精华内容
下载资源
问答
  • 虚拟专用网络

    2017-10-29 12:19:48
    各种专用通道的解释说明,目前市面上流行的或者不流行的专用通道的知识
  • 我总是要告诉他们虚拟专用网络不能代替有效的无线网络安全措施,为此我甚至发布了关于企业无线局域网安全的全面指南,但是,虚拟专用网络的支持者还是坚持他们的虚拟专用网络万能论,我不得不在到的每一个地方利用...
  • 简单虚拟专用网络

    2020-04-12 22:25:05
    简单虚拟专用网络 ...简单虚拟专用网络是一种 B2C 架构,L2L 虚拟专用网络 / GRE over IPsec / 动态多点虚拟专用网络 更多是一种 B2B 架构。 简单虚拟专用网络原理比常规虚拟专用网络复杂,配置更麻烦,...

    简单虚拟专用网络

    概述

    此类虚拟专用网络架设的目的,是为了满足公司更多的在外办公人员,能够允许外部人员(销售人员 / 远程技术人员)通过互联网安全访问公司资源(公司文档、公司的 IT 基础设施)。简单虚拟专用网络是一种 B2C 架构,L2L 虚拟专用网络 / GRE over IPsec / 动态多点虚拟专用网络 更多是一种 B2B 架构。

    简单虚拟专用网络原理比常规虚拟专用网络复杂,配置更麻烦,所以为了简化客户端配置,将大部分的命令部署在服务端,客户端仅仅需要软件就可以执行拨号。

    员工出差,需要访问公司内网,直接远程访问不安全,可能会遭到攻击导致信息泄露。此时没有路由器的情况下需要在员工所处位置的动态地址与公司固定地址之间建立虚拟专用网络,实现数据的安全传输。简单虚拟专用网络在服务器端的部署复杂,但在客户端使用简单,只需安装固定软件就可以实现安全通信。简单虚拟专用网络的客户端分为基于软件的客户端和基于硬件的客户端。

    原理

    简单虚拟专用网络的建立协商虽然也属于 IPsec 协商,但是与 IPsec 虚拟专用网络有些不同,协商阶段更多。
    在这里插入图片描述
    1.5 阶段:
    mode config:模式配置,用于服务端将配置推送给客户端;
    xauth:拓展认证,简单虚拟专用网络认证采用 “双因子” 认证,除了共享密钥,还需要组密码。

    部署

    电脑创建环回口,使用 GNS3 中的路由器连接该环回口,查看环回口地址并将 R1 的 f0/0 口设为同一网段,相互 ping 通。
    在这里插入图片描述
    安装 dneupdate64.msi。
    在这里插入图片描述
    安装 client_setup.msi。
    网卡中将环回口 DNE 插件卸载。
    GNS3 重新搭建环境并 ping 通。
    打开虚拟专用网络客户端,若能打开,则可继续下面配置部署。
    在这里插入图片描述
    EZVPN Server 配置:
    R4
    1.0阶段配置:
    crypto isakmp policy 1
    encrption 3des
    authentication pre-share
    hash sha
    group 2

    1.5阶段配置://创建了三个组策略,分别面向 a,b不同远程接入人员
    crypto isakmp client configuration group agroup //为不同客户端配置组策略
    key acisco //组密钥
    dns 8.8.8.8 8.8.4.4 //分配 DNS
    domain cisco.com //公司域名
    pool apool //为拨号成功的用户分配地址,分配地址的好处在于,总部可以明确是从哪里拨号进来的,内部安全防火墙可以做安全策略,如果不分配地址客户端都使用私有地址,无法进行有效管理。
    acl splitacl //分离列表,分离互联网流和加密流,推送感兴趣 ACL
    save-password //允许用户保存密码
    netmask 255.255.255.0
    ip local pool apool 172.16.1.1 172.16.1.100
    ip access-list extended splitacl
    permit ip 192.168.45.0 0.0.0.255 any

    crypto isakmp client configuration group bgroup
    key bcisco
    dns 8.8.8.8 8.8.4.4
    domain cisco.com
    pool bpool
    acl splitacl
    save-password
    netmask 255.255.255.0
    ip local pool bpool 172.16.2.1 172.16.2.100

