相关协议播出
编辑
VPN作为一种成熟的技术,广泛应用于组织总部与分支机构之间的网络互连。它利用组织现有的互联网出口创建一条虚拟的“专线”,将组织的分支机构和总部连接起来,形成一个大的局域网。
访问内网资源的VPN用户还需要为拨入UTM25的用户分配一个虚拟专用IP,这样SSL VPN客户端的用户就可以像局域网用户一样正常访问局域网内的资源。 [1]
导入协议原因
引入IPSEC协议有两个原因。一是最初的TCP/IP系统没有基于安全的设计。任何能够接入线路的人都可以分析所有通信数据。 IPSEC引入了完整的安全机制,包括加密、认证和数据防篡改功能。
另一个原因是由于快速发展,访问变得越来越方便。许多客户希望利用这一互联网带宽来实现远程网络的互联互通。
IPSEC协议通过报文封装技术,可以利用可路由地址对内部网络的IP地址进行封装,实现远程网络之间的互通。
数据包封装协议
想象一下实现一种通信方法。假设收发信件需要身份证(只有成人才有)。孩子没有身份证,无法收发信件。有两个孩子,小张和小李,他们的父亲是老张和老李。现在小张和小李想给对方写信,该怎么办呢?
合理的实现方法是:小张写一封信,在封面上写上“小张→小李”,然后给父亲老张写一个信封,写上“老张→老李”,然后把我把信放在里面,寄给了老李。老李收到信后打开,发现这封信是写给儿子的,于是就把它转给了小李。小李的回复也是一样,他以父亲的名义寄回给小张。
这种通信的实现取决于以下因素:
* 老李、老张可以收发消息
* 小张把信寄出去,交给了老张。
* 老张收到儿子的信后,能够正确处理(又写了一个信封),重新包装的信封也能正确寄出。
* 另一头,老李收到信,打开后,正确地交给了小李。
* 过程反过来也是一样的。
将信封的发件人和收件人更改为信封上的 IP 地址,并将信件内容更改为 IP 数据。该模型就是IPsec报文封装模型。小张和小李是内部私网的IP主机,他们的父亲是VPN网关。两个原本无法通信的远端局域网可以通过出口处的IP地址封装实现局域网到局域网的通信。
这种数据包封装协议的引入确实有点不得已而为之。理想的组网方式当然是全路由方式。 (这里注意,虽然理想的组网方式是全路由方式,但VPN的应用不会对整个网络毫无用处,因为VPN的根本目的是方便外部网络访问内部网络)任何节点都可以可达(就像现实生活中理想的沟通方式是任何人都可以直接写信给对方一样)。
协议最初设计时,IP地址是32位,这在当时已经足够了。谁也没有想到,未来会发展到现在的规模(同样的例子也发生在电信短信上,受到160字节限制的影响很大,限制了短信的发展)。按照2的32次方计算,理论上最多可容纳约40亿个IP地址。这些IP地址的利用率非常不足,大约70%的IP地址已经被美国分配。因此,对于中国来说,可供分配的IP地址资源非常有限。
由于IP地址有限,又需要实现远程lan-lan通信,封装报文自然是最好的方式。
安全协议
还是参考上面的通信模型。
假设老张写给老李的信要通过邮政系统投递,中间有很多坏人想要偷看小张和小李之间的通讯(小张和小李在做生意) ,并且他们就买卖信息进行交流),或者破坏交流。这是一件好事。
为了解决这个问题,我们必须引入安全措施。安全可以由小李和小张自己做,文字可以用代码来表示,也可以由他们的父亲代劳。他们可以写好这封信,交给父亲,然后让他在寄出之前用代码再写一遍。
IPSEC协议的加密技术与此方法相同。既然数据可以被封装,那么数据也可以被转换。只要数据到达目的地后能够恢复原貌即可。此加密工作是在出口VPN网关上完成的。
数据认证
以上述通信模型为例,仅加密是不够的。
