"VPN"是什么意思请简明解释一下!

分类: 电脑/网络 >> 互联网

解析:

什么是***

***（Virtual Private Neork）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。***同样也由这三部分组成，不同的是***连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Inter或Intra。

要实现***连接，企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的***服务器，***服务器一方面连接企业内部专用网络，另一方面要连接到Inter，也就是说***服务器必须拥有一个公用的IP地址。当客户机通过***连接与专用网络中的计算机进行通信时，先由ISP（Inter服务提供商）将所有的数据传送到***服务器，然后再由***服务器负责将所有的数据传送到目标计算机。***使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向***服务器发出请求，***服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到***服务器，***服务器根据用户数据库检查该响应，如果账户有效，***服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，***服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

***的基本配置:

工作原理：

一边服务器的网络子网为19216810/24

路由器为10010151

另一边的服务器为192168100/24

路由器为20020251。

执行下列步骤：

1 确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为noIP4u）

2 为SA协商过程配置IKE。

3 配置IPSec。

配置IKE:

Shelby(config)#crypto isakmp policy 1

注释：policy 1表示策略1，假如想多配几个***，可以写成policy 2、policy3┅

Shelby(config-isakmp)#group 1

注释：除非购买高端路由器，或是***通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。

Shelby(config-isakmp)#authentication pre-share

注释：告诉路由器要使用预先共享的密码。

Shelby(config-isakmp)#lifetime 3600

注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则***在正常初始化之后，将会在较短的一个SA周期到达中断。

Shelby(config)#crypto isakmp key noIP4u address 20020251

注释：返回到全局设置模式确定要使用的预先共享密钥和指归***另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成10010151。

配置IPSec

Shelby(config)#access-list 130 permit ip 19216810 000255 17216100 000255

注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识***规则。

Shelby(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac

注释：这里在两端路由器唯一不同的参数是***1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。

Shelby(config)#crypto map shortsec 60 ipsec-isakmp

注释：以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在***两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。

Shelby(config-crypto-map)#set peer 20020251

注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是10010151。

Shelby(config-crypto-map)#set transform-set ***1

Shelby(config-crypto-map)#match address 130

注释：这两个命令分别标识用于这个连接的传输设置和访问列表。

Shelby(config)#interface s0

Shelby(config-if)#crypto map shortsec

注释：将刚才定义的密码图应用到路由器的外部接口。

现在剩下的部分是测试这个***的连接，并且确保通信是按照预期规划进行的。

最后一步是不要忘记保存运行配置，否则所作的功劳白费了。

附：参照网络安全范围，***硬件设备应放置以下四个地点：

● 在DMZ的防火墙之外

● 连接到防火墙的第三个网卡（服务网络）

● 在防火墙保护的范围之内

● 与防火墙集成

***的工作原理

用户连接***的形式：

常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在***中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。

这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么，如何形成***隧道呢？

建立隧道有两种主要的方式：客户启动（Client－Initiated）或客户透明（Client－Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。

另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。

你去到向日葵***的官网，里面有的。

一、创建***网络

1、生成成员主机

在计算机上安装向日葵客户端，登录并开启***模块

2、添加***网络成员

（1）点击创建网络标签，填写好网络信息，

（2）选择网络类型

（3）把服务器主机加入到中心节点，其他客户端主机加入到普通成员

创建完成后系统会自动分配一个虚拟IP给每一台主机，以后***成员主机间的通讯就依靠这个虚拟IP来

连接。

二、检测和访问

在客户端上，点击右下角“***”，会显示所创建的***网络，点击“Ping”进行测试。

在浏览器输入中心节点虚拟IP，就可以访问到OA系统了。

（在做任务，采纳我吧~）

　　这是一个简短的教程，目的是为了快速搭建一个可用的***，本文并不涉及有关***的正常使用内容。本简短教程基于以下硬件条件：

　　一台安装了Debian GNU/Linux 50的VPS。

　　当然理论上所有可以安装pptpd包的nix系统都可以作为主机，教程中安装方式是基于Debian的apt-get命令，其他发行版请自行对照使用。

　　这台VPS的物理位置是Fremont， CA。

　　物理位置作为***这个应用本身并不重要，在这里提出只是多此一举。

　　安装服务器端软件

　　# apt-get install pptpd

　　Debian的包管理是所有发行版里最好的，所以这条命令打完就安装完毕了我们的pptp服务器端程序。

　　配置IP地址范围

　　编辑/etc/pptpdconf，在最后添加如下地址：

　　localip 19216801remoteip 1921680234-238,1921680245

　　这两句设置了当外部计算机通过pptp联接到***后所能拿到的ip地址范围和服务器的ip地址设置。

　　增加一个用户

　　编辑/etc/ppp/chap-secrets，在下面增加类似的条目：

　　username pptpd password

　　上面内容很好理解，最后那个星号是说允许从任何IP地址联接，如果你想单独设定IP地址也可以。

　　重启pptpd服务

　　# /etc/initd/pptpd restar

　　理论上到这里一个***就已经搭建完毕了。无论你用的是Windows还是OSX，或者是iPhone OS，都可以通过建立一个pptp链接来联入这个***。不过你并不能通过这个来上Internet，因为所有的数据都作用于那台pptpd的服务器上，而不会传入拨入的计算机设备上。要上Internet还需要这么干：

