vpn定义

最新推荐文章于 2024-02-13 09:20:34 发布
最新推荐文章于 2024-02-13 09:20:34 发布
阅读量7.4k 收藏 2
点赞数
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66781330/article/details/131126304
版权

VPN定义(Vitual Private Network,虚拟私有网):是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络,只不过这个专线网络是逻辑上的而不是物理的,所以称为虚拟专用网。

虚拟:用户不再需要拥有实际的长途数据线路,而是使用公共网络资源建立自己的私有网络。

专用:用户可以定制最符合自身需求的网络。

核心技术:隧道技术

NSP(Network Server Provider,网络服务提供商)

定义基本同ISP,同时范围不限于Internet,而是包括了全部的计算机网络

按业务分类

1.Client-LAN VPN(Acceess VPN)

使用基于Internet远程访问的 VPN

出差在外的员工、有远程办公需要的分支机构,都可以利用这种类型的 VPN ,实现对企业内部网络资源进行安全地远程访问。

2.LAN-LAN VPN

为了在不同局域网络之间建立安全的数据传输通道,例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联,则可以采用 LAN-LAN 类型的 VPN 。

按网络层次分类

应用层 ssl vpn等

传输层 sangfor vpn

网络层 IPSec,GRE等

网络接口层 L2F/L2TP 、PPTP等

VPN按网络层次分类

应用层 SSL VPN等

传输层 Sangfor VPN

网络层 IPSec、GRE等

网络接口层 L2F/L2TP 、PPTP等

VPN常用技术

隧道技术 加解密技术 身份认证技术 数据认证技术 密钥管理技术

隧道技术

隧道:是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。

隧道技术: 是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道,使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPN技术中最关键的技术。

加解密技术

目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。

通常使用加密机制来保护信息的保密性,防止信息泄密。信息的加密机制通常是建立在密码学的基础上。

从明文到密文的过程一般是通过加密算法加密进行的。

从变密文到明文,称为脱密(解密)变换。

主流加密算法分为:

对称加密算法

非对称加密算法(公钥加密算法)

PKI体系

PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。

CA中心,即证书授权中心(Certificate Authority ),或称证书授权机构,作为电子商务交易中受信任的第三方。

CA中心的作用:签发证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书,以及对证书和密钥进行管理。

CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公钥。

CA中心的数字签名使得攻击者不能伪造和篡改证书。

数字证书是一般包含:

用户身份信息

用户公钥信息

身份验证机构数字签名的数据

从证书用途来看,数字证书可分为签名证书和加密证书

ipsec提供的安全服务

不可否认性

数据源鉴别

重放攻击保护

机密性

完整性

AH(51)ESP(50)

ESP(Encapsulating Security Payload,封装安全有效载荷)功能

1.无连接数据完整性

2.数据源认证

3.抗重放服务

4.数据保密

5.有限的数据流保护

esp在隧道模式下才可以传输nat

安全联盟SA,由三元组唯一标识,包括:安全参数索引,目的IP地址,安全协议号。

IKE为IPSec协商生成密钥,供AH/ESP加解密和验证使用。

在IPSec通信双方之间,动态地建立安全关联(SA:Security Association),对SA进行管理和维护。

主模式

默认使用IP地址作为身份标识,默认是传递自己的出口地址做身份标识, 校验对端的公网IP做对端身份标识。(自动生成双方身份ID)主模式可以放在出口,不可以放在nat环境里。

野蛮模式

可以使用用户名或IP等作为双方身份标识,即可以手动配置身份ID

ike阶段

主模式 野蛮模式

安全性较高 较低

速度较慢 较快

IKE 阶段2

双方协商IPSec安全参数,称为变换集transform set,包括:

