VPN设备是什么？是什么意思？

***设备是什么？是什么意思？***的英文全称是“Virtual Private Network”，就是“虚拟专用网络”。***技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持***功能，***网关是实现局域网（LAN）到局域网连接的设备。支持***（虚拟专用网）的路由器和防火墙等设备都可以算作***网关。目前常见的***网关产品包括***网关、***路由器、***防火墙、***服务器等产品。一个***系统应支持标准的认证方式，如RADIUSRemoteAuthentication Dial In User Service，远程认证拨号用户服务)认证、基于PKI（Public Key Infrastructure，公钥基础设施）的证书认证以及逐渐兴起的生物识别技术等等。对于一个大规模的 ***系统，PKI／KMI的密钥管理中心，提供实体（人员、设备、应用）信息的LDAP目录服务及采用标准的强认证技术（令牌、IC卡）是一个***系统成功实施和正常运行必不可少的条件。

XP系统因为现在很少用了，所以没有找到测试环境，我只能凭着印象说了。

方法有二：

通过公告向局域网连接的方式。你可以在你XP机器上的有线网络（就是配置了你公司IP地址的机器）上点击右键、属性、共享，“允许其他用户通过此连接连接INTERNET”前面的钩勾上，重启XP机器。然后让WIN7机器把网关写成你XP机器的IP地址。这种方法配置简单，系统开销小，但是没有认证机制，所以任何指导你开共享连接的人都能通过你的线路出公网。

通过建立***连接上网。XP上建立***链接相对复杂（非系统功能，需要变相配制），所以经常回挂而且运行不稳定。具体配制方法下附。这种配制方法虽然添加认证机制，但是因为XP限制，同一时间点上只能有1个远程计算机建立***连接。而且因为***技术，所以你XP机器系统要做加密解密的操作消耗一定的系统和CPU资源。

Windows XP

搭建方法如下：

开始－－控制面板－－管理工具－－服务－－启动四个关键服务（Workstation、Telephony、Remote Access Connection Manager、Routing and Remote Access）并将其设置自动启动－－控制面板－－网络连接－－传入的连接－－常规选项卡

（勾选：虚拟专用网，允许他人通过interner或其它网络以“隧道操作”方式建立到我的计算机专用连接）－－用户选项卡（勾选那些用户可以远程***连接）－－网络选项卡（TCP/IP地址指派：手动指定不同于服务器网段的IP地址，如服务器IP:19216811段，那么此处填19216821段）。

找到服务器的外部IP地址：

1、直接拨号方式－－开始－－控制面板－－网络连接－－本地连接－－支持－－IP地址：类似"5860133”。

2、路由器拨号方式－－用IE浏览器内输入路由器IP地址（本网网关）－－找到该路由器IP地址：类似"5860133”。

Windows XP

客户端呼叫设置：

开始－－控制面板－－网络连接－－创建一个新的网络连接－－下一步－－连接到我

的工作场所的网络－－虚拟专用网络连接***－－不拨初始连接－－输入服务器端的IP址址或是它的域名，IP地址类似"5860133”

－－完成。

VPDN全名为Virtual Private Dial-Up Networks 虚拟拨号专用网络，即利用公众电话网络（PSTN+公用数据网）的架构来构筑企业的专用网络。传统的***（ Virtual Private Network ）系指电信网络架构提供者（Carrier Provider）利用Frame Relay、tunnel技术或者是ATM的广域网络架构，提供虚拟的带宽享功能。***架构均是建筑在物理链接（Physical Link）的网络架构上，即网络各点均要以专线固定连接的方式连结始可运作。

VPDN的协议是第二层（点对点隧道协议(PPTP，Point to point protocol，)、第二层转发（L2F，layer 2 Forwarding）、第二层隧道协议（L2TP，Layer 2 tunneling protocol，）隧道协议基于第三层隧道协议，它先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中，这种双层封装方法形成的数据包需靠第二层协议进行传输。一般情况下VPDN所用的协议为L2TP协议。

VPDN的协议工作原理是当vpdn用户拨号时，拨号服务器与公司的企业网关之间直接建立tunnel，在此过程中用户的数据如TCP、IP、IPX等协议，再经一系列封装，通过tunnel传递到企业网关，在进行解包，数据才传递到企业内部。

