VPN怎么设置
1、开启服务。首先,进入路由器Web设置页面,选择“***服务器”设置,在“启用PPTP服务器”选项中选择“是”。注意不同的路由器支持的***服务器类型有所不同,请记住开启的服务器类型,以便在客户端上做相应的设置。
2、管理账户。在***设置页面的下方键入自定义的***服务器登录账户,并单击下方的“应用本页面设置”按钮存储设置。注意在设置密码时除了考虑密码的安全以外,还必须考虑到高强度的密码在移动设备上输入时会有困难。
3、详细设置。单击切换到“***详细设置”选项卡,设置***服务器可以用于分配给远程登录用户的IP地址,通常路由器会自动给出可以使用的网段。最后,根据需要选择服务器的验证方式与加密强度,并单击下方的“应用本页面设置”按钮存储设置。注意记住所选择的验证方式与加密方式,以便在客户端上做相应的设置。
4、动态域名。如果获得的是动态IP地址,那么接下来需要转到“外部网络|DDNS”启动动态域名功能,在路由器支持的服务商中选择一个动态域名服务,让路由器在每次互联网IP地址更新的同时自动更新动态域名与IP地址的对应关系,这样我们就能够拥有一个可以访问家庭网络的固定域名。
5、相关服务。检查路由器的相关设置,例如“外部网络|NAT Passthrough”,确保***服务器所使用的网络协议能够被支持。如果路由器提供防火墙,那么需要确保其不会影响***服务的使用。接下来,***服务器即可正式投入使用。
6、电脑连接。以Windows 7为例,通过“控制面板|网络和Internet|网络和共享中心”选择“设置新的连接或网络”,在设置对话框中选择“连接到工作区|使用我的Internet连接(***)”,输入家庭网络的动态域名即可创建***连接。注意需要根据***服务器的配置修改***连接的验证方式与加密方式,可右击***连接,选择“属性”,切换到“安全”选项卡进行设置。
7、平板电脑。以iPad为例,进入“设置|通用|网络|***”,选择“添加***配置”,根据***服务器的配置,在上方选择正确的***服务器类型,例如“PPTP”,并在下方键入***服务器的地域。
通过隧道(Tunnel)或虚电路(VirtualCircuit)实现网络互联;支持用户安全管理;能够进行网络监控、故障诊断。
1、建网快速方便用户只需将各网络节点采用专线方式本地接入公用网络,并对网络进行相关配置即可。
2、降低建网投资由于***是利用公用网络为基础而建立的虚拟专网,因而可以避免建设传统专用网络所需的高额软硬件投资。
3、节约使用成本用户采用***组网,可以大大节约链路租用费及网络维护费用,从而减少企业的运营成本。
4、网络安全可靠实现***主要采用国际标准的网络安全技术,通过在公用网络上建立逻辑隧道及网络层的加密,避免网络数据被修改和盗用,保证了用户数据的安全性及完整性。
5、简化用户对网络的维护及管理工作大量的网络管理及维护工作由公用网络服务提供商来完成。
扩展资料
***的基本处理过程如下:
1、要保护主机发送明文信息到其他***设备。
2、***设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。
3、对需要加密的数据,***设备将其整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密并附上数据签名,加上新的数据报头(包括目的地***设备需要的安全信息和一些初始化参数)重新封装。
4、将封装后的数据包通过隧道在公共网络上传输。
5、数据包到达目的***设备后,将其解封,核对数字签名无误后,对数据包解密。
-虚拟专用网络
-***虚拟专网
***按技术可以分为第二层***、高层协议***、第三层***。
1、第二层***
第二层***操作在OSI模型的第二层,也就是数据链路层。它主要通过将数据帧封装在虚拟链路中来实现网络通信的隔离。这种类型的***通常用于构建广域网(WAN)连接,例如将远程办公室与主要办公室连接起来。
2、高层协议***
高层协议***是一种基于特定协议的***。这种类型的***依赖于高层协议,例如SSL(安全套接层)或TLS(传输层安全性协议),来确保通信的安全性。高层协议***通常用于保护Web浏览、电子邮件和其他应用程序的通信。
3、第三层***
第三层***位于OSI模型的第三层,也就是网络层。这种***类型通常基于IP协议工作,它允许不同位置的网络通过公共网络进行连接,同时保持数据的安全性和隐私性。通过使用隧道协议,第三层***可以将数据包加密并在不同网络之间进行传输。
***的工作原理
1、数据加密和隧道化
***的核心功能之一是数据加密和隧道化。当用户连接到***时,设备会与***服务器建立安全的通信通道,这个通道被称为***隧道。在这个隧道内,用户的数据会被加密,通常使用强大的加密算法,如AES(高级加密标准),以确保只有授权用户能够解密和访问数据。
2、身份验证和访问控制
***还涉及身份验证和访问控制的过程。在连接到***时,用户需要提供有效的凭据,例如用户名和密码,或者更高级别的身份验证方法,如数字证书或多因素身份验证。一旦用户身份验证成功,***服务器将根据配置的访问策略决定用户在***内部的访问权限。
3、路由和数据传输
当用户通过***连接到远程网络时,他们的数据包将通过***隧道传输到目标网络。在目标网络上,***服务器将负责解密数据包,并将其传递给目标资源或应用程序。在这个过程中,***服务器还可以执行网络地址转换等功能,以确保数据包在目标网络中得到正确路由。
分类: 电脑/网络 >> 互联网
解析:
什么是***