加密算法

Hash算法

安全协议

封装模式

存活时间

nat环境下只能用ESP(安全协议)的隧道模式(工作模式)和野蛮模式(协商模式)。

NAT-T技术

因此出现了NAT-T用来解决标准IPSec VPN只能同时进行一个VPN连接的问题,NAT-T允许多个IPSec VPN同时连接,出现了NAT-T的技术。

(1)NAT-T协议运用在IPSec VPN中,在IKE协商和VPN连接时,允许源端口为非UDP 500端口,使用目的端口是UDP4500端口。

(2)NAT-T协议为ESP增加了UDP头部,从而解决了数据传输过程经过防火墙后无法进行端口复用的问题

DPD解决VPN隧道黑洞

DPD:死亡对等体检测(Dead Peer Detection),检查对端的ISAKMP SA是否存在。当VPN隧道异常的时候,能检测到并重新发起协商,来维持VPN隧道。

DPD主要是为了防止标准IPSEC出现“隧道黑洞”。

DPD只对第一阶段生效,如果第一阶段本身已经超时断开,则不会再发DPD包。

总部vpn在nat环境中必须要映射UDP500 NAT-T 4500

核心写路由指对方

WebAgent:用于SANGFOR DLAN互联时,分支与移动用户寻找总部的地址,从而建立 VPN连接。

WEBAGENT有如下几种的填写方式:

  1. IP:端口,如123.123.123.123:4009

适用于总部VPN设备有固定公网IP地址的环境

  1. IP1#IP2:端口,如123.123.123.123#221.221.221.221:4009

适用于总部VPN设备有多条固定IP的线路,且需要做VPN的线路备份的环境

  1. 网址的形式,如webagent.sangfor.com.cn/webagent/123.php

适用于总部VPN设备没有固定公网IP的环境,如ADSL线路

4.域名:端口形式,如www.sangfor.com:4009

适用于总部已存在动态域名指向他们出口的公网IP的环境

建立过程

1、寻址:与谁建立连接(找到目标) ——寻址(WebAgent原理、WebAgent设置)

