商业源码 "VPN"是什么意思请简明解释一下!
分类: 电脑/网络 >> 互联网
解析:
什么是***
***(Virtual Private Neork):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。***同样也由这三部分组成,不同的是***连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Inter或Intra。
要实现***连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的***服务器,***服务器一方面连接企业内部专用网络,另一方面要连接到Inter,也就是说***服务器必须拥有一个公用的IP地址。当客户机通过***连接与专用网络中的计算机进行通信时,先由ISP(Inter服务提供商)将所有的数据传送到***服务器,然后再由***服务器负责将所有的数据传送到目标计算机。***使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向***服务器发出请求,***服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到***服务器,***服务器根据用户数据库检查该响应,如果账户有效,***服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,***服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
***的基本配置:
工作原理:
一边服务器的网络子网为19216810/24
路由器为10010151
另一边的服务器为192168100/24
路由器为20020251。
执行下列步骤:
1 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2 为SA协商过程配置IKE。
3 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
注释:policy 1表示策略1,假如想多配几个***,可以写成policy 2、policy3┅
Shelby(config-isakmp)#group 1
注释:除非购买高端路由器,或是***通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Shelby(config-isakmp)#authentication pre-share
注释:告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则***在正常初始化之后,将会在较短的一个SA周期到达中断。
Shelby(config)#crypto isakmp key noIP4u address 20020251
注释:返回到全局设置模式确定要使用的预先共享密钥和指归***另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成10010151。
配置IPSec
Shelby(config)#access-list 130 permit ip 19216810 000255 17216100 000255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识***规则。
Shelby(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是***1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在***两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#set peer 20020251
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是10010151。
Shelby(config-crypto-map)#set transform-set ***1
Shelby(config-crypto-map)#match address 130
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
注释:将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个***的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
附:参照网络安全范围,***硬件设备应放置以下四个地点:
● 在DMZ的防火墙之外
● 连接到防火墙的第三个网卡(服务网络)
● 在防火墙保护的范围之内
● 与防火墙集成
***的工作原理
用户连接***的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在***中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成***隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