VPDN的设置一般由路由器或者是网关来担任。先讲一下VPDN的设置步骤。在路由器的一般配置密码和其它命令这后，在全局配置模式下，通过以下命令增加用户就要设置AAA认证，即authentication、authorization、accounting三个重要步骤。设置打开 AAA模式后，必须在接入服务器本机增加用户，否则，将无法登录到接入服务器进行操作。再接下来配置Virtual-Template1、最后配置VPDN功能。

具体命令如下全局模式下：

aaa new-model

aaa authentication login default local radius

aaa authentication ppp default local radius

aaa authorization exec default local

aaa authorization network default if-authenticated

aaa accounting network default start-stop radius

增加用户

username admin password 0 密码

username 165 password 0 密码

配置Virtual-Template1

interface Virtual-Template1

ip unnumbered Ethernet0/0

no ip directed-broadcast

no ip route-cache cef

ip mroute-cache

peer default ip address pool default

ppp authentication pap

配置VPDN功能

vpdn enable

!

vpdn-group 1

! Default L2TP VPDN group

accept-dialin

protocol l2tp

virtual-template 1

lcp renegotiation always

l2tp tunnel password 7 15060E1F10 L2TP TUNNEL

其中VPDN可以使用Acesslist访问列表来实现防火墙的功能。

可以试一下

你是想要访问到公司的内网设备吗？ 如服务器。

这样的话只需要做一个NAT（地址转换就行了）

比如:公司的网络的WAN口地址（外网地址）是1183312034 ，内部某台服务器IP地址为192168188，我想在家里登录这台服务器的远程桌面，远程桌面默认端口是3389

进入路由器，选择虚拟服务， 填写内部服务器地址192168188，内部端口填3389，外部端口填9899（任意）。 那么你在家里，cmd输入mstsc，然后输入1183312034:9899，就能直接登录那台服务器了。

还有就是一般的路由器不支持SSL***（客户端***），防火墙才支持。而路由器上所指的***是指能建立site-to-site方式的IPsec***, 就是点对点的加密访问，不是指***客户端。

所以，路由器一般就只能用用NAT功能

***是Virtual Private Network的缩写,中文译为虚拟专用网。Virtual Network的含义有两个，一是***是建立在现有物理网络之上，与物理网络具体的网络结构无关，用户一般无需关心物理网络和设备；二是***用户使用 ***时看到的是一个可预先设定义的动态的网络。Private Network的含义也有两个，一是表明***建立在所有用户能到达的公共网络上，特别是Internet，也包括PSTN、帧中继、ATM等，当在一个由专线组成的专网内构建***时，相对***这也是一个“公网”；二是***将建立专用网络或者称为私有网络，确保提供安全的网络连接，它必须具备几个关键功能：认证、访问控制、加密和数据完整。

一个网络连接一般由三个部分组成：客户机、传输介质和服务器。***也一样，不同的是***连接使用隧道作为传输通道，靠的是对数据包的封装和加密。

***是一种快速建立广域联接的互联和访问工具，也是一种强化网络安全和管理的工具。

***建立在用户的物理网络之上、融入在用户的网络应用系统之中。***技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。

换句通俗的话说：

数据在传输在公网 == 相当与 高速公路

*** == 警察

数据传输在公网的时候有警察保护！

***是替代DDN的一种技术。

最重要的是：***是免费的，速度快，安全！

***功能的路由器主要作用于远程访问本地局域网，比如出差的同事，在外地可以访问到公司内部的服务器，共享公司的资料；分公司可以访问到公司内部的网络。。。就这些功能。。

1进入A路由器后点击***虚拟路私有网络，选择网关对网关设定设置一个隧道名称。

2设置***远程网关认证IP地址。这里是需要填写B路由器的IP地址。

3共用密钥和蓝牙手机与蓝牙手机转输数据时候的时候的那个密码是一样的意思。

4设置好以后确定。在目前***状态看到A路由器拔号到B路由器成功了。

5但是只能A路由器的用户访问B路由器的数据。反过来B路由器是不可以访问的。那需要把B路由器也设置拔号到A路由器。方法和上面的方法是一样的。只是IP地址不一样。这样路由器的***就设置完成了。

