所属分类: 网络技术 整理: FengNet.Com 更新日期:2005/9/7 16:06:30 阅读次数:5511

VPN及其配置示例


VPN的定义
虚拟专网(VPN-VIRTUAL PRIVATE NETWORK)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如INTERNET,ATM,FRAME RELAY等)之上的逻辑网络,用户数据在逻辑链路中传输。


VPN的功能
1、通过隧道(TUNNEL)或虚电路(VIRTUAL CIRCUIT)实现网络互联
2、支持用户安全管理
3、能够进行网络监控、故障诊断


VPN解决方案的优点
1、省钱:它可以节省长途电话费和长途专线电话费和长途专线网络费可以为用户节省30-25%的 网络应用的开销。
2、选择灵活、速度快:通过vpn网关,用户可以选择多种internet连通技术,而且对于 INTERNET的容量可以实现按需定制;
3、安全性好:VPN的认证机制将更好地保证用户的隐私权和收发数据的完整性;
4、实现投资的保护:VPN技术的应用可以建立在用户现有的防火墙的基础上,用户正在使用的 应用软件也不受影响。


VPN技术原理
1、 VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。
2、 VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。
3、 对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
4、 VPN设备加上新的收据包头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
5、 VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
6、 当数据包到达目标VPN设备时,数据包被解封装,数据包被解封装,数字签名,数字签名被 核对无误后,收据包被解密。


VPN配置实例

Intranet 内联网配置:
Figure 3-8: Intranet VPN Scenario Physical Elements
Headquarters Router 配置
hq-sanjose# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname hq-sanjose
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:hq-sanjose-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.24.2.5
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.24.2.5
set transform-set proposal1
match address 101
!
interface Tunnel0
bandwidth 180
ip address 172.17.3.3 255.255.255.0
no ip directed-broadcast
tunnel source 172.17.2.4
tunnel destination 172.24.2.5
crypto map s1first
!
interface FastEthernet0/0
ip address 10.1.3.3 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface FastEthernet0/1
ip address 10.1.6.4 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.17.2.4 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
ip route 10.1.4.0 255.255.255.0 Tunnel0
!
access-list 101 permit gre host 172.17.2.4 host 172.24.2.5
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end

Remote Office Router 配置:
ro-rtp# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname ro-rtp
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:ro-rtp-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.17.2.4
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.17.2.4
set transform-set proposal1
match address 101
!
interface Tunnel1
bandwidth 180
ip address 172.24.3.6 255.255.255.0
no ip directed-broadcast
tunnel source 172.24.2.5
tunnel destination 172.17.2.4
crypto map s1first
!
interface FastEthernet0/0
ip address 10.1.4.2 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.24.2.5 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
ip route 10.1.3.0 255.255.255.0 Tunnel1
ip route 10.1.6.0 255.255.255.0 Tunnel1
!
access-list 101 permit gre host 172.24.2.5 host 172.17.2.4
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
Extranet外联网配置:
Figure 3-9: Extranet VPN Scenario Physical Elements


Headquarters Router配置:
hq-sanjose# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname hq-sanjose
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:hq-sanjose-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.24.2.5
crypto isakmp key test67890 address 172.23.2.7
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
ode transport
!
crypto ipsec transform-set proposal4 ah-sha-hmac esp-des esp-sha-hmac
!
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.24.2.5
set transform-set proposal1
match address 101
!
crypto map s4second local-address Serial2/0
crypto map s4second 2 ipsec-isakmp
set peer 172.23.2.7
set transform-set proposal4
match address 111
!
interface Tunnel0
bandwidth 180
ip address 172.17.3.3 255.255.255.0
no ip directed-broadcast
tunnel source 172.17.2.4
tunnel destination 172.24.2.5
crypto map s1first
!
interface FastEthernet0/0
ip address 10.1.3.3 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface FastEthernet0/1
ip address 10.1.6.4 255.255.255.0
no ip directed-broadcast
ip nat inside
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.17.2.4 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
interface Serial2/0
ip address 172.16.2.2 255.255.255.0
no ip directed-broadcast
ip nat outside
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s4second
!
router bgp 10
network 10.2.2.2 mask 255.255.255.0
network 172.16.2.0 mask 255.255.255.0
!
ip route 10.1.4.0 255.255.255.0 Tunnel0
!
ip nat inside source static 10.1.6.5 10.2.2.2
!
access-list 101 permit gre host 172.17.2.4 host 172.24.2.5
access-list 111 permit ip host 10.2.2.2 host 10.1.5.3
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end