加密数据对应于该模型的中间部分,它将字母的文本表示为代码。
坏人无法破译信件,但他们可以伪造信件或随机更改它。这样,信件到达目的地后,内容就会变得无法识别,收件人也不会知道信件被修改过。
为了防止这种结果,必须引入数据防篡改机制。一旦数据被非法修改,也能快速识别。在现实生活中的交流中,可以使用与此类似的算法来计算字母的特征(比如统计字母的笔画、有多少个单词),然后将这些特征标记在字母的后面一个代码。收件人会检查信件的特征,随着信件的变化,特征也会发生变化。因此,如果修改者没有密码,则修改后的数据特征值将不匹配。收件人可以看到它。
身份认证
我们还是假设小张和小李的沟通模型。
由于老张和老李不在同一个地方,为了保证儿子的通讯安全,他们看不到对方。老张和老李必须互相确认对方的可信度。这就是身份认证问题。
假设老李和老张以前见过面,并且事先约定了一个通讯密码,比如书信往来。然后写255,对应的是一只蜜蜂。
普通VPN身份认证可以包含预共享密钥。通信双方可以约定加解密密码,直接进行通信。如果能沟通,就是朋友;如果你不能沟通,你就是一个坏人。区别非常简单。
其他复杂的身份认证机制包括证书(电子证书如x509)。
如果有身份认证机制,频繁更换密钥就成为可能。
功能列表广播
编辑
功能
支持
描述
网络部分
网络接口
支持PPPOE和静态IP接入方式
动态域名绑定
支持互联网与希网动态域名绑定
策略路由
支持双线路由选择转发
DHCP IP分配
支持动态分配IP地址
防火墙
班平
支持禁止PING外网端口
端口映射
支持内网服务器直接映射到公网
自定义规则
支持用户手动配置规则,实现更精准的上网行为管控
访问策略控制
支持自定义时间段的流量控制
端口重定向
支持不符合规则的端口通信过滤
防攻击配置
支持SYN、DDOS、TCP攻击防御
连接信息
支持穿越防火墙查看连接信息(IP、端口、包)
VPN应用
灵活的授权策略
支持通过序列号进行功能和许可证管理,为用户角色提供时间来实施访问策略的任意组合
接入方式
支持单臂/臂接入模式
IPSEC功能
支持LAN-TO-LAN双向VPN隧道模式
PPTP功能
支持POINT-TO-LAN单向VPN隧道模式
易于管理
备份功能
支持本地和远程备份与恢复
在线升级
支持远程设备版本升级
系统日志
支持记录详细的系统信息、调试和错误日志
其他信息播报
编辑
解决了上述问题后,就基本保证了VPN通信模型的建立。
但这并不完美,这是最简单的VPN。即通过对端的两个静态IP地址实现远程网络的互连。美国的很多VPN设备都达到了这个水平,因为美国有足够的IP地址,分配静态IP地址没有问题。麻烦的是,对于像我这样的中国客户来说,两端都需要静态IP地址,相当于两条专线进行访问。
VPN要在中国使用,必须解决一系列相关问题。
包装方式
通过建立通信隧道,可以通过该通信隧道建立网络连接。但这个模式并不完美,还有很多问题需要解决。
在讨论其他问题之前,我们先定义一下关于VPN的几个概念。
VPN节点
VPN节点可以是VPN网关,也可以是客户端软件。位于VPN网络的中间,是网络的通信节点。应该可以连接,可能是直接连接,如adsl、电话拨号等,也可以通过NAT连接,如社区宽带、cdma上网、铁通专线等。
VPN隧道:两个VPN节点之间建立的虚拟链路通道。两台设备的内部网络可以通过这条虚拟数据链路相互访问。相关信息是当时两个VPN节点的IP地址、隧道名称、双方的密钥。
隧道路由
一台设备可能与很多设备建立隧道,那么就存在一个隧道选择的问题,即到什么目的地,走哪条隧道?