线路连接路由器及设置步骤：

1、将网线—路由器—电脑之间的线路连接好，启动电脑和路由器设备；

2、启动设备后，打开浏览器，在地址栏中输入19216811进入无线路由器设置界面。（如进不了请翻看路由器底部铭牌或者是路由器使用说明书，不同型号路由器设置的默认都不一样。）

3、设置界面出现一个登录路由器的帐号及密码，输入默认帐号和密码admin，也可以参考说明书；

4、登录成功之后选择设置向导的界面，默认情况下会自动弹出；

5、选择设置向导之后会弹出一个窗口说明，通过向导可以设置路由器的基本参数，直接点击下一步即可；

6、根据设置向导一步一步设置，选择上网方式，通常ADSL用户则选择第一项PPPoE，如果用的是其他的网络服务商则根据实际情况选择下面两项，如果不知道该怎么选择的话，直接选择第一项自动选择即可，方便新手操作，选完点击下一步；

7、输入从网络服务商申请到的账号和密码，输入完成后直接下一步；

8、设置wifi密码，尽量字母数字组合比较复杂一点不容易被蹭网。

9、输入正确后会提示是否重启路由器，选择是确认重启路由器，重新启动路由器后即可正常上网。

虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。***有多种分类方式，主要是按协议进行分类。***可通过服务器、硬件、软件等多种方式实现。

***属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

分类: 电脑/网络 >> 互联网

解析:

什么是***

***（Virtual Private Neork）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。***同样也由这三部分组成，不同的是***连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Inter或Intra。

要实现***连接，企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的***服务器，***服务器一方面连接企业内部专用网络，另一方面要连接到Inter，也就是说***服务器必须拥有一个公用的IP地址。当客户机通过***连接与专用网络中的计算机进行通信时，先由ISP（Inter服务提供商）将所有的数据传送到***服务器，然后再由***服务器负责将所有的数据传送到目标计算机。***使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向***服务器发出请求，***服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到***服务器，***服务器根据用户数据库检查该响应，如果账户有效，***服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，***服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

***的基本配置:

工作原理：

一边服务器的网络子网为19216810/24

路由器为10010151

另一边的服务器为192168100/24

路由器为20020251。

执行下列步骤：

1 确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为noIP4u）

2 为SA协商过程配置IKE。

3 配置IPSec。

配置IKE:

Shelby(config)#crypto isakmp policy 1

注释：policy 1表示策略1，假如想多配几个***，可以写成policy 2、policy3┅

Shelby(config-isakmp)#group 1

注释：除非购买高端路由器，或是***通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。

Shelby(config-isakmp)#authentication pre-share

注释：告诉路由器要使用预先共享的密码。

Shelby(config-isakmp)#lifetime 3600

注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则***在正常初始化之后，将会在较短的一个SA周期到达中断。

Shelby(config)#crypto isakmp key noIP4u address 20020251

注释：返回到全局设置模式确定要使用的预先共享密钥和指归***另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成10010151。

配置IPSec

Shelby(config)#access-list 130 permit ip 19216810 000255 17216100 000255

注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识***规则。

Shelby(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac

注释：这里在两端路由器唯一不同的参数是***1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。

Shelby(config)#crypto map shortsec 60 ipsec-isakmp

注释：以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在***两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。

Shelby(config-crypto-map)#set peer 20020251

注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是10010151。

Shelby(config-crypto-map)#set transform-set ***1

Shelby(config-crypto-map)#match address 130

注释：这两个命令分别标识用于这个连接的传输设置和访问列表。

Shelby(config)#interface s0

Shelby(config-if)#crypto map shortsec

注释：将刚才定义的密码图应用到路由器的外部接口。

现在剩下的部分是测试这个***的连接，并且确保通信是按照预期规划进行的。

最后一步是不要忘记保存运行配置，否则所作的功劳白费了。

附：参照网络安全范围，***硬件设备应放置以下四个地点：

● 在DMZ的防火墙之外

● 连接到防火墙的第三个网卡（服务网络）

● 在防火墙保护的范围之内

● 与防火墙集成

***的工作原理

用户连接***的形式：

常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在***中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。

这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么，如何形成***隧道呢？

建立隧道有两种主要的方式：客户启动（Client－Initiated）或客户透明（Client－Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。

另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。