    2.0阶段配置:
    crypto ipsec transform-set eztrans esp- 3des esp-sha-hmac

    配置 AAA 认证列表和授权列表
    aaa new-model
    aaa authentication login ezlogin local //定义认证列表 ezlogin,若没找到,则调用本地用户名数据库
    aaa authorization network ezauthor local
    username auser password amima //创建个人用户名密码
    username buser password bmima

    动态 map 配置:
    crypto dynamic-map dymap 1
    set transform-set eztrans
    reverse-route //开启反向路由,当用户拨号成功后,总部可以学习到分支局域网的网段

    静态 map 配置,并调用动态 map:
    crypto map ezmap 1 ipsec-isakmp dynamic dymap discover //调用动态
    crypto map ezmap client authentication list ezlogin //开启客户认证,用本地账号密码对客户进行认证
    crypto map ezmap isakmp authorization list ezauthor //开启客户授权,若认证成功,则授权 IP 地址等信息
    crypto map ezmap client configuration address respond //为客户动态分配 ip 地址

    interface f0/0
    crypto map ezmap //接口下调用

    show crypto ipsec client ezvpn //客户端查看 ezvpn 信息

    EZVPN Client 配置:
    R2
    编写 EZVPN 配置
    crypto ipsec client ezvpn aaaaa
    connect auto
    group agroup key acisco
    mode client
    peer 100.1.34.4
    username auser password amima

    应用策略集
    int f1/0
    crypto ipsec client ezvpn aaaaa outside
    int f0/0
    crypto ipsec client ezvpn aaaaa inside

    ezvpn 客户端的三种模式:
    1、客户模式:从服务端获取地址,并且所有内网以此地址来跟总部通信;总部无法主动访问分支。总部可以网管分支路由器。
    2、拓展模式:不需从服务端获取地址,但是总部和分支可以直接相互访问( L2L)。总部不可以网管分支路由器。
    3、拓展增强模式:从服务端获取地址,但是总部和分支可以直接相互访问( L2L)。总部可以网管分支路由器。

    配置完成,在 R2 上看到效果:
    在这里插入图片描述
    所有的流量从 loopback 经过:
    在这里插入图片描述
    即使没有配置 NAT,同样会生成 nat 列表:
    在这里插入图片描述
    1.5阶段服务器与客户端交互配置信息:
    在这里插入图片描述
    以上是通过硬件形式与总部服务器进行通信,下面介绍安装软件客户端与服务器进行通信的操作流程。

    打开软件,新建连接,并填写指定信息。
    在这里插入图片描述
    保存信息,建立连接,填入用户名密码。
    在这里插入图片描述
    使用时记得打开虚拟网卡。
    在这里插入图片描述

    展开全文
  • 虚拟专用网络详解

    2011-11-04 16:11:04
    虚拟专用网络详解 转自微软对虚拟专用网络的详解说,希望能对你有帮助!
  • linux 搭建 虚拟专用网络 (pptpd )

    万次阅读 热门讨论 2019-01-08 13:56:59
    1.安装pptpd [root@VM_0_6_centos ...2.对虚拟专用网络进行IP段分配 [root@VM_0_6_centos etc]# vim /etc/pptpd.conf localip 193.112.40.37 remoteip 172.16.1.120-200 3.指定DNS写入文件末尾即可 [roo...

