;mso-ascii-font-family:Calibri;mso-ascii-theme-font:minor-latin;mso-fareast-font-family:宋体;mso-fareast-theme-font:minor-fareast;mso-hansi-font-family:Calibri;mso-hansi-theme-font:minor-latin;mso-bidi-font-family:”Times New Roman”;mso-bidi-theme-font:minor-bidi;mso-font-kerning:1.0pt;}Cisco ASA Web vpn 配置时间:2010-11-10 17:03来源:未知 作者:admin 点击: 131次Cisco ASA Web vpn 配置 目前市场上VPN产品很多,而且技术各异,就比如传统的 IPSec VPN 来讲, SSL 能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳 SSL VPN 作为远程安全接入技术,主要看重的是其接入控制功能。 SSL VPN 提供增强的远程安全接入功能。 IPSec VPN 通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户 PC 就如同物理地处于企业 LAN 中。这带来很多安全风险,尤其是在接入用户权限过大的情况下。 SSL VPN 提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。 SSL VPN 能对加密隧道进行细分,从而使得终端用户能够同时接入 Internet 和访问内部企业网资源,也就是说它具备可控功能。另外, SSL VPN [...]
MPLS VPN 路由器与交换机
当前,随着Internet的普及和发展,基于MPLS虚拟专用网技术越来越引起了人们的广泛关注,MPLS vpn是一种基于MPLS (Multiprotocol Label Switching,多协议标记交换)技术的IP vpn,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。它必将成为未来网络安全研究和Internet应用的一个重要 方向。 MPLS VPN能够利用公用骨干网络广泛而强大的传输能力,降低企业内部网络建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全 性、实时性、宽频带、方便性的需要,因此多用于大型网络建设。 BT无线网络破解教程 从目前路由器与交换机厂家产品在企业、电子政务网络使用情况来看,华为和思科是主要的MPLS VPN技术产品厂商,从华为厂家网络产品来看,有相应的路由器和交换机产品满足性能要求,如华为路由器NE80/40/16/08/05可以作为 P/PE, S8016三层交换机可以作为PE;从Cisco厂家网络产品来看,有相应的路由器产品满足性能要求, cisco路由器GSR 12016/7609/7304/7513/7400/7200可以作为P/PE,cisco 6509三层交换机可以作为PE,Cisco 在政务网上的应用案例主要有黑龙江省政务网(利用MPLS/VPN)等。华为在政务网上的应用案例主要有江西政务信息网(利用MPLS/VPN)和武汉政 务信息网(利用MPLS/VPN)等;路由器的性能主要是看包转发能力的大小以及支持的端口(类型、密度)、路由协议,NAT、QOS、支持组播与 MPLS VPN。交换机的性能主要是看背板容量(吞吐量)的大小以及支持的端口(类型、密度)、冗余模块,VLAN数量、是否支持三层交换、支持组播与MPLS VPN。下面让我们来看一看满足MPLS VPN的路由器(华为)和交换机产品(华为和Cisco)情况。 一、支持MPLS VPN 华为高中档路由器产品(以华为产品为例) 1、Quidway NetEngine 80 核心路由器 Quidway NetEngine 80 核心路由器是华为公司自主开发的高端网络产品,主要应用在IP骨干网、IP城域网骨干层以及各种大型IP网络的核心位置。NE80采用先进的分布式 硬件体系结构,其电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力,满足不断增长的数据和互联网业务对网络骨干设备的需求。 NE 80 该类产品特点: 1) 大容量、高密度 NE80核心路由器是一款大容量的千兆位交换式核心路由器,背板容量为256Gbps,系统交换容量高达128Gbps,共有16个线路槽位,可提供 16个POS 2.5G / 64个POS 622M / 128个POS 155M / 128个ATM 155M / 64个GE / 256个FE / 16个RPR 2.5G,具备较大的容量的较高的密度,适合骨干设备的组网和扩容的要求。 2) 线速转发性能、强大路由能力 NE80采用业界主流的网络处理器技术,实现包括2.5G在内的所有接口的IP、MPLS、组播的线速转发,转发性能达到96Mpps。路由能力强 大,支持高达170万条的大路由表,支持丰富的路由协议包括RIP、OSPF、IS-IS、BGP4和多播路由协议,在复杂路由环境下稳定自如。 [...]