Business Partner Router 配置:
bus-ptnr# show running-config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname bus-ptnr
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.T
boot config slot0:bus-ptnr-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test67890 address 172.16.2.2
!
crypto ipsec transform-set proposal4 ah-sha-hmac esp-des esp-sha-hmac
!
!
crypto map s4second local-address Serial1/0
crypto map s4second 2 ipsec-isakmp
set peer 172.16.2.2
set transform-set proposal4
match address 111
!
interface FastEthernet0/0
ip address 10.1.5.2 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface Serial1/0
ip address 172.23.2.7 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue 64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s4second
!
router bgp 10
network 10.1.5.0 mask 255.255.255.0
network 172.16.2.0 mask 255.255.255.0
!
access-list 111 permit ip host 10.1.5.3 host 10.2.2.2
!
line con 0
transport input none
line aux 0
line vty 0 4



--------------------------------------------------------------------------------

相关文章
运维的85条军规 2015/9/21 8:54:31
数据中心安全防护之道 2013/4/27 10:39:16
将物理数据中心向云计算迁移的四大步骤 2012/3/19 9:42:19
部署无线接入点十大原则 2011/9/19 15:41:27
Cisco IOS Site-to-Site Vpn配置案例 2011/7/14 15:47:14
23道思科网络面试题及解答 2011/3/22 12:58:43
配置用户登陆之使用本地用户认证进行Console登录 2008/8/7 14:44:45
cisco ASA防火墙配置笔记 2008/6/7 11:22:48
cisco PIX防火墙的配置及注解完全手册 2008/6/7 11:21:40
EzVPN Client 完整配置 2008/6/7 11:19:48
VPN技术中的MTU问题 2008/4/10 13:47:06
路由器中的内存分类 2007/9/18 14:04:26
Cisco IOS Cookbook 中文精简版第二十六章MPLS 2007/5/9 9:54:50
Cisco IOS Cookbook 中文精简版第十二章隧道和VPN 2007/3/28 9:06:30
VPN技术中的MTU问题 2007/3/22 8:58:58
shorewall 企业防火墙的完美实现 2007/3/22 8:37:20
JUNOS、IOS、VRP对比 2007/3/7 12:27:38
mpls vpn故障排除 2006/12/11 10:57:08
信息安全呼唤理论创新 2006/12/8 12:36:44
L2与L3 VPN的详细介绍与对比 2006/12/4 16:54:19
新一代网络安全接入技术对比分析 2006/12/4 16:40:41
Cisco IOS防火墙的安全规则和配置方案 2006/10/28 10:07:06
有关VPN连接的15项故障诊断提示 2006/10/28 9:55:18
Cisco防火墙技术汇总 2006/10/28 9:50:56
在交换机上实现存储安全 2006/10/27 10:02:36
帧中继故障的诊断与排除 2006/10/16 11:12:00
VRF Selection using by source ip 2006/9/13 19:25:53
华为3com secpath100f DVPN配置 2006/9/13 19:22:48
freeradius+mysql为华为防火墙做vpn用户验证 2006/9/4 8:50:45
网络路由安全攻防对策分析及实践 2006/8/8 18:55:12
配置cisco vpn client使用scep从ios router ca获取证书 2006/8/4 7:46:25
信息技术VPN产品安全检验规范 2006/7/29 7:39:40
电子政务特点及其系统安全全攻略 2006/7/29 7:16:55
Cisco配置手记 2006/7/17 10:08:27
ASA 5520配置例子 2006/7/14 9:47:04
交换机 VLAN配置基础及实例 2006/7/4 19:48:33
MPLS-TE RSVP 2006/6/25 17:38:03
一些有关网络的故障案例 2006/6/9 20:36:48
第1章 MPLS简介 2006/6/3 12:45:55
第2章 MPLS配置 2006/6/3 12:44:35
MPLS-VPN的最佳解决方案 2006/6/3 12:43:30
MPLS VPN 路由器与交换机选购指南 2006/5/30 14:27:52
核心 MPLS IP VPN 体系结构 2006/5/30 14:04:49
区分服务与MPLS的区别 2006/5/30 14:01:17
网络安全讲座之八:审计结果 2006/5/24 19:46:24
网络安全讲座之七:IDS系统 2006/5/24 19:45:52
网络安全讲座之一:网络安全的重要性 2006/5/24 19:39:52