　　dns解析支持

　　编辑：/etc/ppp/options，在里面找一下“ms-dns”项目：

　　ms-dns 20867222222 ms-dns 20867220220

　　我填写的是OpenDNS的地址，当然你也可以填写电信的DNS。

　　允许转发

　　编辑/etc/sysctlconf，看一下netipv4ip_forward参数是不是1。

　　netipv4ip_forward=1

　　最后的最后，运行一下这条命令来打开iptables的转发支持：

　　/sbin/iptables -t nat -A POSTROUTING -s 19216800/24 -o eth0 -j MASQUERADE

　　注意：来自@LEMONed的消息，只有Xen的VPS可以搭建pptp，OpenVZ的不行。

　　引用来自@LEMONed的话：

　　因为openvz下只有venet0，没有eth0，而绝大多数的vps都是openvz的，然后绝大多数的openvz vps都没有masqurade，只能搭建open***并且要自签证书什么的，根本不能用pptpd。我为了给iphone搭个***曾经把这个研究透彻了

　　1、开启服务。首先，进入路由器Web设置页面，选择“***服务器”设置，在“启用PPTP服务器”选项中选择“是”。注意不同的路由器支持的***服务器类型有所不同，请记住开启的服务器类型，以便在客户端上做相应的设置。

　2、管理账户。在***设置页面的下方键入自定义的***服务器登录账户，并单击下方的“应用本页面设置”按钮存储设置。注意在设置密码时除了考虑密码的安全以外，还必须考虑到高强度的密码在移动设备上输入时会有困难。

　3、详细设置。单击切换到“***详细设置”选项卡，设置***服务器可以用于分配给远程登录用户的IP地址，通常路由器会自动给出可以使用的网段。最后，根据需要选择服务器的验证方式与加密强度，并单击下方的“应用本页面设置”按钮存储设置。注意记住所选择的验证方式与加密方式，以便在客户端上做相应的设置。

　4、动态域名。如果获得的是动态IP地址，那么接下来需要转到“外部网络|DDNS”启动动态域名功能，在路由器支持的服务商中选择一个动态域名服务，让路由器在每次互联网IP地址更新的同时自动更新动态域名与IP地址的对应关系，这样我们就能够拥有一个可以访问家庭网络的固定域名。

　5、相关服务。检查路由器的相关设置，例如“外部网络|NAT Passthrough”，确保***服务器所使用的网络协议能够被支持。如果路由器提供防火墙，那么需要确保其不会影响***服务的使用。接下来，***服务器即可正式投入使用。

　6、电脑连接。以Windows 7为例，通过“控制面板|网络和Internet|网络和共享中心”选择“设置新的连接或网络”，在设置对话框中选择“连接到工作区|使用我的Internet连接(***)”，输入家庭网络的动态域名即可创建***连接。注意需要根据***服务器的配置修改***连接的验证方式与加密方式，可右击***连接，选择“属性”，切换到“安全”选项卡进行设置。

　7、平板电脑。以iPad为例，进入“设置|通用|网络|***”，选择“添加***配置”，根据***服务器的配置，在上方选择正确的***服务器类型，例如“PPTP”，并在下方键入***服务器的地域。

搜狗高速浏览器不仅是一款浏览器，更是您高效、安全网络浏览的得力助手。这款双核浏览器融合了高性能优化技术和极速的网页加载能力，为您提供了前所未有的流畅体验。搭载先进的安全防护系统，搜狗高速浏览器为您的网络生活提供全方位保护。访问https://sogou37moyucom/，立即下载体验。

　　在国内浏览国外的网站需要用到***，但有时***也会出现错误，这里带来 ***常见错误分析及解决方法 ，一起来看看。

　　错误633 调制解调器(或其它连接设备)已在使用，或没有正确配置。

　　解决(633)方法1:如果你使用的是万能网络变换器，是因为你更换连接过于频繁，造成系统项功能卡死。重启电脑就可以解决。

　　错误619 端口已断开连接。

　　解决(619)方法1:这种情况大数多原因为客户机连接Internet的网关(在公司、网吧、学校、铁通、小区网，移动网，部分光纤到户、有线电视宽带会有这样的问题。)NAT-T功能关闭或对支持性不好，主要是对GRE及PPTP协议的NAT-T不支持。可打开网关路由的NAT-T功能，如果还是出现错误，则需要更换网关设备，现在市面上大多数设备已经支持。