天融信TopVPN 6000(TV-6728)_25917
欢迎来到淘宝网天融信TopVPN 6000(TV-6728) 广东【天融信vpn及SSL vpn最新报价】 – 比价网_IT数码产品 经销商… ¥120000.00¥176000.00¥220000.00¥190000.00¥290000.00… gb t6728-2002,gb t6728,ms-6728,ti dsp 6728,微星 ms 6728,微星 … 请登录后台维护头尾文件内容 你是不是在找:天融信 tv 4514 天融信 tv 6530 天融信 天融信防火墙 天融信官网 天融信公司 北京天融信公司 天融信ngfw4000 天融信vpn 天融信topvpn 6728 天融信(TOPSEC) TopVPN 6000(TV-6728) 品牌:天融信(TOPSEC) 设备类型:VPN… 性能概述:TOPSEC IPSEC VPN解决方案包括VPN网关、客户端VRC、安全管理中心。VPN… eWorld VPN多功能网关FW2000设备类型:VPN网关 详细参数 综述介绍¥176000… 天融信 TopVPN 6000(TV-6728)设备类型:VPN网关 详细参数 综述介绍 ¥… 中关村在线(ZOL.COM.CN)提供天融信TopVPN 6000(TV-6728) VPN及SSL VPN最新报价,同时包括天融信TopVPN 6000(TV-6728)图片、天融信TopVPN [...]
天融信TopVPN 6000(TV-6624-VONE)_25770
欢迎来到淘宝网天融信TopVPN 6000(TV-6624-VONE) ¥123600.00¥154294.00¥106914.00¥181280.00¥144200.00… (无标题) Wap浏览器 – Timewe 泊头vpn及SSL vpn最新报价-IT搜购网 北京力诺鼎天科技 【VPN及SSL VPN_天融信_方正_SINFOR】 -ZOL经销… 【无锡天融信VPN及SSL VPN报价】无锡天融信VPN及SSL VPN最新报价|… 【烟台天融信VPN及SSL VPN报价】烟台天融信VPN及SSL VPN最新报价|… 【泉州天融信VPN及SSL VPN报价】泉州天融信VPN及SSL VPN最新报价|… 【潍坊天融信VPN及SSL VPN报价】潍坊天融信VPN及SSL VPN最新报价|… 【重庆天融信VPN及SSL VPN报价】重庆天融信VPN及SSL VPN最新报价|… 你是不是在找:天融信 tv 4514 天融信 tv 6530 schiavone recvoneormore ve de vone openvone 网球选手schiavone itvone 天融信 天融信防火墙 eWorld VPN多功能网关FW2000设备类型:VPN网关 详细参数 综述介绍¥181280… 天融信 TopVPN 6000(TV-6624-VONE)设备类型:VPN网关 详细参数 综述介绍… 【天融信VPN及SSL VPN报价】(TOPSEC)天融信VPN及SSL [...]
【智雨网络加速器】韩服tera代理|美服丝路代理|美服永恒之塔代理
【智雨网络加速器】韩服tera代理|美服丝路代理|美服永恒之塔代理 【vpn】韩国vpn、美国vpn、欧洲VPN、香港VPN、台湾VPN、日本VPN等国家【独享vpn】美国独享vpn、欧洲独享vpn、香港独享vpn、台湾独享vpn等等【专线】韩AION、美丝路、韩天堂等游戏专线!包单独IP,新到日本合租专线【EB】韩国EB、美国EB、台湾EB、新加坡EB、日本EB、香港EB、欧洲EB、QQsocks5代理【服务器】专业提供韩国、日本、香港、台湾、新加坡、美国、欧洲等服务器 日本代理适合游戏:DNF 红宝石 aika DDO等热门游戏美国代理适合游戏:DNF AION DOFUS 功夫世界 天堂2 LOL 等热门游戏韩国代理适合游戏:DNF 传奇X 天空1.2 aika 跑跑卡丁车 karos AION等台湾代理适合游戏:赤壁 枫之谷 中华英雄 戏谷 AIKA WOW DNF等游戏土耳其代理适合游戏:欧服倚天2 DOF(dnf) 魔戒OL 等 智雨VPN美国各大机房国内直销金牌代理商(美国抗20G硬防服务器,美国连接中国最快的机房。香港PCCW服务器特价。)欢迎广大游戏客户订购美服专线,欧服专线,美国服务器,欧洲服务器 美国西雅图机房美国圣何塞机房美国洛杉矶机房美国达拉斯机房美国加州机房美国德州达拉斯机房美国俄亥俄机房美国芝加哥机房(防DDOS)美国贵宾机房覆盖美国本土各大机房,直接和机房合作,不通过任何中间商,一般情況下付款48小时服务器便可上架交付使用,拥有便捷、信任的沟通和合作基础、保证客户服务的快速性。如果您的客户是美国、欧洲客户,建议您选择美国服务器新推出特价美服丝路服务器,WOW冷门防封服务器,MFAION专用独立VPN。推荐:IP遍布欧美各地经过优化网络减少掉线可能性.专用美服永恒之塔游戏代理服务器出租美服永恒之恒专线/专用独立VPN美国的防封独立VPNEB专线特殊机房服务器出租/合租独立独享让封号降到最小欧美高速专用VPN优惠价格销售信誉保证,服务器机房直销欢迎致电(24小时开通) 节假日不休! 评论这张 转发至微博
Subscribe to:
Posts (Atom)