1、***:虚拟专用网络;功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。***可通过服务器、硬件、软件等多种方式实现。***属于远程访问技术,简单地说就是利用公用网络架设专用网络。
2、abbr海军武器采购;武器;海军武器采购。
扩展资料***的实现有很多种方法,常用的有以下四种:
(1)***服务器:在大型局域网中,可以通过在网络中心搭建***服务器的方法实现***
(2)软件***:可以通过专用的软件实现***。
(3)硬件***:可以通过专用的硬件实现***。
(4)集成***:某些硬件设备,如路由器、防火墙等,都含有***功能,但是一般拥有***功能的硬件设备通常都比没有这一功能的要贵。
依据是《国际通信出入口局管理办法》(原信息产业部令第22号),规范的对象是未经电信主管部门批准,无国际通信业务经营资质的企业或个人,租用国际专线或***,私自开展跨境的电信业务经营活动。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,可以向依法设置国际通信出入口局的电信业务经营者租用。
参考资料:
参考资料:
首先,假设您具有双网卡的计算机是A(一台计算机已连接到ADSL,您可以拨入Internet),A和B在局域网中,并且您想要通过DHCP分配IP p>
架设***服务器 手机_***服务器 架设_架设***的云
您的目的是允许外部网络上的C机器连接到A机器,并在与A相同的局域网中访问B机器
架设***服务器 手机_架设***的云_***服务器 架设
使用******服务器 架设,您可以将计算机A设置为***服务器,将计算机C设置为***客户端 拉拉我很欣赏自己的想象力
1 要启动***服务,您需要打开“路由和远程访问”服务 XP不需要安装任何软件 步骤如下: 右键单击“我的电脑”>“管理”>“服务和应用程序”>“服务”>“查找路由和远程访问”,右键单击属性(或双击)***服务器 架设,将启动类型设置为自动,因此您可以查看控制面板>网络和Internet链接>网络链接>另一个拨入链接称为: 传入连接 (我不知道英文名称 我想它是传入的连接或其他名称 您可以自己查看 )
2 然后配置该连接,右键单击properties-user(最好在连接C机之后设置一个权限帐户),然后再进行网络连接(输入TCP / IP协议以修改连接在内部的C机) 也由DHCP分配,但我没有测试DHCP,因为我没有)
然后确认,现在,机器A已成为***服务器
3 要将C配置为***服务终端,这非常简单,即创建一个新连接,只需选择连接到我的工作场所的网络(项目2),然后选择虚拟专用网络连接(项目2))即可 步骤是随意写公司名称,而无需拨打初始连接(项目1) 下一步是写入***服务器的IP,这是机器A的外部IP地址 下一步完成
通过这种方式,您的C机器成为一个***终端并指向A机器,并且还有一个额外的拨号连接可直接与此连接连接(用户名和密码是用户添加的用户名和权限)您输入A机的TCP / IP密码)
这时,您可以使用机器C的此连接直接连接到机器A,并且机器C将被虚拟化为与机器A在同一LAN上的终端,并且还可以连接到机器B或任何一个并且一台机器位于同一局域网中
1 ***服务器的安装与配置策略
基于ISA Server的***服务器部署在网络边缘。即Internet与局域网内部核心层的交汇处。通常采用双网卡的服务器架构,一端连接Internet公网交换机,一端连接 内网核心层交换机。
***服务器的安装和配置主要包括以下几个步骤:
1、构建一个安全稳定的***服务器操作系统平台。 为了确保***运行的安全、稳定和高效,建议采用WindowsServer2003企业版作 为操作系统平台。
配置高性能的多核心CPU处理器.、大容量内存和双千兆网卡的服务器硬件。同时加强服务器自身的安全性,在线升级和安装全部补丁程序。修复已知的各种漏洞。安装防病毒软件,防止感染计算机病毒、各种木马程序和有害插件等。
关闭默认的硬盘共享属性、禁用不必要的网络服务端。如关闭IIS的80端口、FTP的21端口、远程桌面的3389端口等。为管理员用户Administrator改名并设置复杂的密码,强制采用强密码策略,以减小词典攻击的可能性。
取消Microsoft网络的文件和打印机共享,仅保留Internet协议(TCP/IP)等,从整体上降 低网络入侵的风险。
2、安装ISA Server软件并启用***服务器。 由于教职工在家中或者外地访问校园网内部资源主要采取“远程访问的***连接”方式,所以根据网络架构,将连接Internet 公网交换机的网卡标识为WAN。
连接内部核心交换机的网卡标识为LAN,并配置网络参数。其中LAN口网卡不必设置默认网关和 DNS服务器地址,以防发生路由混淆。2块网卡的参数配置。
选用ISA Server2006标准版,按照系统推荐的方式默认安装。指定LAN口网卡 表1 标识ISA内部网络。ISA Server安装完成后,重新启动操作系统。
默认状态下ISA Server的***功能是禁用的,首先启用***服务器并且做相关配置。进入ISA主界面,在“***客户端任务”中,启用“***客户端访问属性。主要设置2个选项,即服务器;“常规”一栏中的“***客户端访问”.设置允许的最大***客户端数量。
