"VPN"是什么意思请简明解释一下!

分类: 电脑/网络 >> 互联网

解析:

什么是***

***（Virtual Private Neork）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。***同样也由这三部分组成，不同的是***连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Inter或Intra。

要实现***连接，企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的***服务器，***服务器一方面连接企业内部专用网络，另一方面要连接到Inter，也就是说***服务器必须拥有一个公用的IP地址。当客户机通过***连接与专用网络中的计算机进行通信时，先由ISP（Inter服务提供商）将所有的数据传送到***服务器，然后再由***服务器负责将所有的数据传送到目标计算机。***使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向***服务器发出请求，***服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到***服务器，***服务器根据用户数据库检查该响应，如果账户有效，***服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，***服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

***的基本配置:

工作原理：

一边服务器的网络子网为19216810/24

路由器为10010151

另一边的服务器为192168100/24

路由器为20020251。

执行下列步骤：

1 确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为noIP4u）

2 为SA协商过程配置IKE。

3 配置IPSec。

配置IKE:

Shelby(config)#crypto isakmp policy 1

注释：policy 1表示策略1，假如想多配几个***，可以写成policy 2、policy3┅

Shelby(config-isakmp)#group 1

注释：除非购买高端路由器，或是***通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。

Shelby(config-isakmp)#authentication pre-share

注释：告诉路由器要使用预先共享的密码。

Shelby(config-isakmp)#lifetime 3600

注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则***在正常初始化之后，将会在较短的一个SA周期到达中断。

Shelby(config)#crypto isakmp key noIP4u address 20020251

注释：返回到全局设置模式确定要使用的预先共享密钥和指归***另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成10010151。

配置IPSec

Shelby(config)#access-list 130 permit ip 19216810 000255 17216100 000255

注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识***规则。

Shelby(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac

注释：这里在两端路由器唯一不同的参数是***1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。

Shelby(config)#crypto map shortsec 60 ipsec-isakmp

注释：以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在***两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。

Shelby(config-crypto-map)#set peer 20020251

注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是10010151。

Shelby(config-crypto-map)#set transform-set ***1

Shelby(config-crypto-map)#match address 130

注释：这两个命令分别标识用于这个连接的传输设置和访问列表。

Shelby(config)#interface s0

Shelby(config-if)#crypto map shortsec

注释：将刚才定义的密码图应用到路由器的外部接口。

现在剩下的部分是测试这个***的连接，并且确保通信是按照预期规划进行的。

最后一步是不要忘记保存运行配置，否则所作的功劳白费了。

附：参照网络安全范围，***硬件设备应放置以下四个地点：

● 在DMZ的防火墙之外

● 连接到防火墙的第三个网卡（服务网络）

● 在防火墙保护的范围之内

● 与防火墙集成

***的工作原理

用户连接***的形式：

常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在***中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。

这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么，如何形成***隧道呢？

建立隧道有两种主要的方式：客户启动（Client－Initiated）或客户透明（Client－Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。

另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。

专线接入与普通宽带的区别有以下几点：

1、原理不一样

普通宽带上网是将原来电话线路okHz到11MHz频段划分成256个频宽为43khz的子频带。专线是是为某个机构拉一条独立的网线，也就是一个独立的局域网。

2、安全性能不一样

普通宽带上网因为是众多用户同时使用，安全性能较差。

专线让用户的数据传输变得可靠可信，安全性很好。

3、使用价格不一样

普通宽带上网因为很多人使用，分摊后，每户价格很低;

专线因为供独立单位使用，租用价格也相对比较高，而且管理也需要专业人员。

4、运行速率不一样

普通宽带上网因为供多人共享，速率偏慢;

专线因为是供独立单位使用，使用的用户较少，分摊的流量较多，速率较快。

普通宽带在上传文件的时候下载也会受到影响，这就是普通宽带(adsl)的单向性决定的，而光纤上网(专线接入)的好处在于你在上传或者下载的时候另外一方不会受影响，即使上传带宽跑满下载也不会受影响。

5、传输介质不一样

普通宽带即adsl上网完成的是电信号的传输;

专线完成的是光信号的传输。

6、网络设备不一样

普通宽带上接光猫，也叫光调制解调器和单端口光端机。专线上接的是交换机。

7、光纤上网(专线接入)有固定ip而普通宽带却没有

固定ip也就是我们通常所说的公网ip，它在全球是唯一的，它可以绑定在企业的服务器上作为外界访问服务器的唯一标识。并且有了固定ip，我们的网络会更稳定，不必像普通宽带那样三天两头的掉线。

8、光纤上网(专线接入)是双通道的而普通宽带却是单向性的

通常我们上网过程中涉及两个宽带的两个方面，网络上行和网络下行。如果使用普通宽带在上传文件的时候下载也会受到影响，这就是普通宽带的单向性决定的，而光纤上网(专线接入)的好处在于你在上传或者下载的时候另外一方不会受影响，即使上传带宽跑满下载也不会受影响。