2、认证:身份验证(提交正确、充分的信息)—账号密码、Dkey、硬件鉴权、第三方认证。

3、策略:(下发)选路策略、权限策略、VPN路由策略、安全策略(移动用户)、VPN专线(移动用户)、分配虚拟IP

不秃头的阿博
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
MPLS
qwerty121381的博客
04-04 1万+
MPLS 多协议 标签交换 多协议:可以基于多种不同的三层协议来生成2.5层的标签信息 包交换 == 包路由== 基于IP地址进行路由 1.原始包交换 – 查询 路由表 ARP表 2.快速(传统)交换 —— 一次路由多次交换 数据流(第一次经过的路径进行缓存,接下来的数据包都按照这个缓存走) 3.思科主导的CEF(特快交换)—— 无需路由,直接交换 路由表-FIB(递归完成:有传输路径) ARP-ADJ(递归完成的) 标签交换 – 在二层和三层之间(2.5)打一个标签号 ,之后路由器基于标签号来进行
构建安全的新型软件定义网络.pptx
06-08
构建安全的新型软件定义网络 技术创新 变革未来 构建安全的新型软件定义网络全文共16页,当前为第1页。 新接口,新设备,新数据 SU MMI T 构建安全的新型软件定义网络全文共16页,当前为第2页。 IT OT CT IT/CT/OT 围绕数据融合 SU MMI T 构建安全的新型软件定义网络全文共16页,当前为第3页。 复杂网络环境对数据传输带来挑战 复杂性: 构建安全的新型软件定义网络全文共16页,当前为第4页。 复杂的连接环境带来的数据安全挑战 安全性: 构建安全的新型软件定义网络全文共16页,当前为第5页。 应对:数据与应用驱动的新型安全软件定义网络 敏捷和灵活性 构建安全的新型软件定义网络全文共16页,当前为第6页。 云端 SD-WAN:化繁为简 构建安全的新型软件定义网络全文共16页,当前为第7页。 VSN解决方案 Remote Office 1 Remote Office 2 Cloud Servers Remote Worker Desktop Remote Worker Laptop Remote Worker Phone Remote Worker Tablet 纯软件版本-管理部署简便-可加密 传输并支持全MESH结构SD-WAN 网络 VSN Lite VSN 功能全面的SD-WAN 产品-覆盖了从云网络边缘接入到智能编排、应用驱动网络等的全部需求。 MPLS Internet 4G /LTE VSS VSS VSB VSB VSB VSB Controllers VSA VSM VSE Log information Distribution of configuration information Device Authentication 构建安全的新型软件定义网络全文共16页,当前为第8页。 VSN Lite:用于数据传输的 -MESH SD-WAN Branch 1 Branch 2 HQ Cloud Servers Remote Worker Desktop Remote Worker Laptop Remote Worker Phone Remote Worker Tablet VPN MPLS MPLS MPLS VPN VPN VPN VPN Hacker Remote Office 1 Cloud Servers Remote Worker Desktop Remote Worker Laptop Remote Worker Phone Remote Worker Tablet VSN Virtual Security Broker VSN Client SU MMI T VSN Client VSN Client VSN Client VSN Client Remote Office 2 VSN Client VSN Client 构建安全的新型软件定义网络全文共16页,当前为第9页。 VSN Lite:用于数据传输的全MESH SD-WAN 随时随地管理您 的 VSN 激活软件使用许可 SU MMI T 构建安全的新型软件定义网络全文共16页,当前为第10页。 VSN:端到端的云 SD-WAN MPLS Internet 4G LTE VSA:授权 VSS VSS VSB VSB VSB VSB Controller4 VSA VSM 由 VS 和 VSB 建立的安全通道 VSE VSE:边缘设备 VSS:网络流量交换 VSM:设备管理 VSB:Network Broker 日志信息 SU MMI T 配置信息下发 设备授权 构建安全的新型软件定义网络全文共16页,当前为第11页。 SD WAN 边缘: 安全与智能接入 公有云 私有云 传输服务 (MPLS, Br-adba,d , LTE) SU MMI T 构建安全的新型软件定义网络全文共16页,当前为第12页。 应用场景:物联网接入 在任意地点通过VSN 网络接入并监控智能设备 轻松横跨多个物理网络 通过VSN 连接为 IoT 数据传输加速 集中化管理减少 IoT 成本 隐藏I据传输保证安全 保证私密安全的物联网通信 IOT Server IOT Server IOT Server VSN 1 VSN 2 VSN 3 ATM 智能收银 智能物流 监控设备 智能医疗 智能2车 智能闸M V SU MMI T SN 构建安全的新型软件定义网络全文共16页,当前为第13页。 应用场景:分支机构组网 VSN Backbon/ D/t/ Center ISP/CSP 4GLTE/SG Public Cloud Internet L/r4e Store D/t/ Room Store-in- Store Hybrid SD-WAN
