VPN及其配置例如

本文格式为Word版，下载可任意编辑——VPN及其配置例如VPN及其配置例如

VPN的定义

虚拟专网（VPN-VIRTUALPRIVATENETWORK）指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是由于整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（如INTERNET，ATM，FRAMERELAY等）之上的规律网络，用户数据在规律链路中传输。

VPN的功能

1、通过隧道（TUNNEL）或虚电路（VIRTUALCIRCUIT）实现网络互联2、支持用户安全管理

3、能够进行网络监控、故障诊断

VPN解决方案的优点

1、省钱：它可以节省长途电话费和长途专线电话费和长途专线网络费可以为用户节省30-25%的网络应用的开销。

2、选择灵活、速度快：通过vpn网关，用户可以选择多种internet连通技术，而且对于INTERNET的容量可以实现按需定制；

3、安全性好：VPN的认证机制将更好地保证用户的隐私权和收发数据的完整性；

4、实现投资的保护：VPN技术的应用可以建立在用户现有的防火墙的基础上，用户正在使用的应用软件也不受影响。

VPN技术原理

1、VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。2、VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。3、对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。

4、VPN设备加上新的收据包头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。5、VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。

6、当数据包到达目标VPN设备时，数据包被解封装，数据包被解封装，数字签名，数字签名被核对无误后，收据包被解密。

VPN配置实例

Intranet内联网配置:

Figure3-8:IntranetVPNScenarioPhysicalElementsHeadquartersRouter配置hq-sanjose#showrunning-configBuildingconfiguration...

Currentconfiguration:!

version12.0

servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!

hostnamehq-sanjose!

bootsystemflashbootflash:

bootbootldrbootflash:c7100-boot-mz.120-1.1.Tbootconfigslot0:hq-sanjose-cfg-smallnologgingbuffered!

cryptoisakmppolicy1authenticationpre-sharelifetime84600

cryptoisakmpkeytest12345address172.24.2.5!

cryptoipsectransform-setproposal1ah-sha-hmacesp-desesp-sha-hmacmodetransport!!

cryptomaps1firstlocal-addressSerial1/0cryptomaps1first1ipsec-isakmpsetpeer172.24.2.5

settransform-setproposal1matchaddress101!

interfaceTunnel0bandwidth180

ipaddress172.17.3.3255.255.255.0noipdirected-broadcasttunnelsource172.17.2.4tunneldestination172.24.2.5cryptomaps1first!

interfaceFastEthernet0/0

ipaddress10.1.3.3255.255.255.0noipdirected-broadcastnokeepalivefull-duplexnocdpenable

!

interfaceFastEthernet0/1

ipaddress10.1.6.4255.255.255.0noipdirected-broadcastnokeepalivefull-duplexnocdpenable!

interfaceSerial1/0

ipaddress172.17.2.4255.255.255.0noipdirected-broadcastnoipmroute-cachenokeepalivefair-queue642560framingc-bitcablelength10dsubandwidth44210clocksourceinternalnocdpenablecryptomaps1first!

iproute10.1.4.0255.255.255.0Tunnel0!

access-list101permitgrehost172.17.2.4host172.24.2.5!

linecon0

transportinputnonelineaux0linevty04login!end

RemoteOfficeRouter配置:ro-rtp#showrunning-configBuildingconfiguration...

Currentconfiguration:!

version12.0

servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!

hostnamero-rtp!

bootsystemflashbootflash:

bootbootldrbootflash:c7100-boot-mz.120-1.1.Tbootconfigslot0:ro-rtp-cfg-smallnologgingbuffered!

cryptoisakmppolicy1authenticationpre-sharelifetime84600

cryptoisakmpkeytest12345address172.17.2.4!

cryptoipsectransform-setproposal1ah-sha-hmacesp-desesp-sha-hmacmodetransport!!

cryptomaps1firstlocal-addressSerial1/0cryptomaps1first1ipsec-isakmpsetpeer172.17.2.4

settransform-setproposal1matchaddress101!

interfaceTunnel1bandwidth180

ipaddress172.24.3.6255.255.255.0noipdirected-broadcasttunnelsource172.24.2.5tunneldestination172.17.2.4cryptomaps1first!

interfaceFastEthernet0/0

ipaddress10.1.4.2255.255.255.0noipdirected-broadcastnokeepalivefull-duplexnocdpenable!

interfaceSerial1/0

ipaddress172.24.2.5255.255.255.0noipdirected-broadcastnoipmroute-cachenokeepalivefair-queue642560framingc-bit

cablelength10dsubandwidth44210clocksourceinternalnocdpenablecryptomaps1first!

iproute10.1.3.0255.255.255.0Tunnel1iproute10.1.6.0255.255.255.0Tunnel1!

access-list101permitgrehost172.24.2.5host172.17.2.4!

linecon0

transportinputnonelineaux0linevty04login!end

Extranet外联网配置:

Figure3-9:ExtranetVPNScenarioPhysicalElements

HeadquartersRouter配置:hq-sanjose#showrunning-configBuildingconfiguration...