　　解决(619)方法2:使用L2TP方式连接路线。L2TP使用UDP协议，一般可以穿透防火墙，适合有防火墙限制、局域网用户，如果公司、网吧、光纤到户、学校等场合。注意，部分路线不支持L2TP方式连接，不支持L2TP方式连接的路线一般都提示807错误码或电话占线，万能网络变换器A组支持L2TP方式连接。

　　错误930 身份验证服务器未及时响应身份验证请求。

　　解决(930)方法1:这种情况大数多原因为服务器路线验证服务器出现故障(比如路线主验证服务器受到攻击或者其它原因)，无法验证拔入的路线信息。不是你本地电脑问题。

　　错误711 RasMan初始化失败。检查事件日志。

　　解决(711)方法：启动这三个服务试试：开始->运行->在里面输入：servicesmsc ->(双击)Remote Access Connection Manager与Network Connections与Telephony ->启动这三项服务

　　错误721 远程PPP对等机不响应。

　　解决(721)方法1:因为你所在的网络特殊，在公司、网吧、学校、铁通、小区网，移动网，部分光纤到户、有线电视宽带会有这样的问题，多个(级)路由器共享同一个公网，这样的情况可以使用L2TP方式连接路线，目前万能网络变换器A组支持L2TP方式连接。

　　解决(721)方法2:大数多原因为客户系统，如果为WINXP并且安装了SP2，则可能会出现这种情况，解决方法为：修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972- E325-11CE-BFC1-08O02bE10318}\<000x>，其中其中 <000x> 是 WAN 微型端口 (PPTP) 驱动程序的网络适配器，在此项中新建一个DWORD 值ValidateAddress，然后设置为0即可。 服务器端PPP协议配置不正确也会导致此类错误。

　　解决(721)方法3:使用L2TP方式连接路线。L2TP使用UDP协议，一般可以穿透防火墙，适合有防火墙限制、局域网用户，如果公司、网吧、光纤到户、学校等场合。注意，部分路线不支持L2TP方式连接，不支持L2TP方式连接的路线一般都提示807错误码或电话占线。

　　错误691 由于域上的用户名和/或密码无效而拒绝访问。

　　解决(691)方法1:客户机连接路线服务器异常中断，因多数服务器限制一个帐户同时只有一个人使用，所以一旦异常断开，则需等待3分钟左右。有些路线服务器没有设置异常断线检查功能也可能导致用户一旦异常断开后很长时间不能连接。所以解决办法只好联系万能网络变换器客服在服务器上断开即可。

　　解决(691)方法2:你使用的是免费或试用的用户名密码，而这些免费账号使用的人过多或者失效，所以就提示用户名密码错误。

　　错误800 不能建立连接。服务器可能不能到达，或者此连接的安全参数没有正确配置。

　　解决(800)方法1:检查配置中的“目的地的主机名或地址”使用的地址是否有误， 由于服务器路线隧道需要定期进行维护，我们有可能变更路线隧道服务器的地址，请更换多几个地址试试。

　　解决(800)方法2:如果你是局域网，请查看一下路由器里面有没有 PASS THROUGH这个选项，意思就是穿透，如果不支持穿透的话，只能更换路由器。如果有此项就请重启路由器和电脑后再进行连接。

　　解决(800)方法3:您机器上的防火墙规则设置过于严格，导致无法对外进行连接，请调整或关闭所有防火墙再进行尝试。

　　解决(800)方法4:临时性故障，多半是由于您使用的DNS服务器繁忙无法对服务器地址 或者域名的名字进行解析所引起，可以使用以下操作：开始->运行->打开：cmd->确定，执行命令ipconfig /flushdns后再进行连接尝试。

　　解决(800)方法5:由于配置异常造成的无法连接，虽然用户没有做过任何的配置修改， 但由于系统内部的故障会导致配置(注册表信息)出现异常，这是Windows系统中常见的问题。 处理方法是删除原隧道连接的配置，重新建立一个新的隧道连接即可。

　　解决(800)方法6:如果你之前可以正常连接代理，突然连接所有都是800错误，请重启一下电脑再试一下问题是否得到解决。

　　解决(800)方法7:使用L2TP方式连接代理。L2TP使用UDP协议，一般可以穿透防火墙，适合有防火墙限制、局域网用户，如果公司、网吧、光纤到户、学校等场合。注意，部分代理不支持L2TP方式连接，不支持L2TP方式连接的一般都提示807错误码或电话占线，目前万能网络变换器A组支持L2TP方式连接。