tinc-boot:快速轻松地引导您的Tinc节点
05-03
锡靴 在上创建易于使用的包装器的想法。 快速入门(仅适用于Linux) 自动的 节点1 sudo tinc-boot run 节点2 遵循上一个操作的命令 自定义令牌 节点1 sudo tinc-boot -t MYSECRET run 节点2 sudo tinc-boot run -t MYSECRET --join http://<node1>:8665 防火墙功能 使用(--ufw)在基于ufw的系统上自动打开端口 tinc-boot run --ufw ... 必需的打开的默认端口: <port>/udp,<port>/tcp --tinc-port定义为--tinc-port或在tinc.conf生成--tinc-port 8665/tcp -p --port为引导协议定义为-p --port端口 18655/tcp (tinc interface) -用于通信的内
VPN入门教程(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
02-13 1088
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
termssh:termsh 是一个脚本,用于通过 -s s1,s2,s3,s4 .. 即给定的服务器列表,-f 文件名以连接文件名中的服务器或通过 -a {env} {apptypes} {service_type} 自动发现服务器并进行布局。 根据应用类型约定自动分组服务器、全屏选项、每个选项卡的窗口定义为每个选项卡 2 4 或 8 个窗口
06-06
先决条件: sudo apt-get install terminator 或 sudo yum install terminator termsh 是一个脚本,用于通过以下方式为 ssh 访问创建和维护 gnome 终结符布局: -g | 根据应用类型约定自动对服务器进行分组, -fs | 全屏选项, -w 8 | 每个选项卡的窗口定义为每个选项卡 2 4 或 8 个窗口 -n "我的布局" | 这会将布局名称设置为您选择的熟悉名称,以便将来连接 -vp 122 | 这适用于 vpn 用户,这就是您定义vpn 端口 -v 主机名 | 这是用于连接的 vpn 主机名 -s "网关-(lon|gla)[01-02] myql[01-03] apache01" | 在语音标记空间分隔列表中 -f 文件名 | 以文件名连接到服务器,可以包含上述通配符命名 -l {env} {app
报文如何丢弃 如何处理
艺博东的博客
04-20 1万+
二层,没有mac表项或者黑洞mac; 2.5层,没有lsp,或者黑洞lsp; 三层,没有路由表项或黑洞路由;
HCIP第十四天笔记
Max_xi的博客
07-26 74
HCIP--华为认证体系下高级网络工程师
黑洞加速器官方android安卓版本,www.a0qmherg.com
热门推荐
weixin_32747681的博客
05-25 8万+
Domain Name: A0QMHERG.COMRegistry Domain ID: 2477874593_DOMAIN_COM-VRSNRegistrar WHOIS Server: whois.namesilo.comRegistrar URL: http://www.namesilo.comUpdated Date: 2020-01-09T05:00:47ZCreation Date: ...
网络安全→
Anything that can make the world better is promising!
01-29 1万+
网络安全
BGP路由黑洞解决方案+防环机制
2301_77475090的博客
08-02 2409
【3】由于BGP可以非直连建立邻居关系,故在一个AS内部,可以通过与多台运行BGP协议的路由器建立BGP邻居关系,来稳定关系网络;【4】在IBGP水平分割的限制下,虽然避免了IBGP的环路产生,但同时也使得AS内部为了能够传递路由条目,必须两两间建立IBGP邻居关系,邻居关系成指数上升,配置量巨大;【2】AS-BY-AS在一个AS内部条目传递的过程中,默认不会修改任何的属性;【1】依赖了BGP路由条目中的一种属性来进行防环;【2】BGP协议在传递路由条目的过程中,将记录所有经过的AS的编号;
NGFW_源NAT
qq_27599713的博客
02-12 6034
源NAT是指将报文的源地址进行转换。如图所示,当私网地址用户访问Internet时,FW将报文的源地址由私网地址转换为公网地址。当响应报文返回到FW时,FW再将报文的目的地址转换为私网地址。根据原地址转换是否转换端口,源NAT分为仅源地址转换的NAT(NAT No-PAT),源地址和源端口同时转换的NAT(NAPT,Smart NAT,Easy IP,三元组NAT)。
腾讯零信任轻量版(T-Sec SDP)-新一代安全接入解决方案.pptx
05-23
传统跨网络接入方式(如VPN)端口暴露 SDP软件定义边界:主张网络隐身、最小授权,是更适用于云和泛移动化时代的安全连接方案 SDP技术架构 SDP架构如何提升安全能力 解决方案:基于SDP的安全连接架构,支持连接公有...
Windows 网络管理配置工具 NetSetMan 5.0.5.zip
04-26