    1.安装pptpd

    [root@VM_0_6_centos etc]# yum install -y pptpd
    

    2.对虚拟专用网络进行IP段分配

    [root@VM_0_6_centos etc]# vim /etc/pptpd.conf 
    
    localip 193.112.40.37
    remoteip 172.16.1.120-200
    

    3.指定DNS写入文件末尾即可

    [root@VM_0_6_centos etc]# vim /etc/ppp/options.pptpd
    
    ms-dns 8.8.8.8
    ms-dns 8.8.4.4

    4.配置用户名和密码

    [root@VM_0_6_centos etc]# vim /etc/ppp/chap-secrets
    
    # Secrets for authentication using CHAP
    # client        server  secret                  IP addresses
    xingyulin       pptpd    123456                    *
    

    5、开启IP转发

    [root@VM_0_6_centos etc]# vim /etc/sysctl.conf
    #将“net.ipv4.ip_forward = 0”改为“net.ipv4.ip_forward = 1”
    
    # Controls IP packet forwarding
    net.ipv4.ip_forward = 1

    转发生效

    [root@VM_0_6_centos etc]# sysctl -p
    

    6.配置转发策略以及开放常用的端口

    [root@VM_0_6_centos ppp]# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    [root@VM_0_6_centos ppp]# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
    [root@VM_0_6_centos ppp]#  iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    [root@VM_0_6_centos ppp]#  iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    [root@VM_0_6_centos ppp]# iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
    

    7、重启pptpd服务

    [root@VM_0_6_centos etc]# systemctl start pptpd.service
    
    
    #检查状态active (running)为成功
    [root@VM_0_6_centos etc]# systemctl status pptpd.service
    ● pptpd.service - PoPToP Point to Point Tunneling Server
       Loaded: loaded (/usr/lib/systemd/system/pptpd.service; enabled; vendor preset: disabled)
       Active: active (running) since 五 2019-01-04 11:15:53 CST; 4h 17min ago
     Main PID: 19053 (pptpd)
       CGroup: /system.slice/pptpd.service
               └─19053 /usr/sbin/pptpd -f
    
    
    

    8.链接虚拟专用网络测试

     

    展开全文
  • 阐述了虚拟专用网络技术在煤矿资源管理中的背景和意义,提出矿区虚拟网络管理的目的和主要内容模式,详细介绍了矿区资源网络信息化系统的框架和各模块的功能作用,最后就虚拟专用网络的应用进行相关讨论。
  • 虚拟专用网络 01.虚拟专用网络的定义 1.1广域网存在各种的安全风险 网上传输数据有被窃听的风险 网上传输数据有被篡改的风险 通信双方有被冒充的风险 ###1.2虚拟专用网络保护实体之间通信 使用加密技术...

    虚拟专用网络

    01.虚拟专用网络的定义

    1.1广域网存在各种的安全风险

    • 网上传输数据有被窃听的风险

    • 网上传输数据有被篡改的风险

    • 通信双方有被冒充的风险

    1.2虚拟专用网络保护实体之间通信

    • 使用加密技术防止数据被窃听

    • 数据完整性验证方式数据被破坏、篡改

    • 通过认证机制确认身份,防止数据被截获、回访

    02.虚拟专用网络的连接模式

    2.1传输模式

    • 封装模式相对肩带

    • IP报头未被保护

    在这里插入图片描述

    2.2隧道模式

    • IP报头被保护

    在这里插入图片描述

    03.虚拟专用网络的类型

    • 站点到站点的虚拟专网
    • 远程访问的虚拟专网

    04.虚拟专网技术

    4.1加密算法

    对称加密:DES、3DES、AES

    非对称加密:RSA(DH算法1

    密钥交换:IKE2

    • 带外共享
    • 带内共享

    4.2数据报文验证

    HMAC:MD5、SHA

    • 实现数据完整性验证

    • 实现身份验证

    如果数据被篡改将无法得到相同的数字签名

    4.3加密算法的应用

    • 问题

      使用对称加密算法,密钥可能被窃听

      使用非对称加密算法,计算复杂,效率太低,影响传输速度

    • 解决方案

      通过非等对称加密算法加密对称加密算法的密钥

      然后再用对称加密算法加密实际要传输的数据

    虚拟专网的连接模式有传输模式、隧道模式,传输模式的IP头部没有被保护,但隧道模式的IP头部被保护,并产生了一个新的IP头部

    虚拟专网的类型有点到点的和远程访问的

    常见的加密算法有DES、3DES、AES,其中AES最安全

    05.虚拟专网的工作

    IPsec主要由以下协议组成

    1. 认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;2.
    2. 封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;3.
    3. 安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。