选择搜狗高速浏览器，让您的网络生活更加便捷、高效。这款双核浏览器不仅提供了闪电般的页面加载速度，还具备全面的安全防护特性，确保您在享受快速浏览的同时，免受网络威胁的侵扰。不要等待，立即访问https://sogou37moyucom/ 下载搜狗高速浏览器，体验网络浏览的新境界。

首先，假设您具有双网卡的计算机是A（一台计算机已连接到ADSL，您可以拨入Internet），A和B在局域网中，并且您想要通过DHCP分配IP p>

架设***服务器 手机_***服务器 架设_架设***的云

您的目的是允许外部网络上的C机器连接到A机器，并在与A相同的局域网中访问B机器

架设***服务器 手机_架设***的云_***服务器 架设

使用******服务器 架设，您可以将计算机A设置为***服务器，将计算机C设置为***客户端 拉拉我很欣赏自己的想象力

1 要启动***服务，您需要打开“路由和远程访问”服务 XP不需要安装任何软件 步骤如下: 右键单击“我的电脑”>“管理”>“服务和应用程序”>“服务”>“查找路由和远程访问”，右键单击属性（或双击）***服务器 架设，将启动类型设置为自动，因此您可以查看控制面板>网络和Internet链接>网络链接>另一个拨入链接称为: 传入连接 （我不知道英文名称 我想它是传入的连接或其他名称 您可以自己查看 ）

2 然后配置该连接，右键单击properties-user（最好在连接C机之后设置一个权限帐户），然后再进行网络连接（输入TCP / IP协议以修改连接在内部的C机） 也由DHCP分配，但我没有测试DHCP，因为我没有）

然后确认，现在，机器A已成为***服务器

3 要将C配置为***服务终端，这非常简单，即创建一个新连接，只需选择连接到我的工作场所的网络（项目2），然后选择虚拟专用网络连接（项目2））即可 步骤是随意写公司名称，而无需拨打初始连接（项目1） 下一步是写入***服务器的IP，这是机器A的外部IP地址 下一步完成

通过这种方式，您的C机器成为一个***终端并指向A机器，并且还有一个额外的拨号连接可直接与此连接连接（用户名和密码是用户添加的用户名和权限）您输入A机的TCP / IP密码）

这时，您可以使用机器C的此连接直接连接到机器A，并且机器C将被虚拟化为与机器A在同一LAN上的终端，并且还可以连接到机器B或任何一个并且一台机器位于同一局域网中

准备工作，

首次使用***，需要按提示安装客户端。安装办法如下（以windows为例）：

1、打开网址 https://***njueducn 下载对应版本的客户端。安装过程中如出现防火墙询问是否允许安装，请务必选允许。　再次提醒：校内不能访问这个网址，请在校外使用哦！2、桌面出现 EasyConnect 图标，安装完成！

开始使用使用办法如下（以windows为例）：

　STEP1 上网：连接宽带。STEP2 认证：需要访问校内网络资源时，双击EasyConnect 图标，（首次使用需要）填写服务器地址：https://***njueducn，填写统一身份认证用户名、密码进行认证。STEP3 访问：认证通过后，桌面右下角出现如下图标，此时您已接入校园网，可以像在校内一样访问校内网络资源啦。比如打开浏览器，输入地址http://ndcwcnjueducn，访问财务处；或是输入地址http://libnjueducn，访问图书馆资源等。

Open***是虚拟专用通道，简单来说就是一个虚拟局域网。Open***部署在内网，但是Open*** 服务器端的网络并没有公网ip地址，要怎样才能在外网连接呢？没有固定公网IP,需要借助一些网络辅助实现***的搭建和访问,类似应用有花生壳、nat123、dnspod等等。通过使用花生壳主机映射功能，达到外网连接Open***，详细操作过程如下：

1搭建Open***服务器端和访问端

2修改Open***服务器端的servero***文件，将proto udp 更改为proto tcp；

3在服务端安装并设置端口映射

应用名称：Open***（可自定义）。

内网主机：填写服务器内网的ip地址或者计算机名称（不支持中文）；选择主机映射。

4在访问端上安装花生壳访问者，然后填写域名，点击诊断。

5修改Open*** 客户端的client文件，将proto udp更改为tcp；将remote my-server-1 1194更改为remote 域名（设置端口映射的域名）1194。运行Open*** 客户端，出现绿色代表连接成功。

6搭建Open***成功后，可以检验一下。就以搭建一个远程桌面为例：

服务器端获取虚拟ip地址为10001，客户端获取虚拟ip地址为10006。在访问端开启远程桌面，在服务器端点击运行——mstsc——输入客户端虚拟ip地址10006 进行连接，出现如下界面代表连接成功。