采用之前的通信模型,老李和老张就是隧道节点。他们通过邮政系统建立的密码通信关系就是一条数据隧道。当小张和小李把信寄给他们的爸爸时,他们的爸爸要做出决定,这封信如何密封,密封后寄给谁。如果还有另一个老王父子也需要通信,那么隧道路由会更容易理解。发送给小王的数据封装后发送给老王,发送给小李的数据封装后发送给老李。如果节点较多,则隧道路由会更加复杂。
了解了以上问题后,我们知道ipsec需要解决的问题其实可以分为以下几个步骤:
要找到对方的VPN节点设备,如果对方有动态IP地址,必须能够通过有效的方式及时检测到对方IP地址的变化。根据通信模型,如果李先生和老张频繁搬家,必须有一个有效的机制能够及时发现李先生和老张的地址变化。
建立隧道
修建隧道说起来容易做起来难。如果两台设备都有有效的公共IP,则建立隧道相对容易。如果一方在NAT后面,那就更麻烦了。一般是通过内部VPN节点发起UDP连接,并重新封装IPSec发送给对方。由于UDP可以通过防火墙被记住,因此UDP重新封装的IPsec数据包可以通过防火墙来回传递。
隧道建立后,隧道路由就确定了,即去哪里、走哪条隧道。当配置多个VPN隧道时,会定义保护网络,根据保护网络关系确定隧道路由。但这会失去一些灵活性。
所有 ipsec VPN 都仅实现上述几点。每个公司都有自己的方法。但可以肯定的是,目前市面上的VPN肯定已经解决了上述问题。
IPSEC VPN 的类型:
常见的IPSEC VPN类型包括站点到站点(site to site或LAN TO LAN)、easy VPN(远程访问VPN)、DMVPN(动态多点VPN)、GET VPN(群组(GET)VPN)等。
查找节点设备
如何找到VPN节点设备
如果设备使用动态拨号,那么必须使用合适的静态第三方进行分析。相当于两个人一直在动。为了正确地找到彼此,他们必须有一个每个人都认识的朋友。如果这个朋友不动,两个人都可以联系他。
静态第三方常见的实现方式有以下三种:
通过网页
这是深信服发明的一项技术,通过网页分析IP地址。因此,动态设备可以通过这种方式提交其当前的IP地址。其他设备可以通过网页查询回来。这样,设备就可以通过这个网页找到对方。由于网页相对固定,该方法可以有效解决这个问题。这种方法可以有效分散集中认证的风险,并且易于实现备份。这是一个相对聪明的解决方案。当然,网页可能会受到很多攻击,所以要注意安全防范。
通过中央服务器
进行统一分析,然后对用户进行分组。每个VPN设备只能看到同组内的其他设备,不能跨组访问。这也可以通过目录服务器来实现。该方式适用于集中式VPN,在企业总部部署服务器,实现全球设备的统一认证和管理。不适合分散用户的认证,因为存在信任问题。客户会怀疑如果管理服务器出现问题,其他设备可能能够连接到自己的VPN域。对于这种大规模的集中式VPN管理软件,国内外很多VPN厂商都有专门的设备或软件。除了动态IP地址解析外,还可以实现在线认证等功能。如果管理中心功能更强大,可以集中制定沟通策略。下面的VPN设备配置参数比较少。
通过动态域名解析
即动态域名。动态域名是一种相对平衡的技术。 VPN设备拨号后,将当前IP地址注册到一级域名服务器,并更新二级域名IP地址。其他用户可以通过这个二级域名找到它。以上介绍了三种动态IP地址解析方法。国内大部分厂家提供的无非就是这些方法。如果偏技术多了,也不一定是主流技术。
解决了动态IP地址的问题。根据之前的通信模型,网络的建立无需考虑VPN设备较多的情况。因此,一旦这项技术被越来越多的厂商掌握,IPsec VPN设备和软件的价格肯定会下降。 IT技术从朝阳转眼到了日落。
第二个问题是如何建立隧道
解决了IP地址动态寻址的问题。现在我们来说说Nat遍历的问题。我们知道Udp和TCP可以穿越防火墙。直接IPsec封装无法通过防火墙,因为防火墙需要改变端口信息,以便将返回的数据包转发到正确的内部主机。 UDP显然更合适,因为使用tcp不仅三次握手需要很长时间,而且还需要来回确认。事实上,这些任务属于ipsec内封装的任务,在这里完成是不合适的。因此,使用udp封装ipsec报文来穿越NAT几乎是唯一的选择。
使用UDP穿越NAT防火墙只能解决一半的问题,因为它需要至少一方在公网。有可路由的 IP 地址。有时会出现两个 VPN 节点都位于 NAT 后面的情况,这只能通过第三方转发来完成。即双方设备都可以与第三方设备通信,第三方设备为双方转发数据。这可以通过前面的模型来分析。老张和老李无法直接沟通。他们可以和老王沟通,老王可以中间转发。待小李和小张的通讯全部交给父亲后,老王终于会转达了。这是一个非常清晰的隧道路由概念。一条隧道不能直接到达,但可以在多条隧道之间转发。
因此,IPsec VPN 并不神秘。全部核心工作主要集中在以下几个方面:
如何找到与该VPN节点相关的其他节点。
协商可以通信的隧道。如果是NAT之后,该怎么办?