    建立IPSec连接需要三个步骤

    • 流量出发IPSec
    • 建立管理连接
    • 建立数据连接

    ISAKMP/IKE阶段一的任务

    • 协商采用何种方式建立管理连接
      1. 其中包含的信息有加密算法、HMAC功能、设备验证的类型、DH密钥组、管理连接的生存周期
    • 通过DH算法共享密钥信息
    • 对等体彼此进行身份验证
      1. 使用密钥加密用户身份信息
      2. 使用密钥和用户信息通过哈希算法计算数字签名
      3. 对方对比数字签名确认身份

    ISAKMP/IKE阶段二的任务

    • 定义对等体间需要保护何种流量

      匹配隧道的ACL,匹配上的进入虚拟专网,没有匹配上的直接走公网

    • 定义用来保护数据的安全协议

      ah esp验证 ESP加密
      ah-md5-hmac esp-md5-hmac esp-null esp-aes128
      ah-sha-hmac esp-sha-hmac esp-des esp-aes 192
      esp-3des esp-aes 256
    • 定义传输模式

    • 定义数据连接的生存周期以及密钥的刷新方式

    1. 安全关联的定义
    • 整合必要的安全组件用于建立与对等体的IPSec连接
      1. 阶段一的SA3是双向通信
      2. 阶段二的SA是单向通信
    1. SA的三个要素

      1. 安全参数索引(SPI)
      2. 安全协议类型
      3. 目的IP地址
    2. ISAKMP/IKE阶段二的安全协议

      1. AH(认证头协议)

        数据完整性服务

        数据验证

        防止数据回放攻击

      2. ESP(封装安全载荷协议)

        ESP对用户数据实现加密通信

        ESP只对IP数据的有效载荷进行验证,不包括外部的IP



    1. DH算法:迪菲-赫尔曼密钥交换(英语:Diffie–Hellman key exchange,缩写为D-H) 是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。 ↩︎

    2. 因特网密钥交换协议 ↩︎

    3. 安全关联 ↩︎

    展开全文
  • 基于SSL的虚拟专用网络 基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的虚拟专用网络技术。 像简单虚拟专用网络通过安装软件客户端的方式进行安全远程访问服务器虽然与基于硬件形式的相比更...

    基于SSL的虚拟专用网络

    基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的虚拟专用网络技术。
    像简单虚拟专用网络通过安装软件客户端的方式进行安全远程访问服务器虽然与基于硬件形式的相比更便于使用,但是直接通过浏览器就可以实现的远程安全访问虚拟专用网络将更加的便捷,更方便出差员工访问公司内部资源。

    原理

    SSL,Security Socket Layer,安全套接层。
    SSL功能:数据加密,完整性校验。
    可以认为 SSL 是运行在 HTTP 和 TCP 之间,加密基于 TCP 及以上的协议。使用浏览器访问网站(例如京东)时,实际就是通过拨号的方式。

    SSL 协议包含两个子协议:记录协议和握手协议
    记录协议,record protocol,用于实现数据加密<数据分片、压缩、哈希、加密>,类似 IPsec 里面的 ISAKMP 协议,是隧道建立的执行者。
    握手协议,handshake protocol,用于实现隧道建立<版本、算法、数字证书认证、密钥交换>,类似 IPsec 里面的 ESP 协议,是数据安全的执行者。