9、光纤上网(专线接入)和普通宽带接入层次不同

网络层次构架中不同的接入层级，决定了节点的不同、速度与稳定性的不同。

10、光纤上网(专线接入)是独享接入方式而普通宽带是共享接入方式

这就决定了普通宽带会受到上网高峰期的影响而光纤上网不会。

所以，如果对网站的稳定性和安全性以及速度有特别要求的企业或个人，还是得选择专线方式接入。

我们在家办公有时需要连接公司的网络，怎样连接我给大家介绍方法如下:

1

首先，在公司电脑和居家办公电脑上安装好客户端，根据电脑系统下载不同的版本；

2

下载安装后，注册帐号，获取到公司电脑上的设备代码和密码；

3

在家中电脑上正确填写公司电脑的设备代码和密码，点击连接，连接成功后还可点击旁边的星号保存至设备列表中；

4

无论是出差在外、休息在家，都可以通过远控软件，连接企业内网的ERP系统，实现远程协同办公。

在远控时，软件使用的是BGP高速服务器、RTC通信技术，保证您在远程办公中的画面流畅和高清。

总之，远程控制神器可以解决没有公网IP环境下，外网访问局域网应用的各种难题，满足不同场景的使用需求，轻松应对突发情况下的远程办公。

***是专用的安全协议。

一***简介

***是英文“Virtual Private Network”的缩写，中文意思是“虚拟专用网络”。

***是虚拟出来的企业内部专线。通过特殊加密的通讯协议，为连接在Internet上，不同地理位置的两个或多个企业内部网，建立一条专有的通讯线路，就像架设了一条专线，但不需要真正去铺设光缆之类的物理线路。

***被定义为通过一个公用互联网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。

使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的，广泛使用企业办公当中。

虚拟专用网也可以是针对企业内部网的扩展，虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

因此很多办公一族在自己电脑中也需要建立***连接，方便远程办公等等。

二***特点

由于***是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用。

在运行的资金支出上，除了购买***设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是***价格低廉的原因。

三***的构成以及工作原理

***由***服务器、***连接（internet公共网络）、协议隧道、***客户机组成。

工作原理

1、通常情况下，***网关采取双网卡结构，外网卡使用公网IP接入Internet。

2、网络一（假定为公网internet）的终端A访问网络二（假定为公司内网）的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

3、网络一的***网关在接收到终端A发出的访问数据包时对其目标地址进行检查。

如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的***技术不同而不同。

同时***网关会构造一个新***数据包，并将封装后的原数据包作为***数据包的负载，***数据包的目标地址为网络二的***网关的外部地址。

4、网络一的***网关将***数据包发送到Internet，由于***数据包的目标地址是网络二的***网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的***网关。

5、网络二的***网关对接收到的数据包进行检查，如果发现该数据包是从网络一的***网关发出的，即可判定该数据包为***数据包，并对该数据包进行解包处理。

解包的过程主要是先将***数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

6、网络二的***网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

7、从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

在***网关对数据包进行处理时，有两个参数对于***通讯十分重要：原始数据包的目标地址（***目标地址）和远程***网关地址。

根据***目标地址，***网关能够判断对哪些数据包进行***处理，对于不需要处理的数据包通常情况下可直接转发到上级路由。远程***网关地址则指定了处理后的***数据包发送的目标地址，即***隧道的另一端***网关地址。

由于网络通讯是双向的，在进行***通讯时，隧道两端的***网关都必须知道***目标地址和与此对应的远端***网关地址。

实现方式

***的实现有很多种方法，常用的有以下四种：

1．***服务器：在大型局域网中，可以通过在网络中心搭建***服务器的方法实现***。

2．软件***：可以通过专用的软件实现***。

3．硬件***：可以通过专用的硬件实现***。

4．集成***：某些硬件设备，如路由器、防火墙等，都含有***功能，但是一般拥有***功能的硬件设备通常都比没有这一功能的要贵。

根据不同的划分标准，***可以按几个标准进行分类划分：

1、按***的协议分类

***的隧道协议主要有三种：PPTP、L2TP和IPSec。其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议。IPSec是第三层隧道协议。

2、按***的应用分类

（1）Access ***（远程接入***）：客户端到网关，使用公网作为骨干网在设备之间传输***数据流量。

（2）Intranet ***（内联网***）：网关到网关，通过公司的网络架构连接来自公司的资源。

（3）Extranet ***（外联网***）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。

1、***：虚拟专用网络；功能是在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。***可通过服务器、硬件、软件等多种方式实现。***属于远程访问技术，简单地说就是利用公用网络架设专用网络。

2、abbr海军武器采购；武器；海军武器采购。

***的实现有很多种方法，常用的有以下四种：

（1）***服务器：在大型局域网中，可以通过在网络中心搭建***服务器的方法实现***

（2）软件***：可以通过专用的软件实现***。

（3）硬件***：可以通过专用的硬件实现***。

（4）集成***：某些硬件设备，如路由器、防火墙等，都含有***功能，但是一般拥有***功能的硬件设备通常都比没有这一功能的要贵。

依据是《国际通信出入口局管理办法》（原信息产业部令第22号），规范的对象是未经电信主管部门批准，无国际通信业务经营资质的企业或个人，租用国际专线或***，私自开展跨境的电信业务经营活动。外贸企业、跨国企业因办公自用等原因，需要通过专线等方式跨境联网时，可以向依法设置国际通信出入口局的电信业务经营者租用。

参考资料：

参考资料：