如设置200 个***客户的同时连接数。在“协议”一栏中,启用“可用于远程访问连接的隧道协议”,PPTP为远程访问提供一个安全的连接方式, 即“启用TCP/IP协议”。其它两个栏目(组、用户映射)保留默认设置即可。
在虚拟专用网络(***)属性中,点击“远程访问***客户端 连接”,选择客户端可以从中启动到***服务器的连接网络为“外部”。在地址分配中,选择IP静态地址池,用于ISA Server服务器 通过DHCP方式为***拨入用户动态分配IP地址。
由于上述指定了200个***客户同时连接数,同时地址范围一定不能与已经 定义了的内部网络和DMZ网络重复。因此设置l0.0.0.1至10.0.0.200的A类IP地址池。
在“身份验证”栏目中,选择Microsoft加密 的身份验证版本(MS—CHAPv2)。基本配置完毕,点击“应用”保存修改的参数。
由于上述指定了200个***客户同时连接数,同时地址范围一定不能与已经 定义了的内部网络和DMZ网络重复.因此设置l0.0.0.1至10.0.0.200的A类IP地址池。
在“身份验证”栏目中,选择Microsoft加密 的身份验证版本(MS—CHAPv2)。基本配置完毕,点击“应用”保存修改的参数。
3、 建立防火墙策略与***远程访问规则。 当ISA服务器处理网络数据传输请求时,首先严格检查网络规则和防火墙策略,以判断网络传输的合法性。ISA Server的多网络访问功能可以轻松设置网络间的访问规则,必须仔细规划防火墙策略与***远程访问规则,才能实现安全的***访问功能。
首先我们要有***的号,,
然后。。
在Android上设置***的方法:以下操作在安卓手机上完成
1 进入设置 - 无线和网络 - 虚拟专用网设置(***),选择添加虚拟专用网。
2 ***CUP支持PPTP、L2TP、Open***三种协议。可能有些运营商封杀了PPTP协议,我们可以用L2TP或Open***协议试试。这里以PPTP为例。
3 第一项虚拟专用网名称任意填写。第二项虚拟专用网服务器,在先前***网站账户中可以看到***域名地址。其他加密和搜索的东西可以不用管,需要设置的密码的自行设置。
4 按设置键,选择保存。之后可在设置页面下看到刚刚设置的***专用网。点击连接时会弹出以上登陆界面,填写申请***CUP时注册的用户名和密码即可,然后开始我们***体验吧!
这是一个简短的教程,目的是为了快速搭建一个可用的***,本文并不涉及有关***的正常使用内容。本简短教程基于以下硬件条件:
一台安装了Debian GNU/Linux 50的VPS。
当然理论上所有可以安装pptpd包的nix系统都可以作为主机,教程中安装方式是基于Debian的apt-get命令,其他发行版请自行对照使用。
这台VPS的物理位置是Fremont, CA。
物理位置作为***这个应用本身并不重要,在这里提出只是多此一举。
安装服务器端软件
# apt-get install pptpd
Debian的包管理是所有发行版里最好的,所以这条命令打完就安装完毕了我们的pptp服务器端程序。
配置IP地址范围
编辑/etc/pptpdconf,在最后添加如下地址:
localip 19216801remoteip 1921680234-238,1921680245
这两句设置了当外部计算机通过pptp联接到***后所能拿到的ip地址范围和服务器的ip地址设置。
增加一个用户
编辑/etc/ppp/chap-secrets,在下面增加类似的条目:
username pptpd password
上面内容很好理解,最后那个星号是说允许从任何IP地址联接,如果你想单独设定IP地址也可以。
重启pptpd服务
# /etc/initd/pptpd restar
理论上到这里一个***就已经搭建完毕了。无论你用的是Windows还是OSX,或者是iPhone OS,都可以通过建立一个pptp链接来联入这个***。不过你并不能通过这个来上Internet,因为所有的数据都作用于那台pptpd的服务器上,而不会传入拨入的计算机设备上。要上Internet还需要这么干:
dns解析支持
编辑:/etc/ppp/options,在里面找一下“ms-dns”项目:
ms-dns 20867222222 ms-dns 20867220220
我填写的是OpenDNS的地址,当然你也可以填写电信的DNS。
允许转发
编辑/etc/sysctlconf,看一下netipv4ip_forward参数是不是1。
netipv4ip_forward=1
最后的最后,运行一下这条命令来打开iptables的转发支持:
/sbin/iptables -t nat -A POSTROUTING -s 19216800/24 -o eth0 -j MASQUERADE
注意:来自@LEMONed的消息,只有Xen的VPS可以搭建pptp,OpenVZ的不行。
引用来自@LEMONed的话:
因为openvz下只有venet0,没有eth0,而绝大多数的vps都是openvz的,然后绝大多数的openvz vps都没有masqurade,只能搭建open***并且要自签证书什么的,根本不能用pptpd。我为了给iphone搭个***曾经把这个研究透彻了
0条评论