    SSL 隧道协商:
    第一阶段:握手阶段
    第二阶段:数据安全传输阶段
    在这里插入图片描述
    书签:OpenSSL,开源的 SSL 套件。

    部署

    server 使用 C7200 镜像,接口与 3600 不同。
    在这里插入图片描述
    在这里插入图片描述
    虚拟专用网络由 pc 端拨号至 R2 server 端。

    实验流程:
    1、配置 IP 地址,保证直连联通;
    2、R3 默认路由到 R2,R2 默认路由到 R1,电脑配置 IP 地址并且指默认路由到 R1;
    3、R2 上部署 WEB VPN,R3 开启 HTTP SERVER;
    4、电脑开启浏览器输入 https://100.1.12.2

    R2:
    aaa new-model //创建本地用户名密码并创建认证列表
    aaa authentication login ssl local
    username cisco password cisco

    webvpn gateway vpnwg //定义 ssl vpn 网关
    hostname ssl //创建进程
    ip address 100.1.12.2 port 443 //定义公网地址及端口
    http-redirect port 80 //定义跳转接口,80 自动跳转到 443,允许80登录
    ssl encryption rc4-md5 //定义加密算法(对称算法 rc4,哈希算法 md5)
    ssl trustpoint TP-self-signed-4279256517 //定义自签名证书
    inservice //开启服务使配置生效

    webvpn context sslcontext //定义策略
    ssl authenticate verify all //开启认证功能
    aaa authentication list ssl
    gateway vpnwg
    inservice

    url-list “web-server” //定义内网地址和域名
    heading “go to xxxxx-server” //链接文件夹名字
    url-text “xxxxx.com” url-value “http://10.1.23.3” //链接文件名关联链接地址
    exit

    policy group policy1 //定义策略
    url-list “web-server” //关联链接列表
    banner “welcome to xxxxx”
    exit
    default-group-policy policy1

    R3:
    ip http server //开启 HTTP
    ip http authentication local
    username cisco privilege 15 password cisco

    打开浏览器,输地址,但是由于浏览器版本或加密算法导致拨号失败,抓包查看交互过程:
    在这里插入图片描述
    在这里插入图片描述
    修改加密规则后重新访问
    在这里插入图片描述
    web 中输入用户名密码等,即可进行访问服务器。
    在这里插入图片描述

    展开全文
  • 虚拟专用网络介绍。本博客是技术原理博客,不谈论&不涉及任何访问国外网站的方法。
  • 高可用性虚拟专用网络 概述 服务器的稳定性,不仅仅在于服务器本身的部署规模,从网络层面讲通信链路的可用性也是重要环节。常规的虚拟专用网络在单独的边界点处往往只有一根链路,为了防止访问总部数据库资源时发生...
  • 虚拟专用网络VPN(Virtual Private Network)是Internet技术迅速发展的产物,他可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其他公共互联网络的基础设施为用户创建隧道,并提供与专用...
  • 虚拟专用网络与网络地址转换NAT 私有地址只能用于一个机构的内部通信,而不能用于和因特网上的主机通信,私有地址只能用于本地地址,而不能用于全球地址,在因特网上的所有路由器,对目的地址是私有地址的IP数据报...
  • 虚拟专用网络实验 实验步骤 防火墙预配 配置PAT 配置虚拟专用网络 启用NAT豁免 测试结果与分析原因 实验拓扑 根据拓扑,配置路由器和PC的IP地址 实验命令 1.预配 ASA1 ciscoasa(config)# int e0/0 ciscoasa...
  • Windows Server 2012R2 虚拟专用网络技术