***(Virtual Private Neork):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。***同样也由这三部分组成,不同的是***连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Inter或Intra。
要实现***连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的***服务器,***服务器一方面连接企业内部专用网络,另一方面要连接到Inter,也就是说***服务器必须拥有一个公用的IP地址。当客户机通过***连接与专用网络中的计算机进行通信时,先由ISP(Inter服务提供商)将所有的数据传送到***服务器,然后再由***服务器负责将所有的数据传送到目标计算机。***使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向***服务器发出请求,***服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到***服务器,***服务器根据用户数据库检查该响应,如果账户有效,***服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,***服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
***的基本配置:
工作原理:
一边服务器的网络子网为19216810/24
路由器为10010151
另一边的服务器为192168100/24
路由器为20020251。
执行下列步骤:
1 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2 为SA协商过程配置IKE。
3 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
注释:policy 1表示策略1,假如想多配几个***,可以写成policy 2、policy3┅
Shelby(config-isakmp)#group 1
注释:除非购买高端路由器,或是***通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Shelby(config-isakmp)#authentication pre-share
注释:告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则***在正常初始化之后,将会在较短的一个SA周期到达中断。
Shelby(config)#crypto isakmp key noIP4u address 20020251
注释:返回到全局设置模式确定要使用的预先共享密钥和指归***另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成10010151。
配置IPSec
Shelby(config)#access-list 130 permit ip 19216810 000255 17216100 000255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识***规则。
Shelby(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是***1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在***两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#set peer 20020251
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是10010151。
Shelby(config-crypto-map)#set transform-set ***1
Shelby(config-crypto-map)#match address 130
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
注释:将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个***的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
附:参照网络安全范围,***硬件设备应放置以下四个地点:
● 在DMZ的防火墙之外
● 连接到防火墙的第三个网卡(服务网络)
● 在防火墙保护的范围之内
● 与防火墙集成
***的工作原理
用户连接***的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在***中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成***隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
***的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。
虚拟专用网络功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。***有多种分类方式,主要是按协议进行分类。***可通过服务器、硬件、软件等多种方式实现。***具有成本低,易于使用的特点。
虚拟专用网络(***)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。***可通过服务器、硬件、软件等多种方式实现。
1、手机***一般指虚拟专用网络。虚拟专用网络(***)的功能是:在公用网络上建立专用网络,进行加密通讯。
2、在企业网络中有广泛应用。***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。***可通过服务器、硬件、软件等多种方式实现。
0条评论