Currentconfiguration:!

version12.0

servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!

hostnamehq-sanjose!

bootsystemflashbootflash:

bootbootldrbootflash:c7100-boot-mz.120-1.1.Tbootconfigslot0:hq-sanjose-cfg-smallnologgingbuffered!

cryptoisakmppolicy1authenticationpre-sharelifetime84600

cryptoisakmpkeytest12345address172.24.2.5

如上图所示，VPN技术使得分散在异地的两个局域网可以通过公共网络进行连接，就象本地连接一样的安全和便利。而每个网络只需连接到本地的公共网络，相对于租用线路或自己架设线路来说，要更经济和易于维护，而性能基本是一样的。

在企业组网时，VPN技术主要用于一下几个方面：

A、企业的两个部分分布在不同城市，使用VPN技术，通过Internet网络连接两个网络；

B、出差在外地的企业人员，使用笔记本电脑，要通过Internet，访问企业内部网络；

C、企业与合作企业之间，有时需要相互访问内部网络（需要指定范围，以策安全），可以通过Internet,使用VPN技术，实现连接；

D、企业建立了自己的企业内部网络，但对于一些有敏感数据的部门，例如财务或人力资源部门的内部网络，是不能被其他人访问的。而假使这些部门本身又在企业的不同地区有分支机构，那么部门与分支机构之间、部门与部门之间（例如人力资源的劳资与财务部门的工资处理）通过企业网络的通信可以使用VPN技术来确保安全；

E、企业的一些部门使用了计算机控制系统，对生产设备进行自动监视和控制，这些控制系统，往往分布在不同的地区。可以透过计算机网络，在企业的总部设立一个监控中心，实现远程监控。VPN技术可用来保证这种控制是安全的，不被非授权的人员控制或监视。

针对以上的应用，下面简单的介绍一下其解决方案：

A、企业的总部与分支机构，两个局域网通过Internet连接

如下图，内部网络通过防火墙连接至Internet，VPN服务器和认证服务器放在DMZ网段，即周边网。基于性能和安全的考虑，防火墙应采用屏蔽子网体系结构的硬件防火墙；VPN服务器最好采用专用的服务器产品，目前国内浪潮等公司就有此类专用服务器。VPN服务器也可以采用软件产品，如Windows2000AdvancedServer版可以配置成VPN服务器，但是考虑到*作系统的服务开得太多，系统安全漏洞也更多，因此一般不应当使用。目前较高档的防火墙一般都有VPN功能，因此VPN服务器也可以和防火墙合并。

B、外地出差的企业员工通过Internet访问企业内部网

企业总部网络的配置与A一样，员工的笔记本电脑上安装VPN客户端，通过Internet向企业VPN服务器发出建立VPN连接的请求，身份验证通过后，建立起连接隧道。

C、企业与合作企业之间的连接

企业与其他企业合作进行研究，或有其他密切的业务往来，双方有必要共享一部分数据；可以划分出一个子网，用于双方相互访问。这时，应用其次个VPN服务器，它位于其次个DMZ网段。连接请求被送往其次个VPN服务器，然后被送往第一个DMZ的认证服务器进行验证，通过验证后，传送到所被允许的资源。

d计算机远程控制系统

如下图，VPN技术也可以用于远程自动化控制领域。借助VPN技术，设在企业总部的控制中心可以很安全与异地控制室连接，并监视和控制自动化设备的运行

企业互联MPLSVPN解决方案

在局域网中，基于IP的企业内部互连网基本上改变了企业的运作方式。企业可以通过内部互连网进行电子数据交换(EDI)和其它形式的网络贸易，并可将业务延伸到广域网(WAN)之中；通过外部互连网可以满足用户、供应商和合作伙伴的需求(包括多种业务)。为很好地利用这种商机，业务提供者必需具有一种IPVPN的结构，通过公用网络提供商业上的专用网络业务，确保网络运作的安全可靠。然而，目前大多数IPVPN的建立方法是指配一些管道，这些面向连接的管道由于失去了IP网络无连接的优势，导致网络的伸缩性能较差。

MPLSVPN的一个重要的技术优势是无连接。当用MPLS创立一个无连接的VPN时，你无需再为网络的安全保密专门建立一个管道和使用加密技术，这可大大地降低网络运行的繁杂性。

多协议标记交换技术(MPLS)采用集成模型，将IP技术与下层技术结合在一起，兼具了高速交换、QoS性能、流量控制以及IP技术的灵活、可扩展等特性。它不仅能够解决当前网络中存在的问题，而且能够支持大量新的功能，是一种较为理想的骨干IP网络技术。此外，MPLS也为支持更加先进的路由业务提供了基础，由于它解决了下面一系列繁杂的问题：