建立隧道路由表,确定不同的目的地址,使用不同的隧道。
假设上述问题得到解决,通过某种方式,具有动态IP地址的VPN节点可以互相找到对方并建立隧道,因此也可以实现隧道路由通信。是否可以通过完整的 VPN 来实现此目的?
答案仍然是否定的。解决了以上问题并不意味着它就是一款非常好用的VPN产品。还有很多其他问题。随后的问题围绕着复杂性展开。简单的原理实现后,剩下的工作就是解决所有相关的边缘问题。只有这样我们才能意识到一些有用的东西。能够使用是一回事,但易于使用又是另一回事。
IPSEC VPN 配置:
IP SEC 图
漠河:
10
编码3des
预共享
第2组
关键思科 46.46.23.3
ipsec -set myset esp-3des esp-sha-hmac
映射 mymap 10 ipsec-
设置对等点 46.46.23.3
设置-设置 myset
比赛101
ip 路由 20.0.0.0 255.255.255.0 46.46.12.2
-列表 101 IP 10.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255
:
10
编码3des
预共享
第2组
关键思科 46.46.12.1
ipsec -set myset esp-3des esp-sha-hmac
映射 mymap 10 ipsec-
设置对等点 46.46.12.1
设置-设置 myset
比赛101
ip 路由 10.0.0.0 255.255.255.0 46.46.23.2
-列表 101 ip 20.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255
ipsec VPN技术特点:
当使用公网传输内部私网的内容时,ipsec vpn在ip传输上使用加密隧道,保证ip公网上传输的数据的安全,从而实现语音、视频等数据的互通总部与分公司之间。 。如今,许多国际公司已采用VPN作为总部到分支机构的主要连接方式。例如,大型国际组织、商业机构、连锁店都采用VPN作为安全技术。
1.经济。企业不再承担昂贵的固网租用费用,带宽成本也非常高。相反,用它作为骨干传输是非常便宜的,而且后期维护基本不花钱,而且VPN设备的成本相比来说也比较低。
2 灵活性高,可采用多种连接方式。 ipsec vpn 网络可以连接任何位置的分支机构。
3、多业务:可同时支持向远程分支机构和移动用户传输语音和视频,大大提高现代办公等数据需求。
4 安全;安全性是ipsec VPN的显着特点,保证数据安全是该技术的基础。在VPN设备上,支持通道协议、数据加密和过滤
它通过实现多种授权方式来保证安全性,同时还提供内置防火墙功能,可以对VPN通道之外的公网和私网之间的数据进行监控和过滤。
5:冗余设计:VPN设备提供冗余机制,保证链路和设备的可靠性。
6 通道分离:VPN设备的通道分离功能为ipsec客户端同时访问公网和私网提供支持。访问本地网络设置用户访问权限
该功能可以在安全的情况下合理、方便地使用网络资源。
7:支持动态和静态路由协议,rip和ospf路由协议使VPN设备能够充当路由器。在扩大网络规模、实现安全功能的同时,
并且可以对路由协议进行加密,以便在隧道中安全传输。
网络拓扑广播
编辑
开放式和封闭式模型适用于客户端到站点和站点到站点拓扑。由 IPsec 网关(或其邻居)分隔的节点之间的连接可能会或可能不会受到限制。在开放的客户端到站点拓扑中,端点和 IPsec 网关之间的网络路径是安全的。在封闭的客户端到站点拓扑中,端点和网关之间的路径也是安全的。然而,客户端节点和与IPsec网关相邻的节点之间的数据交换只能在与IPsec网关建立连接时发生。
在这两种拓扑中,客户端节点和 IPsec 网关之间的关系在结构上类似于传统的 PSTN (PSTN) 远程访问拨号网络。终端与网关建立连接,并作为IPsec节点进行通信。此外,网关还负责向端点提供IP身份,这使得客户端节点能够直接连接到其他IPsec网关(通过VPN)并实现与相邻端点的IP网络连接。客户端和网关之间的通信由 IPsec 保护。然而,客户端终端和邻近IPsec网关的其他终端之间的通信并不安全。
扫一扫在手机端查看
我们凭借多年的网站建设经验,坚持以“帮助中小企业实现网络营销化”为宗旨,累计为4000多家客户提供品质建站服务,得到了客户的一致好评。如果您有网站建设、网站改版、域名注册、主机空间、手机网站建设、网站备案等方面的需求,请立即点击咨询我们或拨打咨询热线: 13761152229,我们会详细为你一一解答你心中的疑难。