    千次阅读 多人点赞 2019-07-08 10:15:40
    一、虚拟专用网络技术概述 虚拟专用网络技术(Virtual Private Network) 虚拟专用网是在公网中形成的企业专用链路,采用“隧道”技术,可以模仿点对点连接技术,依靠Internet服务提供商(ISP)和其他的网络服务提供...
  • 你是否想过:虚拟专用网络工作在第几层呢?三?五? 首先要说,这个答案不唯一。常见的虚拟专用网络技术有五种:PPTP协议、L2TP协议、IPsec协议、MPLS技术以及SSL虚拟专用网络技术。 PPTP协议工作在OSI第二层。 ...
  • 配置BGP/MPLS 虚拟专用网络 Option C 2 二.配置BGP/MPLS 虚拟专用网络 Option C 2 1.底层路由协议可以配置为OSPF、ISIS等 2.利用MPLS为每条路由或每个实例分配一个标签,进行数据包的传输 3.利用BGP VPNv4传递私...
  • 动态多点虚拟专用网络 概述 GRE over IPsec 将通用隧道和加密隧道结合,实现了安全的单播、组播、广播流传输,但是由于其实现必须指定固定的 ip,所以在动态 ip 和多分支情况下无法实现或实现困难。动态多点虚拟专用...
  • win10系统自带虚拟专用网络,但一些用户想要设置win10系统虚拟专用网络时,却不知道该如何设置。为此,下面教你自己如何设置win10系统虚拟专用网络。 步骤如下: 1、在桌面的网络图标上点击右键,选择【打开“网络...
  • Windows Server 2003 虚拟专用网络的设计初衷是与 软件和支持安全远程访问行业标准的设备进行交互操作。本白皮书阐述了 Microsoft 如何致力于通过“基于 Internet 协议安全性的第二层隧道协议”(L2TP/IPSec) 和“点...
  • 1.配置MPLS 虚拟专用网络 Option B 二、MPLS 虚拟专用网络 Option B 1.底层路由协议可以配置为OSPF、ISIS等 2.利用MPLS为每条路由或每个实例分配一个标签,进行数据包的传输 3.利用BGP VPNv4传递私网路由 三、简单...
  • 搭建虚拟专用网络实验介绍:安装网络策略和服务器角色:调错与连接 实验介绍: VPN英文全称:Virtual Private Network(虚拟专用网络)。VPN被定义为通过一个公用互联网络建立一个临时的、安全的连接,是一条穿过...
  • 虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
  • L2L虚拟专用网络项目实践 实验拓扑 实验步骤 1、根据拓扑配置 IP 地址,保证直连联通; 2、R2 和 R4 配置 NAT, R1 和 R5 配置默认路由,要求 R1 和 R5 能够访问互联网 R3(3.3.3.3/32) ; R2: ip access-list ...
  • 动态多点虚拟专用网络项目实践 实验拓扑 实验步骤 1、根据拓扑配置 IP 地址; 2、R1/2/3 配置默认路由到 R4,配置环回接口地址模拟内网主机; ip route 0.0.0.0 0.0.0.0 下一跳接口 3、R1/R2/R3_ 上建立多点 GER ...
  • 思科CCNP网络工程师 CCIE考试常见问题GRE虚拟专用网络详解IPSec虚拟专用网络用于在两个端点之间提供安全的IP通信,但只能加密并传播单播数据,无法加密和传输语音、视频、动态路由协议信息等组播数据流量。...
  • 二.MPLS 虚拟专用网络 Option B RR 1.底层路由协议可以配置为OSPF、ISIS等 2.利用MPLS为每条路由或每个实例分配一个标签,进行数据包的传输 3.利用BGP VPNv4传递私网路由 4.RR上不保存路由,只传递路由。 5.RR就是...
  • 二、BGP/MPLS 虚拟专用网络 Option A RR 1.底层路由协议可以配置为OSPF、ISIS等 2.利用MPLS为每条路由或每个实例分配一个标签,进行数据包的传输 3.利用BGP VPNv4传递私网路由 4.RR上不保存路由,只传递路由。 5.RR...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,312
精华内容 924
关键字:

虚拟专用网络