VPN配置简单说明书 2006/5/24 19:30:53
Cisco VPN连接配置实例 2006/5/24 11:36:31
三层MPLS VPN及其故障处理 2006/5/8 19:45:11
实现四台Web服务器的负载均衡 2006/5/8 19:32:09
使用OPENVPN实现各机房的互通 2006/5/8 14:34:04
OpenVPN使用User/Pass验证登录 2006/5/8 14:33:08
LAN多层交换技术以及其应用的发展 2006/4/9 14:05:16
网络测试与分析在运营商网络中举足轻重 2006/4/6 19:25:22
LAN多层交换技术以及其应用的发展 2006/4/4 23:14:16
核心 MPLS IP VPN 体系结构(RFC2917) 2006/3/30 21:56:34
IP VPN的框架体系(RFC2764) 2006/3/30 21:52:32
BGP MPLS VPNs(RFC2547) 2006/3/30 21:50:22
PING不通的问题检查步骤 2006/3/29 9:26:51
国家电力数据通信网络建设方案 2006/3/28 20:14:12
适合NGN的VPN承载平台的构建和应用推进 2006/3/28 20:11:18
cisco四种类型的网络防火墙技术汇总 2006/3/20 12:59:53
策略路由概览 2006/3/8 11:15:41
802.1x:老根发新芽 2006/3/8 10:55:52
IPv6基础知识 2006/3/8 10:55:04
MPLS VPN的原理及构建 2006/3/7 9:13:35
Cisco产品采用的网络协议总结 2006/1/12 14:15:24
AR46-40与AR28-11做IPSEC VPN接入 2005/11/27 20:41:52
Cisco IOS访问列表的应用 2005/11/26 20:17:04
思科IOS 12.3新特性 2005/11/21 9:32:14
《网络基础学习之十八》主要路由器技术 2005/11/11 10:00:42
《网络基础学习之十七》路由器原理、分类和选购 2005/11/11 9:59:28
《网络基础学习之十五》交换机VLAN的配置 2005/11/11 9:57:10
VPN配置简单说明书 2005/11/5 22:10:22
VPN实例配置方案-中文注解 2005/11/5 21:42:09
IPSEC 安全架构、应用及展望 2005/11/5 20:58:28
VPN技术方案建议书 2005/11/5 20:55:49
解析网络防护层配置以及物理安全性 2005/9/14 10:52:05
安全防护-入侵检测实战之全面问答(下) 2005/9/14 10:47:29
VPN 配置之一:vpn access server 2005/9/7 16:33:42
Cisco 路由器 VPN典型配置 2005/9/7 16:08:09
VPN的基本配置 2005/9/7 16:05:31
信息安全需要技术保障 2005/8/16 17:34:40
信息安全策略概述 2005/8/16 17:33:36
[网工]ATM技术在计算机通信网中的应用 2005/7/6 20:59:29
2005年网络工程师考试题目预测(1) 2005/7/6 20:54:53
2005年网络工程师考试题目预测(2) 2005/7/6 20:53:26
路由器(Router)原理介绍 2005/6/22 7:58:05
软件vpn与硬件的优势对比 2005/6/3 12:14:03
如何配置Cisco PIX防火墙 2004/11/9 10:11:50
100多道简单网络基础题(答案) 2004/11/9 10:09:43
Cisco常见配置 2004/11/9 10:04:39
系统安全名词列表(1) 2004/10/8 9:38:02
实现四台Web服务器的负载均衡 2004/9/1 11:15:32
实现四台服务器的负载均衡 2004/8/13 13:01:59
2501做pppoe 虚拟拨号 2004/8/13 12:57:04
安全网闸的工作原理及缺陷 2004/7/26 8:43:49
三层MPLS VPN及其故障处理 2004/7/1 13:08:35
常用网络缩略语 2004/5/27 14:07:37
多协议标志交换(MPLS)基本原理 2003/12/20 23:21:16
iptables防火墙脚本 2003/11/20 14:05:27
路由器性能指标详解 2003/11/19 10:45:09
Window 服务全功略 2003/10/10 12:09:28
如何突破各种防火墙的防护 2003/10/10 12:07:54
网络词汇大全 2003/7/31 8:45:22
linux系统安全工具列表 2003/7/30 16:53:01
思科产品常见问题一百问 2003/7/30 14:17:30
系统安全名词列表 2003/7/29 10:27:02
[转帖]实现四台服务器的负载均衡 2003/7/13 19:03:25
redhat 7.2下面配置VPN客户端理论联系实际! 2003/7/13 18:49:26
linux下的VPN配置 2003/7/13 18:45:00
iptables防火墙脚本 2003/7/13 18:09:57
XX校校园网实现(VLAN及策略路由的实现) 2003/7/13 17:53:32
Linux下实现集群负载均衡 2003/5/25 21:04:02
网络技术常用术语汉语对照 2003/3/31 17:34:50
Windows下的个人防火墙-网络数据包拦截技术概览 2003/3/31 10:17:45
Red Hat 8.0上通过RPM安装PPTPD服务器 2003/3/25 9:23:42
Linux简明系统维护手册 2003/3/11 18:35:40
Linux简明系统维护手册5 2003/2/18 19:48:03
Linux简明系统维护手册1 2003/2/18 19:40:38
理解防火墙及防火墙实例系列: 第二部分 unix 下的防火墙软件 ipfilter 2003/1/12 15:47:31
理解防火墙及防火墙实例系列: 第一部分 防火墙基本类型、概念以及各类防火墙的主要优缺点 2003/1/12 15:45:24


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索