虚拟专用网

Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题)

寵の児 提交于 2019-11-28 00:50:57
博文大纲: 一、在路由器上实现Easy 虚拟专用网需要配置什么? 二、配置实例 前言:由于“Virtual Private Network”(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字“虚拟专用网”来代替。 在之前写过了 Cisco路由器之IPSec 虚拟专用网 ; 在Cisco的ASA防火墙上实现IPSec虚拟专用网 。这两篇博文都是用于实现总公司和分公司之间建立虚拟专用网的,那么还有一种使用很多的情况,就是出差人员想要访问公司内网的资源呢?由于出差人员只是单一的一个客户端,所以和前两篇博文不一样,前两篇博文搭建虚拟专用网,两端设备都是路由器或防火墙,有固定的IP地址,所以呢,并不能实现出差人员访问,这篇博文的目的,就是实现出差人员可以访问公司内网资源的,这个技术被称之为—— Easy 虚拟专用网 。 一、在路由器上实现Easy 虚拟专用网需要配置什么? 这篇博文将写下如何在路由器上实现Easy 虚拟专用网。 1、XAUTH身份验证 在原有的IPSec协议上,并没有用户验证的功能,所以引入了一个RFC的草案——XAUTH。它是一个虚拟专用网网关的增强特性,提供用户名和密码的方式来验证用户身份。由于这个过程是在两个连接建立之间完成的,所以被戏称为“阶段1.5”(关于两个阶段的介绍,可以参考 Cisco路由器之IPSec 虚拟专用网 ,有详细的介绍)。

Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题)

↘锁芯ラ 提交于 2019-11-26 00:31:34
博文大纲: 一、在路由器上实现Easy 虚拟专用网需要配置什么? 二、配置实例 前言:由于“Virtual Private Network”(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字“虚拟专用网”来代替。 在之前写过了 Cisco路由器之IPSec 虚拟专用网 ; 在Cisco的ASA防火墙上实现IPSec虚拟专用网 。这两篇博文都是用于实现总公司和分公司之间建立虚拟专用网的,那么还有一种使用很多的情况,就是出差人员想要访问公司内网的资源呢?由于出差人员只是单一的一个客户端,所以和前两篇博文不一样,前两篇博文搭建虚拟专用网,两端设备都是路由器或防火墙,有固定的IP地址,所以呢,并不能实现出差人员访问,这篇博文的目的,就是实现出差人员可以访问公司内网资源的,这个技术被称之为—— Easy 虚拟专用网 。 一、在路由器上实现Easy 虚拟专用网需要配置什么? 这篇博文将写下如何在路由器上实现Easy 虚拟专用网。如果网关设备是Cisco ASA防火墙,配置可参考: Cisco ASA防火墙之Easy虚拟专用网 1、XAUTH身份验证 在原有的IPSec协议上,并没有用户验证的功能,所以引入了一个RFC的草案——XAUTH。它是一个虚拟专用网网关的增强特性,提供用户名和密码的方式来验证用户身份。由于这个过程是在两个连接建立之间完成的,所以被戏称为“阶段1.5

Cisco路由器之IPSec 虚拟专用网(包括相关知识点以及配置实例)

怎甘沉沦 提交于 2019-11-25 22:52:37
博文大纲: 一、虚拟专用网相关概念 二、IPSec 虚拟专用网的基本概念 三、ISAKMP/IKE阶段1及阶段2的建立过程 四、IPSec 虚拟专用网的配置实现 五、总结 前言:由于“Virtual Private Network”(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字“虚拟专用网”来代替。 一、虚拟专用网相关概念。 1、虚拟专用网的定义 虚拟专用网就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直接相连,但通常情况下他们会相隔较远的距离。 对于定义中提到的“受保护”一词,可以从以下几个方面理解: 通过使用加密技术防止数据被窃听。 通过数据完整性验证防止数据被破坏、篡改。 通过认证机制实现通信方身份确认,来防止通信数据被截获和回放。 此外,虚拟专用网技术还定义了以下功能: 何种流量需要被保护。 数据被保护的机制。 数据的封装过程。 实际生产环境中的虚拟专用网解决方案不一定包含上面所有功能,还要由具体的环境需求和实现方式决定,而且很多企业可能采用不止一种的虚拟专用网解决方案。 2、虚拟专用网的连接模式 虚拟专用网的连接模式有两种:传输模式和隧道模式。 (1)传输模式: 在整个虚拟专用网的传输过程中,IP包头并没有被封装进去,这就意味着从源端的数据始终使用原有的IP地址进行通信。而传输的实际数据载荷被封装在虚拟专用网报文中