×××的解决方法是在内网中架设一台×××服务器,×××服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到×××服务器,然后利用×××服务器作为跳板进入企业内网。为了保证数据安全,×××服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上×××使用的是互联网上的公用链路,因此只能称为虚拟专用网。

即:×××实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了×××技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用×××非常方便地访问内网资源,这就是为什么×××在企业中应用得如此广泛。

它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展


它功能与优点:

使用×××可降低成本——通过公用网来建立×××,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。

传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。

连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。

完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。


还有在网络中,服务质量(QoS)是指所能提供的带宽级别。将QoS融入一个×××,使得管理员可以在网络中完全控制数据流。

信息包分类和带宽管理是两种可以实现控制的方法:

信息包分类——信息包分类按重要性将数据分组。数据越重要,它的级别越高。当然,它的操作也会优先于同网络中相对次要的数据。

带宽管理——通过带宽管理,一个×××管理员可以监控网络中所有输入输出的数据流,可以允许不同的数据包类获得不同的带宽。

其他的带宽控制形式还有:

通信量管理——通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过,这使得带宽没有得到合理使用。

公平带宽——公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽,当应用程序需要用更大的数据流,例如MP3时,它将减少所用带宽以便给其他人访问的机会。

传输保证——传输保证为网络中特殊的服务预留出一部分带宽,例如视频会议,IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。

网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展,×××管理员在维护带宽上还有许多问题。然而,新技术对QoS的补充将会帮助网络管理员解决这个问题。

它的特点:

安全保障

×××通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有性和安全性。

服务质量保证

×××可以为不同要求用户提供不同等级的服务质量保证。

可扩充、灵活性

×××支持通过Internet和Extranet的任何类型的数据流。

可管理性

×××可以从用户和运营商角度方便进行管理。


它的分类:

根据不同的划分标准,×××可以按几个标准进行分类划分

⒈按×××的协议分类

×××的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。

⒉按×××的应用分类:

1)Access ×××(远程接入×××):客户端到网关,使用公网作为骨干网在设备之间传输×××的数据流量;

2)Intranet ×××(内联网×××):网关到网关,通过公司的网络架构连接来自同公司的资源;

3)Extranet ×××(外联网×××):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接;

所用的设备类型进行分类:

网络设备提供商针对不同客户的需求,开发出不同的×××网络设备,主要为交换机,路由器,和防火墙

1)路由器式×××:路由器式×××部署较容易,只要在路由器上添加×××服务即可;

2)交换机式×××:主要应用于连接用户较少的×××网络;

3)防火墙式×××:防火墙式×××是最常见的一种×××的实现方式,许多厂商都提供这种配置类型


实现方式:

×××的实现有很多种方法,常用的有以下四种:

1)×××服务器,在大型局域网中,可以在网络中心通过搭建×××服务器的方法来实现。

2)软件×××,可以通过专用的软件来实现×××。

3)硬件×××,可以通过专用的硬件来实现×××。

4)集成×××,很多的硬件设备,如路由器,防火墙等等,都含有×××功能,但是一般拥有×××功能的硬件设备通常都比没有这一功能的要贵。

(个人建议,如果是大型局域网的话,购买路由器,交换机等设备时就不需要×××这一项了。直接在服务器上安装相应的软件就可以了。


运用技术:

隧道技术——实现×××,最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接,如PPTP,L2TP,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是IPinIP,如IPSec,其可靠性及扩展性优于第二层隧道,但没有前者简单直接。

隧道协议——隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现×××功能。为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。

    所以隧道协议有呢 :

1)PPTP(点到点隧道协议)是一种用于让远程用户拨号连接到本地的ISP,通过因特网安全远程访问公司资源的新型技术。它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP使用TCP(传输控制协议)连接的创建,维护,与终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

2)L2TP协议:L2TP是PPTP与L2F(第二层转发)的一种综合,它是由思科公司所推出的一种技术。

3)IPSec协议:是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。(这个用的还比较多、接下来的实验就以这个为小例)

加解密技术——加解密技术是数据通信中一项较成熟的技术,×××可直接利用现有技术实现加解密。

密匙管理技术——密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。

身份认证技术——使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。


实验示例:

通过互联网实现创建一个跨区域的企业网、实现×××隧道传输;

实验设备:(Quidway3526、H3Cfirewall )

总部分支1分支2分别通过防火墙fw1,防火墙fw2,防火墙fw3连接到互联网(三层交换机);通过此建立从总部到分支的两条隧道(且手工获得SA)。(划分网段不考虑地址浪费、只便于实验理解操作)

总部     192.168.1.0  24          

分支1 、 192.168.2.0  24      

分支2 、 192.168.3.0  24    

把三地端口接入 vlan 以便配置ip地址;