连接(RAS / DUN / PPP / VPN) 脚本(BAT,VS,JS,…) 程序执行 代理 浏览器主页 网域 常规 自动切换 所有当前IP设置的托盘信息 托盘菜单可快速切换配置文件 没有管理员权限的NSM服务 登录前配置文件...
【无标题】
m0_71195572的博客
08-12 3万+
{ "sites": [ //API接口 {"key": "七七","name": "七七","type": 3,"api": "csp_Kunyu77","searchable": 1,"quickSearch": 1,"filterable": 1}, {"key": "在线之家","name": "在线之家","type": 3,"api": "csp_Zxzj","searchable": 1,"quickSearch": 1,"filterable": 1}, {"key":...
【期末复习】北京邮电大学《网络安全》课程期末复习笔记(9. 虚拟专用网络
weixin_46440934的博客
10-01 898
VPN定义:是指依靠ISP或其他NSP(Network Server Provider,网络服务提供商)在**公用网络基础设施之上构建的专用的数据通信网络**,这里所指的公用网络有多种,包括IP网络、帧中继网络和 ATM网络
openvpn搭建与简单配置
YFHCSDN的博客
10-08 8367
openvpn详解
linux笔记
weixin_30587025的博客
08-08 469
tar zcvf xxx.tar.gz ./* 把当前目录下所有文件打包,也可以指定具体打包哪些文件 du -h 查看当前文件夹的大小,也可以查看指定文件大小 ip a 当前 ip rwx r-x r-x r read 可读 4 w write 可写 2 x excute 执行 ...
MPLS 多协议标签交换学习笔记
xingqwz的博客
07-11 5521
包交换:数据包基于IP地址进行数据转发的行为,其实就是路由器的路由行为 数据包解封装: 最原始的包交换技术:数据包进入路由器后,路由器需要查询本地的路由表(RIB--路由信息数据库)在基于下一跳或目标ip查询本地的ARP表,才能进行数据的转发。这种包交换数据转发慢,延时高 快速包交换:一次路由,多次交换 每一个数据流中的第一个数据包会基于原始的包交换进行转发,但是会记录此过程中数据的出接口并记录到缓存中,该数据路流的其余流量基于缓存转发 特快的包交换:无需路由,直接交换。CEF(思科私有) 将路
MPLS模拟解决BGP路由黑洞并连接不同网段公司实现互通实验
babybattlezxj的博客
07-16 4239
MPLS VPN实验 先在R2 R2 R4路由器上配置好IP (R2左边接口和R4右边接口先不配置)然后开启OSPF使他们三个环回互通 在将R1 R5 R6 R7的接口IP和环回IP配好 在R2 R3 R4上配MPLS [r2]mpls lsr-id 2.2.2.2 [r2]mpls [r2-mpls]mpls ldp [r2-mpls-ldp]q 之后需要在所有标签经过的接口上开启协议 [r2]interface GigabitEthernet 2/0/0 [r2-GigabitEthernet2/0/
bgp mpls vpn 配置
04-29
BGP/MPLS VPN是一种VPN技术,它使用BGP(Border Gateway Protocol)来传输VPN路由,使用MPLS(Multiprotocol Label Switching)来转发VPN数据流。下面是一个简单的BGP/MPLS VPN配置示例: 1. 配置路由器的BGP进程: ``` router bgp 65000 neighbor 10.0.0.1 remote-as 65001 neighbor 10.0.0.1 update-source Loopback0 address-family ipv4 network 192.168.1.0 mask 255.255.255.0 neighbor 10.0.0.1 activate no auto-summary exit-address-family ``` 2. 配置MPLS标签交换: ``` mpls label protocol ldp interface GigabitEthernet0/0 mpls ip interface GigabitEthernet0/1 mpls ip ``` 3. 配置VRF(VPN Routing and Forwarding): ``` ip vrf vpn1 rd 65000:1 route-target export 65000:1 route-target import 65000:1 exit ``` 4. 配置VPN接口: ``` interface GigabitEthernet0/0 ip vrf forwarding vpn1 ip address 10.0.0.2 255.255.255.0 no shutdown ``` 这个配置示例中,我们为VPN定义了一个VRF(vpn1),并将该VRF的路由目标导出和导入到BGP进程中。然后,我们配置了一个VPN接口(GigabitEthernet0/0),并将该接口指定为VRF vpn1的前向接口。最后,我们启用了BGP进程和MPLS标签交换。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不秃头的阿博

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值