Fw1  eth0/4  ---  e/10      1.1.1.1  1.2      vlan 10

Fw2  eth0/4  ---  e/20      1.1.2.1  2.2      vlan 20

Fw3  eth0/4  ---  e/24      1.1.3.1  3.2      vlan 24

隧道一(fw1  ---  fw2):运用技术有 ESP  spi--12345  (手工创建SA)

身份验证密钥:进 qazwsx  出abcdefg  (总部到分支进出密钥相对)

隧道二(fw1  ---  fw3):运用技术有 ESP  spi--654321  (同样手工sa)

身份验证密钥:进qwerty  出zxcvbn  (总部到分支进出密钥相对)

082853505.jpg


实验配置步骤:

总部(fw1)

sys

int eth0/0    广域网口 e0/4

int eth0/0

int add 192.168.1.1  24

模拟实验时,如果没有接线 就需要激活端口 执行loopback

int eth0/4

ip add 1.1.1.1  24

q

此刻如果要想上网 就应该达到默认路由的功能,接下啦配置默认路由

ip  route-static 0.0.0.0  1.1.1.2

q

firewall zone untrust

add interface eth0/4  

(条件有限因为是防火墙替代路由器 所以区域得添加上这个端口


第一条隧道配置:(总部到分支一)

acl number 3000 match-order auto  

采用扩展列表 3000表格

rule 10 ip source 192.168.1.0  0.0.0.255 desnation 192.168.2.0  0.0.0.255

这样就是指明 从1.0 网段 到 2.0 都要走隧道

q

ipsec proposal tran1  

写安全提议 tran1,还要写出会运用哪些协议

encapsulation-mode tunnel  

tunnel 表示隧道方式

transform esp    
  (选择安全协议

espencryption-algorithm des  

加密方式

espauthentication-algorithm md5

完整性校验 MD5

q

当然配置完成如果查看安全提议  指令:dis ipsec proposal


ipsec policy policy1 10 manual  

ipsec策略、选择分段式 10段,节点较少所以这里先用手工创建安全合同SA

security acl 3000

表明符合3000表格 要满足tran1安全提议

proposal tran1

sa spi outbound esp 12345

sa spi inbound esp 54321

设置SPI、同样按之前写好的设置进出索引值

sa string-key outbound esp qazwsx

sa string-key inbound esp abcdefg

同样设置双方验证密钥

tunnel  local 1.1.1.1  

本端地址)

tunnel  remote 1.1.3.1

远端地址 即到分支2的地址

q

int eth0/4

ipsec policy policy1

配置还应应用到外出端口去,然后可以使用指令 dis ipsec policy1 查看策略


然后同样的在总部进行第二条隧道配置

acl number 3001match-order auto

rule  10 permit ip source 192.168.1.0 0.0.0.255  destination 192.168.3.0  0.0.0.255

rule 20 deny ipsource any destination any

q

ipsec proposal tran2

encapsulation-mode tunnel    

transform esp

esp encryption-algorithm des    

esp authentication-algorithm md5  

q

ipsec policypolicy1 20 manual

security acl 3001

proposal tran2

tunnel local  1.1.1.1

tunnel remote 1.1.3.1

sa spi outbound esp 123456  

sa spi inbound esp 654321

sa string-key inbound esp qwerty

sa string-key outbound esp zxcvbn


分支1(fw2)还要进入其中设置

int eth0/0

int add 192.168.2.1 24

int eth0/4

ip add 1.1.2.1 24

q

ip  route-static 0.0.0.0  1.1.2.2

q

firewall zone untrust

add interface eth0/4  


fw2上设置隧道1

acl number 3000match-order auto

rule 10 permit ipsource 192.168.2.0  0.0.0.255destionation 192.168.1.0  0.0.0.255

rule 20 deny ipsource any desination any

q

ipsec proposal tran1

incapsulation-mode des

encapsulation-mode md5

q

ipsec policy policy1 10 manual

security acl 3000

proposal tran1

tunnel local 1.1.2.1

tunnel remote 1.1.1.1

sa spi inbound esp 12345    

sa spi outbound esp 54321

sa string-key inbound esp abcdefg    

sa string-key outbound esp qazwsx

int eth0/4    

ipsec policy policy1

q


分支2(fw3)

Sys

int eth0/0

int add192.168.3.1 24

int eth0/4

ip add 1.1.3.1 24

q

ip  route-static 0.0.0.0  1.1.3.2

q

q

firewall zone untrust

add interface eth0/4  


fw3上的隧道设置

acl number 300 0permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 20 deny ipsource any destination any

q

ipsec proposal tran2

encapsulation-mode tunnel

transform esp

espauthentication-algorithm md5

espencryption-algorithm des

q

ipsec policypolicy1 10 manual  

security acl 3000

proposal tran2

tunnel local 1.1.3.1

tunnel remote 1.1.1.1

sa spi inbound esp 123456

sa spi outbound esp 654321

sa string-key inbound esp zxcvbn

sa string-key outbound esp qwerty

q

Int eth0/4

Ipsec policypolicy1

q